Sind Sie bereit für ein Software-Audit?

September 12, 2017

Autor

Tristan Ackley

Laut Gartner wurden in den letzten Jahren vermehrt Software-Audits durchgeführt. Software-Hersteller setzen die Audits dabei sowohl als Einnahmequelle als auch zum Eindämmen von Software-Piraterie ein.

Die Reports von Gartner enthalten auch proaktive Empfehlungen für CIO’s und IT-Manager, in Prozesse und Tools für Software-Asset-Management (SAM) zu investieren, um die Lizenzvertragsbedingungen einzuhalten.

Zusätzlich zu den Ratschlägen von Gartner würde ich auch empfehlen, die Kommunikation und die operativen Abläufe zwischen der IT-Abteilung und dem Einkauf zu verbessern, da es unentbehrlich ist, ein Verfahren zum Verfolgen eines Software-Assets einzusetzen, angefangen vom Zeitpunkt des Einkaufs (finanzielle Aufzeichnungen) bis hin zu dessen Aussortierung. Es ist äußerst wichtig, die Art des Erwerbs einer Software-Lizenz (Vertragstyp), die Art der Nutzung (Installation), die Rechte, sie auf verschiedenen Geräten einzusetzen, und die zugehörigen Finanz-/Rechtsdokumente abzubilden.

In jüngster Zeit haben viele Hersteller eine Reihe von Änderungen an ihren Lizenzmodellen vorgenommen. Sie verwenden nun eine Vielzahl von Metriken (pro CPU, pro Kern, NUP, PVU usw.), wodurch die Lizenzierung noch komplexer wird. Aufgrund der sich durch Virtualisierung und Cloud-Computing ändernden IT-Umgebungen sind IT-Entscheidungsträger dazu gezwungen, immer breitere Wissensgebiete für sich zu erschließen, wobei die wenigsten davon mit der Lizenzierung zu tun haben.

Durch die häufigen Änderungen der Lizenzregeln und dem Mangel an entsprechenden Tools zum Management und zur Kontrolle von Software laufen Unternehmen Gefahr, sich großen finanziellen Risiken durch Hersteller-Audits auszusetzen.

Allgemeine Kriterien zur Durchführung von Audits

Genauso wie Meteorologen nach Änderungen in Witterungsabläufen suchen, um die Wochenvorhersage zu erstellen, suchen Software-Hersteller nach Mustern in der Historie eines Unternehmens, die auf einen potenziellen Audit-Bedarf hindeuten. Dazu gehören zum Beispiel:

  • Fusionen und Übernahmen
    Bei Fusionen und Übernahmen findet (so gut wie) keine Übergabe und Konsolidierung von Software-Lizenzen zwischen den Unternehmen statt. In solchen Fällen hat das neue Unternehmen im Allgemeinen nicht genügend Lizenzen zur Verfügung und verstößt somit gegen die Software-Nutzungsbedingungen.
  • Die Rückschlüsse, die Hersteller aus Ihrer Erwerbshistorie und den offiziellen Finanzdaten Ihres Unternehmens ziehen
    Dies impliziert, dass die Anzahl von Lizenzen nicht mit dem wirtschaftlichen Wachstum des Unternehmens übereinstimmen, wie zum Beispiel Anzahl von Mitarbeitern, Eigenkapital usw.
  • Audits durch andere Hersteller
    Wir kennen Unternehmen, bei denen aufgrund eines Audits durch einen Software-Hersteller auch Audits durch andere Hersteller durchgeführt wurden.
  • Nicht verlängerte Lizenzverträge
    Dies betrifft Unternehmen, die kein Interesse an den Tag legen, ihre laufenden Lizenzverträge zu verlängern oder auf einen anderen Vertragstyp umzustellen.

Arten von Software-Audits

Ein „weiches Audit“ ist der einfachste Audit-Typ. Bei diesem Verfahren müssen Unternehmen, die geprüft werden, eine Liste über den eingesetzten Lizenzbestand erstellen und an den Hersteller senden. Die Daten werden dann mit der Erwerbshistorie verglichen, um die Compliance zu ermitteln.

Ein „hartes Audit“ ist schwieriger und kostspieliger und wird durch einen autorisierten Auditor durchgeführt, der im besten Interesse des Herstellers agiert. Der Auditor ist gesetzlich ermächtigt, die Lizenznachweise zu prüfen, technische Kontrollen vor Ort durchzuführen und dem Software-Hersteller die Ergebnisse des Audits vorzulegen.

Der beste Schutz vor einem Audit ist die Einführung einer kontinuierlichen SAM-Lösung, die als Ergebnis der Zusammenarbeit zwischen dem Partner und dem Fach-/Lizenzierungspersonal des Kunden entstanden ist und die Software-Compliance Ihres Unternehmens stets auf dem neuesten Stand hält.

Die 5 Stufen eines Software-Audits

Wenn Sie einem harten Audit unterzogen werden, richten Sie sich auf einen Prozess ein, der folgendermaßen ablaufen könnte:

  1. Kickoff-Meeting
    In dieser ersten Phase setzen die vom Hersteller beauftragten Auditoren ein Meeting an (normalerweise eine Telefonkonferenz), um die Phasen des Audits und den Zeitplan vorzustellen.
  2. Datenerfassung
    Das Unternehmen, das geprüft wird, muss gewisse Informationen über die IT-Infrastruktur erfassen und dem Auditor zur Verfügung stellen. Dazu gehören z. B.:

    • die Hardware-Konfiguration der Geräte,
    • eine Liste von Anwendungen, die auf den Geräten installiert sind,
    • die Benutzer, die Zugriff auf diese Geräte und die zugehörigen Anwendungen haben, und
    • ein Nachweis der Lizenzierung (Dokumente).
  3. Vor-Ort-Besuch
    In dieser Phase statten die Auditoren dem Unternehmen, das geprüft wird, einen Besuch ab, um die Richtigkeit der bereitgestellten Daten zu verifizieren und ggf. zusätzliche Daten zu erfassen.
  4. Vorläufiger Bericht
    Basierend auf den Daten, die in den Phasen 2 und 3 erfasst wurden, bereitet der Auditor einen Delta-Bericht über die installierten Lizenzen im Vergleich zu den gekauften Lizenzen vor. Dieser Bericht wird an das geprüfte Unternehmen gesendet, damit dieses auf mögliche Fehler und Abweichungen prüfen kann.
  5. Trilog-Abschlussmeeting
    In dieser finalen Phase wird mit allen am Audit Beteiligten ein Meeting virtuell oder vor Ort abgehalten. Die Auditoren stellen ihren finalen Bericht vor und beantworten sämtliche Fragen diesbezüglich. Nach dieser finalen Phase zieht sich der Auditor zurück und lässt den Hersteller und den Kunden die finalen kaufmännischen/rechtlichen Bedingungen aushandeln.

Wenn Sie das Gefühl haben Gefahr zu laufen, einem Software-Hersteller-Audit unterzogen zu werden, ist es das Beste, proaktiv zu handeln und in einen unabhängigen Partner zu investieren, um das Risiko zu entschärfen. Andernfalls kann, wenn Sie das Audit-Schreiben erhalten, der Prozess sehr langwierig und möglicherweise sehr kostspielig werden.

Hinterlasse eine Antwort