Это может быть по разным причинам, например, аудит лицензий на программное обеспечение не всегда начинается как «аудит». Аудиты часто возникают в результате «дружеской беседы» между ИТ-администратором, ответственным за конкретную технологию, и представителем поставщика программного обеспечения. Зачастую это хорошо обученный эксперт по лицензиям или сторонний аудитор. Клиенту предлагается принять участие в «добровольной» проверке соответствия, которая также выявляет пробелы в лицензировании и в области неправомерного использования.
Читайте статью «Топ-5 вещей об управлении программными активами, о которых должен помнить каждый ИТ‑руководитель»
Если вашу компанию пригласят на аудит, воспользуйтесь этим кратким контрольным списком, что точно поможет вам избежать многих рисков:
1. Не игнорируйте запрос на аудит
Никогда не игнорируйте аудиторское письмо. Оно никуда не денется, и рано или поздно к вам придут. Подтвердите получение и начните подготовку к процессу аудита.
Если вы будете откладывать с аудитом или сознательно затягивать его, вендор может воспользоваться своим правом правообладателя и обратиться уже не с предложением, а требованием провести лицензионную сверку. В этом случае будут использованы более жесткие меры, а вы окажетесь в более слабой позиции.
2. Привлеките руководство и юриста
Немедленно сообщите своему руководству и юристу о получении письма-уведомления о проведении аудита. ИТ-персонал должен проверить информацию, прежде чем отправлять ее обратно вендору программного обеспечения.
Вам также следует проинформировать ваши дочерние компании, прежде чем приступить к аудиту. Помните, что письма о проведении аудита не всегда доходят до нужных людей. Оно может начаться где-то в цепочке ИТ-поддержки и достичь высшего руководства или менеджера SAM только после того, как процесс аудита уже идет полным ходом. Обсуждайте такие случаи со своими ИТ-командами, чтобы они знали, как реагировать.
В вашей цепочке процессов управления ИТ-активами должно быть место для реагирования на аудиты и тем более должны быть процедуры подготовки к нему.
Если вы начнете разбираться с запросами аудиторов в тот момент, когда они придут к вам, в условиях ограниченного времени ваша позиция будет очень слаба, а риски того, что аудиторы найдут какие-то несоответствия — значительны.
3. Относитесь к аудиту как к проекту
Выделите необходимое время, ресурсы и внутреннего менеджера проекта. Некоторым вендорам может потребоваться очень подробная информация об установке/настройке, включающая длинные опросники, инструкции по сбору данных с помощью скриптов и бесчисленных последующих писем с просьбой о дальнейших разъяснениях.
Если не уделить аудиту должного внимания и ресурсов, возможен исход, когда аудитор, не получив от вас полной и достоверной информации, посчитает это место пустым, а лицензии отсутствующими, определит это как несоответствие и назначит соответствующую меру не в вашу пользу.
4. Проверьте свое соответствие
Чтобы предотвратить проблемы с соблюдением требований, будьте на шаг впереди аудиторов, выполняя собственную внутреннюю проверку соответствия. Обязательно перепроверяйте все данные и ответы, прежде чем отправлять их аудиторам.
Если вы следуете рекомендациям Software Asset Management и выстраиваете процессы управления ПО последовательно, обладаете необходимыми инструментами, которые позволяют вам получать оперативную и достоверную информацию о том, что у вас установлено в инфраструктуре и сверять эти данные с закупленными лицензиями, вы всегда будете находиться в сильной позиции при любой проверке.
Читайте статью «Как экономить на лицензиях ПО с помощью инструмента USU SAM?»
5. Заморозьте все покупки лицензии
Не покупайте новые лицензии, это может быть воспринято как «паническая» закупка и не учтено в вашем окончательном отчете о соблюдении требований. Подходы к расчету результатов аудита различаются в зависимости от поставщика и региона. Некоторые вендоры игнорируют любые новые покупки, сделанные после даты получения аудиторского письма. В результате вам придется заплатить дважды за лицензии, приобретенные «в последнюю минуту».
6. Внимательно изучите контракты на программное обеспечение и всю сопроводительную документацию
Найдите все контракты, чтобы убедиться, что вы понимаете объем контракта, включая любые региональные или аффилированные ограничения компании. Ознакомьтесь с разрешенным использованием программного обеспечения и применимыми показателями лицензирования. Некоторые поставщики программного обеспечения скрывают новые изменения мелким шрифтом или ссылками в ваших документах о покупке.
Если в вашей ИТ-команде есть сильные лицензионные специалисты или вы обладаете соответствующим инструментом, который помогает вам оптимизировать расходы на лицензии, вы можете отстаивать свои позиции и вести переговоры с аудитором на равных.
7. Обеспечьте эффективное управление коммуникацией с аудиторскими группами
Правильно управляйте общением между вашим внутренним персоналом и внешними аудиторами. Предоставляйте только то, что запрашивается, и убедитесь, что это соответствует протоколам безопасности вашей организации. Обязательно учитывайте NDA.
Стоит открыто общаться с аудиторами, чтобы они видели, что вы настроены на взаимодействие и не пытаетесь что-то скрыть. Но при этом ваша позиция должна быть твердой и уверенной, чтобы аудитор понимал, что вы обладаете всеми необходимыми данными об установленном ПО и можете отстоять свои права.
8. Обеспечьте соблюдение безопасности
Убедитесь, что информация, предоставляемая сторонним лицам, не нарушает протоколы безопасности вашей организации. Консультируйтесь с вашим специалистом по ИТ-безопасности. Также обращайте внимание на NDA. Своевременно решайте любые потенциальные юридические риски.
9. Подтверждайте выводы аудитора после собственной проверки
Всегда дважды проверяйте отчеты и аналитику, которые вы получаете от аудиторов. Некоторые отчеты могут выглядеть и звучать очень сложно. Не стесняйтесь спрашивать более подробную информацию о методологии расчета или оспаривать полученные результаты. Иногда аудиторы допускают ошибки или предположения, когда не располагают полной информацией.
Помните: вы являетесь экспертом в своей собственной среде! Вы имеете право оспаривать расхождения в расчетах или факты, которые, по вашему мнению, искажаются.
10. Помните о разных намерениях
Помните, что в интересах аудитора не оптимизировать вашу лицензионную позицию, а найти недостающие лицензии.
Именно для этого необходимо обладать точной и достоверной информацией о своем комплаенсе. Расчет лицензионного соответствия не бывает один к одному. Как правило, вы можете применить разные схемы и подходы к назначению или повторному использованию лицензий, чтобы значительно снизить свои расходы на ПО. Для вас это важно, для аудитора — нет.
Смотрите запись вебинара «Что такое SAM? Явные и скрытые преимущества автоматизации SAM»
11. Используйте аудит с максимальной пользой
Используйте предстоящие продления, крупные покупки или конец квартала или финансового года, чтобы занять более сильную позицию на переговорах во время аудита соответствия программного обеспечения.
Даже когда аудитор выявил какие-то несоответствия при наличии правильной аргументации есть возможность договориться с вендором, как вы будете их устранять, чтобы это было для вас максимально удобно и выгодно.
12. После завершения аудита не теряйте свой опыт
Подумайте, чему вы научились во время этого аудита. Используйте это как возможность еще лучше подготовиться к неизбежному в следующий раз:
- Обновите свою ИТ-политику и стратегию управления программными активами
- Примените те же знания для управления лицензиями других поставщиков
- Оптимизируйте ведение документации всех предоставленных данных и результатов аудита