HackerFest 2017

Softwarová kontrola | Řízený audit | Self-Certification

Petra ZikmundováPetra Zikmundová
LicenceLicence
4.10.2016 15:40:004.10.2016 15:40:00

Petra Zikmundová

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Kontrola nebo audit? Dopis, který jsem si nepřál dostat

Léto, slunce, moře, čerstvé ryby a ovoce, Mojito, … pěkná dovolená to byla. Jen tak přemýšlím, kdy jsem naposledy někomu poslal klasickou papírovou pohlednici. Vybrat pohled, sehnat známku, dokázat najít poštovní schránku (budete se divit, ale ne všude vypadají jako u nás!) a doufat, že papírový pozdrav, ať s menším či větším zpožděním, opravdu dorazí... někdy to bylo docela dobrodružství. Na druhou stranu i mě vždy potěšilo najít ve schránce poštu, která ke mně dorazila přes půl světa, a člověk se mohl pousmát nad zkratovitými popisky či nesmyslnými vzkazy napsanými v prázdninovém opojení.

Do kanceláře vcházím ještě s myšlenkami na pivní tácek, co mi kdysi přišel s nalepenou známkou, a beru do rukou vyžehlený dopis ležící na stole. Trhám obálku a pomalu mě opouští očekávání, že by to snad přeci jen byl nějaký pozdrav z exotických dálav. Pročítám text a moje oči a mozek se zastavují na slovech software – kontrola – licence. Je mi tak, jako bych právě vystoupil z klimatizovaného letadla na letišti na Kanárských ostrovech. Horký závan vzduchu mě posadil do křesla. Přemýšlím.

Naštěstí v této době nemusím psát psaní s prosbou o radu či pomoc, protože než by ho posel či pošťák donesl, mohlo by být už po mně. Rovnou volám „příteli na telefonu“. Nemůžu být nejlepší ve všem. Ano, vyhrál jsem sice soutěž „kdo vydrží být déle zakopaný v písku na pláži“, ale licenční politiku přenechám odborníkům.

Trochu nesouvisle drmolím do telefonu: „bude u nás softwarový audit, kontrola, ...to musíme všechno nějak dát do pořádku, ...my to tedy v pořádku máme, ale ono to slovo „pořádek“ je dost relativní, že? Měnili jsme člověka, co se o to staral, v účtárně přecházeli na nový účetní systém …, všechno přeci nakupujeme legálně, tak co tedy chtějí kontrolovat?...“

Na druhé straně telefonu se ozve: „Dobře, dobře. A jaká byla dovolená?“ „A co přesně se v tom dopisu od Microsoftu píše? Kontrola nebo audit?“

Moje amatérská odpověď a otázka v jednom: „A není to jedno?“

Hlas v telefonu se pousměje a říká: „To tedy není. Je v tom docela velký rozdíl.“

V první řadě a pro všechny případy je dobré si uvědomit, že Microsoft (a jakýkoli jiný autor softwarového díla) má právo u svých zákazníků kdykoli provést kontrolu dodržování licenčních podmínek a ujednání, tak jak jsou stanovené v dokumentu Terms and Condition (a jakýchkoli jiných licenčních podmínkách). Pokud se tedy Microsoft rozhodl poslat vám tento pozdrav, může zvolit jednu ze tří úrovní ověření, že jednáte v souladu s podmínkami, s nimiž vám přidělil právo užití produktu. První, nejméně formální, je vybídnutí k provedení interní self-certification. O stupeň výše je výzva k provedení softwarové kontroly a třetí, nejvyšší úrovní je oznámení o provedení řízeného auditu.

Softwarová kontrola

Jedná se o aktivitu týmu Microsoft SAM (Software Asset Management), který touto cestou zjišťuje, zda jeho zákazníci mají všechny potřebné licence a také zda je umí správně nasadit a využít. Rozhodně se vyplatí na výzvu zareagovat a poslat odpověď ve smyslu, že rozumíte a vyhovíte požadavku. Rovnou se pokuste najít termín, kdy by mohla kontrola proběhnout, a tento termín opatřete relevantními důvody, zvláště pokud potřebujete kontrolu odložit, protože na její provádění zrovna nemáte prostor kvůli jiným činnostem. (Budete-li však kontrolu oddalovat příliš či bez pádného důvodu, riskujete přehoupnutí formy kontroly rovnou do řízeného auditu.)

Pokud vám není zcela jasný rozsah kontroly, nebojte se přímo zeptat. Na této úrovni jde často jen o kontrolu vybraných oblastí (produktů, typů licencí), nikoli celopodnikového softwarového prostředí.

Jelikož takováto pohlednice od Microsoftu může způsobit ve firmě lehkou paniku, zda „je DOOPRAVDY VŠE jak má být“, a zda víme „jak to VŠE má vypadat“, doporučujeme kontaktovat spolehlivého profesionála, který vám pomůže prorazit cestu neprostupnou džunglí a dát dohromady včas veškeré potřebné informace a dokumenty. Co třeba DAQUAS? :-)

Zjistí-li se při kontrole nesrovnalosti v licenčním pokrytí, máte povinnost licence co nejrychleji dorovnat, ale obvykle vás nepostihne pokuta, na kterou má autor nárok (1,75násobek ceny scházejících licencí). Chybějící licence rychle dokoupíte za sjednaných cenových podmínek. Stejně jako si na letišti můžete připlatit zavazadlo, pokud je vaše drahá polovička zapomněla k letence koupit, nebo jste si prostě nakoupili tolik suvenýrů, že máte nadváhu.

Po skončení kontroly budete mít v licencích příjemný pořádek a hlavu plnou motivace, proč zavést politiku SAM a jak nastavit vnitrofiremní procesy, aby to příště proběhlo ve větším klidu. Bez infarktu a nečekaného průvanu na účtě.

… čas na to Mojito ...

Řízený audit

Pokud vám ovšem přistane na stole tato vyšší forma pozdravu, bude mít celá akce zcela jiný kolorit a průběh. Je vhodné poslat reakci, kde vyjádříte své srozumění s chystaným auditem, popíšete kroky, které začnete v tomto směru podnikat, a deklarujete svou veškerou součinnost. Možná vás při tom budou provázet podobné pocity, jako když si s domorodci domlouváte prohlídku podzemní jeskyně, vůbec nevíte, co říkají, prostě jim vše odsouhlasíte a necháte se vést do tmy s pevnou nadějí, že živí a zdraví zase jednou uvidíte pozemské světlo. Nebojte, nějaké je i na konci tohoto tunelu.

Audit samotný neprovádí ani Microsoft, ani vámi vybraná firma. Touto činností jsou pověřené externí auditorské firmy z velké čtyřky: KPMG, Deloitte, Ernst & Young nebo PWC. Externí auditor má přísné procesy a postupy a jako nezúčastněná třetí strana se snaží dostát svému poslání a zachovat si svou korektní reputaci. Rozhodně nemá v úmyslu se po vás vozit, nebo vám škodit. Ani vás nebude omlouvat a uklízet za vás. Na rozdíl od kontroly, zde nebudete mít tolik možností na vyjednávání, např. co se týče stanovení termínu auditu. Máte-li ovšem vážné business důvody na odklad auditu v rozmezí do 6 měsíců, možnost tu stále je. Mimochodem, ovšem stále platí pravidlo, že na nákupy licencí (tzv. Panic Purchases), které se odehrají v čase po oznámení kontroly, se pohlíží jinýma očima a o to podrobněji se zkoumají záznamy o tom, od kdy daný software organizace používá.

I v tomto případě se rozhodně vyplatí kontaktovat profesionály, kteří vám pomohou obdobím auditu „projít a přežít“. Urychlíte a usnadníte tím průběh auditu a sobě ušetříte hlavně nervy. Nezapomeňte, že je vždy na uživateli, aby uměl věrohodně prokázat, že ustanovení licenčních podmínek dodržuje. Autor (či jej zastupující organizace) se nemusí lopotit s prokazováním opaku. Tak praví autorský zákon... Howgh.

... čas na Cuba Libre...

Self-Certification

Třetí cesta, jak zvenčí iniciovat softwarovou kontrolu, je výzva k provedení Self-Certification. Během tohoto procesu obdržíte od Microsoftu dotazníky, pracovní listy nebo online-formuláře, kam vyplníte údaje o svých licencích a technologiích. Je důležité poskytnout přesná data a zodpovědět všechny dotazy. Kvalita a úplnost informací může ovlivnit rozhodnutí o případné výzvě ke kontrole či auditu ve vaší firmě. Pokud při interním šetření zjistíte licenční nesrovnalosti, jednoduše stav hodně rychle narovnáte dokoupením potřebných licencí a opět obvykle vyváznete bez pokuty.

… čas na špenátové smoothie …

A pak je tu ještě čtvrtá možnost. Bez cestovky.

To ovšem nutně neznamená, že zcela na vlastní pěst. Licence si můžete dát do pořádku i sami, aniž by vám k tomu nutně musela přijít výzva, která za vás rozhodne, kdy to budete dělat. Uvažujete-li o tom, spojte se s námi. My vám s tím úklidem pomůžeme (ve dvou se to lépe táhne) – a hlavně: upozorníme vás na chyby, které dost možná sami nevidíte. (To totiž bohužel neznamená, že tam nejsou a že je neuvidí někdo jiný.)

Nebojte se licencí. Máte nás.