1. Plan przeprowadzenia audytu

Zaraz po otrzymaniu wiadomości o planowanym audycie należy o tym poinformować odpowiednie osoby, przede wszystkim odpowiadające za zarządzanie zasobami IT (ITAM/SAM), dział prawny oraz CIO. Nie można dopuścić do sytuacji, że informacja ta zostanie zignorowana.

2. Zaangażowanie działu prawnego

Jeżeli w firmie funkcjonuje dział prawny, niezwłocznie trzeba poinformować jego pracowników o tym, że ich zaangażowanie w procedurę kontrolną (działania komunikacyjne, negocjacje, współpraca z działem IT) wkrótce może być konieczne.

3. Obowiązkowe spotkanie dla zainteresowanych stron

Wszystkie osoby zaangażowane w proces audytu powinny spotkać się, aby omówić aktualną sytuację, ocenić ryzyko wystąpienia problemów i precyzyjnie podzielić między siebie obowiązki. Koniecznie należy wyznaczyć osoby do kontaktu w poszczególnych działach.

4. Nowa umowa o zachowaniu poufności

We współpracy z działem prawnym powinna być wynegocjowana umowa o zachowaniu poufności (NDA) pomiędzy klientem i producentem oprogramowania. Przede wszystkim powinna zawierać klauzulę, że wyniki kontroli pozostaną poufne.

5. Negocjacja warunków audytu

Warunki zapowiedzianego audytu można negocjować. Należy precyzyjnie określić, jakie informacje i odnośnie do których aplikacji będą gromadzone przez producenta (nie każdy jego produkt musi być poddany tej procedurze).

6. Zebranie odpowiednich danych

Informacje wymagane do przeprowadzenia audytu trzeba zebrać w postaci raportu; niektórzy producenci oprogramowania dostarczają jego szablon. Warto pamiętać, aby podawać tylko wymagane informacje – ani więcej, ani mniej (firmy, które dzielą się zbyt dużą ilością informacji, często później tego żałują). Z raportem powinny zapoznać się wszystkie osoby zaangażowane w proces audytu.

7. Wysyłka raportu

Opracowany raport powinien być wysłany producentowi oprogramowania przed upłynięciem ustalonego terminu.

8. Negocjacje wyników

Po otrzymaniu od producenta oprogramowania raportu z wnioskami poaudytowymi należy przedyskutować je z działem prawnym i ustalić dalsze działania, gdyż w tym przypadku także istnieje możliwość negocjacji. Analiza powinna dotyczyć głównie kwestii finansowych (szczególnie w przypadku żądania poniesienia dodatkowych opłat, uiszczenia grzywny) lub konieczności renegocjacji umów licencyjnych. Przy tej okazji można również negocjować dodatkowe rabaty za ilość użytkowanego oprogramowania lub próbować obniżyć wysokość opłat za wsparcie.

9. Analiza działań

Po przeprowadzonym audycie koniecznie trzeba przeanalizować jego przebieg. Które działania przebiegły bez problemu, a które nie? Jakie koszty poniosła firma w związku z audytem? Czy udało się coś zaoszczędzić? Jakie taktyki negocjacyjne zostały podjęte i czy zadziałały?

10. Przygotowania do kolejnego audytu

Zebrane wnioski warto wykorzystać do przygotowania planu na wypadek kolejnego audytu (tego samego lub innych producentów). Prawdopodobieństwo, że się przydadzą, jest dość duże – ponad połowa firm twierdzi, że zostały poddane kontroli więcej niż jeden raz.

Dystrybutorem rozwiązań Ivanti jest Alstor SDS (www.alstorsds.pl).

Artykuł Przygotuj klienta na audyt pochodzi z serwisu CRN.

Poddając się procedurze audytu, przedsiębiorstwo wiele zyskuje. Z jednej strony zabezpiecza się na wypadek zewnętrznej kontroli, zdobywa bowiem pewność, że działa zgodnie z prawem. Z drugiej audyt połączony z inwentaryzacją sprzętu pozwala na zoptymalizowanie jego zakupów. Umożliwia też administratorom szybszą i dokładniejszą reakcję, zwłaszcza w sytuacjach awaryjnych. Odpowiednie zarządzanie oprogramowaniem oznacza również spadek kosztów związanych z pomocą techniczną, dzięki standaryzacji i usunięciu z infrastruktury IT zbędnych, przestarzałych elementów.

Brak wiedzy, ale także oszustwa…

Według specjalistów z zakresu zarządzania licencjami i oprogramowaniem polscy przedsiębiorcy są coraz bardziej świadomi znaczenia legalności używanego oprogramowania. Z tego powodu coraz chętniej decydują się na korzystanie z usługi SAM. Nadal jednak ważne jest systematyczne zachęcanie do weryfikacji posiadanych zasobów oprogramowania. W dalszym ciągu bowiem audyty wykazują niezgodność zakupionych licencji z faktycznie wykorzystywanymi aplikacjami. Wynika to w wielu przypadkach nie tyle ze świadomego działania wbrew prawu, ile z nieznajomości zasad licencjonowania.

– Dziś nie stanowią problemu oszustwa licencyjne czy nadużywanie elastyczności umów w tym zakresie. Nasze doświadczenia wskazują, że chodzi raczej o brak uporządkowanej i zdefiniowanej polityki zarządzania licencjami – twierdzi Tomasz Siemek, członek zarządu Action.

Problem nie zniknął z jeszcze jednego powodu. Obecnie na polskim rynku funkcjonuje niemała „pula” podrobionych produktów i sprawnie działa kanał wtórnego obiegu certyfikatów.

– Warto przestrzec nabywców licencji, szczególnie OEM, aby dokładnie sprawdzali, czy nie kupili podróbek. Pierwszym sygnałem, że coś może być nie w porządku z licencją, są drobne problemy z aktywacją. Wówczas warto skontaktować się z producentem lub dostawcą produktu – mówi Grzegorz Filarowski, prezes zarządu Log System.

Interesującym aspektem, na który wskazują eksperci, jest wpływ nowych technologii na procedurę rozliczania licencji w przedsiębiorstwach. Przez całe lata poprawnością instalacji zarządzano na podstawie jednego sprawdzonego modelu. Na przykład inwentaryzacji kupionych licencji i zainstalowanego oprogramowania, a następnie doradztwa w zakresie najwłaściwszych form licencjonowania w przyszłości. Obecnie nowe trendy, wynikające z popularności urządzeń mobilnych, a także rozwiązań chmurowych bardzo utrudniają zarządzanie oprogramowaniem.

– Współcześnie działający audytor staje się konsultantem. Klient już nie potrzebuje informacji o tym, czy jego oprogramowanie jest legalne, ale wymaga usług doradczych. Oczekuje podpowiedzi, jak może zarządzać oprogramowaniem w sposób ciągły – podkreśla Sebastian Strzech, dyrektor zarządzający CompNetu.

Skomplikowane umowy licencyjne

Wszystkim wahającym się, czy zlecić audyt oprogramowania, warto przypominać o problemie zbytniego skomplikowania umów licencyjnych. O ile w małej firmie spowoduje to jedynie – dajmy na to – opóźnienia w wystawianiu faktur, o tyle w bankowości i finansach, energetyce, handlu czy administracji publicznej potrzeba nagłej weryfikacji skomplikowanych licencji może oznaczać totalny paraliż.

– Im większe znaczenie informatyki w przedsiębiorstwie, tym wyższe koszty oprogramowania. Co za tym idzie, wzrasta ryzyko niewłaściwego zarządzania licencjami – mówi Paweł Marciniak, dyrektor zarządzający IPR-Insights Polska.

Problemem, który występuje praktycznie we wszystkich firmach, niezależnie od ich wielkości, są licencje typu OEM. W tym przypadku najczęstszym powodem rozbieżności wykazywanych podczas audytów jest niezrozumienie warunków licencjonowania. Dlatego użytkownik powinien zrezygnować z kontroli na własną rękę i skorzystać z usług wyspecjalizowanych firm. Ważne, aby audytorem został integrator, którego pracownicy dobrze orientują się w zasadach licencjonowania oprogramowania konkretnego producenta.

– Ponadto priorytetowym zadaniem firmy jest wyznaczenie kompetentnej osoby, która będzie odpowiadała za realizację procesu SAM. Odpowiednie formuły licencjonowania (np. chmura, licencje grupowe) mogą z kolei bardzo pomóc zoptymalizować zarządzanie właściwym wykorzystaniem oprogramowania oraz zminimalizować ryzyko wystąpienia nieautoryzowanego software’u – twierdzi Sebastian Strzech.

Nagła zmiana sposobu licencjonowania…

Wykorzystanie wiedzy i rozwiązań profesjonalnej firmy audytorskiej może okazać się konieczne w przypadku wprowadzania przez vendorów nagłych zmian w sposobach licencjonowania własnych produktów.

Przykładem może być opublikowana na początku września 2015 r. przez firmę Oracle informacja o nowej licencji baz danych: Data Base Standard Edition Two. Zastąpi ona dotychczasowe licencje Standard Edition One i Standard Edition. Obie „stare” wersje mają być w sprzedaży do 30 listopada 2015 r., a ich wsparcie techniczne jest przewidziane do sierpnia 2016. Zdaniem ekspertów takie działanie sugeruje, że Oracle nie będzie już przywiązywał dużej wagi do segmentu małych i średnich firm.

– Może to oznaczać, że firma liczy się z utratą obecnych klientów, posiadających licencję Standard Edition. Wprowadzenie nowej licencji, wraz z jej ograniczeniami, spowoduje, że klienci będą musieli skupić się na licencji Enterprise Edition albo… zrezygnować z produktów Oracle’a – prognozuje Janusz Krzyczkowski, Sales Manager IPR-Insights.

Usługi audytorskie obiecującym rynkiem dla resellerów?

Czy popyt na usługi audytorskie oznacza jednocześnie szansę na poszerzenie oferty przez firmy z kanału dystrybucyjnego? Wśród ekspertów przeważa pogląd, że audyt w formie usługi może być oferowany przede wszystkim przez wyspecjalizowanych integratorów.

Paweł Marciniak

dyrektor zarządzający, IPR-Insights

Problemem w Polsce nie jest nielegalne oprogramowanie, lecz błędy wynikające z nieznajomości typowych komplikacji występujących na styku konfiguracji oprogramowania i jego licencjonowania. Im bardziej skomplikowane środowisko, tym większe ryzyko błędu. Paradoksalnie, im dłużej dane środowisko działa w firmie, tym większe ryzyko, że ze względu na wielokrotne aktualizacje znajdują się w nim błędne instalacje. Część dostawców „zaszyło” w oprogramowaniu mechanizmy kontroli. Nieautoryzowane uruchomienie bądź instalacja danej aplikacji automatycznie generuje fakturę dla użytkowników. Przykładem takich aplikacji jest oprogramowanie typu CAD i programy inżynierskie.

– Aby świadczyć usługi SAM, trzeba zdobyć wiedzę z zakresu architektury IT, księgowości, budowy procedur i, co najważniejsze, licencjonowania. Przy czym każdy ze specjalistów powinien mieć odpowiednie doświadczenie – uważa Paweł Marciniak.

Za wejściem resellerów na rynek usług SAM przemawia pojawianie się nowoczesnych rozwiązań w modelu SaaS. Przykładem jest wprowadzona do obrotu handlowego przez Log System usługa „Legalność Oprogramowania”. Firma oferuje partnerom usługę, która nie absorbuje zasobów systemowych audytowanego przedsiębiorstwa ani czasu, nie wymaga instalacji serwerów, zatrudniania specjalistów od baz danych ani wdrożenia w firmie zaawansowanych technologii informatycznych. Świadczona jest w ramach abonamentu opłacanego co miesiąc.

– Nasze oprogramowanie zbiera dane z każdego komputera klienta i przesyła administratorowi gotowe, przeanalizowane wyniki. Stworzyliśmy model skuteczny i tani dla klienta, a także stanowiący źródło przychodów dla resellera – zapewnia Grzegorz Filarowski.

Dwie strony medalu

Można zaryzykować twierdzenie, że rynek licencji oprogramowania ma dwa oblicza. Z jednej strony funkcjonuje na nim bardzo aktywny nielegalny kanał wtórnego obiegu licencji, „zasilany” podróbkami z Chin, którego istnienie jest możliwe z powodu całkowicie beztroskiego podejścia wielu przedsiębiorców do umów licencyjnych. Z drugiej strony za nielegalny obrót i kradzież oprogramowania grożą kary.

Firmy lekceważące przepisy mogą ponieść poważne konsekwencje, takie jak utrata ważnych dla ich rozwoju danych i surowe sankcje finansowe. Kierownictwu grozi odpowiedzialność karna, przedsiębiorstwu – utrata wizerunku solidnego, uczciwego podmiotu. Wykorzystanie samowolnie instalowanego, ściągniętego z Internetu oprogramowania, może również prowadzić do przejęcia kontroli nad sprzętem w wyniku zainfekowania komputera złośliwym lub szpiegowskim oprogramowaniem. Warto więc już dziś zwrócić na to uwagę klientów i zachęcić ich do przeprowadzenia audytu…

Artykuł Audyt poproszę pochodzi z serwisu CRN.

Artykuł LOG Systems: w 2011 r. wzrośnie rynek audytu oprogramowania pochodzi z serwisu CRN.