Dieser Software-Audit Verhaltenscodex gehört zu jedem Softwarekauf!

Peter Wesche October 7, 2014

Um der Willkür mancher Softwareanbieter Paroli zu bieten, hat die Clear Licensing Initiative ein Grundsatzpapier entworfen, dessen Originalversion bereits von Oracle Inc. als Zusatz zu den Vendor-eigenen Verfügungen akzeptiert wird.

Wir bieten hier die deutsche Version an:

Vorwort – Aktuelle Marktbeobachtungen

 

  • Viele Software-Hersteller entscheiden sich gegen die Durchführung von technologischen Kontrollen, durch die die Verwendung von nicht lizenzierter Software eingeschränkt würde stattdessen bevorzugen sie einen Ansatz von Flexibilität und Offenheit, mit dem die Kunden eigenständig Kontrollen mit eigener Technologie zu entwickeln oder manuelle Kontrollen zu nutzen.
  • Historisch hinkt Software-Management stets zwei Schritte hinter Lizenz-Programmänderungen. Software-IP wird in der Regel schlecht von den Lieferanten beschriftet und Kunden erhalten keine ausreichenden Instrumente oder Anleitungen, um diese genau zu beurteilen und / oder proaktiv ihren Verbrauch zu verwalten. Es fehlt auch an Klarheit über Änderungen an Lizenzprogrammen.
  • In der Folge haben Kunden entweder unzureichende Kontrollen rund um den Einsatz und die Nutzung von Software aufgebaut oder waren mit Schwierigkeiten bei der Verwaltung ihrer Software-Audit-Funktionen konfrontiert.
  • Besonders beim Download von Software, bestätigen Kunden häufig die Vertragsbedingungen, die sie nicht verstehen, entweder durch bewusste Inkaufnahme von Restrisiko oder Unwissenheit.
  • Software-Hersteller haben die Möglichkeit, den Mangel an Klarheit über Software, Lizenzierung und Prüfungsrechte zu ihrem Vorteil während der Verkaufsprozesse, Vertragsverhandlungen oder anderen Punkten in einer vertraglichen Vereinbarung zu nutzen, was der Branche Unzufriedenheit und Misstrauen seiner Kunden beschert hat.

Symbol der Kampagne für Lizenztransparenz der Barium Manifesto Ldt. in UK


Einführung

Software-Hersteller auditieren ihre Kunden primär um zu prüfen, ob Software innerhalb der vereinbarten Bedingungen eingesetzt wird.

Dieser Verhaltenskodex definiert eine Reihe von akzeptablen Praktiken für das Verhalten bei solchen Prüfungen und Prüfungsarten. Er umfasst die Definition, den Umfang, die Einbindung von Dritten, die Vereinbarung von Zielen und Bewertung von Ergebnissen.

Leitsätze:

 

  • Softwarehersteller haben das Recht, ihr geistiges Eigentum zu schützen.
  • Softwarehersteller haben das Recht, Lizenzregeln in den Vereinbarungen und Verträgen mit ihren Kunden zu etablieren.
  • Software-Hersteller und Kunden haben sowohl eine Verantwortung und eine Verpflichtung, sich an die Klauseln in den Vereinbarungen und Verträgen zu halten.
  • Kunden haben das Recht, Prüfungsanforderungen, die nicht der Sicherung von Vertragspflichten oder des geistigen Eigentums dienen, zurückzuweisen.
  • Beide Parteien haben ein Anrecht auf Professionalität, absolute Transparenz, Klarheit und Offenheit im gesamten Auditprozess.


Auf den Punkt gebracht
Für Kunden: Was Sie nicht unter Kontrolle haben, verwenden Sie nicht. Für Software-Hersteller: Verkaufen Sie keine Rechte, die man nicht mit alltäglichen Werkzeugen und Techniken verwalten kann.

Jede Audit-Aktivität sollte sich zu einer der in der folgenden Tabelle aufgeführten Audittypen zuordnen lassen:

Audittypen

Audittypen

Hinweise:

Freiwillige Prüfungen und Bewertungen werden fälschlicherweise oft als formale Audits bezeichnet.
Pre-Sales geführte Audits und freiwillige Bewertungen können wertvolle Erfahrungen für das Lizenzmanagement liefern. Sie dürfen jedoch nicht verwendet werden, um Druck von Vertriebsseits aufzubauen, z.B. indem drohende rechtliche Konsequenzen erwogen werden.

Prüfungsauftrag

Alle Prüfungsmitteilungen sollten durch einen formalen Kommunikationsprozess innerhalb einer Vereinbarung fixiert werden. Falls solche Verfahren nicht definiert sind, sollte das zuständige Lieferantenmanagement mit entsprechenden Eskalationsoptionen genutzt werden.

Erstprüfung Kommunikation sollte beinhalten:

Die Hauptanlaufstelle sowohl beim Vendor wie dem Kunden.
Art der Prüfung wie in der Tabelle oben erwähnt.
Gründe für die Prüfung einschließlich der Nachweise.
Vertrag, Vereinbarung oder eine andere eindeutige Kennung, unter denen die Prüfung aktiviert wird.
Prüfungsumfang in Bezug auf Produkte, Regionen, Unternehmen, Umgebungen, Gerätetypen usw.
Zieltermine für die Abschlussprüfung, die Ergebnissammlung und –veröffentlichung.
Schiedsverfahren im Falle von unüberbrückbaren Differenzen.
Eskalationswege sowohl innerhalb des Vendors und der Kundenorganisationen .

Vereinbarte Messkriterien

Der Vendor soll klar bezeichnen, was zur Feststellung folgender Sachverhalte erforderlich ist:

Nachweis der Installation für alle Titel in Betracht;
Nachweis der Berechtigung für alle Titel in Betracht; und
Änderungen an den vereinbarten Lizenzbedingungen zwischen dem Vendor und dem Kunden in den Nutzungsrechten, für die im Prüfungsumfang enthaltene Software.

Daten und Arbeiten mit Dritten

Dritte (In der Prüfung Beteiligte, aber weder Kunden noch Vendor) sollten vor dem Audit erklären, welche kommerzielle Interessen (entweder auf Kunden- oder Verkäuferseite) die Prüfungsarbeit begleiten.

Kommerzielle Interessen können sein:

Profitiert (direkt oder indirekt) aus dem Ergebnis;
Erhält Entschädigung für die durchgeführten Prüfungsarbeiten;
Unterhält Beziehungen oder kommerziellen Interessen außerhalb der Prüfungsarbeiten;
Wie, wann und zwischen welchen Parteien die für die Prüfung relevanten Daten gemeinsam genutzt werden.

Die Zusammenarbeit zwischen den Dritten, dem Vendor und dem Kunden, sowie der Datenaustausch als Teil des Audits ist auf den Umfang zu beschränken, der für die Prüfung des Sachverhalts erforderlich ist, und darf nicht für andere Zwecke verwendet werden. Dies gilt insbesondere, wenn der Dritte kann auch die externe Wirtschaftsprüfungsgesellschaft des Kunden ist.

Timing

Soweit nicht anders vereinbart, bestimmen beide Parteien einvernehmlich den Zeitpunkt, zu welchem der Audit beginnt.

Soweit der Audit externe Software benötigt, die vom Hersteller der Software oder ihrer nominiert dritten Partei verwendet werden sollen, so sind die hiermit begründeten Audit-Verfahren in einem zuvor vereinbarten zeitlichen Rahmen zur Erhebung der entsprechenden Daten durchzuführen.

Freiwilliger Self-Audit: Nach Kundenermessen
Vertraglicher Audit: Ankündigung minimum 60 Tage vor Beginn, sofern nichts anderes vereinbart ist.
Rechtlicher Audit: Nach der lokalen Gerichtsbarkeit

In jedem Fall sind alle Parteien sind sich einig, dass alle prüfungsbezogene Arbeit die produktiven Geschäftsprozesse des Kunden nicht beeinträchtigen wird.

Vor-Ort-Prüfungen und Betriebsinformationen

Ist ein Dritter mit der Durchführung des Audits im Auftrag des Softwareherstellers befasst, so wird er vorab den Kunden über die operativen Ablauf der Prüfung informieren. Dies umfasst (aber nicht ausschließlich):

Anordnung einer Client-Chaperon, welche die Wirtschaftsprüfer zu den Geschäftsräumen des Kunden begleiten;
Dauer der Prüfung vor Ort, soweit zulässig;
Zugriff auf Hardware-Systeme;
Zugriff auf Audit-Software-Installationen und Nutzung.

Alle Informationen, die im Rahmen der Audit-Durchführung erfasst oder als Ergebnis der Prüfung erstellt werden, unterliegen der Vertraulichkeit und können nicht an den Vendor, den Dritten oder den Kunden weitergeleitet werden, ohne dass alle Parteien ausdrücklich zustimmen. Dem Dritten ist die Weiterleitung von solchen Informationen an andere Teile der eigenen Organisation untersagt.

100% Offenlegung zwischen dem Softwarehersteller und dem Kunden ist wichtig, so dass beide Parteien verstehen, welche Daten verwendet werden, um die Ergebnisse der Prüfung abzuleiten. Auch wenn ein Dritter keine Vor-Ort-Datenerfassung im Auftrag eines Software-Hersteller tätigt, müssen abgeleitete Ergebnisse wie Datenerfassung dem Kunden kenntlich gemacht werden.

Prüfungsergebnisse

Prüfungsergebnisse / Abschluss / Empfehlungen

Der Software-Hersteller wird den Kunden mit einem vollständigen Satz der Erkenntnisse aus der Prüfung, einschließlich folgender Angaben aushändigen:

Alle bekannten Lizenzberechtigungen;
Alle installierte und im Einsatz befindliche Software;
Alle Lizenz-Positionen für alle Produkte;
Alle Ersatzlizenzberechtigungen, die nicht benötigt wurden, um Lizenz-Software zu installieren und / oder in Gebrauch zu nehmen;
Alle Defizite in Lizenzberechtigungen für installierte und / oder in Gebrauch genommene Software;
Alle Berechnungen von möglichen Lizenzgebühren für Defizite in Lizenzberechtigungen, darunter, wie solche Zahlen zustande gekomment. Saldierte Zahlen erfüllen diesen Zweck nicht, da sie für einen Vergleich zu bestehenden Marktpreise oder vorab vereinbarten Vertragspreise, die in Kraft sein könnten, aber in Vergessenheit geraten sind, untauglich sind.

Hinweis: Detaillierte Transparenz über Defizite kann auch helfen, den Kunden mit der Ursachenanalyse zur Vermeidung solcher Fälle zu unterstützen – so profitieren in der Zukunft alle Beteiligten.

Mediation

Sowohl die Software-Hersteller wie auch der Kunde behalten sich das Recht vor zu bestreiten, ob die Zahlen zutreffen. Soweit unterschiedliche Auffassungen nicht zwischen den Parteien gelöst werden, soll Rückgriff auf die Mediation mit dem CCL, einem Schiedsgericht mit einem Schiedsrichter der von beiden Seiten bestellt wurde, und / oder Gerichtsverfahren. Der Eskalationweg ist angezeigt im der Falle von Streitigkeiten über das Audit-Ergebnis und der fälligen Nachforderungen.

Der Abschlussprüfer / Vendor oder Dritte sollten Abweichungen, die wahrscheinlich Ursachen solcher Unterschiede sind und welche Schritte den Kunden aussehen könnte und Best Practices auf die sie verweisen können, um die gleichen Fragen noch einmal passiert in der Zukunft zu verhindern erklären. Prüfungsergebnisse und Empfehlungen sollten in einfachem Englisch mit minimalem technischen Jargon oder Lizenz geliefert werden, so dass die Schlüsselbotschaften verstanden und auf die vom Kunden über ihre Organisation gehandelt werden.

Leave a Reply

Your email address will not be published. Required fields are marked *