Beheer

IT beheer
Controle

Zo overleeft u een software-audit

Niet-voorbereid zijn op een controle door uw softwareleverancier is geen optie.

Achtergrond
© CC0 - Pixabay,  geralt
21 februari 2014

Het wordt geen gezelligheidsbezoek, als uw leverancier komt controleren of u voor het gebruik van zijn software wel betaalt waar hij recht op heeft. Inventarisatietools zijn een noodzakelijke voorwaarde voor het succesvol doorstaan van een audit. Maar een plan­matige voorbereiding nog voordat u een aanzegging in de bus krijgt, is minstens zo belangrijk.

57 procent van de organisaties die de afgelopen twee jaar een soft­wareaudit meemaakten, kreeg een naheffing van zijn leverancier. Dat bleek onlangs uit een onderzoek van Express Metrix naar software-audits. En de bedragen waar het bij die naheffingen om ging, waren vaak niet misselijk. 15 procent kreeg een naheffing onder de 50.000 dollar, 24 procent tussen de 50.000 en 250.00 dollar, en de rest zat daar (soms ver) boven.

Maar ook als de software naar de letter van de licentievoorwaarden gebruikt blijkt te worden en een naheffing dus achterwege blijft, heeft een audit repercussies voor de betrokkenen. Vooral het tijdsbeslag wordt door de respondenten als ‘uitdagend’ ervaren. Men is er in de regel ook geruime tijd zoet mee. Bij 45 procent van de bedrijven duurde het onderzoek langer dan twee maanden. Een software-audit is, met andere woorden, een ingrijpende gebeurtenis met potentieel grote financiële consequenties.

Gartner-analist Jo An Rosenberger zou die conclusie volmondig onderschrijven. “Een audit lijkt op een wervelwind, ook wat de potentiële schade betreft. En het is niet de vraag of u een audit krijgt, maar wanneer. Niet voorbereid zijn is dus geen optie”, zei Rosenberger tijdens een presentatie van het C9-model dat Gartner ontwikkelde als leidraad voor het verminderen van de risico’s van audits door leveranciers. Van de klanten van Gartner heeft bijvoorbeeld 62 procent de laatste jaren een audit meegemaakt.

 

Het begint met inventariseren

Voorbereid zijn op een software-audit betekent om te beginnen weten wat u aan software in huis heeft en welke regels daarvoor gelden. Software asset management moet nauwgezet uitgevoerd worden. Dat betekent per product alle gegevens van de software en de functionaliteit vastleggen, maar ook het helder vastleggen wat de gebruiksrechten en –beperkingen, toegestane verwerkingen, toegangsrechten e.d. zijn. Dat laatste vindt Gartner zo belangrijk, dat het er een aparte stap van heeft gemaakt: het ophelderen van dubbelzinnigheden en misvattingen in het contract. Wat is een gebruiker in de visie van de leverancier? Een persoon, een apparaat? Hoe telt de leverancier processors? Per socket, per kern, met een eigen metriek? Wat is toegang eigenlijk, is dat overal ter wereld, mogen ook filialen de software gebruiken, mag ingehuurde derden toegang verleend worden?

Dat impliceert dat voorbereiding op een audit eigenlijk al eerder dient te beginnen: tijdens de aanschaf. Iedere term in een softwarecontract moet nauwkeurig gewogen worden tegen het beoogde gebruik, met een schuin oog naar de toekomst, en met in het achterhoofd dat iedere leverancier zijn eigen interpretatie aan termen kan geven. “Indirect access kan in SAP’s voorwaarden slaan op sensoren in een apparaat in het Internet of Things!”, noemt Rosenberg als voorbeeld. Wat tijdens een audit vervelende verrassingen kan opleveren voor bedrijven die zich daar niet van bewust zijn.

Een ander waarschuwing van praktijken waarmee men onbedoeld in de problemen kan raken – ook met betrekking tot SAP-licenties, wat echter niet wil zeggen dat dit soort situaties alleen bij SAP speelt – kwam anderhalf jaar terug van UpperEdge. Feitelijk verbieden SAP’s licentievoorwaarden namelijk het inlezen van gegevens die in zijn ERP-systeem zijn vastgelegd, door een niet door SAP geleverde applicatie als daarvoor geen aparte licentie is aangeschaft. Het verwerken van verkoopgegevens uit SAP’s ERP-systeem in een Excel-spreadsheet kan dus zomaar een overtreding van de licentievoorwaarden zijn. Nauwkeurig formuleren en bij het contract vastleggen van voorbeelden van wat wel en niet is toegestaan, kan veel problemen op dit vlak voorkomen.

Bij aanschaf van software moet men er ook op letten of de gebruiksvoorwaarden in het contract opgenomen zijn, of dat de leverancier verwijst naar zijn website. “Houd er rekening mee dat leveranciers die verwijzen naar voorwaarden op internet, die voorwaarden makkelijk kunnen wijzigen zonder dat u daar erg in heeft”, waarschuwt Rosenberger. “Print op het web gepubliceerde voorwaarden daarom, en hecht de uitdraai aan het contract. Probeer daarbij te bedingen dat geen eenzijdige wijzigingen mogelijk zijn. En probeer anders met een eventuele wederverkoper contractueel vast te leggen, dat die als onderdeel van de overeenkomst eens per maand doorgeeft of er wijzigingen zijn opgetreden in de licentievoorwaarden.”

Het is volgens Rosenberg ook aan te raden om heel specifiek vast te leggen, hoe de leverancier bij een eventuele audit zal tellen, en daarvan praktijkvoorbeelden te vragen; zelf moeten bedrijven dan met de contracten en de voorbeelden in de hand liefst eens per kwartaal inventariseren of het gebruik dat ze van de software maken nog in overeenstemming is met de gesloten licenties.

 

Team moet klaarstaan

Maar voorbereid zijn op een audit is meer dan de contracten goed op orde hebben en goed begrijpen, stelt Rosenberger. Voorbereid zijn betekent ook dat uw organisatie meteen in actie kan komen wanneer de aanzegging van een software-audit van één van uw leveranciers op de deurmat dwarrelt. En dat kan alleen wanneer duidelijk vastgelegd is en aan de betrokkenen gecommuniceerd is, welke medewerkers betrokken zijn bij een eventuele audit, vanaf de functionarissen die op de hoogte moeten worden gehouden tot en met de personen die verantwoordelijk zijn voor het traject. Met het samenstellen van zo’n team hoeft men niet te wachten totdat het verzoek tot een audit een feit is; het is zelfs niet wenselijk om daarop te wachten. Datzelfde geldt voor het vooraf vastleggen van het procesverloop, en het testen of de stappen verlopen zoals gedacht.

Van cruciaal belang bij het inrichten van het proces is, te voorkomen dat de audit van start gaat voordat aan een aantal voorwaarden is voldaan, adviseert Rosenberger. Een eerste belangrijke stap daarbij – na het informeren van betrokkenen dat een audit is aangezegd en het nalezen van de contractbepalingen – is het opstellen van een Non-Disclosure Agreement; het is namelijk heel goed mogelijk dat een software-audit tot situaties leidt waarin de wettelijke bepalingen of regels van toezichthouders rond vertrouwelijkheid van gegevens of privacy van klanten in het geding komen. Voordat men ook maar een medewerker of vertegenwoordiger van een softwareleverancier binnenlaat, moet men met de leveranciers contractueel vastleggen hoe daarmee om te gaan en welke beperkingen dat op kan leggen aan de manier van auditen, stelt Rosenberger.

 

Vooraf gegevens leverancier opvragen

Het is ook zaak van tevoren bij de leverancier die een audit wil houden op te vragen, welke gegevens hij van u heeft; zo kunt u die gegevens vergelijken met de eigen gegevens. Dat vormt vervolgens de basis van een overeenkomst waarin reikwijdte en methodologie van de audit worden vastgelegd. “Dat geeft niet alleen duidelijkheid, dat voorkomt ook dat de leverancier gaat zitten vissen. Een leverancier moet van tevoren duidelijk aangeven, wat hij wil controleren”, zegt Rosenberger.

Als onderdeel van de voorbereidingen op een audit moet de software gebruikende organisatie zich ook al beraden op de documenten die aan het eind van de audit getekend moeten worden, en liefst ook voorbeelden klaar hebben liggen van dergelijke documenten. Een belangrijk element daarbij is dat de leverancier aangeeft – eventueel nadat een geconstateerde overtreding rechtgetrokken is middels een naheffing – dat het gebruik op dat moment in overeenstemming met zijn licentievoorwaarden is. En er moet natuurlijk een plan liggen, hoe men na afloop lering trekt uit de ervaringen met een software-audit, en hoe men die ervaringen zodanig vastlegt dat de organisatie daar bij een volgende audit wat aan heeft, aldus Rosenberger.

Audit-proof in 9 stappen

Gartner heeft een leidraad in 9 stappen ontwikkeld ter voorbereiding van een mogelijke – of beter waarschijnlijke – audit door een softwareleverancier. In het Engels levert dat een model op dat als C9 kan worden aangeduid:

  • Construct team
  • Create audit process
  • Customize contracts
  • Communicate audit policy
  • Control your audit and your auditor
  • Capture form the start
  • Clarify in contract
  • Count the right data
  • Change management

Daarbij richten stappen 1 t/m 5 zich expliciet op de audit; stappen 6 t/m 9 moeten waarborgen dat organisaties bij zo’n audit ook goed beslagen ten ijs komen.

Pas op met de cloud

Cloud computing maakt geen einde aan de zorgen rond naleving van softwarelicenties. Integendeel, het levert nieuwe punten van zorg op. Die waarschuwing uit de Business Software Alliance, die uit naam van de software-industrie voorlicht én waakt over correcte naleving van contracten. De BSA waarschuwt niet alleen omdat software asset management-software niet zonder meer implementaties in de cloud kan registreren. Een nog groter risico ligt besloten in de eenvoud waarmee organisatie-onderdelen een computersysteem met software kunnen huren. Die eenvoud vergroot de kans dat door zo’n actie inbreuk gemaakt wordt op licentie-overeenkomsten zonder dat de IT-afdeling of andere verantwoordelijken daar erg in hebben.

Los daarvan moeten organisaties zich goed realiseren dat naar de cloud verhuizen van gelicentieerde software die ze in huis hebben draaien, hen niet automatisch ontslaat van de verplichtingen tegenover hun softwareleverancier(s) en hen al evenmin ontheft van hun aansprakelijkheid bij overtreding van de licentievoorwaarden.

Wanneer een computerdienstverlener de software beschikbaar stelt als onderdeel van een huurovereenkomst, zijn klanten ook niet automatisch gevrijwaard van aansprakelijkheid voor overtreding van licentiebepalingen. Als de dienstverlener zijn zaakjes niet op orde heeft, loopt zijn klant het risico door de softwareleverancier aansprakelijk gesteld te worden als partij die het voordeel geniet van de overtreding. Zelfs als de klant dat risico in het contract met zijn dienstverlener heeft afgedekt, ontkomt hij in de regel niet aan de aansprakelijkheidstelling. Zo’n clausule biedt hem alleen de kans om – ongetwijfeld na het nodige juridische geharrewar – de naheffing te verhalen op zijn dienstverlener.

De BSA heeft de consequenties van cloud computing voor het beheer van software op een rijtje gezet in de white paper ‘NAVIGATING THE CLOUD Why Software Asset Management Is More Important Than Ever’. Deze is te downloaden op de webpagina: http://portal.bsa.org/samcloud/bsasamcloud.pdf

Asset Management-tools niet zaligmakend

Onafhankelijke cijfers over het verloop van software audits zijn schaars. Wat dat betreft vormt het onderzoek van Express Metrix een welkome aanvulling. Daarbij past wel de kanttekening dat het inzicht niet geheel belangeloos is verworven: Express Metrix levert IT Asset Management-software.

Express Metrix ondervroeg 178 respondenten uit Noord-Amerikaanse organisaties met ten minste 500 medewerkers. Die respondenten zijn via e-mail geworven uit een willekeurige lijst IT-verantwoordelijken. Deze wijze van werven van respondenten zet een vraagteken bij de representativiteit. En bovendien hoeven Noord-Amerikaanse ervaringen niet overeen te komen met Nederlandse. De cijfers zijn daarom niet een-op-een te vertalen naar de Nederlandse situatie.

Dat neemt niet weg dat de bevindingen van waarde kunnen zijn. Opmerkelijk is bijvoorbeeld de constatering dat de mogelijkheid om software goed te administreren niet genoemd wordt bij de belangrijkste problemen om licentieovereenkomsten naar de letter na te komen. Op de eerste plaats komt de onbegrijpelijkheid van licentieovereenkomsten; 55 procent klaagt daarover. 50 procent worstelt met de complexiteit van de IT-omgeving, en 40 procent heeft problemen om overeenstemming te vinden tussen wat geïnstalleerd is en wat gebruikt wordt.

Bring Your Own Device en virtualisatie blijken - anders dan vaak verondersteld - niet als complicerende factor gevoeld te worden. Het streven om te voorkomen dat licentievoorwaarden worden overtreden, wordt in de eerste plaats bemoeilijkt door de omvang van de softwareportfolio. Ook de omvang van de organisatie verergert het probleem.

Opmerkelijk is ook dat IT Asset Management-software geen panacee blijkt. Zo’n 45 procent van de organisaties die de afgelopen twee jaar geaudit is, kwalificeert zijn ITAM-oplossing als ‘erg effectief’. Bijna 50 procent kwalificeert hun tool als enigszins effectief. En 5 procent had helemaal niets aan zijn ITAM-oplossing, toen er eenmaal een audit plaatsvond.

IT Asset Management-software lijkt overigens wel de kans dat een organisatie uitverkoren wordt voor een audit iets te verlagen. 53 procent van de organisaties had de afgelopen twee jaar een audit meegemaakt. Bij de bedrijven zonder ITAM-oplossing lag dat percentage op 68, bij bedrijven met ITAM-oplossing op 46. “Waarschijnlijk weten leveranciers inmiddels welke klanten een ITAM-oplossing gebruiken, en denken ze dat die hun zaakjes om die reden beter op orde hebben”, poneert Express Metrix als mogelijke verklaring.

Express Metrix heeft het onderzoek gepubliceerd op zijn website, http://www.expressmetrix.com/pdf/software-audit-report.pdf

Het biedt ook een gratis versie van zijn ‘software license compliance solution’ voor gebruik op servers met maximaal 1000 aangesloten werkplekken; wellicht vanuit de gedachte dat dat naar meer smaakt. Zie: http://www.expressmetrix.com/free-software-inventory-tool/
Wie opdat aanbod in wil gaan, doet er goed aan de waarschuwing van Garterns Jo An Rosenberger in de oren te knopen: Print de gebruiksvoorwaarden!

Vraag door!

Hoe makkelijk je door gebrekkige communicatie in de problemen kan komen, heeft ingenieursbureau Tauw Groep aan den lijve ondervonden na een audit door IBM.

KPMG constateerde bij een inspectie in opdracht van IBM in november 2010 dat Tauw Groep slechts de helft van de licenties had afgenomen die nodig waren voor zijn implementatie van Websphere Portal Express. De overtreding was ontstaan doordat Tauw Groep bij een upgrade van de Websphere-software, waarbij het zich liet ondersteunen door Imtech, in eigen beheer ook een virtualisatie van zijn server doorvoerde. Daarbij had het de IBM-software overgezet van een server met één processor op een virtuele machine op een server met twee processors. En dat maakt bij IBM verschil. De hoogte van de licentievergoeding van serverproducten wordt bij IBM namelijk bepaald door het totaal aantal processorkernen in de server die de toepassing in kwestie kan adresseren – onafhankelijk van de vraag of dat ook daadwerkelijk gebeurt.

Tauw Groep vond dat Imtech hiervoor had moeten waarschuwen. Als reden voerde het ingenieursbureau daarvoor aan dat het Imtech het beheer liet voeren over zijn IBM-licenties en Imtech ook had ingeschakeld om ondersteuning te bieden bij de upgrade van Websphere. En Tauw Groep had bovendien bij Imtech nagevraagd of het de server onder de bestaande licentieovereenkomsten mocht virtualiseren.

Dat laatste had Imtech bevestigd, maar toch kreeg Tauw Groep nul op het rekest toen het het conflict door de rechter liet beslechten. De reden: Tauw Groep had nagelaten om Imtech te melden dat in het kader van de upgrade de software verplaatst zou worden naar een server met twee processors. En in zijn verklaring van geen bezwaar tegen virtualisatie had Imtech – weliswaar enigszins cryptisch, maar volgens de rechter toch voldoende duidelijk – gesteld: ‘CPU idem als huidig; allen mogen virtueel uitgevoerd worden’. Om die reden draait Tauw Groep zelf op voor de naheffing van IBM ter grootte van 45.300 euro ex. BTW, en voor de proceskosten.

De wederwaardigheden van Tauw Groep illustreren nog eens hoe waardevol het advies van Gartners Jo An Rosenberger is, om helder te communiceren en door te blijven vragen, liefst aan de hand van voorbeelden. Want als Tauw Groep ooit met Imtech had doorgenomen wat de consequenties zouden zijn van een overstap naar een systeem met twee processors, had het ingenieursbureau zich een hoop geld en sores bespaard.
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Inloggen

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl
Registreren

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!