Das erwartet Sie beim Software Compliance Audit

Alles, was Sie zu Vorbereitung, Durchführung und Nachbereitung eines Audits wissen müssen

Datum

03.03.2022

Dieser Beitrag wurde verfasst von:

Carsten Timm

Jedes Unternehmen setzt Software zur Unterstützung seines Geschäftsbetriebes ein. Es gibt unzählige Softwareprodukte auf dem Markt, die in der Regel nicht frei nutzbar sind, sondern lizenziert werden. Diese Produkte werden durch zahlreiche Softwarehersteller vertrieben, die jeweils eigene Verträge und eigene Lizenzbestimmungen haben. Um die Einhaltung der geschlossenen Verträge und Lizenzbestimmungen zu überprüfen, werden von den Softwareherstellern seit Jahren Software Compliance Audits durchgeführt.

Worauf müssen Sie sich einstellen, wenn bei Ihnen ein Audit ansteht? Wie können Sie sich vorbereiten? Wie läuft das Audit ab? Und welche Konsequenzen gilt es im Nachgang zu ziehen? Diesen Fragen möchte ich im Folgenden auf den Grund gehen.

Was ist ein Software Compliance Audit?

Die Softwarehersteller räumen sich in ihren Verträgen das Recht ein, die vertragsgemäße Nutzung ihrer Softwareprodukte bei ihren Endkunden zu überprüfen. Art und Umfang kann dabei variieren. Die Ankündigung einer solchen Lizenzüberprüfung erfolgt in der Regel kurzfristig. Die Herausforderung, vor der viele Unternehmen stehen, ist, sich schnellstmöglich einen Überblick über den aktuellen Lizenzbedarf zu verschaffen, mögliche Risiken zu identifizieren und entsprechende Ressourcen für die Bearbeitung des Lizenzaudits bereitzustellen.

Die Vorgehensweise der Audits ist genauso individuell wie die Verträge mit den Herstellern. Microsoft wählt einen anderen Weg als z.B. SAP oder IBM. Neben der Komplexität der einzelnen Lizenzbestimmungen kommt zusätzlich auch der Thematik rund um hybride Cloudszenarien eine stärkere Bedeutung zu. Welche Regelungen müssen bei Softwareprodukten beachtet werden, die zuvor in einer On-Premise-Umgebung verwendet wurden, wenn diese in die Cloud transferiert werden sollen? Ist dafür das aktuell gewählte Lizenzmodell das Richtige? Sind Nutzungsrechte für große Public Cloud-Anbietet vertraglich eingeräumt? Das sind alles Fragen, die von den verantwortlichen Lizenzmanagern ebenfalls bei einem Audit geprüft werden müssen.

Ablauf eines Software Compliance Audits

Vor dem Audit – Ankündigung und Vorbereitung

Ankündigung und Gründe für das Audit

Die Softwarehersteller schicken i. d. R. ein Ankündigungsschreiben an ihren Vertragspartner. In diesem wird mit Verweis auf die Vertragsbedingungen eine Lizenzüberprüfung mit einer gewissen Frist angekündigt. In einigen Fällen wird die Überprüfung durch einen zertifizierten Partner durchgeführt, in anderen werden vom Hersteller beauftragte Wirtschaftsprüfungsgesellschaften eingesetzt, die eine Prüfung vornehmen sollen.

Warum ein Audit zu einer bestimmten Zeit angekündigt wird, kann nicht pauschal beantwortet werden. Entweder gibt es turnusmäßige Prüfungen oder Unternehmensgröße und Kundenbeziehungen spielen eine Rolle. Eventuell kann auch eine Unstimmigkeit in den Lizenzassets zu einer Überprüfung führen. 

Vorbereitung auf das Audit

Um bestmöglich auf ein Software Compliance Audit vorbereitet zu sein, sollten Sie sich schnell einen Überblick über den aktuellen Lizenzstatus verschaffen. Im Unternehmen eingesetzte SAM-Tools können hier helfen, sollten aber genauestens verifiziert werden.

Mit einem sog. Pre-Audit, das auch von den Lizenzexperten der TIMETOACT durchgeführt wird, identifizieren Sie ggf. Risiken oder Unklarheiten und können damit die Strategie für das Audit festlegen. Ein weiterer Vorteil ist bei einer vorigen Datenerhebung, dass das offizielle Audit deutlich verkürzt werden kann, weil die Softwarenutzungsdaten schon vorliegen bzw. man weiß, wie Daten ermittelt werden. Hier hilft es, sich einen erfahrenen Partner ins Boot zu holen, damit die Grundlage für den weiteren Verlauf des Audits auf soliden Beinen steht.

Da in einem Audit firmeninterne Daten mit externen Prüfungsgesellschaften oder Partnern ausgetauscht werden, sollte in jedem Fall eine detaillierte Geheimhaltungsvereinbarung (sog. NDA Non-Disclosure-Agreement) zwischen allen Parteien aufgesetzt und unterschrieben werden. Des Weiteren empfiehlt sich, einen Projektleiter für das Audit zu definieren, der die alleinige Kommunikation und den Austausch von Daten vornimmt, damit Daten nur kontrolliert und konsolidiert das Haus verlassen.

Lässt sich das Audit verschieben?

Wir unterstützen Sie rund um Software License Consulting!

Nutzungsverhalten und Lizenzmodelle von Software ändern sich fortlaufend. Dadurch stellt sich häufig die Frage, ob die Kosten für Lizenzen, Support und Betrieb einer Applikation noch in einer vernünftigen Relation zur Nutzung stehen. Mit Software License Consulting behalten unsere Experten Ihre Lizenzen stets im Griff und vermeiden Fehllizenzierungen und zu hohe Kosten.

Während des Audits – Dauer und Durchführung

Dauer eines Audits

Die Dauer eines Audits variiert von Kunde zu Kunde und ist auch abhängig vom jeweiligen Hersteller. Genauso verhält es sich mit der Anzahl der involvierten Personen. Je nach Umfang können ganze Teams erforderlich sein, auf Kunden- wie auf Prüfer-Seite. Meist ist der personelle Aufwand beim Kunden jedoch sehr hoch, da viele Abteilungen betroffen sind, die über die Nutzung der Software Auskunft geben müssen.

Die Hersteller sind generell daran interessiert, ein Audit schnellstmöglich abzuschließen. Aus diesem Grund werden die Zeitpläne zur Datenlieferung meistens auch recht straff gehalten. Davon sollten Sie sich nicht unter Druck setzen lassen. Eine genaue Dauer eines Audits ist in keinem bekannten Vertrag genau definiert, somit besteht auf Kundenseite keine Verpflichtung zu vorschnell Daten zu übermitteln.

Durchführung eines Audits

Generell wird die Einhaltung der Lizenzbestimmungen überprüft und ob die Nutzung mit den erworbenen Lizenzen übereinstimmt. Dazu werden die erworbenen Lizenzen den tatsächlich festgestellten Nutzungsdaten gegenübergestellt. Aufgrund der Vielzahl an Softwareprodukten, -herstellern und -metriken ergeben sich unterschiedliche Vorgehensweisen der Datenerhebung und Prüfung. Bei einer User-Lizenz ist die Prüfung relativ einfach (aber auch hier können sich gravierende Unterschiede in der Definition eines „Users“ finden), bei Hardware-basierter Lizenzierung werden i. d. R. Processor Core Faktoren oder PVUs verwendet, die mit den vom Hersteller veröffentlichten Tabellen abgeglichen werden müssen. Nutzungsabhängige Lizenzierung ist meist schwieriger zu ermitteln, da hier häufig Tools zum Einsatz kommen, die über einen längeren Zeitraum ausgewertet werden müssen.

Welche Daten müssen preisgegeben werden?

Nach dem Audit – Ergebnis und Vorbereitung auf das nächste Audit

Ergebnisse des Audits

Nach Sammlung der Nutzungsdaten und der Vertragsdaten inkl. Lizenzbestand und sonstiger Zusatzvereinbarungen wird eine sogenannte Lizenzbilanz erstellt. Hier werden die Lizenzbestände der ermittelten Nutzung gegenübergestellt. Aus dem Ergebnis können viele Erkenntnisse gewonnen werden, wie zukünftig das IT Asset Management angepasst werden sollte.

In den seltensten Fällen gibt es eine korrekte Lizenzbilanz ohne Abweichungen. Bei Unterlizenzierung drohen ungeplante Nachzahlungen zu meistens schlechteren Konditionen als bei einem Neuprojekt und ggf. sogar Penaltyzahlungen und rückwirkende Wartungskosten. Aber auch eine Überlizenzierung zeigt, dass zu hohe Lizenzkosten gezahlt wurden und zumindest in der Planung und in der Vertragsgestaltung noch Verbesserungspotential besteht.  

Konsequenzen aus den Ergebnissen

Bei einer Unterlizenzierung empfiehlt sich die Unterstützung eines erfahrenen Beraters, der eine Verhandlung des Settlements (also den Ausgleich der festgestellten Lizenzdifferenz) am Ende für beide Seiten zu einem vernünftigen Ergebnis führen kann.

In jedem Fall sollte das Auditergebnis als Basis für die Zukunft genutzt werden. Ist noch kein umfangreiches Lizenzmanagement im Unternehmen vorhanden, kann eine Lizenzprüfung einen guten Startpunkt setzen. Aber auch bei einem bereits etablierten IT Asset Management ergeben sich Verbesserungspotentiale, entweder durch Anpassung bestehender Prozesse, im Reporting, im SAM-Tool oder in der zukünftigen Strategie hinsichtlich Softwarehersteller und der Vertrags- und Lizenzgestaltung. 

Wann folgt das nächste Audit?

Fazit: Keine Angst vorm Audit – mit einem guten IT Asset Management

Glühbirne als Symbol für ein gut organisiertes Lizenzmanagement.

Softwarehersteller haben das Prüfungsrecht in ihren Verträgen verankert und üben dieses auch aus. Eine Ankündigung erfolgt immer kurzfristig, so dass Kunden vor der Herausforderung stehen, kurzfristig Ressourcen zu schaffen, die das Audit unterstützen. Es muss schnellstmöglich ein Überblick über den Lizenzstatus zu verschafft werden. Hier hilft ein gut organisiertes IT Asset Management mit entsprechenden Verantwortlichkeiten, Tools und Prozessen. Aufgrund der Komplexität empfiehlt sich die Einbindung eines Partners, der sich auf bestimmte Hersteller fokussiert hat.

Aber: Generell haben Sie als Kunde die Möglichkeit, Zeit und Ablauf mitzubestimmen und sollten sich nicht unter Druck setzen lassen. Die Lizenzbilanz am Ende des Audits kann man gut als Grundlage für den Aufbau eines IT Asset Managements oder für die Verbesserung bestehender Strukturen und Prozesse heranziehen.

Über den Autor: Carsten Timm

Carsten Timm ist seit 2020 als Senior License Consultant für die TIMETOACT tätig. Er verfügt über jahrelange Erfahrung im Bereich Lizenz- und Vertragsberatung sowie Auditbegleitung. Darüber hinaus unterstützt er Kunden beim Einsatz des IBM License Metric Tools mit Klassifizierung, Produktzuweisung und Beratung. Dabei betreut er die ganze Bandbreite von Unternehmen – vom kleinen und gehobenen Mittelstand bis hin zu Großkonzernen.

Carsten Timm
Principal Consultant SAM, ITAM & FinOpsTIMETOACT Software & Consulting GmbHKontakt

Diese Beiträge könnten Sie außerdem interessieren: