Co je softwarový audit a ochrana před auditem?

Změny související se SAP, jako je přechod na SAP S/4HANA, mohou mít významný dopad na licenční prostředí organizace. Mnoho společností si klade otázku, zda je jejich licenční prostředí optimální a zda jsou připraveny na softwarový audit SAP. V SoftwareOne jsme proto připravili sérii článků, která má společnostem pomoci minimalizovat riziko nedodržení licenčních podmínek.

Začneme základním přehledem, co je softwarový audit a jak před ním svou organizaci chránit. V tomto článku nastíníme kroky, které je potřeba učinit, abyste procesem auditu úspěšně prošli.

Co je softwarový audit a ochrana před auditem?

Aby mohla organizace používat konkrétní software, musí nejprve získat souhlas vlastníka řešení, tedy vlastníka práv duševního vlastnictví. Začít právě u právních záležitostí používání softwaru je zásadní a může to pomoci v dalších krocích týkajících se licenčního auditu. Povolení k použití softwaru je uděleno v licenční smlouvě, která by měla obsahovat všechny podrobnosti o tom, jak bude licence zákazníkem používána. Ve většině případů obsahuje i takzvanou auditní doložku, jejímž účelem je umožnit vlastníkovi autorských práv kontrolu, zda nabyvatel licence – zákazník – používá software správně a neporušuje smlouvu ani zákon. Možnost kontrolovat zákazníky měla původně zabránit porušování práv duševního vlastnictví, ve svém důsledku však vyústila ve vytvoření dodatečného nástroje, který výrobcům softwaru generuje zisk.

Pokud máte podepsanou revizní doložku, můžete se proti tvrzením výrobce, často neoprávněným a pochybným, nějak bránit? Odpověď se zdá jednoduchá: nejen že můžete, ale přímo byste měli.

SOFTWAROVÝ AUDIT: Připravte se včas!

Díky spolupráci se SoftwareOne získáte:

• 80% snížení poplatků za nedodržení licenčních podmínek
• 100% podpora při vyjednávání a zajišťování RISE kontraktů
• 100% shoda prostředí IT s licencováním SAP.

Jaké jsou hlavní kroky, které podniknout pro obhajobu auditu?

Kroků, které by měla organizace v rámci auditní obhajoby podniknout, je mnoho. Podívejme se na ty základní, které poskytnou dobrou výchozí pozici.

• Podrobné ověření oznámení o auditu
  • Ověřte odesílatele a plnou moc – Je subjekt, který bude audit provádět (výrobce, strana licenční smlouvy, externí auditor), k němu oprávněn? Příkladem může být situace, kdy upozornění ohledně auditu zaslal zaměstnanec mateřské společnosti výrobce softwaru, avšak licenční smlouvu podepsala kupříkladu polská společnost. V této situaci není mateřská společnost oprávněna provádět audit nebo jej zadávat jiným subjektům bez příslušného oprávnění.
  • Zkontrolujte adresáta – Má být auditována správná organizace, tedy ta, která je držitelem licence?
  • Ověření produktu – Používá organizace aktuálně software, tedy konkrétní produkty, které mají být auditovány?
  • Kontrola rozsahu auditu – Jaký je rozsah auditu?
  • Subjekt – Měly by být auditovány všechny společnosti skupiny používající software?
  • Předmět – Na které konkrétní licence se audit vztahuje (databáze, middleware a další)?
• Vytvoření auditorského týmu – Tým by měl zahrnovat pracovníka z IT oddělení (v závislosti na auditovaném softwaru), právníka, pracovníka v oblasti zabezpečení, pracovníka v oblasti compliance, pracovníka DPO a koordinátora. Koordinátorem by měl být někdo, kdo denně spravuje licence, má obecné znalosti o používání softwaru a disponuje dostatečnými pravomocemi. Komunikovat s auditorem by měl pouze koordinátor. Je to nezbytné k zajištění toho, aby poskytnuté informace byly konzistentní, ověřené a odpovídaly na konkrétní otázky auditora, aniž by došlo k náhodnému rozšíření rozsahu poskytnuté odpovědi. Toto opatření nás nejen postaví do lepší obranné pozice, ale současně bude mít dopad na dodržování předpisů – citlivé informace nebudou zveřejněny neoprávněným stranám.
• Formalizace auditu – Ta by měla být podepsána v rámci dohody o auditu. Jedná se o krok, který zajistí naši bezpečnost a domluví spolupráci s auditorem. Smlouva o auditu by měla obsahovat informace jako:
• Kdo a na jakém základě provádí audit, tedy konkrétní společnost, konkrétní licenční smlouva, konkrétní zakázka.
• Jaká data budou shromažďována a kdo je bude skutečně sbírat, zda budou použity skripty, kdo převezme odpovědnost za provoz těchto skriptů.
• Jaký je věcný rozsah (které produkty, licence a podobně) a osobní rozsah (které společnosti skupiny) auditu.
• Kdo bude v týmech na obou stranách.
• Jak bude řešena důvěrnost (přednostně ve formě vyhrazené NDA).
• Smlouva o zpracování údajů (pokud se může jednat o osobní údaje).