ソフトウェア監査を乗り切る方法 – 監査の当事者であることを確認するための6段階ガイド

差し迫ったソフトウェア監査の脅威とともに、多くのCIOが眠りにつくことになります。SAPのようなベンダーが、何億もの賠償額を求めたコンプライアンス違反の訴訟で顧客をどのように追求してきたかを考えると、それの状況を理解できます。ほとんどの組織は、OracleやMicrosoftなどのベンダーから提供されているERP、人事、および一般的なオフィスソフトウェアに重点を置いています。特別なアプリケーションは、多額の投資がない限り見過ごされがちです。そのため、Ansysのような他のベンダーのソフトウェアは見逃されていますが、エンジニアリング会社はAutodeskライセンスを監視することに気付くでしょう。永久ライセンスなどのオンサイト契約でソフトウェアを購入した場合のソフトウェア監査のリスクは、AutoCADまたはArcGISライセンスの場合と同様に、どのソフトウェアについても変わりはありません。しかしながら、組織がライセンス契約の内容を順守することに積極的に関心を持っているのであれば、ソフトウェアコンプライアンスは問題になるはずはありません。あまりにも多くの企業が、ベンダーに依存してライセンスコストについて説明しています。そこで、コストを自ら監視する必要があります。監査の悪夢を過去のものとするライセンス管理を行うために必要となるいくつかの行動について取り上げます。

ライセンスがどこにあるか知っていますか?

これに対する答えは明らかだと思われるかもしれませんが、専門的なソフトウェアはステルスのように組織に導入されるという厄介な一面を持っています。それはニーズを満たすために購入され、所有権と管理はそれを必要としていた部門にしばしば付与されています。ITは、それがオンサイトであることさえ知らないかもしれません。したがって、どのソフトウェアが使用されているかの調整は非常に良い出発点であり、いくつかの驚くべき結果をもたらすかもしれません。

各使用許諾契約の具体的な詳細を知っていますか?

使用許諾契約の詳細が分析されていない場合は、準拠していない可能性があります。Gartner Groupは以前からライセンスガバナンスのリスクを調査してきましたが、ライセンス契約に記載されている内容を実際に読んで分析することはしばしば無視されることがわかりました。 Gartner Group は、ユーザーがソフトウェアの使用と引き換えに得たばかりの権利を放棄しなければならなかったという合意など、いくつかの興味深い事例に言及しています。(6人がサインアップした)他のベンダーは彼らのアプリケーションにサインアップしたすべてのユーザーへの現金報酬の約束も含めました。4ヵ月後、3000の売り上げ後、誰かが実際に報酬を請求しました。この事案を顧みるとGartnerはまた、ソフトウェア監査を実施するのは必ずしも大手のベンダーではないと指摘しています。

これは大変な作業のように思えるかもしれませんが、組織にとって非常に有益な一度限りの作業です。ベンダーがユーザーに課すいくつかの制限には、完璧でない可能性があります。Cerno はこれに関するリポートを作成し、Oracleの標準ライセンス契約における8つの弱点を特定しました。これらの弱点は、ベンダーのアクセス権からユーザー会社が提供するために必要な支援までの範囲にわたります。自分の権利を知っている顧客は、Oracle の監査に関して優位であり、これは他の多くのベンダー契約にも同じことが当てはまります。

元の契約からの逸脱が何年にもわたって行われている可能性があるので、顧客は古い使用許諾契約も遵守することをお勧めします。

ソフトウェアポリシーの確認

ライセンスモデルはより複雑になり、あなたのソフトウェアポリシーはすべての基盤をカバーしていないかもしれません。カバーする必要がある重要な点のいくつかは次のとおりです。 –

  • 誰がライセンスを管理しているか – 理想的にはこれはすべてのアプリケーションに対して一元化されるべきですが、そうでなければコンプライアンスを確実に文書化しなければならないような規則と責任を明確に管理してください。
  • ユーザーが従業員なのか請負業者(外注、例えば派遣された職員)なのかに基づいてアクセス権と資格を付与します。
  • BYODとBYOA。(使用者自身のデバイス/アプリケーションを持ってくる)ユーザーがAutoCADと他のいくつかのアプリケーションを実行している自分のラップトップを持ち込むと、これはあなたの契約に違反する可能性があります。
  • クラウドアプリケーション。ほとんどの企業は、クラウドを使用することで監査の必要性がなくなり(そうではありません)、したがってコンプライアンスも不要になると考えられます。(そうではありません)
  • SaaS、トークン、組み込みライセンスなど、その他の形式のライセンス。
  • 最近の合併や買収に関わっているのであれば、あなたの方針と使用許諾契約は一致しておらず、これは見落とされているかもしれません。

これはすべてを網羅的したリストではありません。たとえば、SLAの対象となる第三者にライセンス管理を外部委託している可能性があります。アウトソーシングの管理は明確に定義されなければなりません。

ベンダーのライセンス管理に頼っていますか?

ほとんどのベンダーは、通常FlexeraやGemaltoなどの専門のライセンス管理会社からライセンスマネージャーを提供しています。これらのアプリケーションは、使用者のライセンス面からではなく、ベンダーの視点からライセンスを管理しますが、組み込みライセンスのような新しいライセンスタイプの中には、より顧客中心のものがあります。提供されるソフトウェアは、ベンダーが顧客に請求するための費用を累積するように設計されています。Autodesk Token-Flexの場合など、場合によっては、トークンの時間単位がどのように機能するかという仕組みを理解していないと、これらのコストが過剰になる可能性があります。

使用者の観点からコストを計算するための手動プロセスを構築することは現実的ではないので、使用するまでその効果が身をもって実感できないですが、ライセンス管理アプリケーションに投資することが使用者の最善の策です。優れたアプリケーションは使用コストを計算するだけでなく、ライセンスの使用を最適化するために使用でき、ユーザーの規模にもよりますが、年間少なくとも数千ドル以上の節約になります。OpenLMは、エンジニアリングソフトウェアや科学ソフトウェアのライセンス管理を専門としており、他の商用ソフトウェアやカスタムメイドの製品の拡張さえも備えています。Flexeraや他のいくつかとの競合がありますが、ソフトウェアライセンスの使用者にとって最善の選択肢はアピールする製品を評価することです。私たちが選択肢の中でトップになることを確信しています。

独自のライセンスマネージャーソフトウェアを使用すると、監査の際に証拠として採用できるライセンスコストを計算できます。

ベンダー監査のために誰を使いますか?

Cernoについては先に述べました。彼らはソフトウェア監査において組織を支援する専門会社です。彼らは最近非常に興味深い報告「Sleeping with the Enemy」を発表しました、それは使用者がその仕入先と同じ「Big 4」の監査人を共有するならば、紛争となった場合、仕入れ先の側にいる可能性が高いことを指摘します。各監査会社は、監査を実施して遂行するためにベンダーによって契約されているソフトウェア監査部門を持っています。

ここからレポートにアクセスできます。(リンク先英文)

Cernoは、マイクロソフトの代理として外部の監査人によって監査された6つの英国の地方自治体と、SAPのKPMG(監査人)によって監査された英国の大学を挙げています。監査人が独立第三者間の関係と客観性をいくら主張しても、これは明らかな利益相反です。

独自の監査ラボを構築する

予告です。ランダムな自己監査を実行するための「ラボ」をなぜ設置しないのでしょうか。これは両者をライセンスコンプライアンスに関して共通のポイントに置きます。ラボは使用者がコンプライアンスであることを確実にするでしょう。受動的な監査ではなく、監査を実施するためのプロセスと手順を確実に実施し、ライセンスコンプライアンスの積極的な参加者になるkとです。仕入元が監査の電話することを決定した日にこれらを再利用できます。最初に何らかの外部からのアドバイスが必要になるかもしれませんが、プロセスを実装し、ソフトウェアポリシーについて組織を教育した後は、「監査恐怖症」は過去のものになります。OpenLMは、この点でも役立ちます。また、その過程で効率性とコスト削減を見出すために役立つことも申し添えます。