A raíz de mi artículo la semana pasada la exploración de los distintos resultados logrados por una organización frente a una auditoría de proveedores, este artículo intenta explicar la mejor manera de hacer frente a una auditoría inminente.
Esta es una versión abreviada de un artículo publicado por ManageSoft, que están organizando un seminario con IAITAM el 28 de mayo. Más detalles se pueden encontrar aquí.
1. Revisar el contrato para entender los términos y condiciones de auditoría
- • Condiciones de uso: Lea los términos y condiciones para establecer si el editor de software de hecho tiene el derecho de auditar la actividad en el primer lugar. Comprender los términos y condiciones de incumplimiento
• La exposición sanción pecuniaria: Determine si hay posibles sanciones económicas. Algunos proveedores de imponer sanciones y / o cobrar el coste de la auditoría para el cliente si el incumplimiento supere un determinado porcentaje del coste total de la licencia. El incumplimiento es muy rara vez por el diseño, pero aún representa una potencial responsabilidad. Conocer las consecuencias pueden facultar a una empresa a tomar medidas correctivas inmediatas.
• Resultado deseado: Crear una lista clara de los objetivos clave de la auditoría. Si el objetivo de auditoría es establecer una "posición de licencia efectiva", a continuación, información sobre las instalaciones de software debe ser comparado con los datos el derecho de licencia para todas las aplicaciones en cuestión. Los datos a ser recolectados pueden incluir inventario de hardware y software, los usuarios, orden de compra y el contrato de la información.
• RECURSOS NECESARIOS: Antes de cualquier auditoría, vale la pena preguntarse exactamente cómo el editor de la auditoría se llevará a cabo y qué nivel de asistencia se requiere por los auditores. Auditorías de software empresarial del personal puede consumir muchos meses de tiempo durante el cual el departamento de TI recoge los datos solicitados.
2. Asegúrese de que el inventario de software y hardware está al día
- • IT Asset Visibility: Los editores de software las empresas de auditoría para asegurarse de que el software está siendo utilizado dentro de sus términos de licencia y está debidamente pagado. Esto significa que los departamentos de TI deben tener una visión completa de sus bienes de TI, incluyendo el hardware, para determinar cómo los activos de software se está utilizando y si están de acuerdo.
• IT ASSET PRECISIÓN: Para asegurarse de que el inventario de software es correcta y está actualizada, la huella digital de cada instalación de la aplicación, que incluye pruebas de Archivo, Agregar o quitar programas y WMI (instalador) de datos, debe ser analizado y una lista del software adecuado títulos generados por cada máquina.
3. Preparar prueba de compra y acuerdos de licencia de lista para la inspección
- • Derecho: Antes de una auditoría, los departamentos de TI deben garantizar que todos sus papeles están en orden, grabado y de fácil acceso como las facturas pagadas, recibos de las compras, acuerdos de licencias y certificados - Registros especialmente suave de las compras de los distribuidores y editores. Esta prueba de derecho de licencia es crítica para el proceso de reconciliación.
4. Demostrar que las normas de concesión de licencias se entienden y aplican
- • Reconocer LICENCIA DE MODELOS: Una posición de licencia de proveedor requiere mucho más que una mera comparación de las compras y las instalaciones. Los departamentos de TI deben ser capaces de demostrar que los tipos de licencia, por ejemplo, el dispositivo basado en el nombre de usuario, basada en procesadores o de usuarios concurrentes, se entiende en relación con el entorno informático, como máquinas virtuales, máquinas multi-procesador, las comunidades de usuarios y ubicaciones físicas. Por ejemplo, los administradores de bases de datos Oracle debe ser capaz de demostrar que comprender y satisfacer las por procesador mínimo de Named User Plus (NUP) licencias.
• DERECHOS DE USO DE ENTENDIMIENTO: Demostración de que tanto los derechos de utilización, así como las limitaciones de uso son comprendidas y aplicadas a través de la IT patrimonio será infundir confianza del auditor en la empresa. Por ejemplo, el departamento de TI debe ser capaz de demostrar que los derechos de actualización y los derechos de segundo uso se aplican correctamente. Del mismo modo, el departamento de TI debe demostrar que las restricciones de licencia de uso - por ejemplo, se respetan los límites en el número de instancias virtuales por servidor host físico -.
5. Explique cuáles son las políticas de SAM y los procedimientos están en su lugar
- • SISTEMAS DE SAM: Las empresas deben mostrar documentado políticas y procedimientos corporativos para los activos de software y gestión de licencias. Estos podrían incluir hardware frecuentes y los inventarios de software, compras centralizadas, las conciliaciones de licencia periódico (mensual, trimestral, etc), descarga de software y procesos de instalación, los programas de educación de los empleados y auditorías internas.
• FIN educación de los usuarios: la falta de ella la comunicación política a los empleados y el control del usuario final y el control son descuidos común por parte de los departamentos de TI. Por otra parte, al educar a los empleados sobre lo que "podrá" y "no podrá" instalar, central que puede impedir las instalaciones pícaro, que a menudo ponen en peligro el estado de las empresas el cumplimiento.
• SAM Fire Drill: Una buena manera de superar las violaciones de licencia involuntario para llevar a cabo auditorías regulares internos de TI. Esto no sólo asegura que la empresa siempre está "preparado para la auditoría", sino que también refuerza la importancia de adherirse a la política de TI a los empleados.
6. No quite el software de computadoras, no empiece a ir de compras
- • Extracción de EVIDENCIA: A menudo, cuando los departamentos de TI encuentran que están fuera de cumplimiento, una reacción automática es eliminar inmediatamente el software instalado en los ordenadores, justo antes de una auditoría. Sin embargo, el software es fácil de eliminar trazada por empresas de auditoría, lo que los sospechosos, lo que conduce a un examen complementario. En su lugar, anticipándose a esta situación es la mejor opción.
• Cubrirá hasta alternativa, en sus esfuerzos para ser compatible justo antes de una auditoría, los departamentos de TI a menudo hacen las compras de software que necesitan. Sin embargo, cabe señalar que las compras sólo antes de la fecha de notificación de la auditoría son considerados por los auditores. Por lo tanto, las decisiones de compra apresurada es mejor evitar.
7. Automatizar la gestión de activos de software
- • prevenir para no lamentar: el cumplimiento de licencias de software es complejo, y esta complejidad sólo aumentará a medida que las infraestructuras de TI más complejas tales como la virtualización y la computación nube de afianzarse. Manual de gestión de gestión de activos de software y el cumplimiento es una pérdida de tiempo y ardua tarea, montado con los costos y riesgos. En general, por el momento una evaluación manual de la posición de licencia de una empresa puede obtener, ya es obsoleto. Los departamentos de TI deben buscar a adoptar herramientas que automatizan estos procesos para garantizar el cumplimiento continuo de licencia.
Si desea agregar algún otro consejo para la elaboración de una auditoría de proveedores de software, por favor utilice el campo de comentarios a continuación o póngase en contacto conmigo en privado en las descripciones (a) itassetmanagement.net.
Crédito de la foto
comments… read them below or add one } (3 comentarios ... leer a continuación o añadir una)
Cuando la realización de inventario de software de tener cuidado con las herramientas que generan resultados positivos falsos, y también las herramientas que se basan en Agregar o quitar programas de las áreas y el Registro. Los datos generados por el registro y tanto la de agregar o quitar las zonas a menudo es incompleta e inexacta por lo que necesita para asegurarse de que los inventarios de crear precisa de lo que realmente está instalado en un sistema.
Puedo apreciar el valor de este artículo, pero no estoy de acuerdo con varios puntos.
Un licenciante no sólo el derecho sino la obligación de proteger sus intereses de propiedad en y para la propiedad intelectual que licencia.
Es igualmente importante señalar que los licenciatarios deben tener control sobre:
➢ la adhesión de la auditoría a las políticas y procedimientos corporativos
➢ la expulsión de un auditor no conformes
➢ la duración de la auditoría de
➢ el momento de la auditoría (por ejemplo, nunca en el barrio / fin de año)
➢ las calificaciones y la relación (al vendedor) del auditor
➢ lo que el auditor se le permite el acceso
➢ la forma en que se concede el acceso (por ejemplo, acompañado en todo momento por la administración titular o un miembro del personal, nunca a distancia)
➢ ¿Quién paga los resultados de la auditoría (bueno o malo)
➢ ¿Qué porcentaje de uso excesivo podría ser objeto de sanciones
➢ el período de gracia antes de que se evalúan las sanciones
➢ solución de controversias derivadas de una "mala" de resultado
Podría ir a una explicación de cada viñeta anterior, pero que llevaría demasiado espacio para un comentario y será de carácter consultivo. Cada concesionario tiene unas condiciones únicas y limitaciones (por ejemplo, algunas empresas más pequeñas pueden no tener una política corporativa y manual de procedimientos que han de facilitar al auditor del licenciante antes de una auditoría).
Creo que cualquier organización o sometidos a punto de someterse a una auditoría de proveedores debe tener en cuenta, que a menos que algunos términos se han acordado de antemano, no hay una buena probabilidad de que las sanciones e incluso el coste de llevar a cabo la auditoría podrán ser sufragados por ellos.
Con esto dicho, debe quedar claro a sus lectores que nunca es demasiado tarde para modificar los contratos existentes para incluir los términos de auditoría y las condiciones que establezcan claramente los derechos de ambas partes. Insto encarecidamente a que lo hagan ya que tanto la demanda y la oferta del mercado se está sintiendo las presiones de nuestros tiempos económicos actuales. Olvídese de establecer una bandera o despertar sospechas por la que se modifica el acuerdo de licencia. Sus lectores deben asumir que sus proveedores son siempre sospechosos de uso excesivo. Es por eso que tienen acuerdos de licencia incomprensible. Mi consejo es usar un perito independiente en este ámbito - de preferencia a un tercero que no tiene ningún interés en la venta de más productos que crearía un conflicto de intereses. Una parte neutral, que es reconocido por agentes de la industria como un experto tendría la presión de la licencia y hacer hincapié en el compromiso del licenciatario de la licencia y el cumplimiento del acuerdo por escrito con su vendedor o cedente. Este proceso es un movimiento activo en la dirección correcta, destinados a mitigar los riesgos y reducir los gastos.
Además, uno de sus lectores hizo un comentario muy válido e importante sobre las herramientas utilizadas para llevar a cabo una auditoría. A pesar de la advertencia se refería a una auditoría interna, las herramientas utilizadas por el vendedor / licenciante también debe ser revisado y estudiado por cualquier defecto conocido como el resultado podría dar lugar a pagos excesivos por el licenciatario.
Buena suerte a todos!
Son grandes observaciones adicionales.
La aclaración clave quiero añadir es que las auditorías de proveedores pueden clasificarse en dos categorías;
Categoría A; auditoría hostil en respuesta a una mala señal interna y de un empleado descontento
Categoría B, una "expedición de pesca", basada en "es tu turno para ser auditadas", basada en su programa de auditoría aleatoria
Dependiendo de qué tipo de auditoría que se determinará si, y que ninguna de las estrategias señaladas en el artículo (y los comentarios hasta ahora) se pueden implementar y desplegar para ser eficaz.
Dejando a la vez de una auditoría inminente (que no es la sugerencia hecha por el artículo) es demasiado tarde, pero esta obviedad sangrando!
Dicho esto, muchos lo deje demasiado tarde, y después tratar de correr para aplicar algunas de las estrategias señaladas, y falla estrepitosamente!
Muchas de las multas y los asentamientos se hicieron evaluaciones arbitrarias (ponderado a favor del vendedor) en lugar de los hechos cuenta con todas y en algunos casos hemos visto casos en que las organizaciones han sido sancionados por una preparación deficiente. Tienen "pagado" para sacarlos de las instalaciones, debido a la duración y las molestias causadas!
Regla de oro sobre la base de lo que hemos visto ha sido en esta industria (anti-piratería de asesoramiento) desde 1991, precisa el coste de una auditoría completa / fino / transacción y la licencia de verdad en marcha, más el costo de personal, honorarios de abogados, la reconciliación, etc en alrededor de 3 a 4 veces (en algunos casos superior) el valor del software bajo licencia-.
Si el vendedor es la auditoría que en "Categoría A" se puede hacer esto con su propio asesor legal y / o uso de un instrumento jurídico como el medio para ganar la entrada a los locales (una orden Anton Pillar) y tiene un máximo de una hora para que su abogado le asisten.
Bajo este tipo de instrumento jurídico (Anton Pillar) pueden embargar bienes y sacarlos de sus instalaciones, lo que puede hacer que gran parte de su defensa inútil. Esto significa que en este caso muchos de los pasos que se indican en el artículo no son capaces de desplegarse en el momento o justo antes del momento de la auditoría. En este caso, el licenciatario no puede controlar la situación o el momento de la auditoría, es decir, desaparece es fin de año / fin de trimestre.
El mejor consejo que podemos dar es estar bien preparado, con suficiente antelación con un buen mantenimiento y la gestión de SAM buen fin de minimizar el riesgo de la situación de auditoría. Un buen programa SAM y el régimen de ayuda a identificar si usted tiene más aplicaciones de la licencia (se paga más de lo que realmente se necesita), en cuyo caso se puede compensar el coste de funcionamiento de un programa SAM eficaz contra el costo de la licencia de guardado.
Nosotros no vendemos soluciones SAM (pero le recomendamos que para nuestros clientes) - Ofrecemos herramientas de auditoría independiente de los auditores.