Představte si, že jako zaměstnanec oddělení výpočetní techniky přijdete jednoho původně hezkého rána do práce a jako každý jiný den se s kolegy probíráte u kávy. Probíráte také novinky, svoje pracovní úkoly a snažíte se společně najít řešení problémů. Vtom k vám na oddělení nečekaně zavítá sám jednatel společnosti! Už si ani nevzpomínáte, kdy jste ho viděli naposledy. Jímá vás předtucha, že dobré zprávy zřejmě nenese. Místo mimořádných prémií drží v ruce dopis, ve kterém se píše o nařízeném softwarovém auditu a návštěvě auditorů ohlášené pouhých 30 dnů předem. Během minuty vás stručně seznámí s požadavky, co od vás chce připravit a vidět. Hned. Polije vás pot, jednatel totiž netuší, jak velký to může být problém a co od vás vlastně žádá. Jako byste toho už takhle neměli až nad hlavu…
Myslíte si, že je to jen pohádka pro zlobivé firmy a vám se nemůže přihodit? Opak je pravdou, nařízené softwarové audity a kontroly jsou u nás stále častější a obzvláště v čase hospodářské recese se budou výrobci softwaru více věnovat podobným kontrolám – některé jsou namátkové, jiné vycházejí ze statistik jejich prodejů jednotlivým zákazníkům, některé mohou být i na doporučení konkurentů, bývalých zaměstnanců, jiných softwarových výrobců.
Jen necelá polovina společností v České republice vede záznamy o nabývacích dokladech, seznam koncových stanic s instalovaným softwarem a přiřazení softwarových licencí ke stanicím, uživatelům i oněm dokladům. Navíc přibližně pouhá desetina z těchto společností má zavedené firemní procesy, které zajišťují aktuální stav všech potřebných informací. V ideálním případě tedy zaměstnanec IT připraví pro svého šéfa pouze report z auditovacího nástroje, a pokud objeví nějaký nedostatek, poradí se se svým dodavatelem softwaru nebo licenčními konzultanty a navrhne adekvátní řešení. Takových případů je však jen minimum.
O poznání hůř jsou na tom oddělení IT, která sice vědí, že u nich nějaká evidence existuje, ať už v auditovacím nástroji, v databázi nebo v obyčejné tabulce, ale také tuší, že není úplně v pořádku. Chybí záznamy o nákupech z posledních několika měsíců nebo dokonce let, o stavu softwaru na koncových stanicích nemají aktuální znalost a rozmotat klubko licencí pro serverové aplikace nebude vůbec jednoduché. Stále však máte v takovém případě výhodu alespoň částečné evidence a matné představy, jak by měl vypadat výsledek vaší práce a výstup pro šéfa.
Dle statistiky však s největší pravděpodobností budete nejspíš pracovat ve firmě, která nemá potřebnou evidenci v elektronické podobě zavedenou vůbec a dopis pro jednatele se tak stane vaší noční můrou. Jen stěží v takovém případě dokážete dát věci do pořádku během pouhého měsíce. V takovém případě je mnohem méně riskantní přiznat si pravdu (co nejdříve!) a urychleně pozvat odborníky pro správu softwarových prostředků a licenční experty.
Jak se připravit na audit?
Obecně jsou dvě cesty: řádně, nebo narychlo. Ta první zabere více času, ale vyplatí se, je určitě ekonomičtější. Ta druhá je tak trochu „z nouze ctnost“ – a za tento typ řešení se v IT (a nejen v IT) vždycky platí. Třeba tím, že jsou pracná, riziková a neefektivní.
Tak v první řadě je důležité provést důkladnou inventarizaci desktopových stanic i serverové infrastruktury. Nápomocný vám může být šikovný auditovací nástroj, který umí provést spoustu úkonů za vás. Nastavit ale nástroj tak, aby pracoval se sesbíranými daty podle vašich představ, může být občas oříšek. V menších firmách se jeví jako řešení i ruční inventarizace. Ta má však do budoucna nulovou hodnotu, protože sesbírané informace jsou neaktuální ještě dříve, než dokončíte evidenci, pokud nemáte dobře zavedené procesy a bezpečnostní pravidla.
Vaším dalším krokem bude získání přehledu o všech nákupech softwaru od účetního oddělení a dohledání potřebných dokladů. Doklady musí pro prokazatelné splnění autorskoprávních podmínek obsahovat kupu náležitostí. Může se stát, že s tímto faktem vás seznámí až sám pan auditor z KPMG (E&Y, D&T nebo PWC… lepší výběr už ani mít nemůžeme) o měsíc později. O to děsivější je takové zjištění, protože získat korektní nabývací doklady je často nelehký úkol spojený s desítkami telefonátů a e-mailů s vašimi dodavateli softwaru a hardwaru (s OEM licencemi).
Nejtěžší úkol vás ale stále teprve čeká – správné přiřazení licencí k uživatelům a zařízením. Jen tak jste schopni zjistit, co vám chybí nebo přebývá. Obzvlášť serverová infrastruktura a uživatelské přístupy k serverům bývají oříškem i pro tým licenčních specialistů. Několik málo pouček, „vlastní názor“ a „selský rozum“ vám mohou poskytnout pocit, že licenční problematice rozumíte a dokážete si poradit. Pokud jste ovšem pořádně nepřečetli všechny licenční smlouvy a neporozuměli jim do detailu, nejspíš vás do reality a s ní spojených hádanek a hádek nad licenční problematikou probudí opět ti auditoři, u kterých není odpouštění zrovna silnou stránkou.
Nezapomeňte, že samotná evidence přiřazení licencí je pro softwarový audit téměř klíčová záležitost a obyčejná tabulka vám v tomto případě nemusí stačit. Musíte být schopni doložit životní cykly jednotlivých licencí s odkazem na konkrétní zaměstnance, počítače, notebooky nebo dnes i chytré telefony. Bohužel ani některé auditovací nástroje neumí zatím nabídnout plný komfort. Přesto vždy existuje nějaké řešení, jak mít pro auditory připravené uspokojivé podklady.
Dny i týdny utíkají rychleji, než byste si přáli, a hrozba se blíží. Není jednoduché stihnout v tak krátkém čase práci, kterou jiní připravují i několik měsíců. Že má vaše firma ještě dceřinou nebo mateřskou společnost? Pak před vámi stojí ještě několikanásobně složitější problém…
Pokud nechcete, aby za všemi těmi víkendy v práci a mimořádnými nočními šichtami přistála kritická auditorská zpráva, pokuta pro firmu a postih pro vás, raději si přizvěte na pomoc certifikované partnery zkušené v oblasti auditů a správy softwarových prostředků (SAM), kteří vám se svými licenčními specialisty dokážou pomoci.
Auditor odchází, můžete si oddechnout.
Jestli už vás zachránil princ na bílém koni, kouzelný dědeček nebo sedm pracovitých trpaslíků, dejme tomu, že auditorská saň zkrotla a odchází. Pokud jste dokázali po heroickém výkonu obstát bez ztráty kytičky, nejméně v příštím roce k vám znova nezavítají. Jednatel společnosti vás nejspíš ani nepochválí. Je pro něj přeci samozřejmé, že máte softwarové licence vždy pod kontrolou. Nemá ani tušení, co všechno jste museli zvládnout, aby audit dopadl dobře nebo abyste minimalizovali riziko. A vy si nejste dvakrát jisti, jestli mu o tom máte jít vyprávět. Aby si nepomyslel, že jeho milé spolehlivé fungující IT je jen „navrch huj“.
A co takhle v tom započatém díle pokračovat (pokud jste návštěvu draka přežili), nebo raději začít s tou přípravou trochu dřív než 30 dní před nástupem kontroly? Možná máte ideální příležitost dotáhnout konečně přehled softwarových prostředků vaší firmy o kus dál. Navrhnout a zavést podnikové procesy, které vám zajistí aktuální přehledy nabývacích dokladů, počet využitých i volných softwarových licencí, kdykoliv si budete přát. Pokud někdy v budoucnu zaslechnete slovo „audit“, nebudou vám vstávat hrůzou vlasy na hlavě a nevybaví se vám několik bezesných nocí. Můžete konečně začít proaktivně řídit zacházení se softwarovými prostředky efektivně a optimalizovat náklady.
Lubomír Buben
Mimochodem, věděli jste, že DAQUAS v téhle pohádce může být rytíř, trpaslík, dědeček a taky drak?!
Úplně nejraději jsme ale dobrá sudička, která vás nebezpečí a rizik včasným zásahem vystříhá. Stačí zavolat, nemusíte čekat, až svíčka dohoří…