Software-Lizenzaudits – Verteidigungslinien des Anwenders
Wer organisiert die Abwehr?
Unmittelbar nach Eingang des Audit-Anschreibens (Audit Call) empfiehlt es sich, zumindest nachfolgende Funktionsträger zu involvieren:
IT-zuständiges Mitglied der Geschäftsleitung bzw. CIO, falls noch nicht als Erst-Adressat des Anschreibens ohnehin bereits informiert, da signifikante Nachforderungen und Streitigkeiten mit einem großen Vendor die unternehmerische IT-Planung tangieren können.
Lizenzmanager, da dort das Know-how zum Softwarebestand bzw. zu Schwachstellen vorhanden ist. Bei ihm ist oft ein Querschnittswissen über das Zusammenspiel aller Akteure konzentriert.
Finanzverantwortlicher (CFO, Kaufmännischer Leiter), da finanzielle Risiken drohen durch Nachforderungen bei Unterlizenzierung, und weil ggf. auch Investitionen anfallen können.
Rechtsabteilung, da Lizenzvertragsrecht, Software-Recht, IT-Recht, Urheberrecht etc. immer eine entscheidende Rolle spielen beim Argumentationsaufbau zur Forderungsabwehr. Der Unternehmensjurist kann die Maßnahmen zum juristischen Gefahrenmanagement koordinieren, indem er auch Audit-Expertise von externen Spezialisten einbindet.
Zwar geht ein Audit-Anschreiben (Audit Call) meist zunächst an die Geschäftsleitung bzw. an CIO oder Lizenzmanager, wo im ersten Moment der Audit-Druck lastet. Sobald man dort jedoch die reale Gefahr aus zweifelhaften Vorwürfen der Unterlizenzierung und ungeahnten Nachforderungen teils in Millionenhöhe erkennt, werden intern die Juristen zur Abwehr eingebunden. Sie werden nach Lösungen gefragt, wenn IT-Manager in Erklärungsnot geraten und Finanzchefs bluten sollen.
Die professionelle Abklärung von hochkomplexen Nutzungsrechten ist hier aus juristischkaufmännischer Gesamtsicht zu managen. Typischerweise eben durch passgenaue Einbindung ergänzender Audit-Expertise von außen. So beweisen Juristen als Akteure im Audit ihre Problemlösungskompetenz zugunsten ihres Unternehmens und leisten einen Wertschöpfungsbeitrag.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Je nach Organisation des Unternehmens kann die zusätzliche Einbeziehung weiterer Funktionen nützlich sein, wie etwa Compliance Officer. Denn mit der vom Vendor hinterfragten Software Compliance ist ein Teilbereich seiner Zuständigkeit betroffen, und Vendoren behaupten teils strafrechtlich relevante Compliance-Verstöße. Auch der IT-Einkauf ist wichtig, da dort kommerzielle Konditionen mit dem Vendor bei erforderlichen Zukäufen zu verhandeln sind.
Erste Verteidigungslinien des Anwenders
Zunächst ist die juristische Korrektheit des Audit-Anschreibens selbst sowie der Audit Scope (Inhalt und Reichweite des Prüfungsverlangens) klar zu analysieren. Es geht um Kriterien der rechtlichen Zulässigkeit generell, auch der Audit-Klausel selbst. Ebenfalls geht es um die Konkretisierung der prüfungsrelevanten Produkte und Systeme (Vermessungsplan) sowie um die Bewertung der verlangten Formen wie Selbstauskunft, Remote Audit, On-Site-Audit oder andere. Nicht vermessbare Bereiche wie Sonder-User oder spezielle Metriken sind ggf. zu identifizieren und separat zu berücksichtigen.
Einige konkrete Anhaltspunkte für die Analyse eines Audit Call:
Sind die Formalien des Audit-Anschreibens eingehalten?
Ist die korrekte Audit-Klausel als Berechtigungsbasis für den Audit Call in Bezug genommen?
Sind in der Audit-Klausel Fristen vereinbart, die dem Unternehmen zustehen?
Ist die Verhältnismäßigkeit der verlangten Mittel/Methoden zum Informationszweck gewahrt?
Sind Geschäftsgeheimnisse sicher? Belange des Datenschutzes beachtet?
Verbleibt dem Anwender beim Einsatz des verlangten Vermessungstools ausreichende Transparenz und Kontrolle hinsichtlich der übermittelten Daten?
Eventuell sind vor dem Start der Maßnahmen Vereinbarungen über den Gesamtkomplex anzuregen zwecks Regelung der vorgenannten Punkte, der Zeitschiene, der Kostenverteilungen, der Beschränkungen in Umfang und Methode und weiterer Besonderheiten.
Aber nicht erst mit Eingang des Audit Call, sondern zeitlich weit im Vorfeld können Anwenderunternehmen die Basis für ein gutes Gelingen vorbereiten, nämlich durch Herstellen von Audit Readiness.
Im Bereich System-Administration sind die richtigen Systemeinstellungen vorzunehmen (etwa Anzahl benutzter Server), um z.B. unzulässige Virtualisierungen zu vermeiden. Die technische Fähigkeit zur Selbstauskunft sollte stets vorhanden sein.
Der Bereich Lizenzmanagement sorgt in seiner Kernaufgabe für die Aufstellung bzw. Aktualisierung der Lizenzbilanz, d.h. die Dokumentation des aktuell genutzten bzw. verfügbaren Lizenzportfolios. Wenn die Nutzung über das zulässige Maß hinausgeht, sie also nicht mehr vom eingeräumten Lizenzumfang gedeckt ist, kommt es zur problematischen Unterlizenzierung. Proaktive interne Vermessungen können unangenehme Überraschungen im Audit vermeiden.
Fazit
Zwecks Forderungsabwehr sollten Akteure wie Geschäftsleitung, CIO, CFO, Lizenzmanagement und Rechtsabteilung sofort die Gegenmaßnahmen koordinieren und die nötige Expertise bündeln – ggf. mit Audit-Spezialisten von außen. Proaktive Herstellung von Audit Readiness ist hilfreich. Mit kritischem Hinterfragen der rechtliche Zulässigkeit von Audit-Klauseln sowie von Auskunftsverlangen und Methoden des Vendors läßt sich mitunter eine erste Verteidigungslinie aufbauen. Der Audit Scope und weitere Details sollten für den Anwender transparent vereinbart werden.
Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.