Как избавить компанию от аудиторских проверок со стороны производителей ПО
Скотт Робинсон: «Вместо того чтобы только проверять, компаниям следовало бы помогать клиентам»

Как действует среднестатистический ИТ-менеджер в ситуации, когда предстоит аудиторская проверка со стороны производителя программного обеспечения, желающего убедиться в соблюдении условий лицензионного соглашения? Правильно — впадает в панику.

Эта реакция столь же нормальна, сколь и ошибочна. Этим менеджеры практически обрекают себя на все новые и новые проверки. Причем этот дамоклов меч будет висеть над головой ИТ-администратора не один год. «В паническом состоянии люди делают худшее из всего, что возможно, — они лезут за кошельком. Причем плата в такой ситуации может в полтора раза превосходить стоимость самой лицензии, — предупреждает Пэт Цикала, президент и генеральный директор Cicala & Associates. — Потом производится покупка более развернутой лицензии, заведомо покрывающей нужды компании, в надежде навсегда избавиться от проверок. За этим, как правило, следуют все новые и новые проверки...»

Есть куда лучшая стратегия — перейти в наступление. Вот пример. В марте 2002 года Скотт Робинсон, директор по технологиям головной организации публичных школ города Портленда, получил от корпорации Microsoft письмо с извещением о проведении аудиторской проверки. Ему давался срок в два месяца для подготовки необходимых документов и завершения соответствующих процедур. Расходы на все это примерно соответствовали оплате труда 10 учителей. Предстояло собрать требуемые документы о 20 тыс. компьютеров в школах района, размещавшихся в 125 зданиях, которые находились друг от друга на солидном расстоянии. Наконец, полностью соблюсти все требования было просто невозможно, поскольку 6 тыс. машин были приобретены на добровольные пожертвования. И Робинсон ответил быстро и решительно.

«Я заявил им, что я отключу каждый компьютер под управлением Windows и поставлю на него ОС Linux, — вспоминает он. — Мне не поверили». Робинсон был настроен серьезно, он действительно перевел компьютерные классы в пяти школах — то есть 30 машин — на Linux.

В Редмонде сразу же пошли на попятный и даже пригласили Робинсона выступить перед торговыми представителями корпорации, чтобы рассказать им об особенностях взаимоотношений аудиторов и клиентов. «Дело вовсе не в том, что кто-то хочет избежать ответственности за нарушения условий лицензии, — подчеркнул Робинсон. — Просто вместо того, чтобы только проверять, компаниям следовало бы помогать клиентам и сотрудничать с ними. Это лучший способ добиться соблюдения лицензионных соглашений».

Марк Пэрис, директор информационной службы проектно-строительной компании Kleinfelder, нашел свой способ уйти от аудиторской проверки ПО — на этот раз со стороны компании Oracle. В формальном обосновании необходимости аудита было указано сразу три или четыре причины, в том числе расширение бизнеса Kleinfelder и — в том же ряду — распространение отчетов Oracle среди внутренних пользователей, не имеющих лицензии на продукты Oracle. Кроме того, представители корпорации обратились к Пэрису с предложением рассмотреть иную, более дорогую схему лицензирования.

Пэрис занял твердую позицию, настаивая на рассмотрении каждой из причин по отдельности. «Задача производителя — ?обрушить? на вас лавину предупреждений или даже угроз, чтобы посеять в вас ужас. Это как если бы футболиста, который может обойти каждого игрока противника в одиночку, атаковала сразу вся команда соперников. Так, например, сам собой отпал аргумент роста. Наша компания действительно растет, однако время менять лицензию в связи с увеличением числа пользователей еще не наступило. Когда же я углубился в обсуждение вопроса о предоставлении отчетов Oracle, юридический отдел корпорации отказался от своих претензий по этому поводу. Рассматривая одну причину за другой, в конце концов мы пришли к обоюдному выводу, что у Oracle нет повода настаивать на проведении такой жесткой контрольной операции, как аудит».

Несмотря на успехи отдельных менеджеров, компаниям в целом следует готовиться все же именно к тому, что производители будут все чаще и все агрессивнее пользоваться своим правом на аудиторские проверки, предупреждает Джейн Дисбрау, аналитик из компании Gartner. «Причина этого кроется отчасти в экономическом спаде. Когда компания успешно разрабатывает и продает все новые и новые продукты, у нее просто нет времени заниматься аудитами. Если же прибыль сходит на нет, первое, что приходит производителю в голову, — попробовать поднять ее, проконтролировав, не обманывают ли ее клиенты, обходя условия лицензионных соглашений», — поясняет она.

Итак, если проверки не избежать, Дисбрау советует поручить решение всех вопросов, связанных с требованиями аудиторов, специалистам, которые занимают ключевые посты в компании, — они знают все аспекты бизнеса, лицензирования, защиты, а также технические тонкости. Необходимо организовать группу, объединяющую сотрудников информационной службы, отдела закупок, юристов и представителей отдела внутреннего аудита, способных собрать все данные об использовании лицензий и продумать защитные меры, перед тем как допускать в дела компании посторонних людей.

Все эксперты едины в том, что лучшее, что можно противопоставить аудиторским проверкам или самой угрозе таких проверок, — это хорошая программа управления ресурсами. Наличие такой программы отодвинет компанию на одно из последних мест в списке на проверку, составленном производителем ПО. «Хорошая программа управления ресурсами предполагает продуманную формулировку правил их использования, процедуры и дисциплинарные требования, обеспечение информированности пользователей и т.п.», — заявила Донна Джонсон-Эдвардс, консультант компании Tenax, специализирующейся на управлении ресурсами и обеспечении соблюдения условий лицензионных соглашений в области ИТ.

Защищайтесь

Восемь советов менеджеру, которому угрожает аудит программного обеспечения
  • Переходите в наступление. Немедленно начинайте готовить аргументы в пользу того, что аудит в вашей компании незаконен.
  • Обсуждайте каждую претензию в отдельности.
  • Организуйте специализированную группу, которая занималась бы разрешением всех вопросов с производителем.
  • Проверяйте наличие у системных администраторов сертификатов о регистрации, отпечатанных на бумаге лицензий и других документов, которые могут оказаться в самых разных шкафах и папках в многочисленных кабинетах.
  • Наведите справки у вашего реселлера, который, как правило, хранит архивные записи обо всех лицензиях на продаваемое им программное обеспечение.
  • Заранее продумайте минимальные требования безопасности, перед тем как допускать в дела компании посторонних людей.
  • Настаивайте на том, чтобы аудит оплачивал производитель.
  • В случае необходимости обращайтесь за советом к юристу.