Microsoft Audits
Co to jest audyt Microsoft?
Audyt Microsoft to ogólna kontrola prawidłowego licencjonowania firm. Pomimo nazwy sugerującej, że Microsoft przeprowadza audyty, są one przeprowadzane przez stronę trzecią wynajętą przez Microsoft. Zewnętrzni audytorzy są odpowiedzialni za ustalenie, czy firmy korzystają z oprogramowania Microsoft we właściwy sposób, zgodny z wytycznymi Microsoft. Jeśli audytor wykryje jakiekolwiek niezgodności lub podejrzane użycie oprogramowania, badana firma może być zmuszona do uzasadnienia i przedstawienia dowodów na takie użycie oprogramowania. Użycie oprogramowania, które można sklasyfikować jako podejrzane lub nieprawidłowe, wiąże się z rozbieżnością między zakupionymi licencjami na oprogramowanie a używanymi licencjami, gdy ta druga jest większa niż pierwsza. Dlatego też, zgodnie z wytycznymi Microsoftu, firma może wykorzystywać tylko taką samą liczbę licencji jak zakupiona lub mniejszą. Każdy audyt jest inny, ponieważ firmy mają różne infrastruktury licencyjne. Z tego powodu nie ma jednej prostej definicji wszystkich procesów wchodzących w skład audytu Microsoft. Chociaż procedury różnią się, istnieje kilka standardowych kroków ujawnionych przez Microsoft i firmy, które zostały poddane audytowi.
Proces Audytu Microsoft zależy od jego rodzaju (patrz poniżej). Najbardziej ogólna kolejność obejmuje najpierw oficjalne pismo wysłane do firmy informujące ją o audycie i jego celu. Spółka może również umówić się na spotkanie z przedstawicielem Microsoft w sprawie audytu oraz w celu zgłoszenia wszelkich pytań lub wątpliwości. Podczas tego spotkania audytorzy przekazują również wszystkie istotne informacje na temat harmonogramu, procesów i oczekiwanych wyników audytu. Kolejnym ogólnym krokiem jest gromadzenie danych przez zewnętrznego audytora. Zbieranie danych może obejmować wizytę audytorów na miejscu w celu przeprowadzenia odpowiedniej oceny. Po zebraniu danych audytorzy przedstawiają raport zawierający ustalenia z audytu, wszelkie zalecenia i odpowiedni kontekst. Raporty te są zwykle podatne na błędy ze względu na brak dogłębnej wiedzy lub zrozumienia wewnętrznych procesów firmy i decyzji licencyjnych. W tym momencie audytowana firma może odnieść się do wszelkich błędnych obliczeń, błędnych interpretacji lub innych błędów i dostarczyć dodatkowy kontekst lub dokumenty prawne. Następnie Microsoftowi przedstawiany jest końcowy raport z audytu. W większości przypadków Microsoft działa z perspektywy, że firma przestrzega umowy licencyjnej, dopóki nie zostanie udowodnione inaczej.
Rodzaje audytów Microsoft
Istnieją trzy ogólne rodzaje audytów Microsoft. Najczęstszym z nich jest audyt własny, a następnie audyt zarządzania zasobami oprogramowania (SAM). Najbardziej rygorystycznym audytem Microsoft jest audyt zgodności z umowami licencyjnymi (LCC).
Audyt samodzielny zwykle wymaga od audytowanej firmy zebrania i przedstawienia Microsoft dokumentacji zakupu i kluczy oprogramowania używanego oprogramowania. Głównym celem tego typu audytu jest udowodnienie przez firmę zgodności z umową licencyjną Microsoft.
Audyt SAM Engagement jest zazwyczaj przeprowadzany przez firmę zewnętrzną. Koszt SAM Engagement jest zazwyczaj w 100% pokrywany przez Microsoft. Audytowana firma zazwyczaj otrzymuje rekomendację dotyczącą prawidłowego licencjonowania oprogramowania.
Najbardziej rygorystycznym audytem Microsoft jest audyt zgodności z umowami licencyjnymi (LCC). Audyt ten jest przeprowadzany, gdy firma zignoruje lub odrzuci prośbę Microsoft o przeprowadzenie samodzielnego audytu lub zaangażowania SAM. Ze względu na swój obowiązkowy charakter, audyt LCC jest formalny i może prowadzić do działań prawnych. Audyty LCC zwykle prowadzą do dodatkowej sprzedaży dla Microsoft z powodu nieodpowiednich licencji od audytowanych firm. Ten typ audytu jest często związany z utworzeniem przez Microsoft sprawy sądowej przeciwko audytowanej firmie w celu uzyskania rekompensaty finansowej. Mogą to być zarówno proste kary, jak i postępowanie sądowe. To ostatnie jest zwykle najgorszym scenariuszem. Bardziej powszechną rekompensatą jest wspomniana powyżej dodatkowa sprzedaż licencji.
Dlaczego Microsoft przeprowadza audyty?
Microsoft może przeprowadzić audyt losowo i w dowolnym momencie. Jeśli firma korzysta z licencji Microsoft, istnieje szansa, że może zostać poddana audytowi w takim czy innym momencie. Audyty to regularne kontrole przeprowadzane przez Microsoft, które mają na celu ustalenie, czy firma legalnie korzysta z jej oprogramowania. Głównym celem audytu Microsoft jest sprawdzenie, czy liczba licencji na oprogramowanie jest zgodna z licencjami z dowodem zakupu. Ponadto podczas audytu sprawdzane jest również licencjonowanie całego oprogramowania i użytkowników/urządzeń.
Jeśli Microsoft ma jakiekolwiek powody, by sądzić, że firma nie przestrzega umowy licencyjnej i/lub nielegalnie korzysta z oprogramowania, najprawdopodobniej zostanie ona poddana audytowi. Audyt może być wywołany przez wiele czynników, takich jak nietypowe wzorce użytkowania oprogramowania. Innym powodem audytu może być niedawny zakup lub odnowienie oprogramowania. W takich przypadkach audyt sprawdza, czy faktycznie licencjonowana jest odpowiednia ilość wymaganego oprogramowania. Firmy, które niedawno połączyły się lub nabyły inne przedsiębiorstwo, również mogą zostać poddane audytowi Microsoft, aby uniknąć zaniżania licencji w wyniku nieporozumień.
Co sprawdza audytor podczas audytu Microsoft?
Audytorzy zewnętrzni są zatrudniani przez Microsoft w celu gromadzenia i dostarczania producentowi oprogramowania dostępnych danych dotyczących korzystania z oprogramowania przez badaną firmę. Audytorzy muszą pozostać bezstronni zarówno wobec Microsoftu, jak i audytowanej firmy, dlatego najczęściej wychodzą z założenia, że firma nie licencjonuje prawidłowo. W przypadku jakichkolwiek niejasności lub rozbieżności audytorzy skłaniają się bardziej ku stronie Microsoftu. Po zbadaniu danych i dowodów licencyjnych firma audytorska przedstawia raport końcowy zarówno firmie klienta, jak i Microsoft. Nie jest to jednak ostateczna decyzja Microsoftu. W przypadku, gdy firma nie zgadza się z raportem audytora, może sprzeciwić się ustaleniom, dostarczając brakujący kontekst lub dokumentację.
Jak przygotować się do audytu Microsoft?
Po otrzymaniu powiadomienia o zbliżającym się audycie Microsoft, firmy zazwyczaj przeprowadzają wstępny wewnętrzny "audyt", licząc używane oprogramowanie i zbierając odpowiednie dowody zakupu. Firmy przygotowują się również do Audytu Microsoft poprzez konsekwentne śledzenie swoich dokumentów i dowodów zakupu oprogramowania w zorganizowanej bazie danych. Po otrzymaniu listu o nadchodzącym audycie, firmom zaleca się również policzenie wszystkich maszyn wirtualnych, serwerów fizycznych i licencji CAL dla użytkowników/urządzeń. Duże organizacje wykonują Software Asset Management, aby upewnić się, że są zgodne z zasadami Microsoftu.
W jakich przypadkach można nie przejść audytu Microsoft?
Jedną z najczęstszych przyczyn niepowodzenia audytu Microsoft jest brak odpowiedniej wiedzy lub zrozumienia umowy licencyjnej. Umowa licencyjna firmy może być zależna od kontekstu. Ponieważ audytorzy nie mają wiedzy na temat konkretnego kontekstu każdej firmy, nie mogą wziąć go pod uwagę podczas audytu. Dlatego firmy, które licencjonują swoje oprogramowanie w zależności od dodatkowych okoliczności, muszą przedstawić odpowiednie informacje i dokumenty na poparcie swoich wyborów licencyjnych.
Innym powodem, dla którego firma może nie przejść audytu Microsoft, jest błąd w obliczeniach. Audytorzy zazwyczaj korzystają z programu Excel do gromadzenia danych niezbędnych do obliczenia licencji, jednak w tym procesie mogą wystąpić błędy. Z tego powodu firmom zaleca się krytyczną ocenę danych przez audytorów i zgłaszanie wszelkich nieporozumień lub błędnych obliczeń.
Oprócz błędów popełnianych przez audytorów, firmy mogą być odpowiedzialne za błędne dane inwentaryzacyjne. Niezależnie od tego, czy jest to zamierzone, czy nie, niezorganizowane dane Active Directory mogą prowadzić audytorów do błędnego gromadzenia niezbędnych danych. Innymi czynnikami mogą być również nieaktualne, niekompletne lub niskiej jakości dane inwentaryzacyjne. Środowiska testowe i nieuwzględniony rozwój w wymaganiach oprogramowania firmy mogą również fałszywie przedstawiać rzeczywiste wykorzystanie oprogramowania, a tym samym raporty audytorów. Dlatego w przypadku audytu firmy zazwyczaj decydują się na przeprowadzenie wewnętrznego "audytu" swojej bazy danych sprzętu i oprogramowania, aby przygotować i zorganizować ją dla audytorów.
Firma korzystająca z większej liczby oprogramowania niż wskazana w dowodzie zakupu również nie przejdzie audytu Microsoft. Zakładając, że nie doszło do wykorzystania wytycznych Microsoftu i przypadkowo brakuje dowodu zakupu (np. faktury), firma ma prawo dostarczyć go dodatkowo. Niektórymi dowodami zakupu mogą być licencje Software Assurance, oświadczenie licencyjne Microsoft, licencje OEM lub faktura. W przypadku audytu firmy nie muszą dostarczać wszystkich rodzajów dowodów zakupu. Dopóki istnieje dokument prawny lub pojedynczy dowód zakupu, który potwierdza liczbę używanego oprogramowania, nie ma powodu, aby firma nie przeszła audytu Microsoft. Przestrzeganie wszystkich ogólnych zasad i szczegółowych warunków określonych w umowie licencyjnej doprowadzi do pozytywnego wyniku audytu.
Jakie są konsekwencje niezaliczenia audytu Microsoft?
Jeśli firma nie przestrzega umowy licencyjnej Microsoft lub nie udowodni, że tak jest, może ponieść pewne konsekwencje. Na przykład firma otrzyma grzywnę i/lub kary. W stosownych przypadkach Microsoft może również podjąć działania prawne przeciwko firmie w oparciu o nielegalne korzystanie z oprogramowania. Oprócz zapłacenia wyżej wspomnianej grzywny (grzywien), firma może być zobowiązana do przestrzegania umowy licencyjnej Microsoft poprzez zakup licencji, dla których nie ma dowodu zakupu. Firmy, które nie przeszły audytu Microsoft, zgłaszają również szkody reputacyjne.