24. Sep. 2020

Leitfaden zur Audit-Verteidigung im Jahr 2020

Wie Sie sich gegen finanzielle Risiken schützen können.

Erinnern Sie sich an all die Tech-Konferenzen und -Messen, die Anfang des Jahres abgesagt wurden? Für Software-Anbieter bedeutete das Umsatzeinbußen im Wert von schätzungsweise einer Milliarde Dollar.

Das ist nur ein Beispiel dafür, wie viel Unternehmen in diesem Jahr an Einnahmen verloren haben. In den frühen Phasen der Pandemie wäre es inakzeptabel gewesen, Unternehmen zu auditieren, die mit Blockaden, Entlassungen und Arbeitsunterbrechungen zu kämpfen hatten. Jetzt, da wir in eine „neue Normalität" eintreten, ist zu erwarten, dass einige normale Praktiken zurückkehren werden, wie z.B. Software-Compliance-Audits.

Im Gegensatz zu Vertragsverlängerungen oder True-Ups liegen Software-Compliance-Audits nicht immer im Zeitplan. Sofern Sie keine anders lautende schriftliche Vereinbarung haben, können Anbieter jederzeit mit einem Audit beginnen. Das bedeutet, dass die Möglichkeit besteht, dass Sie in naher Zukunft mehrere Audits gleichzeitig verteidigen müssen.

Die Auswirkungen auf Ihr Unternehmen und Ihr IT-Budget liegen auf der Hand. Ein Audit kann sich wie ein Tornado anfühlen, der Zeit und Energie verschlingt und gestresste SAM-Manager hinterlässt. Mehrere sich überschneidende Software-Compliance-Audits werden sich in Ihrer Software Asset Management-Abteilung wie ein Supertornado anfühlen, der monatelang im Kreis dreht und immer mehr Arbeitsstunden und Ressourcen verschlingt. Dabei hört er nicht auf zu wachsen, sich zu drehen und hinterlässt nichts als Zerstörung.

Ein SAM-Programm ist für eine starke Audit-Verteidigung von entscheidender Bedeutung, da es im unvermeidlichen Fall eines Software-Compliance-Audits eine höchst effiziente Zeitersparnis darstellen kann. In den kommenden Monaten wird Ihre Audit-Verteidigung diese Effizienz benötigen, um stark, flexibel und wendig genug zu sein, um von einem Audit zum anderen zu wechseln.

Dies sind schwierige Zeiten, aber das bedeutet nicht, dass Audits auch schwierig sein müssen. Hier sind einige Grundsätze des Software-Asset-Managements, die Sie anwenden können und die Ihnen helfen werden, wenn Sie einem Auditansturm ausgesetzt sind.

People! Processes! Tools!

Die Reaktion auf ein Software-Compliance-Audit, während die Hälfte Ihres Unternehmens möglicherweise remote aus dem Homeoffice arbeitet, wird sehr mühsam sein. Beginnen Sie also mit der Vorbereitung auf ein Audit, noch bevor das Audit stattfindet.

Stellen Sie Ihr A-Team zusammen: Falls Sie es noch nicht getan haben, bilden Sie ein Audit-Reaktionsteam aus Mitarbeitern der IT-Abteilung, des Einkaufs, der Rechtsabteilung und allen anderen Beteiligten, die eventuell benötigt werden, wie z. B. Application Manager für bestimmte Software.

Bereiten Sie die Prozesse vor: Beginnen Sie mit der Zuweisung von Aufgaben innerhalb Ihres Audit-Teams, wie z.B. wer auf den Audit-Brief antwortet, wer der einzige Ansprechpartner für den Anbieter ist, wer die Produktkäufe bei diesem Anbieter einfriert, wer die Sicherheitsverfahren implementiert und so weiter.

Ziehen Sie ein SAM-Tool in Betracht: Für jeden Anbieter gibt es eine ganze Reihe von Lizenzmetriken, Produktnutzungsrechten und Berechtigungen - und eine Tabellenkalkulation wird Ihnen nicht sagen, was fehlt. Professionelle Software Asset Management-Tools konsolidieren und verarbeiten all diese wichtigen Audit-Daten, weisen auf Datenlücken hin und liefern Ihnen einen Compliance-Bericht. SAM-Tools verkürzen Ihre Audit-Antwortzeit um entscheidende Tage - sogar um Wochen - und verringern das Fehlerrisiko durch manuelle Tabellenkalkulation. Und mal ganz ehrlich, wer mag schon Tabellenkalkulationen?

Eine Weisheit unter Boxern besagt: „Train hard, fight easy". Dasselbe gilt für Software-Compliance-Audits. Wenn Sie jetzt mit der Vorbereitung beginnen, bevor der Tsunami der zahlungsunfähigen Anbieter anklopft, werden Sie schnell, korrekt und effizient reagieren.

Antrag auf Aufschub

Dies wird nicht immer der Fall sein, aber einige Anbieter können in einer Audit-Situation entgegenkommend sein. Wenn Sie um einen Aufschub bitten und diese beispiellosen, schwierigen Zeiten anführen, dann werden sie ihn vielleicht gewähren. Zum Beispiel versucht IBM oft, den Auditprozess für seine Kunden so zu gestalten, dass sie diese an sich binden können.

Bedenken Sie nur, dass dies kein Freibrief ist. Wenn Sie einen Aufschub erhalten, nutzen Sie diese Zeit, um an Ihrer Antwort auf das Audit zu arbeiten - entwickeln Sie die  Prozesse und Tools und Briefen Sie Mitarbeiter, um Ihre Compliance-Daten zu sammeln und effektiv zu reagieren, wenn diese Karenzzeit vorbei ist.

Durchführung eines internen Audits

Übung macht den Meister und das trifft auch auf die Verteidigung bei Audits zu. Lassen Sie uns Oracle als Beispiel nehmen.

Oracle hat einen großen Fußabdruck in der IT von vielen Unternehmen und den Ruf, ein aggressiver Auditor zu sein. Der Nachweis der Compliance bei Softwarelizenzen ist schwierig, insbesondere bei dem Flickenteppich von Verträgen, Vereinbarungen und unverbindlichen Richtlinien von Oracle.

Wenn ein Anbieter Sie als nicht compliant erachten möchte, gibt es viele Möglichkeiten, Verstöße gegen Lizenzbedingungen zu finden, und zwar möglicherweise an Orten, die in der Vergangenheit nicht häufig geprüft wurden. Um auf das Oracle-Beispiel zurückzukommen, könnte das Java SE sein.

Eine gut durchgeführte interne Revision kann Lücken wie kostspielige, nicht benötigte Java SE-Aktivierungen in Ihrer Compliance-Position finden, so dass Sie diese Schwachstellen in Ihrer Compliance-Panzerung verstärken können, bevor ein Auditor Sie darauf hinweist. Die Revision hat auch den zusätzlichen Vorteil, dass sie Bereiche identifiziert, in denen Ihr Unternehmen möglicherweise überlizenziert ist, und Ihrem Audit-Reaktionsteam wertvolle, kostensparende Daten für das nächste Audit liefert.

Software Audit Defense Guide

Bauen Sie mit unserem Leitfaden zur effektiven Audit-Vorbereitung Ihr eigenes starkes, flexibles und schnelles Audit-Reaktionssystem auf.

Jetzt lesen!

Definieren Sie Ihre Cloud-Strategie vor einem Audit

SAP, Oracle, Microsoft und alle anderen Softwareanbieter mit einem großen lokalen Anteil an Ihrer IT-Infrastruktur werden wirklich wollen, dass Sie ihre Cloud-Lösungen kaufen. Wenn Sie also während der Audit-Verhandlungen zusätzliche Lizenzen kaufen müssen oder mit Gebühren wegen Verstößen gegen Richtlinien konfrontiert werden, können Sie davon ausgehen, dass sie das Angebot ihrer Cloud-Abonnements ansprechen werden, vielleicht sogar mit einem Rabatt.

Viel zu viele Unternehmen springen auf diese Weise in die Cloud und werden an Abonnements gebunden, die sie nicht benötigen oder nicht vollständig nutzen werden, was zu einer zusätzlichen Belastung des IT-Budgets führt.

Benötigte Cloud-Lösungen können Sie dagegen mit gutem Gewissen erwerben, aber binden Sie das oben erwähnte Audit-Reaktionsteam ein. Es sollte jemanden aus dem Einkauf oder sogar jemanden aus dem Büro Ihres CIOs oder CTOs umfassen. Fragen Sie das Team nach dem strategischen Plan Ihres Unternehmens für den Übergang in die Cloud. Wenn ein Anbieter einige schicke Cloud-Lösungen anstelle von Gebühren für die Nichteinhaltung von Vorschriften anbietet, können Sie ein Gegenangebot auf der Grundlage der Cloud-Lösungen machen, die Ihr Unternehmen benötigt.

Dadurch wird aus einem möglicherweise schmerzhaften, frustrierenden Teil des Audits eine nicht erwartete Win-Win-Situation für alle, da Sie die benötigten Lizenzen kaufen und der Anbieter einen dringend benötigten Verkauf tätigt.

Ein Schlusswort: Machen Sie Ihre Hausaufgaben

Betrachten Sie Software-Compliance-Audits als ein Verkaufsinstrument und nicht als eine Erpressung. Das macht es zu einer Verhandlung, und wie bei jeder Verhandlung ist es wichtig, seine Hausaufgaben zu machen.

Die Entwicklung eines SAM-Programms mit den Mitarbeitern, Prozessen und vielleicht auch einem professionellen Software-Asset-Management-Tool ist nicht nur Teil der Hausaufgaben, sondern macht auch den Rest der Hausaufgaben für die Audit-Verteidigung weniger mühsam. Denken Sie daran: „Train hard, fight easy".

Diese Zeit ist schwierig für alle - für die Anbieter und ihre Kunden. Jeder steht unter dem Druck, Effizienz zu finden, sein Budget zu schützen und entgangene Einnahmen wieder hereinzuholen.

Wenn Sie mit einer genauen Compliance-Position in ein Softwarelizenz-Audit gehen, prompt reagieren und Ihre zukünftigen Anforderungen mitteilen, dann wird das Audit weniger schwierig sein und Sie haben bereits die Grundlage für ein faires Abkommen nach dem Audit gelegt.

Software Audit Defense Guide

Weitere Tipps von unseren Experten finden Sie in unserem Leitfaden zur effektiven Audit-Vorbereitung.

Experten Leitfaden jetzt lesen!



Themen: Software Audits