Você está preparado para uma auditoria de software?

janeiro 3, 2017

De acordo com a Gartner, as auditorias de software tiveram um crescimento acelerado nos últimos anos, com os fabricantes de software usando o processo de auditoria como um fluxo de receitas e também uma maneira de impedir a pirataria.Os relatórios da Gartner também incluem recomendações proativas para CIOs e gerentes de TI para que invistam em processos e ferramentas de Gerenciamento de Ativos de Software (SAM) para permanecerem em conformidade com os Termos e Condições dos contratos de licenciamento.

Além dos conselhos da Gartner, eu também recomendaria a melhoria da comunicação e do fluxo operacional entre a TI e os departamentos de terceirização, pois é essencial que exista um procedimento para monitorar o ativo de software, do momento da aquisição (registros financeiros) até que ele seja desativado. É muito importante monitorar o tipo de aquisição de uma licença de software (tipo de contrato), a maneira que ele é usado (instalação), os direitos para transferi-lo entre diferentes dispositivos e os documentos financeiros/legais que o acompanham.

Recentemente, muitos fabricantes fizeram uma série de mudanças em seus modelos de licenciamento usando uma grande variedade de métricas (por CPU, por Núcleo, NUP, PVU, etc.) que apenas tornam o processo ainda mais complexo. Conforme os ambientes de TI evoluem devido à virtualização e à computação em nuvem, os tomadores de decisão de TI precisam adquirir um conjunto mais diversificado de conhecimento, mas que não inclui conhecimento sobre licenciamento.

As alterações frequentes nas regras de licenciamento, juntamente com a ausência de uma ferramenta de gerenciamento e controle de software, colocam as empresas sob um grande risco financeiro de serem auditadas pelos fabricantes.

Critérios comuns usados para selecionar clientes para auditoria

Assim como os meteorologistas procuram mudanças nos padrões climáticos para prever o tempo da semana, os fabricantes de software procuram padrões no histórico de uma empresa que acionem o alerta para uma auditoria. Um pequeno exemplo inclui:

  • Fusões e aquisições

Em cenários de fusões e aquisições, a transferência e a consolidação de licenças de software entre as entidades é feito de maneira inadequada, quando é feita. Neste caso, a nova entidade geralmente não possui licenças suficientes para permanecer compatível com seu software implantado.

  • A correlação feita pelos fabricantes entre seu histórico de aquisição e os dados financeiros oficiais da sua empresa

Isto implica que o número de licenças não está em conformidade com o crescimento da empresa, como número de funcionários, patrimônio líquido, etc.

  • Auditorias por outro fabricante

Temos visto que empresas passando por uma auditoria de um fabricante de software também são alvo de outros fabricantes.

  • Contratos de licenciamento que não são renovados

Esta categoria inclui empresas que não apresentam interesse em renovar seu contrato de licenciamento em curso ou mudam para outro tipo de contrato.

Tipos de auditorias de software

Uma auditoria “soft” é a maneira mais fácil de auditoria. Para este procedimento, as empresas auditadas precisam criar um inventário de suas licenças utilizadas e enviar esta informação para o fabricante. Esta informação será comparada com o histórico de aquisição para determinar a conformidade.

Uma auditoria “hard” é mais difícil e cara, ela é feita por um auditor autorizado que irá defender os interesses do fabricante. O auditor está legalmente autorizado a examinar a prova de licenciamento, realizar verificações técnicas no local e fornecer os resultados da auditoria ao fabricante de software.

A melhor proteção contra auditorias é a implementação de uma solução SAM contínua, que é o resultado da colaboração entre o parceiro e a equipe técnica/licenciamento do cliente que irá manter a conformidade de software da sua empresa atualizada.

Os 5 estágios de uma auditoria de software

Se você for alvo de uma auditoria “hard”, então, você deve passar por um processo semelhante ao descrito abaixo:

1. Reunião de abertura

Neste estágio inicial, os representantes do auditor contratado pelo fabricante agendarão uma reunião (normalmente uma chamada em conferência) para apresentar as etapas da auditoria e a o cronograma.

2. Coleta de dados

A empresa auditada terá que coletar uma série de informações relacionadas à infraestrutura de TI, que serão apresentadas ao auditor, como:

  • A configuração de hardware dos dispositivos;
  • Uma lista de aplicativos instalados em seus dispositivos;
  • Os usuários que acessam esses dispositivos e aplicativos associados;
  • Prova de licenciamento (documentos).

3. Visita no local

Nesta etapa, os representantes do auditor vão visitar a empresa auditada para verificar a exatidão das informações prestadas e eventualmente vão coletar informações adicionais.

4. Relatório preliminar

Baseado nas informações coletadas durante as etapas 2 e 3, o auditor irá preparar um relatório delta de licenças instaladas comparado ao de licenças adquiridas. Este relatório será enviado à empresa de auditoria para verificação de possíveis erros e discrepâncias.

5. Reunião de encerramento com as três partes 

Nesta etapa final, será organizada uma reunião no local com todas as partes interessadas do processo de auditoria. Os auditores apresentarão o seu relatório final e responderão a qualquer dúvida sobre ele. Depois desta etapa final, o auditor deixa os termos legais/comerciais para serem negociados entre o fabricante e o cliente.

Se você acredita que corre o risco de uma potencial auditoria de fabricante de software, então é melhor ser proativo e investir em um parceiro independente para mitigar o risco. Caso contrário, depois que você receber essa carta de auditoria, o processo pode ser bastante longo e até mesmo potencialmente mais caro para resolver.

Equipe de Redação

Autor

Equipe de Redação

Deixa uma resposta