Het zwaard van Damocles – hoe voorkom je stress en problemen bij software audits?

Software audits zijn als beveiligingsincidenten. Iedereen krijgt ermee te maken. Het overkomt je. En leuk is het nooit. Collega’s moeten zich voorbereiden op een audit die veel tijd en energie vraagt onder hoge tijdsdruk. En het is niet ongebruikelijk dat foutieve of incorrecte licenties aanzienlijke extra kosten met zich meebrengen. Maar veel erger nog: het niet doorstaan van een software audit kan behoorlijke impact hebben. En schaadt de reputatie van je IT. Men ziet het als een teken van slecht management.

De auditor belt: wat nu?

Wanneer een externe auditor van een softwarefabrikant een audit aankondigt, is het niet ongebruikelijk dat er paniek ontstaat. Werken we wel volledig in overeenstemming met de licenties? Hebben we al het bewijs dat nodig is voor onze licentie-inventaris? Is onze licentiebalans correct en zijn onze licentieprocessen juist? Externe auditors eisen vaak van bedrijven dat ze binnen 30 dagen uitgebreide informatie kunnen leveren.

Uit interviews met bedrijven die meerdere audits hebben doorstaan, blijkt dat onderstaande procedures effectief zijn.

1. Creëer een ‘Audit Response Team’

Bedrijven die het risico lopen om regelmatig geauditeerd te worden, moeten processen en verantwoordelijkheden vastleggen die exact de werkwijze beschrijven – en de stappen die gezet moeten worden – na het ontvangen van een audit notificatie. Het is de moeite om een zogenaamd ‘Audit Response Team’ in het leven te roepen dat het contact met de externe auditor afhandelt.

2. Creëer een strategie

Dit begint met wat waarschijnlijk de belangrijkste vraag is: Zou de audit voorkomen moeten worden? Of moet het bedrijf een meer samenwerkende strategie volgen om er zo snel mogelijk vanaf te zijn? Een andere optie is om van tevoren in het contract met de fabrikant te laten opnemen hoe de software audits uitgevoerd worden. Dit is vooral handig als je meer tijd wil besteden aan de voorbereiding op een audit.

3. Creëer een overzicht met contracten en verplichtingen

Wat is er precies ondertekend en onder welke voorwaarden? Heeft de producent specifieke audit clausules? Welke algemene en afdwingbare voorwaarden zijn er opgenomen? Is er een raamovereenkomst met individuele clausules? Of zijn contractuele straffen voor schending al schriftelijk vastgelegd? Het moet duidelijk zijn binnen het bedrijf wat de verplichtingen en rechten zijn. Audit clausules opgenomen in een GTC zijn alleen toegestaan als ze in lijn zijn met de copyright wetgeving en rekening houden met accountgegevens en geheimhouding daarvan.

4. Check de audit-uitnodiging woord voor woord – het is het waard!

Over het algemeen wordt geadviseerd om de audit-uitnodiging woord voor woord door te nemen. Wie is de afzender? Wat wil hij auditen? Als er sprake is van contractuele rechten, moeten die schriftelijk uitgelegd worden. Vaak bevat de uitnodiging alleen consulting services die afgewezen kunnen worden om meer tijd te winnen.

Preventie in plaats van opnieuw licenties aanschaffen

Het heeft de voorkeur om Software Asset Management te gebruiken om alle data, processen en contracten boven tafel te krijgen. De kritische aspecten van een software audit zijn meestal gegroepeerd in drie onderwerpen:

• Tekort aan managementprocessen met betrekking tot licenties
• Tekort aan gecentraliseerde, gestructureerde kennis over software assets, licentiemodellen en actueel softwaregebruik
• De complexiteit van licentievereisten

Om stress te voorkomen wordt aangeraden om binnen het gehele bedrijf een procesgeoriënteerd Software Asset Management te introduceren in 5 stappen.

1. Definieer doelen

Wil ik ‘’alleen’’ reactief in lijn zijn met de licentiewetgeving of wil ik proactief mijn softwareportfolio vormgeven? Met een reactieve benadering blijft het proces steeds hetzelfde; voor elke audit begint het opruimen en tellen helemaal opnieuw.

2. Definieer en installeer relevante SAM-processen

Dit omvat een compleet overzicht van de licentie-inventaris, de definitie van het licentiemanagementproces en de integratie naar een verandermanagementproces. Het laatste is vooral van belang om duidelijk te maken wie bevoegd is om software te selecteren en kosten toe te staan. Deze procedure is de basis voor gestandaardiseerde workflows.

3. Implementeer een Software Asset Management tool

Deze projectfase omvat het tot stand brengen van verbindingen met alle relevante technische databases zoals inventaris, CMDB, licentiestatistieken en het opzetten van mechanismen om datakwaliteit te borgen.

4. Licentiemanagement via een openingsbalans

Dit omvat het evalueren van bestaande contracten en licentievoorwaarden. Naast het opzetten van software-ondersteunde workflows voor automatische vergelijking. En voor licentieconsolidatie met een specifiek product of specifieke leverancier.

5. Lopende projecten

Deze eindfase dient als startpunt voor continue serviceverbetering zoals aangeraden door het ITIL-raamwerk. Ook functioneert het als uitgangspunt voor het uitbreiden van nieuwe processen en workflows met additionele softwareproducten en softwareleveranciers.

Het is essentieel voor een succesvolle duurzame implementatie om deze verandering als een taak voor het volledige bedrijf te zien. Gebeurt dit niet, dan loopt het project vast op een bepaald punt. Gebruik het boekhoudsysteem als richtlijn. Centrale boekhouding voor juridische rapportage aan investeerders en de Belastingdienst is immers erg belangrijk. Licentiemanagement is eigenlijk niet anders. Het is in feite de boekhouding voor je IT. En ook dat is een belangrijk onderdeel van je bedrijfsvoering.

Torsten Boch – Senior Product Manager Matrix42