A licenceknek való megfelelőségi programok (szoftvereszköz menedzsment, vagy SAM – Software Asset Magement)) évek óta a jó vállalati kormányzás részét képezik a szoftverforgalmazóknál, ugyanakkor egyre gyakrabban és egyre nagyobb számban végeznek ügyfeleiknél szoftverauditokat. Ez is jelzi, hogy a szoftvergyártók egyre agresszívabban védik szellemi tulajdonhoz fűződő jogaikat, hogy pótolják a félre- és alullicencelt szoftverekből kieső bevételüket [1][6].

A cikk szerzője Horváth Csaba, a PwC Magyarország szakértője

Minderre a végfelhasználói szerződések biztosítják is a jogot számukra. Rendszeresen végeznek is ügyfeleiknél saját maguk vagy harmadik félen keresztül auditot, ám sokszor azért csapnak le, mert bejelentést kapnak például egy elégedetlen volt alkalmazottól.

A 2011-es Business Software Alliance (BSA) által végzett Global Privacy Study szerint a kalózszoftverek használata Közép és Kelet-Európában a nyugat-európai mérték közel kétszerese (32 vs. 62 százalék). Ez azt is jelenti, hogy régiónk cégei nagyobb eséllyel eshetnek szoftveraudit áldozataivá. A Gartner és a Forrester felmérései is azt mutatják, hogy nő a szoftverauditok valószínűsége: a két kutató cég egy eljövendő szoftveraudit valószínűségét 55 és 65 százalék közé becsüli [3][5].

Nem mindegy, mekkora és milyen jellegű az eltérés

Az, hogy egy audit mekkora és milyen típusú eltérést állapít meg a valódi licenchasználat és a szerződés között, függ a szoftvertípustól (pl. szerveroldali, kliensoldali, fejlesztői stb.), a használt szoftverek mennyiségétől – és nem utolsósorban az audit kiterjedésétől (pl. érintett programok és számítógépek – használt, raktáron levő; érintett földrajzi területek stb.). Ennek megfelelően az auditok végkimenetele is eltérő lehet. Nagy különbség van ugyanis az anyagi szankciókkal nem járó problémák – melyek többsége az adminisztratív feladatok (pl. a szükséges licenc transzfer dokumentum kitöltésének elhanyagolása az új adatközpontba költöztetést követően) el nem végzéséből fakad –, illetve a sokszor több tíz millió forintos (nem megfelelően használt termékenként 60 – 150 ezer forint) büntetésekkel végződő problémák között.

A pénzügyi vonzattal járó megfelelőségi hiányosságok tipikus okai nem feltétlenül a szándékosan megtévesztő használatból vagy egyéb illegális tevékenységből fakadnak. Az okokat kutatva ilyenkor inkább a szoftvereszköz menedzsment során a megfelelő kormányzás, szakértelem, folyamatok és technológiák hiányára derül fény. Hasonló hatást váltanak ki a környezeti változások is, például a cégfelvásárlások, egybeolvadások, elbocsátások, vagy egyszerűen az üzleti igények módosulása. Ilyenkor ugyanis szintén kialakulhat eltérés a megállapodásokban rögzített és a valós szoftverhasználat között [1][6]. Ha egy ilyen probléma felszínre kerül, célszerű  olyan belső folyamatokat kialakítani, amellyel az ezt követő, és nagy valószínűséggel bekövetkező audit sikeresen végrehajtható [6].

Az audit valószínűsége nem, de vele járó kockázatok csökkenthetők

Egy szoftveraudit könnyen rémálommá válhat, ha  az auditot végző céggel nem kerül aláírásra egy titoktartási nyilatkozat az auditot megelőzően. Az ellenőrzésből és büntetésből fakadó szégyen és reputációs veszteség ugyanis valóban komoly károkat okozhat az auditált cégnek. Ezért is célszerű a szoftverauditok elébe menni [2]. Arra is fel kell készülni, hogy egy audit akár hosszú hónapokig is eltarthat, ami jelentős erőforrásokat képes felemészteni: egy 400-500 fős cégnél legalább egy teljes foglalkoztatású alkalmazott teljes munkaidejét.  Az audit sikeres lebonyolításához célszerű szakemberek segítségét is kérni [4].

A szoftverauditokkal kapcsolatos kockázatok azzal is csökkenthetők, ha a cégen belül minden érintettet megismertetünk a különböző szoftvergyártók által alkalmazott licencelési feltételekkel. Az érintettek köre itt nem merül ki az IT-részleggel! A beszerzésnek, a kereskedő menedzsmentnek, a megfelelőséggel foglalkozóknak, a jogi osztálynak, a belső ellenőrzésnek és minden üzleti egységnek tisztában kell lennie ezekkel az előírásokkal, melyeket pontos szabályzatokban is rögzíteni kell. Az ilyen szabályzatok például az új szoftverek vásárlásának engedélyhez kötésével képesek biztosítani a jövőbeli megfelelőséget [1][4]. Célszerű tisztában lenni az általános licencelési metrikákkal is, azaz hogy milyen szabályok érvényesek ülésenként / eszközönként, felhasználónként, egyidejű felhasználónként, processzoronként, valamint logikai processzoronként.

Ugyancsak meg kell ismertetni az érintetteket az általuk használt szoftvertermék specifikus egyéb korlátozásaival is, például a területi, környezeti korlátokkal (fizikai és virtuális), a hardverspecifikáció-alapúval (fizikai processzorok maximum száma), sőt a rendszerrétegrendezés-alapú korlátokkal. Ez utóbbinak az a célja, hogy a specifikus hardverek csoportokba történő rendezésével elkülönítsék a licencköltségeket. Ebbe a körbe sorolhatók még a használati típus alapján meghatározott korlátozások (pl. éles, teszt és fejlesztői licencek), valamint a korábbi szoftververziók használatának problémakörei (pl. a korlátlan, korlátozott és nem engedélyezett).

Ahhoz, hogy ezeket a korlátozásokat a szervezet kötelezettségeivel összhangba lehessen hozni, bizonyos esetekben érdemes a területet jól ismerő jogi szakértőhöz fordulni [1].

Légy résen!

Ha felmerül a szoftveraudit lehetősége, célszerű azonnal értesíteni a belső tanácsadói részleget. Ha külsős jogi segítséget is igénybe szeretnénk venni (ami egyébként erősen javasolt), érdemes az első pillatattól bevonni a folyamatba, így már első lépésként az audit kiterjedését és időzítését is tudja egyeztetni.

Nem megfelelőség esetén különösen felértékelődik a jogi tanácsadás szerepe, főleg a helyzetet rendező megállapodás megkötésében. A felkészült jogi háttér nélkül ugyanis az egyeztetések és további felelősségek dokumentálatlanok maradhatnak. A felkészült jogi háttér abban is segíthet, hogy kedvezőbb büntetési végösszeget lehessen kialkudni.

De nem csak akkor jön jól a felkészült jogi háttér, ha valami nincs rendben. A tanácsadók abban is segíthetnek, hogy megfelelőséggel záruló audit után az eredményeket pontosan dokumentálják a felek [6]. Ez egyébként arra is jó alkalom, hogy a licencfeltételeket frissítsék, és összhangba hozzák a szervezet által használt legújabb technológiai trendekkel (pl. virtualizáció).

Az auditból leszűrhető információkat érdemes megosztani azokkal a részlegekkel, melyeknek ismerniük kell a szoftvergyártók által használt, fentebb említett licencelési metrikákat [1].

Mérés, monitorozás, nyomon követés

Nagyon fontos, hogy egy szervezet kialakítsa a  mérés, monitorozás és nyomkövetés folyamatát. A megfelelőség folyamatos mérésével ugyanis elkerülhetővé válnak a büntetések és esetleges reputációs sérelmek [1][4][6]. Ehhez gyakorlatilag folyamatosan monitorozni kell a szoftverlicenc-pozíciókat, a telepítéseket és szoftverhasználatot valamilyen szoftverlicencmenedzsment eszközzel. Célszerű kialakítani/ fejleszteni a szerződések központosított nyomon követését is, amire egy Excel táblázat is megfelelő lehet, de pénzügyi szoftverrel is megoldható. Persze vannak erre specializálódott szoftverlicenc-kezelő programok is [4][6].

Jobb megfelelőség – csökkenő auditkockázatok

Ha egy szervezet képes összhangba hozni a licencjogosultságait a tényleges telepítésekkel és használattal, értelemszerűen jobb pozícióba kerül egy audit esetén. De nem csak a gyorsabb és problémamentesebb auditban mutatkoznak meg az előnyök. Költségcsökkentési lehetőségekre is fény derülhet így  az IT optimalizálásán keresztül. Szintén pozitív hozadéka lehet ennek az is, hogy a szoftvergyártókkal jobb, zökkenőmentesebb lesz a kapcsolat, nő az IT-rendszerek biztonsága, és nem utolsósorban a szoftverkiadások megfelelő helyre történő könyvelése is könnyebbé válik.

Ezeket a célokat sokkal gyorsabban és hatékonyabban el lehet érni úgy, ha a folyamatokat egy megfelelő SAM programban rögzítjük, mint a munkavállalók audit alatt nyújtott ad hoc hősies erőfeszítéseivel [1].

Kis szakirodalom-ajánló: érdemes elolvasni

Az alábbiakban felsorolt cikkeket írásomhoz is felhasználtam, de akit a téma mélyebben is érdekel, további érdekes és tanulságos részletek ismerhet meg belőlük.

[1] Joshi, A., Ruhl, C., Grey, C. (2012), „Why General Counsel should Care about Software Asset Management”, zoomlens, January 2012.

[2] Robinson S. (2012), „How to Make Your Organization a Less Attractive Target for a Software Audit”, Credit Control, pp. 68-71.

[3] Robinson S. (2012), „Software Asset Management: Accidental Software Piracy”, Credit Control, pp. 71-72.

[4] Robinson S. (2012), „How to Survive a Software Audit”, Credit Control, pp. 64-66.

[5] BSA, IDC, IPSOS. (2011), „Global Piracy Study”, Retireved from http://globalstudy.bsa.org/2011/downloads/study_pdf/2011_BSA_Piracy_Study-Standard.pdf on 06.08.2013.

[6] McDowell, B. (2013), „Software license audits – How to survive a software license compliance audit”, Smart Business Cleveland, May 2013, p. 72.