Audit perisian: Bagaimana teknologi tinggi bermain bola keranjang

Ketika permintaan audit perisian datang dari Adobe dua tahun yang lalu, Margaret Smith (bukan nama sebenarnya) menganggap perniagaan itu seperti biasa. Sebagai pakar risiko dan kepatuhan tadbir urus untuk syarikat Fortune 500, dia terbiasa diaudit beberapa kali setiap tahun.

"Biasanya perkara ini bermula dengan ramah," katanya. "Kami mendapat permintaan untuk audit, dan ada beberapa perundingan yang terlibat. Mereka mahu melakukan audit di tempat atau meminta ID pekerja tertentu, dan kami mengatakan tidak. Tetapi kali ini mereka keluar berayun. Dalam dua minggu mereka mengancam akan membawa pengacara. "

Firma Smith, pembuat barang pengguna, telah melesenkan sekurang-kurangnya 55 produk Adobe yang berbeza di pejabat di seluruh dunia. Sekarang pembuat perisian menuduh syarikatnya menggunakan lebih banyak perisian daripada yang berhak.

Taruhannya tinggi. Adobe boleh mengenakan denda di atas yuran lesen yang belum dijelaskan, membebankan firma untuk kos audit, dan meminta pembayaran balik dari tarikh tertentu.

Tetapi Margaret tidak menjadi penekanan. Dia bekerja untuk sebuah organisasi besar yang menguruskan lebih dari 4,000 produk perisian dan mempunyai pegangan yang cukup baik mengenai kepatuhan mereka.

Ternyata ada konflik antara bahasa dalam perjanjian lesen yang ditandatangani syarikat dan dokumen sokongan yang dianggap Adobe sebagai sebahagian daripada perjanjian itu. Pada akhirnya, mereka menetap. Pembuat barang pengguna tersebut bersetuju untuk melakukan kawalan tambahan untuk bagaimana ia menyebarkan perisian, dan Adobe menolak masalah tersebut (dan, tidak menghairankan, enggan memberikan komen untuk kisah ini).

Tetapi ia boleh menjadi buruk. Dan ini menunjukkan betapa hebatnya penerbit perisian utama yang agresif. 

Audit itu merupakan faktor utama dalam keputusan syarikatnya untuk melaksanakan penyelesaian pengurusan aset perisian dari Snow Software, kata Smith. "Ini adalah contoh sempurna untuk menyokong teori saya bahawa langkah pertama untuk mendapatkan kepatuhan adalah memahami apa yang sedang anda kerjakan."

Untuk audit perisian, kod omertà akan berlaku.

Sekiranya anda membelinya, mereka akan datang

Ini bukan persoalan sama ada lesen perisian organisasi anda akan diaudit. Ia hanya persoalan mengenai kapan, seberapa kerap, dan betapa menyakitkannya audit. Shakedown adalah perkara yang pasti sehingga hampir setiap pelanggan yang kami hubungi meminta kami untuk menyimpan nama mereka dari kisah ini, agar ini tidak menjadikan majikan mereka sebagai sasaran audit masa depan.

Audit semakin meningkat, dan semakin mahal. Menurut Gartner, 68 peratus perusahaan mendapat sekurang-kurangnya satu permintaan audit setiap tahun, sejumlah yang terus meningkat setiap tahun sejak 2009. Permintaan paling kerap datang dari suspek biasa: Microsoft, Oracle, Adobe, IBM, dan SAP.

Tinjauan oleh Flexera, vendor pengurusan aset perisian, melaporkan bahawa 44 peratus perusahaan harus membayar kos "benar" sebanyak $ 100,000 atau lebih, dan 20 persen telah membayar lebih dari $ 1 juta - persentase yang telah berlipat ganda tahun lalu.

IDC Amy Konary menganggarkan bahawa sehingga 25 peratus daripada anggaran perisian organisasi akan dibelanjakan untuk menangani kerumitan lesen sahaja.

"Ada dua aspek untuk ini, dan keduanya sulit dijelaskan," kata Konary, naib presiden yang bertanggungjawab untuk memimpin program SaaS, Model Perniagaan, dan Aplikasi Perusahaan Bergerak milik IDC. "Yang pertama adalah pembelian berlebihan. Berapa banyak perisian tambahan yang anda beli untuk mengurangkan risiko ketidakpatuhan? Yang kedua adalah underbuying. Anda dapat diaudit, anda mendapati anda telah menggunakan lebih banyak perisian daripada yang dijangkakan, dan akhirnya anda menghabiskan lebih banyak perbelanjaan untuk mendapatkan maklumat. Sukar untuk mengesahkan persekitaran perisian anda kerana kerumitan pelesenan. "

Lebih daripada seperempat dari semua perisian yang dipasang di perusahaan besar AS dan UK adalah peralatan rak, dengan biaya kolektif melebihi $ 7 bilion, menurut penyelidikan oleh 1E, sebuah syarikat automasi kitaran hidup perisian. Tambahkan bahawa kos gangguan perniagaan yang tersembunyi untuk audit yang boleh berlangsung selama 18 bulan, dan tanda harga akhir boleh menjadi sangat besar.

Ringkasnya, perusahaan meninggalkan banyak wang di atas meja - dan penerbit perisian lebih senang mengumpulkan sebanyak yang mereka dapat.

Audit adalah alat penjualan

Secara teknikal, audit perisian adalah cara untuk membuktikan bahawa anda hanya memasang perisian yang telah anda bayar, atau untuk penerbit untuk membuktikan bahawa anda telah memasang atau menggunakan terlalu banyak. Tetapi proses audit sering berakhir dengan pelanggan menandatangani cek - sama ada untuk membayar perisian yang terlalu banyak atau salah dipasang, atau untuk membuat perjanjian baru untuk komitmen jangka panjang

"Akan ada penjualan pada akhir audit," kata Peter Turpin, naib presiden di Snow Software. "Pengauditan adalah cara mengumpulkan wang untuk perisian yang telah dipasang oleh pelanggan. Oleh itu, anda perlu membayarnya. "

Tetapi penerbit utama juga menggunakan ancaman audit sebagai cara untuk menutup perjanjian baru, kata Craig Guarente, pengasas bersama Palisade Compliance, yang membantu perusahaan menguruskan masalah perlesenan Oracle.

Selama lebih dari 15 tahun, Guarente adalah VP kontrak dan amalan perniagaan global untuk Oracle. Dia mengatakan bahawa selama bertahun-tahun pasukan penjualan Oracle mempunyai mantra "Glengarry Glen Ross" yang berinspirasi yang disebut "ABC: audit-bargain-close."

"Anda mengaudit seseorang, mencari beberapa masalah, menaruh ketakutan ke dalam hati mereka, dan membuang sejumlah besar di sana," katanya. "Kemudian anda membuat perjanjian untuk perkara lain yang mereka mahu anda beli. Kecuali hari ini, saya menyebutnya 'audit bargain cloud' - buat perjanjian cloud, dan tiba-tiba semua masalah audit anda hilang. "

Oracle khususnya telah dipanggil untuk amalan perlesenan perisian yang agresif. Tinjauan Oktober 2014 terhadap pelanggan Oracle oleh Campaign for Clear Licensing menyimpulkan bahawa hubungan pelanggan dengan Oracle "bermusuhan dan dipenuhi dengan ketidakpercayaan yang mendalam."

Pada bulan Oktober 2015, syarikat gula-gula Mars Inc. mengajukan tuntutan terhadap Oracle, menuduh syarikat itu "penguatkuasaan pelesenan" di luar skop "berdasarkan" premis palsu. " Saman itu dijatuhkan pada Disember lalu; syarat penyelesaian tidak diumumkan.

Dalam temu bual dengan laman berita teknologi Inggeris V3 Februari lalu, CIO global Specsavers Phil Pavitt menolak "metodologi gun-to-the-head" Oracle untuk pelesenan perisian.

(Oracle menolak permintaan komen.)

Oracle tentunya tidak sendirian dalam menggunakan audit sebagai alat rundingan. Pelanggan yang dihubungi untuk mengetahui kisah ini mengesahkan tekanan serupa yang dikeluarkan oleh penerbit lain.

Walau bagaimanapun, dalam jangka masa panjang, pendekatan agresif ini hanya menimbulkan permusuhan, kata Konary IDC. Sekiranya wakil penjualan menggunakan audit sebagai cara untuk mendorong penjualan, itu biasanya bermaksud anda mempunyai wakil penjualan yang buruk, katanya. Namun, tekanan untuk membuat kuota setiap suku tahun dapat mendorongnya menjadi lebih agresif.

"Pengurus penjualan tidak menyukai audit perisian kerana mereka boleh merosakkan hubungan mereka dengan pelanggan," katanya. "Tetapi banyak juga yang mempunyai kuota penjualan dan jumlah dolar tertentu yang perlu mereka capai. Terdapat sedikit penyelarasan. "

Awan di kaki langit

Oleh kerana lebih banyak perusahaan bergerak ke arah perisian sebagai perkhidmatan, secara teorinya harus mempermudah bagaimana perisian dilesenkan dan diuruskan. Tetapi dalam jangka pendek, sebaliknya berlaku; beroperasi di awan hibrid dan persekitaran di premis menjadikan semuanya lebih kompleks. Sebagai contoh, terlalu mudah bagi IT untuk mendapatkan perkhidmatan baru di awan seperti yang diperlukan, tanpa mempertimbangkan implikasi pelesenan, kata Ed Rossi, naib presiden pengurusan produk untuk Flexera.

"Apabila anda memperkenalkan awan, anda juga memperkenalkan banyak kerumitan," katanya. "Oleh kerana pelanggan memanfaatkannya, mereka meletakkan diri mereka dalam posisi menggunakan lebih banyak perisian daripada yang mereka berhak. Saya rasa kami melihat peningkatan audit dalam sebab itu."

Hanya bergerak ke awan kadang-kadang akan mencetuskan audit, kata Konary.

"Sekiranya anda menggunakan perisian di lokasi dan memindahkannya ke persekitaran awan di pusat data anda sendiri, anda kemungkinan besar akan menghadapi masalah pelesenan," kata Konary. "Ini persekitaran yang dinamis, menjadi lebih sukar untuk mengesan apa yang sebenarnya anda gunakan dan mematuhi syarat lesen anda."

Menggunakan perkhidmatan awan awam tidak menimbulkan cabaran pelesenan, tambahnya. Kecuali pengguna berkongsi kata laluan, agak mudah untuk mengukur siapa yang menggunakan apa.

Sebab lain bahawa peningkatan kebergantungan pada awan disertai oleh peningkatan audit: Syarikat yang telah menghasilkan berbilion-bilion dari perisian di premis berusaha untuk meraih pendapatan sebanyak mungkin dari mereka sementara mereka masih dapat, kata Robin Purohit, Presiden Kumpulan Organisasi Penyelesaian Perusahaan BMC.

"Kami melihat audit dari syarikat perusahaan besar meningkat," kata Purohit. "Ini adalah yang paling rentan terhadap peralihan ke perisian sebagai perkhidmatan. Pertumbuhan lesen mereka berisiko, jadi mereka ingin mempertahankan pendapatan dari pelanggan yang mereka miliki ketika mereka membangun portfolio cloud dan SAAS mereka."

Alat mereka, peraturan mereka

Banyak vendor akan menawarkan untuk membantu anda mengetahui masalah pematuhan lesen anda. Jangan lakukannya, menasihati Palisade's Guarente.

"Itu dapat berubah menjadi apa yang saya sebut 'audit siluman,'" katanya. "Penjual menawarkan untuk 'membantu' pelanggan untuk mengetahui masalah kepatuhannya, tetapi itu benar-benar audit yang menyamar."

Dia mengatakan seorang pelanggan membelanjakan hampir $ 40,000 setahun untuk kontrak penyelenggaraan dan sokongan Oracle dan meminta mereka untuk membantunya mengetahui cara mengurangkan perbelanjaannya. Mereka dengan senang hati bersetuju. Beberapa bulan kemudian dia mendapat bil pematuhan lebih dari $ 1 juta. Ketika itulah Palisades dibawa masuk.

Sering kali, vendor memerlukan pelanggan menggunakan alat khusus untuk mengesan penggunaannya, tetapi mereka tidak selalu melakukan yang baik untuk memberitahu mereka mengenainya, kata peguam Rob Scott, pengetua Scott & Scott, LLP, sebuah syarikat yang mengkhususkan diri dalam menyelesaikan perisian pertikaian audit.

"Salah satu kisah seram terbesar yang kita lihat mengelilingi IBM dan peraturan virtualisasi," kata Scott. "Menurut IBM, Anda hanya dapat menggunakan perisian pelayan maya mereka jika Anda juga menggunakan alat penemuan proprietari mereka, yang kebanyakan pelanggan hanya belajar tentang pertama kali mereka diaudit."

IBM kemudian masuk dan mengatakan pelayan maya ini dilesenkan untuk subkapasiti, tetapi kerana anda tidak menggunakan alat penemuan kami, anda berhutang dengan kapasiti penuh, tambah Scott.

"Saya telah melihat bahawa isu tersebut merangkumi ratusan juta dolar yuran sebenar untuk pangkalan pelanggan kami sahaja," kata Scott. "Kedengarannya esoterik, tetapi ia berlaku di seluruh dunia."

Ketika dihubungi, jurucakap IBM mengesahkan bahawa syarikat tersebut memerlukan pelanggan menggunakan alat pemantauan percuma untuk mengesan "pelesenan subkapasiti." Dalam e-mel, dia menulis:

Kontrak perisian kami sangat jelas mengenai syarat untuk memanfaatkan pelesenan subkapasiti; ini telah menjadi sebahagian daripada semua kontrak tersebut selama lebih dari satu dekad. Sebagai tambahan, kami secara proaktif menghubungi klien kami untuk memastikan bahawa mereka sudah terbiasa dengan peluang dan protokol pelesenan sub-kapasiti.

Rak di mana?

Audit juga dapat menunjukkan bahawa anda membayar untuk perisian yang tidak anda gunakan. Tetapi jangan berharap penerbit perisian memberitahu anda perkara itu.

"Saya tidak banyak mendengar tentang vendor yang datang kepada pelanggan dan berkata, 'Hei, anda menghabiskan banyak wang dengan kami'," akui Konary. Sebaliknya, tambahnya, kebanyakan vendor tidak akan memulakan audit kecuali mereka yakin pelanggan perlu benar.

Konary mengatakan syarikat mungkin membeli jenis lesen yang salah untuk pengguna mereka - seperti lesen pemaju apabila lesen layan diri yang lebih murah akan berlaku.

"Anda mungkin mempunyai tingkatan yang jauh lebih mahal daripada yang anda perlukan. Adakah anda mempunyai pilihan untuk menurunkannya? Banyak penemuan peralatan rak ini harus dimulakan oleh pelanggan."

Walaupun melaksanakan alat pengurusan aset perisian dapat membantu, perusahaan juga perlu mengubah proses mereka mengenai kepatuhan dan melatih orang bagaimana menangani kerumitan, tambahnya.

Dalam kebanyakan kes, penerbit perisian ingin kekal sebagai rakan kongsi yang baik dengan pelanggan perusahaan mereka. Tetapi mereka juga ingin menjana sebanyak mungkin wang. Dan itu boleh mengeratkan perkongsian hingga ke titik pemecahan.

"Sangat penting untuk diingat bahawa penerbit berhak dibayar untuk perisian yang digunakan pelanggan mereka," kata Snow's Turpin. "Pertahanan terbaik anda adalah kesalahan yang baik. Lengkapkan diri anda dengan alat pengurusan yang betul sehingga jika anda tidak mematuhi undang-undang, anda akan mengetahuinya dan dapat melakukan sesuatu dengan syarat anda sendiri. "