KEINE PANIK - DGRI · Risk assessment Monitoring license contracts Archiving proof of license...
Transcript of KEINE PANIK - DGRI · Risk assessment Monitoring license contracts Archiving proof of license...
KEINE PANIK
Auditabwehr in der Praxis
Deutsche Gesellschaft für Recht und Informatik
26.10.2015Folie Nr. 1
Agenda
Auditankündigung
Die Prüfer
Der Scope
Der Verantwortliche
Die Prüfung 30 + 10
SOM Prozesse
Die Lizenzvorschriften
Interne und externe Zugriffe
Industrial Devices
Gebrauchte Software
Die Konsequenzen: Keine Panik, oder doch?
26.10.2015DGRI Folie Nr. 2
Auditankündigung
26.10.2015DGRI Folie Nr. 3
Nahezu alle Hersteller behalten sich das Recht zur Überprüfung des Lizenzierungsstandes bei ihren Kunden vor.
- Microsoft:"Sie müssen über die Produkte, die Sie und Ihre verbundenen Unternehmen unter einem Lizenzvertrag laufen lassen, Aufzeichnungen führen. Wir sind berechtigt, die Einhaltung der Lizenzverträge auf eigene Kosten während der Laufzeit des jeweiligen Lizenzvertrages und eines Beitrittes sowie für ein Jahr danach zu überprüfen.Wir werden hierfür einen unabhängigen Buch- oder Wirtschaftsprüfer einer international anerkannten Wirtschaftsprüfungsgesellschaft, welche Vertraulichkeitsverpflichtungen unterliegt, beauftragen. Die Überprüfung wird mindestens 30 Tage vorher angekündigt und findet während der normalen Ge-schäftszeiten in einer Art und Weise, die Ihre normale Geschäftstätigkeit nicht unangemessen beeinträchtigt, statt. Alternativ können wir Sie auffordern, unseren Eigenprüfungs-Fragebogen in Bezug auf die Produkte für Sie und Ihre verbundenen Unternehmen, die an einem Lizenzvertrag teilnehmen, korrekt auszufüllen.“
Auditankündigung
26.10.2015DGRI Folie Nr. 4
• Mit der Nominierung zu einer Lizenz-Plausibilisierung teilt Microsoft Ihnen die Rahmenparameter mit
• Beauftragtes Wirtschaftsprüfungsunternehmen (z.B. KPMG, Rölfs Partner, etc.)
• Zeitrahmen der Lizenz-Plausibilisierung
• In der Regel recht kurzfristig, es besteht jedoch die Möglichkeit die Termine mit dem Wirtschaftsprüfer abzustimmen
• Aufforderung des Wirtschaftsprüfers einen Lizenz-Audit-Fragebogen vor dem Vor-Ort-Termin zur Verfügung zu stellen
Ankündigung der Lizenz-Plausibilisierung
Auditankündigung
26.10.2015DGRI Folie Nr. 5
• In Form des Lizenz-Audit-Fragenbogens werden folgende Informationen von Ihnen angefordert:
• Allgemeine Informationen über Ihr Unternehmen, z.B. Ansprechpartner, Unternehmensverbünde etc.
• Allgemeine Informationen bezüglich Ihrem SAM und Ihrer Infrastruktur, z.B. Tools, Prozesse, Standards, IT-Infrastruktur
• Detaillierte Daten der installierten Microsoft Softwareprodukte auf Ihren PCs und Servern
• Informationen über die möglichen Zugriffe auf Microsoft Server und Serverapplikationen
• Detaillierte Daten hinsichtlich Ihrem vollständigen Lizenzinventar
Lizenz-Audit-Fragebogen
Auditankündigung
26.10.2015DGRI Folie Nr. 6
• In Form des Lizenz-Audit-Fragenbogens werden folgende Informationen von Ihnen angefordert:
• Allgemeine Informationen über Ihr Unternehmen, z.B. Ansprechpartner, Unternehmensverbünde etc.
• Allgemeine Informationen bezüglich Ihrem SAM und Ihrer Infrastruktur, z.B. Tools, Prozesse, Standards, IT-Infrastruktur
• Detaillierte Daten der installierten Microsoft Softwareprodukte auf Ihren PCs und Servern
• Informationen über die möglichen Zugriffe auf Microsoft Server und Serverapplikationen
• Detaillierte Daten hinsichtlich Ihrem vollständigen Lizenzinventar
Lizenz-Audit-Fragebogen
Die Prüfer
KPMG
Deloitte
Rölfs & Partner
BSA Business Software Alliance
Microsoft SAM Team
European Operation Center (MIOL)
26.10.2015DGRI Folie Nr. 7
Microsoft
26.10.2015DGRI Folie Nr. 8
Microsoft
26.10.2015DGRI Folie Nr. 9
Der Scope
Vertrag / Verträge
26.10.2015DGRI Folie Nr. 10
• Anzahl der Unternehmen / Gesellschaften
• Anzahl der Standorte
• Anzahl der Länder
Unternehmensstruktur
• Anzahl der User
• Anzahl der Clients
• Anzahl der Server
IT-Infrastruktur (Kennzahlen)
Der Verantwortliche
CIO
Geschäftsführer/Vorstand
Bereichsverantwortliche
26.10.2015DGRI Folie Nr. 11
Der Verantwortliche
26.10.2015DGRI Folie Nr. 12
WER HAFTET IN EINEM UNTERNEHMEN?
§ 31 BGB Organhaftung: das Unternehmen für seine Mitarbeiter § 31a BGB Verschulden: persönlich Haftung, wenn sie selbst eine Verantwortlichkeit für
Rechtsverletzungen trifft (Vorsatz, grobe Fahrlässigkeit) § 278 BGB Organisation: Geschäftsführer und Vorstände eines Unternehmens und dessen
Mitarbeiter (Erfüllungs- und Verrichtungsgehilfen) § 831 Abs. 1 BGB Organisationsverschulden: Exkulpationsmöglichkeit bei nachgewiesenem Einsatz
von Richtlinien und Prozessen (ordnungsgemäßen Auswahl und Leitung)
WOFÜR HAFTET EIN UNTERNEHMEN?
§ 101, S. 1 UrhG: Auskunftspflicht (Frist 30 Tage)• Welche urheberrechtlich geschützten Produkte (§ 69a Abs. 3 UrhG) sind eingesetzt?• Welche Berechtigungen (Lizenznachweise) habe ich dafür erworben?• (ggf aus Vertrag): Wie ist die Zuweisung der Berechtigungen dokumentiert?• Wie passen diese Daten zusammen (Compliance Status)?• Wie wurden diese Daten ermittelt?
Der Verantwortliche
26.10.2015DGRI Folie Nr. 13
GLOBALCEO
CIO (Erfüllungsgehilfe)Exkulpation
Globaler Lizenz Manager
(Verantwortlich/Haftbar)
(Erfüllungsgehilfe)
LOCALGeschäftsführer
IT Verantwortlicher
Lokaler Lizenz Manager
(Verantwortlich/Haftbar)
(Erfüllungsgehilfe)
(Erfüllungsgehilfe)
Exkulpation
Die Prüfung
26.10.2015DGRI Folie Nr. 14
• Der Wirtschaftsprüfer beginnt in der Regel mit einem Startgespräch, in dem der organisatorische Ablauf des Besuchs abgestimmt wird, sowie die für die Plausibilisierung benötigten Unterlagen benannt werden
• Im Anschluss an das Startgespräch wird der Wirtschaftsprüfer die von Ihnen erhaltenen Daten auswerten
• Der Wirtschaftsprüfer wird die von Ihnen genutzten Microsoft Server Produkte im Rahmen von Installationstest überprüfen:
• z.b. auf Basis des Active Directory, Update Protokolle von Virenscannern, Admin-Konsole von Exchange und Citrix, etc.
• Ergänzend werden Installationstest an PCs durchgeführt, d.h. Sie werden gebeten, die installierte Software an ausgewählten Systemen anzuzeigen
• In einem Abschlussgespräch wird der Wirtschaftsprüfer Ihnen die Ergebnisse im Entwurf präsentieren und eventuelle Fragen klären
Vor-Ort-Plausibilisierung in Ihrem Unternehmen
SOM Prozesse
4 Stufige Einteilung aller Prozesse
26.10.2015DGRI Folie Nr. 15
Ergebnis: Schwachstellen in der Prozessstruktur fließen in die Schätzung ein
SOM Prozesse
10 Fragen zur Überprüfung des Umgangs mit Software
26.10.2015DGRI Folie Nr. 16
ISO 19770-1 Kategorie Kernkompetenz Frage
Organisations-management
SAM organisationsweitWie wird das Software-Ressourcenmanagement (dokumentierte Verfahren, Rollen,
Verantwortlichkeiten und Executive-Sponsoring) in den einzelnen Infrastrukturgruppen umgesetzt?
Organisations-management
SAM-OptimierungsplanVerfügt Ihre Organisation über einen abgesegneten Plan zur eigenständigen Optimierung von SAM?
SAM-InventarHardware- und
Softwareinventar
Wie viel Prozent der PCs und Server werden in einem zentralen Softwareinventar/CMDB (Configuration Management Database) erfasst? Wie viel Prozent der PCs und Server werden aktuell
von einem Tool zum Verwalten der Hardware und Software erfasst und gepflegt?
SAM-Inventar Korrektheit des InventarsWie häufig wird das Softwareinventar mit anderen Quellen abgeglichen, um die Korrektheit der
Lizenzangaben (zum Beispiel Nutzerzählungen auf Basis von Personaldaten) zu überprüfen?
SAM-VerifizierungDokumentation der
Lizenzberechtigungen
Wie viel Prozent der erworbenen Softwarelizenzen werden in einem Lizenzberechtigungsinventar dokumentiert (zentrale Datenhaltung/Verfolgung aller erworbenen Lizenzen)?
SAM-VerifizierungRegelmäßige
Selbstüberprüfung
Wie häufig wird die eingesetzte (verwendete) Software mit den vorhandenen Softwareberechtigungen (erworbenen Lizenzen) abgeglichen? Softwareberechtigungen sind
erworbene Softwarelizenzen.SAM-
Prozessmanagement und -Schnittstellen
Prozessmanagement-Schnittstellen
In welchem Maß nutzen die Prozessmanagementfunktionen (Verträge, Anlagevermögen, Servicesupport, Sicherheit, Netzwerkbelange) die Software- und Hardwareinventare?
Schnittstellen zum Lebenszyklusprozess
BeschaffungsprozessWie viel Prozent der in Ihrer Organisation insgesamt erworbenen Software werden über eine zentrale
Beschaffung eingekauft, gesteuert und verfolgt?
Schnittstellen zum Lebenszyklusprozess
BereitstellungsprozessWie viel Prozent der organisationsweit auf PCs und Servern bereitgestellten Software (für alle
Betriebssysteme) werden durch zentrale Quellen oder über eine kontrollierte Verteilungsumgebung installiert?
Schnittstellen zum Lebenszyklusprozess
AusmusterungsprozessWie viel Prozent der ausgemusterten Hardwareressourcen werden auf eine Weise verfolgt, die eine Wiederverwendung der darauf befindlichen Software ermöglicht? Wie viel Prozent der installierten
Software werden beim Ausmustern der zugrundeliegenden Hardware erfasst und wiederverwendet?
26.10.2015ConSalt Breakout April 2014 Folie Nr. 17
Order
Procurement
Deployment
Operation
Retirement
Application Lifecycle processes(technical)
Order
Procurement
Assignment
Optimization
Retirement
License Lifecycle processes
(commercial)
Core Asset Management
processes
Verification & Compliance processes
Management processes
Monitoring Major organizational
change
Calculation license status
OverlicensingUnderlicensing
Risk assessment
Monitoringlicense contracts
Archiving proof of license
License registration
Internal procurement
External procurement
Good Receiving
Identify license need (Client)Archiving of
old licenses
License assignment
Uninstall Software
HardwareRetirment
Hardware change
Moving
Software installation
Delivering Installation Key
Software request
Release Management
Change Management
Problem Management
Incident Management
Service & Configuration Management
Hosting SAM Technology
SAM Data Interface
Inventory Management
Software
Inventory
Hardware
Inventory
Software
Usage
Server
Access
License
Contracts
User Organization Service/
Software
catalog
Verification of inventory data
Verification of server access
Monitoring SAM policies
Assuring SAM Awareness
Continuous SAM reporting
Corporate Governance
Internal SAM Audit
SAM Relationship Management
Supplier Management
Outsourcing management
Monitoring Product lifecycle
Review SAM processesContinuous
SAM Improvement
Roles and Responsibilities for SAM
Service Level Management for SAM
Continuous staff training
Managing SAM Scope
SAM Service Management
Planning SAM budget
Planning IT budget
Financial Management
Contract management
Managing financial risks
Identify license need (Server)
License maintenance
License optimizing
Receive Install-ation medium
Die Lizenzvorschriften
Bekannte Schwachstellen
Interne und externe Zugriffe
Industrial Devices
Gebrauchte Software
26.10.2015DGRI Folie Nr. 18
Die Konsequenzen
26.10.2015DGRI Folie Nr. 19
Hersteller Audit Aktivitäten Risiko Symbol
OracleViele Audit Aktivitäten mit einer eigenen „Audit-Abteilung“ LMS (license management services). Sehr analytisches Vorgehen beim Abschätzen der finanziellen Chancen.
erhebliches Risiko
MicrosoftHohe Aktivität in Verbindung mit Vertragsverhandlungen. Zusammenarbeit mit Wirtschaftsprüfern.
erhebliches Risiko
Adobe Viele Aktivitäten mit teilweise sehr aggressivem Verhalten. erhebliches Risiko
SAPKeine expliziten Audits per Definition. Eine jährliche Systemvermessung ist Vertragsbestandteil. und wird mit dem SAP-eigene Tool LAW (License Administration Workbench) durchgeführt.
erhebliches finanzielles Risiko
IBM Sporadische Audit-Aktivitäten in Zusammenarbeit mit dem Wirtschaftsprüfer (KPMG) normales Risiko
Die Konsequenzen
K P M GKeine Panik – möchten Geld
26.10.2015DGRI Folie Nr. 20
Coming together is a beginning. Keeping together is progress. Working together is success.
(Henry Ford 1863-1947)