Softwarelizenz-Auditoren versuchen, möglichst umfangreichen Zugang zu Unternehmensinformationen zu erhalten. Zudem drängen Sie darauf, einen engen Zeitplan vorzugeben. Beides müssen Sie als Unternehmen, das geprüft wird, nicht zulassen. [...]
Softwarehersteller wollen Geld verdienen. Vermutet einer Ihrer Softwarelieferanten, dass Ihr Unternehmen seine Produkte nicht vereinbarungsgemäß verwendet, dann sind Sie sehr schnell mit einem Audit konfrontiert. Wenn Sie sich dem augenscheinlich unabhängigen Auditor in gutem Glauben vertrauensvoll ausliefern und die Sache einfach über sich ergehen lassen, so wäre das der größte Fehler, den Sie machen können.
Der Softwarehersteller hat zwar höchstwahrscheinlich das Recht, ein Audit bei Ihnen durchführen zu lassen, Sie selbst haben aber starken Einfluss darauf, welchen Charakter dieses Audit annehmen wird: Ob Sie sich der Inquisition ausliefern oder eine sachlich richtige Prüfung unter Ihrer strikten Kontrolle verwirklichen. Wir haben für den Umgang mit Auditoren einen umfangreichen Leitfaden zusammengestellt, den Sie unter samconsulting@octosoft.ch kostenfrei anfordern können. Unter anderem erfahren Sie darin, wie Sie für die Recherchen des Auditors einen Flaschenhals aufbauen und auf diese Weise Ihre internen Informationen schützen.
AUDITS NÜTZEN EINE GRAUZONE
Das Problem mit Audits der Softwarehersteller ist, dass die vereinbarungsgemäße Verwendung von Software eine Grauzone und in vielen Fällen Auslegungssache ist. Von genau dieser Grauzone und dem Umstand, dass Sie vielleicht selbst nicht den hundertprozentigen Überblick über die bei Ihnen eingesetzten Softwareanwendung haben, profitieren Audits. Wenn Sie sich dem Auditor in gutem Glauben anvertrauen und in Ihrem Unternehmen frei recherchieren lassen, dann müssen Sie mit Nachforderungen rechnen, die Ihre Vorstellungen bei weitem übertreffen können.
Wichtig zu wissen ist, dass Audits verschiedene Formen annehmen können. Die mildeste Variante ist die einfache Selbsteinschätzung, wie sie Softwarehersteller oft von kleineren Organisationen verlangen. Die zweite, schärfere Variante ist das Assessement durch Ihren unmittelbaren Lieferanten. Diese Variante ist bereits mit größter Vorsicht zu genießen, da Ihr Softwarelieferant aufgrund seiner Verkäuferrolle in einem Interessenskonflikt steht und daher keine wirklich neutrale Position einnehmen kann. Es empfiehlt sich also, ein Assessment durch Ihren Lieferanten von einem unabhängigen SAM-Experten (Software Asset Management) begleiten zu lassen.
Wirklich ernst wird es, wenn Sie mit der dritten Variante konfrontiert sind: Dabei schickt Ihnen der Softwarehersteller einen Wirtschaftsprüfer ins Haus, der monate- und jahrelang bei Ihnen recherchiert und, um die Dinge beim Namen zu nennen, den normalen Geschäftsgang empfindlich stört.
REAGIEREN SIE RASCH
Eine grundsätzliche Empfehlung möchten wir Ihnen sofort mitgeben: Wenn Sie die schriftliche Ankündigung eines Audits erhalten haben, beachten Sie diese. Reagieren Sie schnell und kooperativ und vermitteln Sie dabei Gelassenheit. Auch wenn Sie wissen, dass Ihre Softwarelizenzen bzw. deren Dokumentation nicht ganz in Ordnung sind, lassen Sie keinesfalls irgendwelche Unsicherheiten zu dem Auditor oder zu Ihrem Softwarehersteller durchdringen. Und vor allem: Holen Sie sich rasch Hilfe. Octosoft bietet beispielsweise telefonische Beratung, die sich kurzfristig vereinbaren lässt und als Telko abgewickelt wird.
Bevor Sie ein Audit zulassen, sollte die Rechtsabteilung prüfen, ob ein Audit rechtlich überhaupt zulässig ist. Dabei sollte auch geklärt werden, ob Ihr Unternehmen bereits Geschäftsbeziehungen zu dem Auditor unterhält, denn das wäre für Sie ein Ablehungsgrund. Sollte das Audit rechtmäßig sein, so empfiehlt es sich, für diese Aufgabe einen vertrauenswürdigen Mitarbeiter abzustellen. Dieser sollte für den Auditor der einzige Ansprechpartner bleiben. Damit schaffen Sie für den Auditor einen Flaschenhals – er kann Informationen nur von diesem einen Mitarbeiter erhalten, womit Sie gleichzeitig alle anderen Mitarbeiter davor schützen, Befragungen ausgesetzt zu sein. Und natürlich haben Sie damit großen Einfluss darauf, welche unternehmensinternen Informationen der Auditor erhält.
Der Auditor wird versuchen, eine für Ihr Unternehmen unkontrollierte Situation zu schaffen, um auf diese Weise möglichst umfangreichen Zugang zu Informationen über Ihren Betrieb zu erhalten. Außerdem wird er anstreben, Ihnen einen engen Zeitplan vorzugeben. Beides müssen Sie nicht zulassen. Ein wichtiges Mittel ist dabei, die Arbeitsumgebung des Auditors streng zu kontrollieren. Am besten weisen Sie ihm einen »Darkroom« zu, in dem er sich ausschließlich aufhalten darf. Dieser Raum muss keinen Internetzugang oder ähnlichen Komfort aufweisen. Ein Tisch, Stühle und Beleuchtung genügen völlig. In diesem Raum werden alle Gespräche mit dem Auditor geführt und allenfalls Kontrollen gemacht. Ein interner Netzzugang für Betriebsangehörige wird vorhanden sein müssen, um gegebenenfalls Prüfungen auf den Systemen zu ermöglichen. An solch einem Computer sitzt aber immer nur ein Betriebsmitarbeiter. Dem Auditor gewähren Sie keinesfalls direkten Zugang zu Ihrem Firmennetzwerk.
Was den Umgang mit Daten betrifft, die Sie dem Auditor übergeben, so lassen Sie sich vor dem Beginn des Audits ein NDA unterschreiben. Dieses sollte unbedingt eine Löschungspflicht der Daten nach Beendigung der Arbeit enthalten, ebenso eine Ausnützungsklausel: Der Auditor darf nicht vom Resultat des Audits profitieren.
Mehr und ausführliche Praxistipps finden Sie in dem oben erwähnten Leitfaden. Darin geben wir Ihnen Richtlinien, wie Sie den Ablauf und das Ergebnis Ihres Audits möglichst positiv in Ihrem Sinn gestalten. Der Leitfaden geht dabei speziell auf den Umgang mit Ihrem Auditor ein und zeigt auf, wie Sie Ihre Interessen schützen. Behandelt werden unter anderem folgende Themen:
– Wie Sie sich optimal auf Ihr Audit vorbereiten.
– Wie Sie dem Auditor die Spielregeln vorgeben.
– Wie Sie den Datenaustausch in Ihrem Sinn definieren.
– Wie Sie einen günstigen Zeitplan ausverhandeln.
– Wie Sie den Auditbericht prüfen.
– Wie Sie sich für die Zukunft absichern.
Der Leitfaden arbeitet auch klar heraus, dass die Auswirkungen des Audits für Ihr Unternehmen unmittelbar davon abhängen, wie viel Aufmerksamkeit Sie dem Prozess widmen und wie geschickt Sie sich während des Audits verhalten. Wenn Sie gut verhandeln, wird es nach dem Audit vielleicht möglich sein, mit dem Hersteller eine einvernehmliche Lösung zu schaffen, etwa durch Nachlizenzierungen. Wenn Sie auf das Audit zu wenig Aufmerksamkeit legen und darauf hoffen, dass alles gut geht, können Sie plötzlich mit Nachforderungen in astronomischer Höhe konfrontiert sein. Denn der Auditor wird garantiert versuchen, seinen Job gut zu erledigen.
* Der Autor Martin Jörg ist CEO der Schweizer Octosoft AG.
Be the first to comment