Ești pregătit pentru un audit Microsoft?

Procesul de auditare al licenţierii , în general, este prezentat de către vendori ca un ajutor pentru companii, în vederea verificării nivelului de complianţa software, însă în rândul clienţilor această terminologie poartă o conotaţie negativă deoarece este asociată cu un control.

Conform rapoartelor Gartner, numarul auditurilor este intr-o crestere accelerată, fiind folosite de catre marii producători de software, atât în scopul obţinerii de venituri, cât şi în stoparea pirateriei software, iar in ultimii ani companiile din Romania nu au fost ocolite de catre acestia.
In aceste rapoarte se fac o serie de recomandări către persoanele care ocupă poziţii de CIO sau administratori IT, in cadrul companiilor private, îndemnând pe aceştia să investească în procese, instrumente şi soluţii de Software Asset Management (SAM) pentru a menţine în mod proactiv respectarea condiţiilor şi termenelor prevăzute în contractele de licenţiere.

Aş adauga ca şi recomandare, îmbunătăţirea comunicarii şi operaţiunilor care se realizeaza între departamentele IT şi cele de achiziţii - esenţială fiind existenţa unei proceduri prin care sa fie urmărit pachetul software din momentul achiziţiei (înregistrarea în evidenţele contabile ) şi până la scoaterea din uz (casare/ decomisionare).
La fel de important este să se cunoască modul de achiziţie al unei licenţe (tipul de licenţiere), punerea în uz (instalarea), drepturile de tranziţie ale acesteia pe diferite device-uri, precum şi managementul documentelor (fiscale, juridice) ce o însoţesc.

Modificarea frecventă a licenţierii, coroborată cu lipsa unui instrument de management şi control al licenţelor, expun compania dumneavoastra la un risc financiar major în cazul unui audit din partea vendorilor.

În următoarele rânduri voi sumariza câteva informaţii importante despre auditul din partea Microsoft:

1. Cele mai comune criterii privind selectarea companiilor ce vor fi auditate:

  • fuziuni de companii
 În general, atunci când se realizează achiziţii, asimilări sau fuziuni între companii, se omite transferul licentelelor între entiati, şi/sau nu se fac achiziţii suficiente pentru ca nouă formă juridică să fie la un nivel bun de compliance din punct de vedere al licenţierii software.
  •  istoricul achiziţiilor corelat cu datele anuale declarate către Instituţiile de finanţe publice
 În acest criteriu, se încadrează companiile care au încheiat un Contract de licenţiere în Volum şi ulterior acestuia (în ultimii ani), nu au efectuat un număr suficient de achiziţii, în concordanţă cu evoluţia economică a companiei: creşterea numărului de angajaţi, creşterea cifrei de afaceri etc.

  •  auditarea companiilor în paralel şi de către alţi vendori
 În cele mai multe situaţii, companiile care au în desfăşurare proces de audit realizat de către un vendor, ajung şi în "atenţia" Microsoft, respectiv a celorlalţi mari producători de software.

  • contracte de licenţiere în derulare
 Dacă se realizează creşteri semnificative ale numărului de angajaţi, sau asimilări de alte companii pe durata contractului activ, însă la declararea rapoartelor anuale (true-up), nu există o creştere a numărului de licenţe corelată cu numărul de angajaţi, atunci este posibil că această să fie o situaţie de non-compliance.
  •    contracte de licenţiere ce nu beneficiază de reînnoire
 Prin acest criteriu, sunt "vizate" companiile care după încetarea perioadei de valabilitate a contractului de licenţiere în volum, nu îşi manifestă intenţia de reînnoire a acestuia sau nu există intenţia de încheiere a unui alt tip de contract în volum.
  •   schimbarea modului de licenţiere
 Exemplu: Un mare impact l-a avut, schimbarea licenţierii pentru produsele Microsoft SQLServer. Odată cu lansarea versiunii 2014, o mare parte din companiile care aveau contracte în volum active, au beneficiat de upgrade la această versiune, însă,  în acelaşi timp au ajuns într-un scenariu de non-compliance.

Audit, Audit software, Compliance, Licentiere, Microsoft, Software Asset Management, SAM,

2. Tipuri de audit Microsoft:

Self Audit - este cel mai "indulgent" tip de audit. Prin aceasta procedura, companiile auditate trebuie sa realizeze un "inventar" al licentelor utilizate in infrastructura propie, ca apoi rezultatele sa fie livrate catre Microsoft. Aceste informatii vor fi comparate cu istoricul achizitiilor pentru a se verifica daca sunt discrepante intre numarul de licente utilizate versus cele achizitionate.

Microsoft Software Asset Management Engagement - este un audit de tip proactiv, ce poate fi realizat voluntar de catre companii. Microsoft recomanda clientilor realizarea unui proiect (audit intern), cu ajutorul unui partener specializat in licentiere si Software Asset Management (SAM).

Partenerul va pune la dispozitia clientilor Microsoft, atat specialisti tehnici care sa realizeze colectarea datelor privind utilizarea pachetelor software, cat si specialisti in licentiere pentru o interpretare de specialitate a modului in care sunt utilizate acestea.

In urma unui astfel de audit intern,  companiile primesc un raport cu situatia actuala a utilizarii licentelor, recomandari pentru optimizare, precum si ajutor in implementarea unor proceduri interne de management si control al licentierii.
Costurile unui Microsoft SAM engagement sunt suportate in totalitate de catre Microsoft.

Legal Contracts and Compliance (LCC) Audit - este cel mai "costisitor" audit.

Aceste audituri se realizeaza prin intermediul unui auditor autorizat, care va actiona in interesul producatorului de software.

Auditorul este imputernicit legal de catre Microsoft:

- sa colecteze date din infrastructura companiilor despre configuratiile hardware ale device-urilor, despre pachetele software Microsoft instalate pe fiecare device (servere, lapotpuri, desktopuri, tablete, telefoane) si despre utilizatorii (angajatii, colaboratorii) care utilizeaza device-urile, respectiv software-ul Microsoft.
- sa verifice documentele ce reprezinta dovezi de licentiere, 
- sa efectueze control on-site la sediul companiilor,
- si sa furnizeze catre Microsoft, un raport care sa contina rezultatele verificarii licentierii.

La finalul procesului, daca auditorul a identificat utilizarea unor produse software fara licenta, companiile sunt obligate sa achite catre Microsoft, costurile asociate pentru efectuarea auditului, si de asemena sa achizitioneze licentele lipsa cu o penalizare de 25% fata de pretul contractat.


Audit Microsoft, Audit software, Compliance, Licentiere, Microsoft, Software Asset Management, SAM,


3. Etapele unui Audit Microsoft

A. Kickoff meeting

În prima faza, reprezentanţii auditorului angajat de către Microsoft (PriceWaterhouseCoopers, Deloitte, KPMG sau Ernst & Young) vor programa o întâlnire (de obicei conference call) pentru a prezenţa companiei auditate etapele şi timeline-ul proiectului.

BData collection

Compania auditată va colecta o serie de informaţii despre infrastructură IT, ce vor fi prezentate auditorului:
  •  Confirguratiile hardware ale device-urilor
  •  Aplicaţiile Microsoft instalate pe fiecare device
  •  Utilizatorii care accesează device-urile şi aplicaţiile Microsoft
  • Documentele ce reprezintă dovezile de licenţiere software


C. Onsite visit

În această etapă, reprezentanţii auditorului vor face o vizită la sediul companiei auditate, pentru a verifica şi valida acurateţea informaţiilor prezentate anterior, eventual colectarea unor date adiţionale.

D.  Draft Report

Pe baza informaţiilor adunate în cadrul etapei numărul 2, respectiv al vizitei onsite, auditorul va pregăti un raport comparativ: aplicaţii Microsoft instalate versus aplicaţii Microsoft achiziţionate.
Acest raport va fi transmis companiei auditate pentru a identifica eventualele erori sau discrepanţe.

E. 3 Way Exit meeting

În cadrul etapei finale, se stabileşte un call cu toate părţile implicate în procesul de auditare: reprezentanţii auditorului, rezprentantii companiei auditate şi reprezentanţii Microsoft.
Auditorii vor expune rezultatele finale şi vor răspunde la eventualele întrebări cu privire la raport.

După finalizarea acestui ultim pas, auditorul îşi încheie activitatea, urmând că stabilirea termenilor finali (comerciali) să fie negociaţi între Microsoft şi client.


4. Intrebari frecvente


 Microsoft deţine autoritatea legală să auditeze companiile private?

Conform conditiilor cuprinse in sectiunea “Verifying Compliance”, din contractul de licentiere “The Microsoft Business and Services (MBSA)”, Microsoft detine drepturile legale de a angaja un auditor autorizat, care sa realizeze verificarea utilizarii aplicatiilor software in infrastructura IT a clientilor.
Mentiune: Majoritatea contractelor de licentiere de volum sunt sub incidenta conditiilor cuprinse in MBSA.

Pot refuza companiile procesul de auditare Microsoft?

Companiile care refuză auditarea, încalcă termenii contractuali prevăzuţi în MBSA.
În acest caz, Microsoft poate rezilia contractul/ contractele de licenţiere şi clienţii trebuie să dezinstaleze toate aplicaţiile şi/ sau vor fi acţionaţi în instanţa pentru încălcarea drepturilor de autor.

Există vreun risc în furnizarea informaţiilor cerute de către auditor/ Microsoft?

Odata cu selectarea companiei dumneavoastra pentru un astfel de proces, apar si o serie de intrebari:

“Pot refuza procesul de auditare Microsoft?”
“Nu-mi cunosc situatia actuala a licentierii, pot amana sau intarzia acest audit?”
“Cum ar trebui sa raspundem la scrisoarea de instiintare primita din partea Microsoft?”
“Cine trebuie implicat intr-un astfel de proces si ce responsabilitati trebuie sa aiba?”
“Exista vreun risc in furnizarea informatiilor solicitate de catre auditor?” 
“Auditorul doreste rularea unor scripturi in infrastructura mea informatica. Sunt obligat sa-i permit accesul?”
“Noi nu detinem experienta in licentiere si audit. Cum putem verifica daca auditorul analizeaza in mod corespunzator scenariul nostru de licentiere?”
“Daca auditorul identifica licente utilizate necorespunzator, sunt pasibil de amenda? Care sunt costurile?”

Auditul Microsoft este un proces complex cu scenarii variabile, ce necesita experienta in domeniul tehnic, licentiere si in cadrul legislativ. Pentru combaterea cu succes a unui astfel de audit este recomandat sa cereti ajutorul unui consultant/partener specializat în consultanţă audit Microsoft.

Aceşti parteneri sunt familiarizaţi cu modul de lucru al auditorilor software, au experţi în licenţiere, experţi tehnici şi departament juridic specializat pe drepturile de autor.
Cu ajutorul acestora, puteti obtine ajutor pe perioada proiectului, o interpretare realistă şi corectă a rezultatelor auditorului şi un cost saving substanţial.

Cea mai buna protectie impotriva auditarii o reprezinta implementarea in companie a unui sistem complet de management al activelor software (SAM) - solutia tehnica si serviciile asociate, pentru mentinerea permanenta a compliantei software.

Autor : Catalin Iancu

Acest articol a fost publicat si in Revista IT Trends (Ianuarie 2016).