"U bent geselecteerd voor een willekeurig geassisteerde licentie audit."
Een variant van een zin die veel van onze klanten de afgelopen jaren hebben ontvangen. Deze ‘vriendelijke’ vorm van het aankondigen van een review kan als ongevaarlijk worden geïnterpreteerd, zonder noemenswaardige impact op de business. Houd uzelf echter niet voor de gek, want dit is slechts een van de vele manieren waarop softwareleveranciers hun audit aankondigingen verhullen.
Organisaties hebben de neiging om de zakelijke impact van een audit te onderschatten en zien dit vaak als onderdeel van de 'organische' taken van het ITAM-team, waarbij ze vergeten dat er ook tijd had kunnen worden besteed aan optimalisatie en andere waardetoevoegende activiteiten. Ter herinnering: een typische audit in een bedrijf met 1.000 werknemers kan gemakkelijk 2.000 uur van verschillende belanghebbenden binnen uw organisatie van begin tot einde bezig houden.
Gezien de zakelijke impact is het voor uw organisatie van cruciaal belang om een proces te hebben om softwarelicentie audits af te handelen - en bij voorkeur om ze te voorkomen. Vereenvoudigd moet het auditproces uit de volgende vijf fasen bestaan:
De aankondiging (the announcement) kan in zijn vele vormen op verschillende manieren de organisatie binnensijpelen. Het is essentieel dat deze aankondigingen hun weg vinden naar het ITAM-team of toegewezen MKB. Er moet een protocol zijn dat verbiedt te reageren op de aankondiging voorafgaand aan de due diligence van het ITAM-team.
Zodra de legitimiteit van de audit is vastgesteld en u in gesprek bent met de leverancier over auditrichtlijnen, voorwaarden en reikwijdte voordat u naar de rapportagefase gaat. Is een eigen verklaring mogelijk of gebruikt de verkoper een derderd partij accountant? Wie haalt de benodigde gegevens eruit en hoe? Op locatie of op afstand?
Afhankelijk van de overeengekomen methode voor gegevensextractie, moet uw organisatie mogelijk leveranciersinventarisscripts uitvoeren. Deze scripts kunnen sommige server-/apparaatinstellingen wijzigen, dus zorg ervoor dat u goedkeuring krijgt van uw bestuur en IT-beveiligingskantoor. De verzamelde gegevens en gerapporteerde positie moeten door uw organisatie worden gevalideerd samen met de leverancier/auditor. Hoe moeten de gegevens worden geïnterpreteerd? Wie heeft toegang tot de verschillende omgevingen? Zijn er nalevingsproblemen?
Bij incompliance kan uw organisatie voor een aantal uitdagingen komen te staan. Aan de ene kant zou u kunnen worden gevraagd om uw overmatige implementatie te verwijderen zonder verdere gevolgen, maar aan de andere kant kunt u een aanzienlijke boete krijgen, laat staan de weerslag van slechte publiciteit. Wanneer een leverancier financiële compensatie zoekt voor de niet-naleving, kan het nuttig zijn om de verschillende beschikbare opties te onderzoeken. U kunt uw licentierechten aanvullen met een premie, uw contract voortijdig verlengen of u committeren aan het nieuwste aanbod dat door de leverancier is gepusht. In uw afrekening en afsluiting met de leverancier is het belangrijk om een aantal afspraken te maken, denk bijvoorbeeld aan sanering, transitie en/of audit cooldown periode.
Ten slotte moet de audit intern worden geëvalueerd en afgesloten. Wat zijn de geleerde lessen? Waar is de incompliance ontstaan? Welke processen zijn aan herziening toe? En natuurlijk, hoe kan het ITAM-team in de toekomst waarde toevoegen?