Software Audit
Ankündigung. Vorbereitung. Durchführung.
Eine Vielzahl von Softwareprodukten, die für den IT-Betrieb erforderlich sind, bringen entsprechend diverse Lizenzmodelle und -Metriken mit sich. Je komplexer der Hersteller seine Nutzungsbedingungen „definiert“, umso häufiger werden von den Herstellern Audits initiert, um die Einhaltung der Lizenzkonformität zu überprüfen.
Benötigen Sie Unterstützung?
Benötigen Sie weitere Informationen?
Die Herausforderungen.
Es gilt, die für den anstehenden Audit erforderlichen Nutzungsdaten über die eingesetzten Softwareprodukte und Technologien bereitzustellen. Ohne ein SAM-Tool kann das aber im heutigen IT-Betrieb kaum noch ausreichend transparent sichergestellt werden. Insofern ist das Risikomanagement für die im Einsatz befindlichen Softwareprodukte oft nicht auf einen Software Audit ausgerichtet. Jetzt gilt es, die mit großer Wahrscheinlichkeit anstehenden Lizenznachkäufe in einen vertretbaren Rahmen zu halten.
Sind haben bereits das Schreiben vom Hersteller erhalten?
Erst einmal wichtig: Ruhe bewahren.
Das Schreiben vom Hersteller liegt so oder ähnlich lautend beim Kunden vor:
RE: Complianceprüfung von Software Services, die im Rahmen des „Hersteller“ Agreement bereitgestellt werden: U1234567, U4745799; einschließlich, aber nicht beschränkt auf alle Lizenzvereinbarungen für den Zeitraum vom 10. Juni 20xx bis zum Ende des letzten Berichtsmonats vor dem Datum der Überprüfung.
Üblicherweise werden die folgenden Schritte zum Auditablauf genannt:
- Es muss eine Kontaktperson benannt und innerhalb einer Woche an die prüfende Wirtschaftsgesellschaft übermittelt werden.
- Ein erster Kick-off Termin mit dem Prüfenden stimmt die erforderlichen Prüftermine und die bereitzustellenden Informationen und Unterlagen ab.
- Der Kunden muss nun die benötigten Informationen und Aufzeichnungen zusammen- und (bis zwei Wochen vor der Inspektion) bereitstellen.
- Der Prüfende führt die Prüfprozesse durch, oft auch mit Präsenzterminen vor Ort.
- Nach der Prüfung erfolgt eine Besprechung der vorläufigen Ergebnisse bzw. des erstellten Prüfberichts mit dem verantwortlich Prüfenden.
- Der Kunde kann/sollte jetzt innerhalb von 10 Tagen, mit eventuell relevanten Unterlagen auf die vorgelegten Prüfergebnisse reagieren.
- Die vorgetragenen Einwände werden geprüft und in den vorläufig abschließenden Prüfbericht eingearbeitet.
- Wurde ein Konsens gefunden, wird der Prüfbericht an den Hersteller übermittelt.
- Der Hersteller arrangiert bei Bedarf eine Vergleichsbesprechung, um die (meistens) nachzulizenzierenden Mengen zu verhandeln.
Wie geht es weiter?
Wieviel Audit Defense ist möglich?
Den Audit können Sie nicht verhindern, eventuell aber den Start des Prüfungsbeginns steuern, um etwas mehr Zeit zu erhalten.
- Kontrollieren Sie das Schreiben, ob Prüfungsgegenstand, -Zeitraum und -Umfang stimmen.
- Prüfen Sie, ob die beauftragte Wirtschaftsprüfungsgesellschaft nicht eventuell bereits bei Ihnen im Unternehmen zu anderen Themen agiert, denn wenn dem so ist, muss eine anderer Prüfer vom Hersteller beauftragt werden. (Oft sind hier Deloitte und KPMG die Hauptakteure bei den Herstelleraudits, aber auch bei den Unternehmen als Wirtschaftsprüfer unterwegs).
- Erfordert der Prüfungsgegenstand Besichtigungen bzw. Stichproben auf DSGVO relevanten Systemen oder vielleicht auch auf Systemen mit erhöhten Sicherheitslevel?
Dann sollten Sie die Prüfpersonen bitten, hierfür entsprechende Nachweise bzw. Einstufungen vorzulegen, dass könnte etwas Zeitaufschub bedeuten bis diese Unterlagen vorliegen. - Klären Sie mit den am Audit zu Beteiligenden Fachbereichen und Rollen ab, in wie weit der Audit den operativen Betrieb beeinträchtigen könnte und welche Auswirkungen damit verbunden sind. Ggf. mit den Prüfenden andere Prüfprozesse oder Vorgehensweisen abstimmen.
Das ist nur ein Auszug von Aspekten, die einen möglichen zeitlichen Beginn etwas „strecken“ könnten, um sich intern mit den erforderlichen Beteiligten für den anstehenden Audit ausreichend vorbereiten zu können.
Empfehlung:
Zögern Sie aber bitte den angesetzten Prüfungsbeginn nicht unendlich hinaus. Ich hatte mal eine Kundensituation, wo der angesetzte Auditstart fast zwei Jahre „verzögert“ wurde. Die Konsequenz: Der Hersteller hat dann die üblicherweise 3-Jahres Betrachtung und Nachzahlung auf 5-Jahre erweitert (war rechtlich sauber laut den AGBs). Hier hat man sich also mit einer übermäßigen Verzögerungstaktik letztendlich keinen Gefallen getan und der „erkämpfte“ Zeitraum wurde dann auch nicht so genutzt, dass den Prüfungen mit entsprechend transparenten Daten begegnet werden konnte.
Ganz wichtig
Mit einer transparenten und qualitativ guten Datenlage (technisch, kaufmännisch, lizenzrechtlich) des angeforderten Prüfungsgegenstandes, können Sie dem Audit relativ entspannt angehen. Sollten Sie noch kein SAM-Tool im Einsatz haben, kann auch hier mit einem temporär einzusetzenden SAM-Tool (bspw. Snow Spend Auditor) kurzftristig eine relativ umfangreiche Datenerhebung und Analyse, etwas mehr Licht in den Lizenzdschungel bringen. Wenn es Ihre Unternehmensprozesse und die zu beteiligenden Fachbereiche (Datenschutz, Gremien, Sicherheit) und -Abläufe erlauben, kann das relativ zügig (innerhalb weniger Tage) und unkompliziert umgesetzt werden.
Wie ein Audit ablaufen wird.
1. Planung
Erstbesprechung:
- Prüfungsinhalte und Betrachtungsumfang,
- Klärung: Beteiligte Rollen und Verantwortlichkeiten,
- Bereitstellung von Fragebogen bzw. möglichen Skripten,
- Besprechung der Vorgehensweisen zur Datenerhebung,
- Klärung/Abstimmung ob Lizenzmobilität angewendet wird,
- Abstimmung Projekt- und Zeitplanung.
2. Datenerhebung
Sammlung von:
- Vollumfängliche Datenerhebung des Betrachtungs- und Zeitumfangs,
- Historienaufarbeitung für die Ermittlung des Lizenzbedarfs,
- Ermittlung der aktiven Hard- und Softwaredaten über SAM-Tool oder über die bereitgestellten Skripte,
- Informationen und Dokumente zur Ermittlung von Anforderungen bzgl. Lizenzmobiliät und deren Umsetzung in der IT-Umgebung.
Zwei Wochen
Vier Wochen
3. Datenauswertung
Basierend auf den übermittelten Daten:
- Auswertung durch Prüfer zur Erstellung einer Übersicht der IT-Umgebung und damit bedingter Lizenzbedarfe,
- Darauf basierend Auswertung der Historiendaten zur Ermittlung des Lizenzbedarfs von Basis- / Upgradelizenzen,
- Ermittlung möglicher Daten von Userzugriffen, wenn aufgrund der Lizenzmodelle mit einzubeziehen,
- ggf. Überprüfung von Lizenzmobiliäts-Dokumenten und deren Umsetzung in der IT-Umgebung.
4. Prüfbericht
Basierend auf den übermittelten Daten:
- Prüfer stellen eine erste Version des Prüfberichtes dem Kunden vor,
- Kunde hat (meistens wird ein längerer Zeitraum eingeräumt) fünf Werktage Zeit, um den Prüfbericht zu lesen, zu bewerten und wenn erforderlich (meistens) mit eigenen Kommentaren zu versehen,
- Weitere gemeinsame Abstimmung mit dem Prüfer, wo auf die Kommentare bzw. Einwände des Kunden eingegangen wird, eventuelle erforderliche Korrekturen werden besprochen und wenn berechtigt, in eine abgestimmte Version des Prüfberichtes eingearbeitet.
Drei Wochen
Zwei Wochen
5. Auditabschluss
Basierend auf den übermittelten Daten:
- Die verantwortlich Prüfenden führen mit dem Kunden und dem Hersteller ein
gemeinsames Abschlussgespräch durch, um etwaige Besonderheiten im Prüfungsbericht und wie diese zu bewerten sind, vorzustellen und zu erläutern, - Der Hersteller bespricht mit dem Kunden mögliche Lösungsalternativen, um die erforderliche Lizenzkonformität wieder zu erreichen.
Eine Woche
Der hier beschriebene Zeitablauf, ist meistens nur eine Richtschnur sowohl für die durchführende Wirtschaftsprüfungsgesellschaft, als auch auf Seiten des Kunden, der geprüft wird. Die Zeitachsen werden sich schon allein aus Gründen von Ressourcenverfügbarkeit der Beteiligten, Urlauben, technischen Problemen oder Erfordernissen u.v.w.m. verschieben. Selten konnte ein solch ambitionierter Zeitplan pünklich abgeschlossen werden. Richten Sie sich also gerne auf ein paar Wochen mehr ein, bevor solch ein Audit abgeschlossen werden kann.
Lesson Learned
IT- und Verfahrensbetrieb, Prozesse, Risikomanagement
Anpassung von Strategien, Konzepten, Prozessen, SAM-Tool?
Nach dem Audit ist vor dem Audit. Bauen Sie auf den erworbenen »Lesson Learned« Erfahrungen auf und nutzen Sie die gewonnenen Erkenntnisse dazu, die erforderlichen Strategien, Prozesse, Konzepte und Verfahrensweisen zur Bedarfsanforderung, der Beschaffung und Bereitstellung von Softwareprodukten im Unternehmen, auf einen höheren Reifegrad zu bringen, damit Sie im nächsten Auditfall auf transparente und effektiv genutzte Softwareassetdaten aufbauen können. Parallel können Sie so auch das Risikomanagement für Softwareprodukte optimieren.
So können wir Sie unterstützen.
Auditbegleitung
Wir begleiten und unterstützen Sie in Form von fachlicher Beratung bei der Vorbereitung und Durchführung des Audits mit unserem Best Practise Wissen.
Snow Spend Auditor implementieren
Gerne helfen wir Ihnen, mit einer temporären Installation und Inbetriebnahme des Snow Spend Auditors, um für den Audit transparente Daten und Compliance Berichte zu erhalten.
Nach dem Audit können wir Sie mit weiteren Dienstleistungen unterstützen, die »Lesson Learned« Themen im Unternehmen umzusetzen bzw. zu optimieren. Eventuell ist ja auch unser Software Compliance Service für Sie von Interesse.
Software Compliance Service
Prozessgestützte umfassende
Optimierung von Softwarelizenzen.
Hohe ermittelbare Software Compliance
für mehr Auditsicherheit.
Signifikante Einsparungen gegenüber bisherigem Ressourcenaufwand.
Transparent. Optimiert. Punktgenau.
