Das erwartet Sie beim Software Compliance Audit

Alles, was Sie zu Vorbereitung, Durchführung und Nachbereitung eines Audits wissen müssen

Jedes Unternehmen setzt Software zur Unterstützung seines Geschäftsbetriebes ein. Es gibt unzählige Softwareprodukte auf dem Markt, die in der Regel nicht frei nutzbar sind, sondern lizenziert werden. Diese Produkte werden durch zahlreiche Softwarehersteller vertrieben, die jeweils eigene Verträge und eigene Lizenzbestimmungen haben. Um die Einhaltung der geschlossenen Verträge und Lizenzbestimmungen zu überprüfen, werden von den Softwareherstellern seit Jahren Software Compliance Audits durchgeführt.

Worauf müssen Sie sich einstellen, wenn bei Ihnen ein Audit ansteht? Wie können Sie sich vorbereiten? Wie läuft das Audit ab? Und welche Konsequenzen gilt es im Nachgang zu ziehen? Diesen Fragen möchte ich im Folgenden auf den Grund gehen.

Was ist ein Software Compliance Audit?

Die Softwarehersteller räumen sich in ihren Verträgen das Recht ein, die vertragsgemäße Nutzung ihrer Softwareprodukte bei ihren Endkunden zu überprüfen. Art und Umfang kann dabei variieren. Die Ankündigung einer solchen Lizenzüberprüfung erfolgt in der Regel kurzfristig. Die Herausforderung, vor der viele Unternehmen stehen, ist, sich schnellstmöglich einen Überblick über den aktuellen Lizenzbedarf zu verschaffen, mögliche Risiken zu identifizieren und entsprechende Ressourcen für die Bearbeitung des Lizenzaudits bereitzustellen.

Die Vorgehensweise der Audits ist genauso individuell wie die Verträge mit den Herstellern. Microsoft wählt einen anderen Weg als z.B. SAP oder IBM. Neben der Komplexität der einzelnen Lizenzbestimmungen kommt zusätzlich auch der Thematik rund um hybride Cloudszenarien eine stärkere Bedeutung zu. Welche Regelungen müssen bei Softwareprodukten beachtet werden, die zuvor in einer On-Premise-Umgebung verwendet wurden, wenn diese in die Cloud transferiert werden sollen? Ist dafür das aktuell gewählte Lizenzmodell das Richtige? Sind Nutzungsrechte für große Public Cloud-Anbietet vertraglich eingeräumt? Das sind alles Fragen, die von den verantwortlichen Lizenzmanagern ebenfalls bei einem Audit geprüft werden müssen.

Vor dem Audit – Ankündigung und Vorbereitung

Ankündigung und Gründe für das Audit

Die Softwarehersteller schicken i. d. R. ein Ankündigungsschreiben an ihren Vertragspartner. In diesem wird mit Verweis auf die Vertragsbedingungen eine Lizenzüberprüfung mit einer gewissen Frist angekündigt. In einigen Fällen wird die Überprüfung durch einen zertifizierten Partner durchgeführt, in anderen werden vom Hersteller beauftragte Wirtschaftsprüfungsgesellschaften eingesetzt, die eine Prüfung vornehmen sollen.

Warum ein Audit zu einer bestimmten Zeit angekündigt wird, kann nicht pauschal beantwortet werden. Entweder gibt es turnusmäßige Prüfungen oder Unternehmensgröße und Kundenbeziehungen spielen eine Rolle. Eventuell kann auch eine Unstimmigkeit in den Lizenzassets zu einer Überprüfung führen. 

Vorbereitung auf das Audit

Um bestmöglich auf ein Software Compliance Audit vorbereitet zu sein, sollten Sie sich schnell einen Überblick über den aktuellen Lizenzstatus verschaffen. Im Unternehmen eingesetzte SAM-Tools können hier helfen, sollten aber genauestens verifiziert werden.

Mit einem sog. Pre-Audit, das auch von den Lizenzexperten der TIMETOACT durchgeführt wird, identifizieren Sie ggf. Risiken oder Unklarheiten und können damit die Strategie für das Audit festlegen. Ein weiterer Vorteil ist bei einer vorigen Datenerhebung, dass das offizielle Audit deutlich verkürzt werden kann, weil die Softwarenutzungsdaten schon vorliegen bzw. man weiß, wie Daten ermittelt werden. Hier hilft es, sich einen erfahrenen Partner ins Boot zu holen, damit die Grundlage für den weiteren Verlauf des Audits auf soliden Beinen steht.

Da in einem Audit firmeninterne Daten mit externen Prüfungsgesellschaften oder Partnern ausgetauscht werden, sollte in jedem Fall eine detaillierte Geheimhaltungsvereinbarung (sog. NDA Non-Disclosure-Agreement) zwischen allen Parteien aufgesetzt und unterschrieben werden. Des Weiteren empfiehlt sich, einen Projektleiter für das Audit zu definieren, der die alleinige Kommunikation und den Austausch von Daten vornimmt, damit Daten nur kontrolliert und konsolidiert das Haus verlassen.

Lässt sich das Audit verschieben?

Da in den Verträgen meist ein Passus enthalten ist, dass der Geschäftsbetrieb nicht durch eine Lizenzprüfung eingeschränkt werden soll, haben Sie gute Argumente, das Audit zu verschieben. Generell um ein Audit herumzukommen ist schwierig, da das Recht meist in den Verträgen verankert ist. Hier kann nur über den juristischen Weg versucht werden, sich gegen ein Audit zu wehren. Allerdings gilt es, diesen Weg zu vermeiden und nach einer Kompromisslösung zu suchen.

Wir unterstützen Sie rund um Software License Consulting!

Nutzungsverhalten und Lizenzmodelle von Software ändern sich fortlaufend. Dadurch stellt sich häufig die Frage, ob die Kosten für Lizenzen, Support und Betrieb einer Applikation noch in einer vernünftigen Relation zur Nutzung stehen. Mit Software License Consulting behalten unsere Experten Ihre Lizenzen stets im Griff und vermeiden Fehllizenzierungen und zu hohe Kosten.

Während des Audits – Dauer und Durchführung

Dauer eines Audits

Die Dauer eines Audits variiert von Kunde zu Kunde und ist auch abhängig vom jeweiligen Hersteller. Genauso verhält es sich mit der Anzahl der involvierten Personen. Je nach Umfang können ganze Teams erforderlich sein, auf Kunden- wie auf Prüfer-Seite. Meist ist der personelle Aufwand beim Kunden jedoch sehr hoch, da viele Abteilungen betroffen sind, die über die Nutzung der Software Auskunft geben müssen.

Die Hersteller sind generell daran interessiert, ein Audit schnellstmöglich abzuschließen. Aus diesem Grund werden die Zeitpläne zur Datenlieferung meistens auch recht straff gehalten. Davon sollten Sie sich nicht unter Druck setzen lassen. Eine genaue Dauer eines Audits ist in keinem bekannten Vertrag genau definiert, somit besteht auf Kundenseite keine Verpflichtung zu vorschnell Daten zu übermitteln.

Durchführung eines Audits

Generell wird die Einhaltung der Lizenzbestimmungen überprüft und ob die Nutzung mit den erworbenen Lizenzen übereinstimmt. Dazu werden die erworbenen Lizenzen den tatsächlich festgestellten Nutzungsdaten gegenübergestellt. Aufgrund der Vielzahl an Softwareprodukten, -herstellern und -metriken ergeben sich unterschiedliche Vorgehensweisen der Datenerhebung und Prüfung. Bei einer User-Lizenz ist die Prüfung relativ einfach (aber auch hier können sich gravierende Unterschiede in der Definition eines „Users“ finden), bei Hardware-basierter Lizenzierung werden i. d. R. Processor Core Faktoren oder PVUs verwendet, die mit den vom Hersteller veröffentlichten Tabellen abgeglichen werden müssen. Nutzungsabhängige Lizenzierung ist meist schwieriger zu ermitteln, da hier häufig Tools zum Einsatz kommen, die über einen längeren Zeitraum ausgewertet werden müssen.

Welche Daten müssen preisgegeben werden?

Allgemein gilt: Es müssen nur Daten geliefert werden, die eine Bewertung der tatsächlichen Nutzung zulassen. Sensible Daten, wie Mitarbeiter oder Kundennamen, IP-Adressen oder Servernamen, sollten, wenn nicht unbedingt erforderlich, nicht herausgegeben werden.

Nach dem Audit – Ergebnis und Vorbereitung auf das nächste Audit

Ergebnisse des Audits

Nach Sammlung der Nutzungsdaten und der Vertragsdaten inkl. Lizenzbestand und sonstiger Zusatzvereinbarungen wird eine sogenannte Lizenzbilanz erstellt. Hier werden die Lizenzbestände der ermittelten Nutzung gegenübergestellt. Aus dem Ergebnis können viele Erkenntnisse gewonnen werden, wie zukünftig das IT Asset Management angepasst werden sollte.

In den seltensten Fällen gibt es eine korrekte Lizenzbilanz ohne Abweichungen. Bei Unterlizenzierung drohen ungeplante Nachzahlungen zu meistens schlechteren Konditionen als bei einem Neuprojekt und ggf. sogar Penaltyzahlungen und rückwirkende Wartungskosten. Aber auch eine Überlizenzierung zeigt, dass zu hohe Lizenzkosten gezahlt wurden und zumindest in der Planung und in der Vertragsgestaltung noch Verbesserungspotential besteht.  

Konsequenzen aus den Ergebnissen

Bei einer Unterlizenzierung empfiehlt sich die Unterstützung eines erfahrenen Beraters, der eine Verhandlung des Settlements (also den Ausgleich der festgestellten Lizenzdifferenz) am Ende für beide Seiten zu einem vernünftigen Ergebnis führen kann.

In jedem Fall sollte das Auditergebnis als Basis für die Zukunft genutzt werden. Ist noch kein umfangreiches Lizenzmanagement im Unternehmen vorhanden, kann eine Lizenzprüfung einen guten Startpunkt setzen. Aber auch bei einem bereits etablierten IT Asset Management ergeben sich Verbesserungspotentiale, entweder durch Anpassung bestehender Prozesse, im Reporting, im SAM-Tool oder in der zukünftigen Strategie hinsichtlich Softwarehersteller und der Vertrags- und Lizenzgestaltung. 

Wann folgt das nächste Audit?

Wann das nächste Audit kommt, ist vom Hersteller abhängig. Einige prüfen turnusmäßig, andere in Abständen von drei bis vier Jahren. Mit einem guten IT Asset Management haben Sie Ihre Kosten und Lizenzen im Blick und ein zukünftiges Audit muss nicht gefürchtet werden.

Fazit: Keine Angst vorm Audit – mit einem guten IT Asset Management

Glühbirne als Symbol für ein gut organisiertes Lizenzmanagement.

Softwarehersteller haben das Prüfungsrecht in ihren Verträgen verankert und üben dieses auch aus. Eine Ankündigung erfolgt immer kurzfristig, so dass Kunden vor der Herausforderung stehen, kurzfristig Ressourcen zu schaffen, die das Audit unterstützen. Es muss schnellstmöglich ein Überblick über den Lizenzstatus zu verschafft werden. Hier hilft ein gut organisiertes IT Asset Management mit entsprechenden Verantwortlichkeiten, Tools und Prozessen. Aufgrund der Komplexität empfiehlt sich die Einbindung eines Partners, der sich auf bestimmte Hersteller fokussiert hat.

Aber: Generell haben Sie als Kunde die Möglichkeit, Zeit und Ablauf mitzubestimmen und sollten sich nicht unter Druck setzen lassen. Die Lizenzbilanz am Ende des Audits kann man gut als Grundlage für den Aufbau eines IT Asset Managements oder für die Verbesserung bestehender Strukturen und Prozesse heranziehen.

Über den Autor: Carsten Timm

Carsten Timm ist seit 2020 als Senior License Consultant für die TIMETOACT tätig. Er verfügt über jahrelange Erfahrung im Bereich Lizenz- und Vertragsberatung sowie Auditbegleitung. Darüber hinaus unterstützt er Kunden beim Einsatz des IBM License Metric Tools mit Klassifizierung, Produktzuweisung und Beratung. Dabei betreut er die ganze Bandbreite von Unternehmen – vom kleinen und gehobenen Mittelstand bis hin zu Großkonzernen.

Carsten Timm
Principal Consultant SAM, ITAM & FinOps TIMETOACT Software & Consulting GmbH

Diese Beiträge könnten Sie außerdem interessieren:

News

Whitepaper: IBM Software Compliance Audits meistern

Mit unserem Whitepaper möchten wir IBM Software Kunden ein Hilfsmittel an die Hand geben, um den Prozess des IBM Software Compliance Audits besser zu verstehen und die einzelnen Bausteine erfolgreich zu meistern.

Referenz

Schufa: Lizenzmanagement und Compliance Audit-Begleitung

Seit Jahren berät ARS die SCHUFA Holding AG rund um die verschiedenen Vertrags- und Preismodelle von IBM Software. Durch die richtige Lizenzierung ist die Schufa auch im Falle eines schwerkalkulierbaren Nutzungsaufkommens vor ungeplanten Kosten geschützt. Dies zeigte sich im Falle eines von IBM beauftragten Compliance Audits, den die Schufa mit Unterstützung von ARS erfolgreich meisterte.

Kompetenz 12.02.25

Software Audit Defense: Schutz vor Risiken und Kosten

Software-Audits können eine erhebliche Belastung für Unternehmen darstellen: Unvorhersehbare Kosten und komplexe Anforderungen führen oft zu Unsicherheit und Überforderung. Die Konsequenzen bei Nichterfüllung sind gravierend – von hohen Strafzahlungen bis zu rechtlichen Problemen. Mit unserer Software Audit Defense sind Sie bestens gerüstet: Wir sorgen dafür, dass Sie auf jedes Audit optimal vorbereitet sind, begleiten Sie durch den gesamten Prozess und reduzieren Risiken sowie Aufwand. So gehen Sie sicher und stressfrei durch den Auditprozess und können sich auf das Wesentliche konzentrieren – den Erfolg Ihres Unternehmens.

Technologie 16.08.21

IBM Compliance

Wir unterstützen Sie in allem rund um IBM Compliance – vor, nach und im IBM Compliance Audit.

Leistung

Cloud Infrastruktur-Audit

Mit unserem Cloud Infrastruktur-Audit bist du auf der sicheren Seite. Du willst wissen, wie du in der Cloud aufgestellt bist und was du besser machen kannst? Nutze unser Cloud Infrastruktur-Audit zum Festpreis!

Leistung

Security-Audit

synaigy Security-Audit – Schwachstellen in deiner E-Commerce-Landschaft werden aufgedeckt und du erhältst einen objektiven Statusreport zu deiner E-Commerce-Plattform.

Leistung

Performance-Audit

Gute Performance ist der essenzielle Bestandteil deines Erfolges. Mit unserem Performance-Audit erfährst du, wo ihre Grenzen liegen und wie du den nächsten Schritt machen kannst.

Referenz

Brickwise: Unterstützung beim Software-Rollout-Prozess

Brickwise bringt konkret interessierte Investoren und Immobilienverkäufer auf einem Marktplatz zusammen und ermöglicht ihnen den Handel mit digitalisierten Immobilienanteilen.

Webinar on demand 20.11.20

Software-Auswahl im E-Commerce – Überblick über Systeme

In unserem Web-Seminar geben wir Einblicke, wie wir klassische Fragen bei der Software-Auswahl gemeinsam mit allen relevanten Stakeholdern auf Kundenseite beantworten.

Referenz

Lizenzmanagement und Compliance

ARS unterstützt die GaVI mbH durch professionelles Lizenzmanagement bei der Sicherstellung von Compliance und der Reduktion der Kosten für IBM Softwarelizenzen.

Headerbild zu Open Source Lizenzmanagement
Technologie 18.03.22

Open Source Compliance

Mit einem effektiven Lizenzmanagement können Sie Compliance und Security Risiken minimieren. Wir unterstützen Sie dabei, die Rechte und Pflichten jeder Lizenz zu verstehen.

Blog 28.06.22

Ein Kauf direkt beim Hersteller

Durch das Übergehen des Zwischenhandels kann der Hersteller nicht nur die Gewinnmarge des Händlers selbst kassieren, er hat auch mehr Kontrolle über sein Produkt. In Bezug auf die Brand Experience steht aber ein Punkt im Vordergrund: Mit dem eigenen D2C-Shop kann vor allem der Kunden besser kennengelernt werden.

Event 22.09.25

catworkx beim itSMF Deutschland

Besuchen Sie catworkx auf der itSMF Germany, der größten deutschsprachigen Service Management Community. Tauschen Sie sich mit Experten aus und entdecken Sie die neuesten Trends.

Kompetenz 27.07.21

Coaching

Ein Coachingformat ist insbesondere von Vorteil, wenn ein konkretes Projekt mit Zeitvorgaben ansteht oder ein komplettes Team sich in einen Sachverhalt einarbeiten muss,

Blog 25.05.23

B2B & B2C Customer Experience – Die Macht eurer Zielgruppe

Die CX ist eines der wichtigsten Themen im E-Commerce, aber entscheidend ist, wer der Kunde ist. In der neuen insights!-Folge werfen wir gemeinsam einen Blick auf die B2C und B2B Customer Experience. Wir erklären, welche Unterschiede bestehen und worauf Unternehmen achten sollten. Welche Parallelen sind zu finden? Färbt die B2C Customer Experience auf die der B2B ab? Diese Fragen beantworten wir dir in dieser Folge.

News 29.12.20

Erneutes Audit der Datensicherheit bei target (2020)

Unabhängiger Auditor bestätigt, dass target die Anforderungen der Datensicherheit umgesetzt und kontinuierlich verbessert hat.

Event

Webcast: IASP – Nie wieder IBM Audit

Webcast am 17.09.2020 oder 22.09.2020: Was genau IASP ist und wie das funktioniert, erfahren Sie im Webcast. Zudem haben Sie die Möglichkeit im Webcast Ihre Fragen mit IBM, Anglepoint und TIMETOACT zu diskutieren.

Kompetenz

Sourcing Strategy, Spend Management & Compliance

Trotz immer leistungsfähigerer IT steigen die IT-Kosten gemessen am Umsatz / an EBITDA stetig an.

DORA 24 Teaserbild
Blog 10.07.24

DORA-Compliance: Was Finanzunternehmen jetzt wissen müssen

DORA und IAG: Wie Finanzinstitute die Anforderungen der neuen Verordnung erfüllen und die IT-Sicherheit verbessern können. Lesen Sie hier mehr.

Event

Open Source Lizenz Compliance – Webinar

Erfahren Sie, welche Herausforderungen sich bei der Nutzung von Open Source Software ergeben und wie Sie diese meistern.

Bleiben Sie mit dem TIMETOACT GROUP Newsletter auf dem Laufenden!