A szoftvergyártói auditra felkészülni nem kell félnetek jó lesz

A szoftvergyártói auditok sok felhasználó számára a másnapossághoz hasonló élményt jelenthetik. Ahogy Bödőcs Tibor „A másnaposság és a húsleves” című jelenetében megfogalmazza: „mint amikor egy ZIL keres parkolóhelyet a hipotalamuszon.” Több mint évtizedes SAM tanácsadói tapasztalattal állíthatjuk, hogy a gyártói auditok lélektana is hasonló, mint az említett jelenetben a húslevesbe tett erős paprikával kapcsolatos attitűd. „Először van ez a tagadó-relativizáló fázis: Nem is erős ez Tibike! Aztán jönnek a hígító merítések – sehova nem vezet – és egyszer csak elindítja Kuroszava összes szamuráj filmjéből az audio-változatot…”

A szoftver jogszerűségének felülvizsgálatára vonatkozó jog valamennyi szoftvergyártó végfelhasználói illetve mennyiségi licencszerződésében kikötésre kerül, teljesen érthető okokból – a szoftver a gyártó szellemi terméke, használata szigorú keretek között engedélyezett, amelyek – megfelelő kontroll hiányában könnyen túlléphetők.

Bár minden szerződésben szerepel a felülvizsgálat lehetőségére vonatkozó kikötés, az auditról szóló értesítő levél kézhezvétele mégis okozhat sokkhatás-szerű élményt, hiszen minden külső szervezet által végzett felülvizsgálat egy nehezen tervezhető ráfordítással járó és adott esetben nehezen megbecsülhető kockázattal bíró, akár több hónapig elhúzódó folyamat lehet. Hozzá kell tenni, hogy minél inkább tudatos és érett szoftvergazdálkodási folyamatokkal rendelkezik egy vállalat, annál kisebb, de legalábbis annál jobban kalkulálható az audit jelentette pénzügyi, jogi és reputációs fenyegetettség. Másrészt a szoftverhasználattal kapcsolatos jogszerűségi felülvizsgálatoknak a gyártók saját bevallása szerint is van egyfajta büntető jellege, ami elsősorban az audit által feltárt hiányok rendezésekor realizálódik. Ha az ellenőrzés hiányt tár fel, annak „szankciója”, hogy a felhasználó köteles megvásárolni a hiányt elfedő licenceket, vagy azzal egyenértékű más licencet. A kötelező vásárlás instant árbevétel-növelő és váratlan kiadást jelentő hatását felesleges taglalni. Nem mindegy ugyanakkor, hogy milyen feltételekkel történik ez a beszerzés. A felhasználóknak ugyanis az alábbi „büntető jellegű” tételekkel is számolniuk kell:

  • Listaáras beszerzés (Microsoft, IBM)
  • Elmaradt követési díj és követés-visszaállítás díjának felszámítása (Oracle, IBM)
  • Az audit költségeinek felszámítása (Microsoftnál 5%-nál nagyobb hiány esetében)
  • A hiány full-capacity értékek alapján történő meghatározása és a sub-capacity licencelés kedvezményének megvonása (IBM).

A leginkább aktív audit tevékenységet folytató gyártók az Autodesk, az IBM, a Microsoft, a MicroFocus, az Oracle és az SAP. Valamennyi gyártó esetében többféle audit létezik, amelyek többé-kevésbé megfeleltethetők az alábbi három szintnek:

  1. önbevallás (elsősorban KKV ügyfeleket érint)
  2. SAM partner által végzett felülvizsgálat
  3. a gyártó vagy a gyártó megbízásából független harmadik fél által végzett felülvizsgálat

 

A legszéleskörűbb adatgyűjtéssel járó, akár több hónapig is elhúzódó, helyszíni ellenőrzéssel járó felülvizsgálat a 3. típusú audit, amelyet az Autodesk, az Oracle és az SAP esetében a gyártó saját auditcsapata, a többi gyártó esetén független harmadik fél végez.

Külön figyelmet érdemelnek azok a felülvizsgálatok, amelyeket nem a gyártó, hanem a gyártó szerződött partnere folytat le. A Microsoft palettáján régóta megtalálható ez a fajta felülvizsgálati forma, amely KKV-kra és nagyvállalatokra egyaránt kiterjedhet. Az audit jogalapját ennél a felülvizsgálati formánál nem a gyártói mennyiségi licencszerződésben szereplő auditklauzula, hanem a gyártó partnere és a felhasználó között létrejövő, jellemzően megbízási, vállalkozási elemeket ötvöző szerződés jelenti.

Véleményünk szerint a partnerek által végzett felülvizsgálat akkor tekinthető szakszerűnek, ha a partner rendelkezik a megfelelő SAM kompetenciával, a felhasználóval szemben elfogulatlan, a felülvizsgálat metodológiája pedig úgy van meghatározva, hogy csak a jogszerű szoftverfelhasználás megállapításához szükséges hatókörben kerüljön sor felhasználási információk gyűjtésére és kiértékelésére.

Nehezen fér bele ebbe a keretbe például az, ha a gyártó egy a végfelhasználó korábbi szoftverbeszerzéseiben is érdekelt partnert kér fel az auditra, aki ennek keretében – immár a végfelhasználó költségére – információbiztonsági felülvizsgálatot is végez, hozzájutva ezzel olyan bizalmas információkhoz, amelyek a jogszerű szoftverfelhasználás megállapításához nem elengedhetetlenek, egyúttal a partner üzleti titkát képezik.

A Microsoft partnerek által végzett auditokhoz nagymértékben hasonló vizsgálatot vezetett be az IBM 2019 augusztusától, amelyről az ITAMreview is beszámolt. Az IASP névre hallgató program (IBM Authorized SAM Partner Offering) egy több éves elköteleződést jelent egy olyan auditorcéggel amely egyébként 3. szintű IBM auditokat is végez. A szerződés ideje alatt a partner segítséget nyújt az ügyfélnek a compliant állapot eléréséhez és fenntartásához, „cserébe” a felhasználónak nem kell tartania 3. szintű audittól és az esetlegesen feltárt hiányokat is diszkontált áron, és az egyéb „büntető jellegű tételek” felszámítása és alkalmazása nélkül vásárolhatja meg. Más kérdés ugyanakkor, hogy ezek az előnyök mennyiben állnak arányban a partnernek fizetendő díjjal, és mennyiben tehető felelőssé a partner a szakszerűtlen eljárása következtében előállt alul-vagy túllicencelt pozícióból származó kockázatért.  Az IBM IASP programja különösen a nagy és gyorsan változó IBM környezetekkel rendelkező felhasználókat érinti és „meghívásos alapon” működik. A magyar piacon vélelmezhetően a multinacionális anyavállalattal rendelkező cégek lehetnek benne érintettek. A megéri vagy nem éri meg kérdése várhatóan nem a magyar tagvállalat szintjén dől majd el, az IASP-vel való kooperáció napi szintű feladatai már sokkal kézzelfoghatóbban jelentkezhetnek az alsóbb szinteken is.