Hintergrundbericht Software Audit was nun? von Michael Drews, Geschäftsführer amando software GmbH Kennen Sie Ihren Bestand an Software-Lizenzen und Wartungsverträgen; wissen Sie, ob Ihr Unternehmen über- oder unterlizenziert ist? - Im Unternehmen wird alles inventarisiert Hardware, Tastaturen, Telefone doch bei Software gilt meist gefühlte Temperatur. Dabei ist das Thema Lizenzen finanziell und rechtlich äußerst relevant: Unterlizenzierung führt zu hohen Nachzahlungen und kann rechtliche Konsequenzen haben, Überlizenzierung belastet unnötigerweise das Budget. Nicht viele Unternehmen können auf Knopfdruck Auskunft geben über ihre Lizenzsituation, kommt nun das Audit eines Software-Herstellers, ist die Aufregung groß: was tun? Auditklauseln bereits beim Software-Kauf berücksichtigen Software ist ein urheberrechtlich geschütztes Gut und muss daher richtig lizensiert sein. Die Anwenderunternehmen haben beim Erwerb ihrer Computerprogramme durch die Annahme der Nutzungsbedingungen in der Regel einer künftigen Überprüfung durch den Software-Hersteller zugestimmt. Softwarehersteller sowie die Business Software Alliance (BSA), die mit den Herstellern weltweit gegen Software-Missbrauch vorgeht, forcieren die Überprüfung der Lizenzierungen in den Unternehmen: Denn durch Missbrauch werden nicht nur Urheberrechte verletzt, sondern es entsteht auch enormer wirtschaftlicher Schaden. Daher wird empfohlen, bereits beim Kauf der Software die Audit- Klauseln zu beachten, diese zu verhandeln, Ablauf und Umfang des Audits sowie dessen Inhalte schriftlich festzulegen und sich die herstellereigenen Richtlinien einer Auditierung aufzeigen zu lassen. So kennt man das zu erwartende Prozedere. Transparenz und Kommunikationsbereitschaft Meist aber hat man die Überprüfung der Nutzungsrechte im Lizenzvertrag einfach mit unterschrieben und wird von der Auditierung überrascht. Wie sieht Seite 1 von 6
das Vorgehen dann aus? In der Regel kündigen die Software-Hersteller eine Auditierung vier Wochen vor der Prüfung schriftlich an, nennen die Grundlagen der Lizenzüberprüfung und fordern zur Terminvereinbarung auf. Jetzt muss man intern die entsprechenden Vorbereitungen treffen und die involvierten Mitarbeiter einbinden. Denn beim Audit ist aktive Mithilfe empfehlenswert: das schafft Transparenz und signalisiert Kooperationsbereitschaft. Die Selbstauskunft Der Lizenznehmer erhält darauf ein Standardformular zur Selbstauskunft über die unternehmenseigene IT-Infrastruktur, die vorhandene Hardware, installierte Software, die Nutzerzahl usw. Meist wenden sich die betroffenen Firmen dann an externe Software Asset Management (SAM) Experten, um das Risiko einer Falschauskunft zu vermeiden. Die Fachleute kennen die Situation und wissen, welche nächsten Schritte zu empfehlen sind, z.b. bei der Begutachtung von CAL-Lizenzen, der Verteilung der Software auf mobilen Endgeräten und deren Verbindung zu den internen Server-Systemen. Diese Unterstützung hilft, offene Fragen zu klären und rechtliche wie finanzielle Schäden zu umgehen. Solch ein Lizenzspezialist ist mit einem Steuerberater vergleichbar als kompetenter Ansprechpartner zwischen den Parteien. Bei Microsoft z.b. übernehmen diese Funktion oft die Large Account Reseller oder die Microsoft SAM-Partner als Lizenzexperten für große Unternehmen. Empfohlene Sofort-Maßnahmen Das Anwenderunternehmen sollte die formale Richtigkeit des Audits prüfen, ob Firmierung, Auditklausel und Vertragsdaten den eigenen Unterlagen entsprechen. Dann sollte man intern Verantwortliche und Inhalte definieren, wer welche Informationen zu den geforderten Items einbringt. Das Auskunftsformular enthält in der Regel Fragen zu folgenden Themenbereichen: Daten und Struktur des lizenznehmenden Unternehmens; Infrastruktur-Übersicht; Clients und Server; Art und Zahl der eingesetzten Software-Produkte (pro Client und Server); Terminal Server; SQL- Verwendung; Cloud- und virtualisierte Software. Nachdem die geforderten Informationen eingeholt, Nutzungsumfang und Intensität belegt sind, muss man diese Daten auf ihre Vollständigkeit, Seite 2 von 6
Aktualität und Richtigkeit prüfen. Alle benötigten Informationen werden in das Auditierungsformular eingetragen und an den Hersteller zurückgesendet. Audit aus heiterem Himmel? Während der Audit-Vorbereitungen fragt man sich vielleicht, warum gerade das eigene Unternehmen zur Überprüfung herangezogen wurde. Nach aktuellen Studien werden momentan ca. 40% der Anwenderfirmen überprüft; die Hersteller berufen sich auf das Zufallsprinzip und den Routinecharakter der Maßnahme. Manchmal aber hat auch das lizenznehmende Unternehmen selbst Hinweise gegeben, wenn z.b. ein Support-Thema beim Hersteller angefragt wurde und dabei Widersprüche zum vertraglich lizensierten Software-Bestand aufkamen. Nächste Schritte Die an den Softwarehersteller übermittelte Selbstauskunft wird dort mit den vorliegenden Lizenzdaten des Ursprungsvertrages abgeglichen und das Ergebnis im Audit-Bericht dokumentiert. Dieser wird dem Lizenznehmer zugestellt mit einer angemessenen Frist zur Stellungnahme. Sollte eine Differenz in Soll- und Ist-Lizenzierung aufgewiesen worden sein, muss nachlizenziert werden, was sich bei größeren mittelständischen Unternehmen zu Kosten von bis zu mehreren Hunderttausend Euro summieren kann. Es sei aber erinnert: auch Überlizenzierung nach dem Motto lieber ein paar Lizenzen zu viel als zu wenig ist teuer! Auditierung durch Hersteller oder Wirtschaftsprüfer Die Vorgehensweise bei der Auditierung durch den Hersteller selbst oder einen von ihm beauftragten unabhängigen Wirtschaftsprüfer ähnelt dem Prozedere der Selbstauskunft. Der Wirtschaftsprüfer hat vom Lizenznehmer im Vorfeld auszufüllende Fragebögen als Grundlage der Prüfung und führt dann Interviews mit den im Unternehmen involvierten Parteien (i.d.r. IT, Einkauf, Controlling, Geschäftsführung). Zusätzlich werden noch in Stichproben die technischen Inventardaten auf ihre Richtigkeit geprüft; hier ist es wichtig, die Bereitstellung zu unterstützen. Bei regulären Audits finden diese Schritte während der üblichen Geschäftszeiten und ohne Seite 3 von 6
Beeinträchtigung des laufenden Betriebes statt; die Vertraulichkeit der Daten ist gewährt. Lizenzmanagement als abteilungsgreifender Prozess Das Problem ist, dass Unternehmen beim Audit selten ihren vollständigen Lizenz-Status belegen können. Daher ist es wichtig, zu überlegen: was kann ich (schon lange) vor einem Audit tun? Wie kann ich proaktiv vermeiden, dass die Software-Lizenz-Prüfung mein Unternehmen unerwartet trifft? Die Software-Hersteller setzen auf die Vielfalt der Lizenzformen, die Vertragsklauseln beim Erwerb von Software sind kniffelig: Downgrade-Rechte bei Betriebssystemen, Berücksichtigung der Sprache in der installierten Version, Core-Lizenzen bei Server-Anwendungen u.a.m. Daher ist eine professionelle Lizenzmanagement-Lösung dringend zu empfehlen. So weiß man korrekt und bestenfalls auf Knopfdruck, welche Software wo, von wem und wie oft eingesetzt wird (sog. Metering). Nicht genutzte Lizenzen können einem Lizenzpool zugeführt werden, umverteilt und Software damit bedarfsgerecht eingesetzt werden. Dies sichert nicht nur die Belastbarkeit der Zahlen beim Audit, sondern auch die Kosten bei Wartungsverträgen, Updates/Migrationen und Neukauf. Zusätzlich sei empfohlen, Software weitest möglich zu standardisieren, Lizenzmetriken zu vereinfachen, Rechnungen zu prüfen und Verträge transparent vorzuhalten. Seite 4 von 6
amando software GmbH Dabei müssen alle Rollen abteilungsübergreifend zusammenarbeiten: IT, Einkauf, Controlling und Mitarbeiter, die nicht benutzte Lizenzen melden. Das Thema Software-Lizenzen ist aber auch für die Geschäftsführung wichtig hinsichtlich der Einhaltung der Corporate Governance-Richtlinien des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), zählt damit also zu einem angemessenen Risikomanagement. Wer als Unternehmen auf Nummer sicher gehen will, sollte eine zertifizierte Lizenzmanagement-Lösung einsetzen. Die unabhängige Wirtschaftsprüfungsgesellschaft KPMG zertifiziert seit 2012 Lizenzmanagement-Lösungen nach internationalen Kriterien, welche insbesondere bei einer Auditierung relevant sind. Oft liegt Überlizenzierung vor Viele Unternehmen scheuen das Software Asset- und Lizenzmanagement wegen der vermeintlichen Komplexität, der Lizenzdschungel der Hersteller scheint oft undurchdringlich. Bei einem bevorstehenden Audit sollte es dann jedoch schnell gehen. Es gibt Anbieter, die eine Art Momentaufnahme der gegenwärtigen Software-Situation im Unternehmen geben, um einen raschen Überblick über die Assets zu erhalten und bestimmte Software-Produkte schnell zu qualifizieren. So werden Seite 5 von 6
beispielsweise alle Installationen bestimmter Produkte gescannt, um das Software-Inventar zu erfassen, diese mit den Lizenzdokumenten und den Software-Beschaffungen abzugleichen und so Aussagen zur tatsächlich auf den Assets befindlichen Software zu haben. Solch ein best-practice-snapshot liefert zügig konkrete Zahlen und bietet eine konkrete Basis für das weitere Vorgehen. Entscheidend ist also die Zusammenarbeit der Abteilungen und die ganzheitliche Sicht über den kompletten Software Lifecycle hinweg - dann steht einer gelungenen Auditierung nichts mehr im Wege. Das Einsparpotenzial durch eine Lizenzmanagement-Lösung liegt erfahrungsgemäß zwischen 15 % und 30 %, der ROI beträgt in der Regel < 12 Monate. Zum Autor: Michael Drews ist Geschäftsführer der amando software GmbH, einem Spezialisten für Asset- und Lizenzmanagement-Lösungen. Er beschäftigt sich seit mehr als fünfzehn Jahren mit dem bedarfsgerechten Einsatz von Softwarelizenzen in Unternehmen. Das Unternehmen amando software gehörte mit der Produktfamilie Miss Marple bereits 1995 zu einem der ersten Anbieter von Software Metering Lösungen weltweit. Mit den Produkten Miss Marple Enterprise Edition, e:sam und SAM:ONE hat sich amando software zu einem der führenden Anbieter von IT Asset- und Lizenzmanagement-Lösungen in Europa entwickelt. Kontakt amando software GmbH Presse Kemptener Straße 99 Dr. Susanne Knabe D-88131 Lindau Presse/Public Relations Tel.: +49 (0) 83 82 / 9 43 90-0 Tel.: +49 (0) 89 / 121 626 16 Fax: +49 (0) 83 82 / 9 43 90-20 E-Mail: susanne.knabe@amandosoftware.com www.amandosoftware.com Seite 6 von 6