KEINE PANIK

Auditabwehr in der Praxis

Deutsche Gesellschaft für Recht und Informatik

26.10.2015Folie Nr. 1

Agenda

Auditankündigung

Die Prüfer

Der Scope

Der Verantwortliche

Die Prüfung 30 + 10

SOM Prozesse

Die Lizenzvorschriften

Interne und externe Zugriffe

Industrial Devices

Gebrauchte Software

Die Konsequenzen: Keine Panik, oder doch?

26.10.2015DGRI Folie Nr. 2

Auditankündigung

26.10.2015DGRI Folie Nr. 3

Nahezu alle Hersteller behalten sich das Recht zur Überprüfung des Lizenzierungsstandes bei ihren Kunden vor.

- Microsoft:"Sie müssen über die Produkte, die Sie und Ihre verbundenen Unternehmen unter einem Lizenzvertrag laufen lassen, Aufzeichnungen führen. Wir sind berechtigt, die Einhaltung der Lizenzverträge auf eigene Kosten während der Laufzeit des jeweiligen Lizenzvertrages und eines Beitrittes sowie für ein Jahr danach zu überprüfen.Wir werden hierfür einen unabhängigen Buch- oder Wirtschaftsprüfer einer international anerkannten Wirtschaftsprüfungsgesellschaft, welche Vertraulichkeitsverpflichtungen unterliegt, beauftragen. Die Überprüfung wird mindestens 30 Tage vorher angekündigt und findet während der normalen Ge-schäftszeiten in einer Art und Weise, die Ihre normale Geschäftstätigkeit nicht unangemessen beeinträchtigt, statt. Alternativ können wir Sie auffordern, unseren Eigenprüfungs-Fragebogen in Bezug auf die Produkte für Sie und Ihre verbundenen Unternehmen, die an einem Lizenzvertrag teilnehmen, korrekt auszufüllen.“

Auditankündigung

26.10.2015DGRI Folie Nr. 4

• Mit der Nominierung zu einer Lizenz-Plausibilisierung teilt Microsoft Ihnen die Rahmenparameter mit

• Beauftragtes Wirtschaftsprüfungsunternehmen (z.B. KPMG, Rölfs Partner, etc.)

• Zeitrahmen der Lizenz-Plausibilisierung

• In der Regel recht kurzfristig, es besteht jedoch die Möglichkeit die Termine mit dem Wirtschaftsprüfer abzustimmen

• Aufforderung des Wirtschaftsprüfers einen Lizenz-Audit-Fragebogen vor dem Vor-Ort-Termin zur Verfügung zu stellen

Ankündigung der Lizenz-Plausibilisierung

Auditankündigung

26.10.2015DGRI Folie Nr. 5

• In Form des Lizenz-Audit-Fragenbogens werden folgende Informationen von Ihnen angefordert:

• Allgemeine Informationen über Ihr Unternehmen, z.B. Ansprechpartner, Unternehmensverbünde etc.

• Allgemeine Informationen bezüglich Ihrem SAM und Ihrer Infrastruktur, z.B. Tools, Prozesse, Standards, IT-Infrastruktur

• Detaillierte Daten der installierten Microsoft Softwareprodukte auf Ihren PCs und Servern

• Informationen über die möglichen Zugriffe auf Microsoft Server und Serverapplikationen

• Detaillierte Daten hinsichtlich Ihrem vollständigen Lizenzinventar

Lizenz-Audit-Fragebogen

Auditankündigung

26.10.2015DGRI Folie Nr. 6

• In Form des Lizenz-Audit-Fragenbogens werden folgende Informationen von Ihnen angefordert:

• Allgemeine Informationen über Ihr Unternehmen, z.B. Ansprechpartner, Unternehmensverbünde etc.

• Allgemeine Informationen bezüglich Ihrem SAM und Ihrer Infrastruktur, z.B. Tools, Prozesse, Standards, IT-Infrastruktur

• Detaillierte Daten der installierten Microsoft Softwareprodukte auf Ihren PCs und Servern

• Informationen über die möglichen Zugriffe auf Microsoft Server und Serverapplikationen

• Detaillierte Daten hinsichtlich Ihrem vollständigen Lizenzinventar

Lizenz-Audit-Fragebogen

Die Prüfer

KPMG

Deloitte

Rölfs & Partner

BSA Business Software Alliance

Microsoft SAM Team

European Operation Center (MIOL)

26.10.2015DGRI Folie Nr. 7

Microsoft

26.10.2015DGRI Folie Nr. 8

Microsoft

26.10.2015DGRI Folie Nr. 9

Der Scope

Vertrag / Verträge

26.10.2015DGRI Folie Nr. 10

• Anzahl der Unternehmen / Gesellschaften

• Anzahl der Standorte

• Anzahl der Länder

Unternehmensstruktur

• Anzahl der User

• Anzahl der Clients

• Anzahl der Server

IT-Infrastruktur (Kennzahlen)

Der Verantwortliche

CIO

Geschäftsführer/Vorstand

Bereichsverantwortliche

26.10.2015DGRI Folie Nr. 11

Der Verantwortliche

26.10.2015DGRI Folie Nr. 12

WER HAFTET IN EINEM UNTERNEHMEN?

§ 31 BGB Organhaftung: das Unternehmen für seine Mitarbeiter § 31a BGB Verschulden: persönlich Haftung, wenn sie selbst eine Verantwortlichkeit für

Rechtsverletzungen trifft (Vorsatz, grobe Fahrlässigkeit) § 278 BGB Organisation: Geschäftsführer und Vorstände eines Unternehmens und dessen

Mitarbeiter (Erfüllungs- und Verrichtungsgehilfen) § 831 Abs. 1 BGB Organisationsverschulden: Exkulpationsmöglichkeit bei nachgewiesenem Einsatz

von Richtlinien und Prozessen (ordnungsgemäßen Auswahl und Leitung)

WOFÜR HAFTET EIN UNTERNEHMEN?

§ 101, S. 1 UrhG: Auskunftspflicht (Frist 30 Tage)• Welche urheberrechtlich geschützten Produkte (§ 69a Abs. 3 UrhG) sind eingesetzt?• Welche Berechtigungen (Lizenznachweise) habe ich dafür erworben?• (ggf aus Vertrag): Wie ist die Zuweisung der Berechtigungen dokumentiert?• Wie passen diese Daten zusammen (Compliance Status)?• Wie wurden diese Daten ermittelt?

Der Verantwortliche

26.10.2015DGRI Folie Nr. 13

GLOBALCEO

CIO (Erfüllungsgehilfe)Exkulpation

Globaler Lizenz Manager

(Verantwortlich/Haftbar)

(Erfüllungsgehilfe)

LOCALGeschäftsführer

IT Verantwortlicher

Lokaler Lizenz Manager

(Verantwortlich/Haftbar)

(Erfüllungsgehilfe)

(Erfüllungsgehilfe)

Exkulpation

Die Prüfung

26.10.2015DGRI Folie Nr. 14

• Der Wirtschaftsprüfer beginnt in der Regel mit einem Startgespräch, in dem der organisatorische Ablauf des Besuchs abgestimmt wird, sowie die für die Plausibilisierung benötigten Unterlagen benannt werden

• Im Anschluss an das Startgespräch wird der Wirtschaftsprüfer die von Ihnen erhaltenen Daten auswerten

• Der Wirtschaftsprüfer wird die von Ihnen genutzten Microsoft Server Produkte im Rahmen von Installationstest überprüfen:

• z.b. auf Basis des Active Directory, Update Protokolle von Virenscannern, Admin-Konsole von Exchange und Citrix, etc.

• Ergänzend werden Installationstest an PCs durchgeführt, d.h. Sie werden gebeten, die installierte Software an ausgewählten Systemen anzuzeigen

• In einem Abschlussgespräch wird der Wirtschaftsprüfer Ihnen die Ergebnisse im Entwurf präsentieren und eventuelle Fragen klären

Vor-Ort-Plausibilisierung in Ihrem Unternehmen

SOM Prozesse

4 Stufige Einteilung aller Prozesse

26.10.2015DGRI Folie Nr. 15

Ergebnis: Schwachstellen in der Prozessstruktur fließen in die Schätzung ein

SOM Prozesse

10 Fragen zur Überprüfung des Umgangs mit Software

26.10.2015DGRI Folie Nr. 16

ISO 19770-1 Kategorie Kernkompetenz Frage

Organisations-management

SAM organisationsweitWie wird das Software-Ressourcenmanagement (dokumentierte Verfahren, Rollen,

Verantwortlichkeiten und Executive-Sponsoring) in den einzelnen Infrastrukturgruppen umgesetzt?

Organisations-management

SAM-OptimierungsplanVerfügt Ihre Organisation über einen abgesegneten Plan zur eigenständigen Optimierung von SAM?

SAM-InventarHardware- und

Softwareinventar

Wie viel Prozent der PCs und Server werden in einem zentralen Softwareinventar/CMDB (Configuration Management Database) erfasst? Wie viel Prozent der PCs und Server werden aktuell

von einem Tool zum Verwalten der Hardware und Software erfasst und gepflegt?

SAM-Inventar Korrektheit des InventarsWie häufig wird das Softwareinventar mit anderen Quellen abgeglichen, um die Korrektheit der

Lizenzangaben (zum Beispiel Nutzerzählungen auf Basis von Personaldaten) zu überprüfen?

SAM-VerifizierungDokumentation der

Lizenzberechtigungen

Wie viel Prozent der erworbenen Softwarelizenzen werden in einem Lizenzberechtigungsinventar dokumentiert (zentrale Datenhaltung/Verfolgung aller erworbenen Lizenzen)?

SAM-VerifizierungRegelmäßige

Selbstüberprüfung

Wie häufig wird die eingesetzte (verwendete) Software mit den vorhandenen Softwareberechtigungen (erworbenen Lizenzen) abgeglichen? Softwareberechtigungen sind

erworbene Softwarelizenzen.SAM-

Prozessmanagement und -Schnittstellen

Prozessmanagement-Schnittstellen

In welchem Maß nutzen die Prozessmanagementfunktionen (Verträge, Anlagevermögen, Servicesupport, Sicherheit, Netzwerkbelange) die Software- und Hardwareinventare?

Schnittstellen zum Lebenszyklusprozess

BeschaffungsprozessWie viel Prozent der in Ihrer Organisation insgesamt erworbenen Software werden über eine zentrale

Beschaffung eingekauft, gesteuert und verfolgt?

Schnittstellen zum Lebenszyklusprozess

BereitstellungsprozessWie viel Prozent der organisationsweit auf PCs und Servern bereitgestellten Software (für alle

Betriebssysteme) werden durch zentrale Quellen oder über eine kontrollierte Verteilungsumgebung installiert?

Schnittstellen zum Lebenszyklusprozess

AusmusterungsprozessWie viel Prozent der ausgemusterten Hardwareressourcen werden auf eine Weise verfolgt, die eine Wiederverwendung der darauf befindlichen Software ermöglicht? Wie viel Prozent der installierten

Software werden beim Ausmustern der zugrundeliegenden Hardware erfasst und wiederverwendet?

26.10.2015ConSalt Breakout April 2014 Folie Nr. 17

Order

Procurement

Deployment

Operation

Retirement

Application Lifecycle processes(technical)

Order

Procurement

Assignment

Optimization

Retirement

License Lifecycle processes

(commercial)

Core Asset Management

processes

Verification & Compliance processes

Management processes

Monitoring Major organizational

change

Calculation license status

OverlicensingUnderlicensing

Risk assessment

Monitoringlicense contracts

Archiving proof of license

License registration

Internal procurement

External procurement

Good Receiving

Identify license need (Client)Archiving of

old licenses

License assignment

Uninstall Software

HardwareRetirment

Hardware change

Moving

Software installation

Delivering Installation Key

Software request

Release Management

Change Management

Problem Management

Incident Management

Service & Configuration Management

Hosting SAM Technology

SAM Data Interface

Inventory Management

Software

Inventory

Hardware

Inventory

Software

Usage

Server

Access

License

Contracts

User Organization Service/

Software

catalog

Verification of inventory data

Verification of server access

Monitoring SAM policies

Assuring SAM Awareness

Continuous SAM reporting

Corporate Governance

Internal SAM Audit

SAM Relationship Management

Supplier Management

Outsourcing management

Monitoring Product lifecycle

Review SAM processesContinuous

SAM Improvement

Roles and Responsibilities for SAM

Service Level Management for SAM

Continuous staff training

Managing SAM Scope

SAM Service Management

Planning SAM budget

Planning IT budget

Financial Management

Contract management

Managing financial risks

Identify license need (Server)

License maintenance

License optimizing

Receive Install-ation medium

Die Lizenzvorschriften

Bekannte Schwachstellen

Interne und externe Zugriffe

Industrial Devices

Gebrauchte Software

26.10.2015DGRI Folie Nr. 18

Die Konsequenzen

26.10.2015DGRI Folie Nr. 19

Hersteller Audit Aktivitäten Risiko Symbol

OracleViele Audit Aktivitäten mit einer eigenen „Audit-Abteilung“ LMS (license management services). Sehr analytisches Vorgehen beim Abschätzen der finanziellen Chancen.

erhebliches Risiko

MicrosoftHohe Aktivität in Verbindung mit Vertragsverhandlungen. Zusammenarbeit mit Wirtschaftsprüfern.

erhebliches Risiko

Adobe Viele Aktivitäten mit teilweise sehr aggressivem Verhalten. erhebliches Risiko

SAPKeine expliziten Audits per Definition. Eine jährliche Systemvermessung ist Vertragsbestandteil. und wird mit dem SAP-eigene Tool LAW (License Administration Workbench) durchgeführt.

erhebliches finanzielles Risiko

IBM Sporadische Audit-Aktivitäten in Zusammenarbeit mit dem Wirtschaftsprüfer (KPMG) normales Risiko

Die Konsequenzen

K P M GKeine Panik – möchten Geld

26.10.2015DGRI Folie Nr. 20

Coming together is a beginning. Keeping together is progress. Working together is success.

(Henry Ford 1863-1947)