两年前,当软件审计请求来自Adobe时,Margaret Smith(化名)认为一切如常。作为一家财富500强公司的治理风险和合规专家,她已经习惯了每年接受几次审计。
“通常这些事情一开始都很友好,”她说。“我们收到审计请求,需要进行一些谈判。他们想要进行现场审核或要求特定的员工身份证明,我们拒绝了。但这次他们出来了。不到两个星期,他们就威胁要请律师来。”
史密斯的公司是一家消费品制造商,在全球各地的办公室里,已经授权了至少55种不同的Adobe产品。现在,软件制造商指责她的公司使用了比它有权使用的更多的软件。
赌注很高。Adobe可以在未支付的许可费用之外征收罚款,向她的公司收取审计费用,并要求从某个日期开始支付追溯费用。
但玛格丽特不是好惹的。她曾在一家管理着4000多款软件产品的大型机构工作,对这些产品的兼容程度了如指掌。
事实证明,公司签署的许可协议中的语言与Adobe认为属于该协议一部分的支持文档之间存在冲突。最后,他们和解了。这家消费品制造商同意对其软件部署方式施加额外的控制,而Adobe放弃了此事(而且,毫不意外地,拒绝就本文置评)。
但事情可能会变得很糟糕。这也标志着主要的软件出版商已经变得多么咄咄逼人。
Smith说,那次审计是她的公司决定实施Snow software的软件资产管理解决方案的一个关键因素。“这是一个完美的例子,支持了我的理论,即获得遵从性的第一步是理解你在与什么合作。”
当涉及到软件审计时,代码拒绝作证生活的全部。
如果你买了,他们就会来
这不是组织的软件许可是否会被审计的问题。问题只是审计的时间、频率和痛苦程度。风险是很高的:几乎我们联系的每一位客户都要求我们不要把他们的名字写进这件事里,以免他们的雇主成为未来审计的目标。
审计的数量在增加,成本也越来越高。根据Gartner的数据,68%的企业每年至少收到一次审计请求自2009年以来,每年都在稳步攀升.最频繁的请求来自通常的可疑对象:微软、Oracle、Adobe、IBM和SAP。
一个调查显示,Flexera据一家软件资产管理供应商的报告,44%的企业不得不支付10万美元或更多的“真实”成本,20%的企业支付了超过100万美元的成本——这一比例在过去一年中翻了一番多。
国际数据公司(IDC)的艾米•科纳里(Amy Konary)对此做出了估计高达组织软件预算的25%将用于处理许可证的复杂性。
“这其中有两个方面,而这两个方面都很难确定,”负责IDC SaaS、商业模式和移动企业应用项目的副总裁科纳里说。“首先是过度买入。您购买了多少额外的软件来减轻不符合要求的风险?第二个是购买不足。你被审计,你发现你使用了比预期更多的软件,你最终花费了更多的钱。由于许可的复杂性,很难调整软件环境的大小。”
据统计,在美国和英国的大型企业安装的所有软件中,超过四分之一是货架软件,总成本超过70亿美元1 e的研究是一家软件生命周期自动化公司。再加上可能持续18个月的审计业务中断的隐性成本,最终的代价可能是巨大的。
简而言之,企业正在放弃大量资金,而软件出版商也非常乐意尽可能多地攫取这些资金。
审计是销售工具
从技术上讲,软件审计是一种证明你只安装了付费软件的方法,或者让发行商证明你安装或使用过多的软件。但审计过程往往以客户签一张支票结束——要么支付软件安装过度或错误的费用,要么签订一份新的长期协议
Snow Software的副总裁彼得•特平(Peter Turpin)表示:“审计结束后会有一笔销售。”审计是为客户安装的软件筹集资金的一种方式。因此,你需要为此付出代价。”
Palisade Compliance的联合创始人克雷格•加伦特(Craig Guarente)表示,主要出版商也利用审计的威胁来达成新的交易。Palisade Compliance帮助企业管理甲骨文的许可问题。
Guarente在甲骨文担任全球合同和商业实践副总裁超过15年。他说,多年来,甲骨文的销售团队有一个灵感来自《拜金一族》(Glengarry Glen Ross)的咒语,叫做“ABC:审计-讨价还价-收尾”。
他表示:“你对某人进行审计,发现一些问题,让他们感到恐惧,然后给出一个大数字。”然后你和他们达成一笔交易,买下他们想让你买的其他东西。只不过现在我把它叫做‘审计交易云’——加入一个云交易,你所有的审计问题就会突然消失。”
甲骨文尤其因其激进的软件许可实践而受到指责。清晰授权运动(Campaign for Clear Licensing)在2014年10月对Oracle客户进行的一项调查得出的结论是,与Oracle的客户关系“充满敌意和根深蒂固的不信任."
2015年10月,糖果公司玛氏公司对甲骨文公司提起诉讼,指控该公司“检查”许可执行基于“错误的前提”。该诉讼于去年12月撤销;和解条款尚未公布。
在去年2月接受英国科技新闻网站V3采访时,Specsavers的全球首席信息官菲尔·帕维特(Phil Pavitt)对此进行了谴责甲骨文的“gun-to-the-head方法论”软件许可。
(甲骨文拒绝了置评请求。)
甲骨文当然不是唯一一个将审计作为谈判工具的公司。为本文联系的客户证实,其他出版商也施加了类似的压力。
不过,IDC的科纳里表示,从长远来看,这种咄咄逼人的做法只会滋生敌意。她说,如果一个销售代表使用审计作为推动销售的一种方式,这通常意味着你有一个糟糕的销售代表。不过,制定季度配额的压力可能会促使它们采取更激进的措施。
“销售经理不喜欢软件审计,因为这会破坏他们与客户的关系,”她说。“但许多公司也有销售配额,需要达到一定的销售额。有一点错位。”
地平线上的云
随着越来越多的企业向软件即服务的方向发展,理论上应该简化软件的许可和管理方式。但在短期内,情况正好相反;在混合云和内部环境中操作会使一切变得更加复杂。例如,Flexera产品管理副总裁Ed Rossi说,it部门很容易根据需要在云计算中推出新的服务,而不考虑许可的影响。
“当你引入云计算时,你也引入了很多复杂性,”他说。“当客户利用这一点时,他们就会把自己置于一个使用了比他们有权使用的更多软件的位置。我认为,正是因为这个原因,我们正在看到审计的增量增加。”
Konary说,仅仅是迁移到云计算有时就会引发审计。
Konary说:“如果你使用本地软件并将其转移到自己数据中心的云环境中,你很可能会遇到许可问题。”2020欧洲杯预赛“这是一个动态的环境,要跟踪你实际使用的是什么,并坚持你的许可证要求变得更加困难。”
她补充说,使用公共云服务带来的许可挑战较小。除非用户共享密码,否则衡量谁在使用什么是相对简单的。
BMC公司企业解决方案组织(Enterprise Solutions Organization)的集团总裁罗宾·普罗希特(Robin Purohit)表示,审计业务的增加也导致了对云计算依赖程度的增加:那些通过内部软件赚了数十亿美元的公司正在努力从这些软件上榨取尽可能多的收入。
普罗希特说:“我们看到,来自大企业的审计正在增加。”“在向软件即服务的转变过程中,这些公司最容易受到影响。他们的许可证增长面临风险,所以他们希望在构建云计算和SAAS组合的同时,保持来自现有客户的收入。”
他们的工具,他们的规则
许多供应商会帮助您解决许可证遵从问题。Palisade的Guarente建议不要这样做。
“这可能会变成我所说的‘秘密审计’,”他说。“供应商主动提出‘帮助’客户解决合规问题,但这实际上是一种伪装的审计。”
他说,一位客户每年在甲骨文的维护和支持合同上花费近4万美元,并请他们帮他想办法减少开支。他们高兴地同意了。几个月后,他收到了一份超过100万美元的合规账单。这就是帕利塞德被带进来的时候。
斯科特律师事务所(Scott & Scott, LLP)是一家专门解决软件审计纠纷的律师事务所,该事务所的负责人罗布·斯科特(Rob Scott)指出,通常情况下,供应商要求客户使用特定的工具来跟踪他们的使用情况,但他们并不总是能很好地通知客户。
“我们看到的最大的恐怖故事之一是围绕IBM及其虚拟化规则,”Scott说。“根据IBM的说法,如果你也部署了他们的专有发现工具,你才能部署他们的虚拟服务器软件,而大多数客户只有在第一次接受审计时才知道这个工具。”
IBM接着说,这些虚拟服务器是按子容量授权的,但因为你们没有部署我们的发现工具,所以你们欠我们的是全部容量,Scott补充说。
斯科特表示:“我发现,单是我们的客户基础,那次发行就带来了数亿美元的真实费用。”“这听起来很深奥,但世界各地都在发生。”
当我们联系IBM时,一位发言人证实,该公司确实要求客户使用免费的监控工具来跟踪“次级能力许可”。她在一封电子邮件中写道:
我们的软件合同对利用次级能力许可的要求非常明确;十多年来,这一直是所有此类合同的一部分。此外,我们积极主动地接触我们的客户,以确保他们熟悉次级能力许可机会和协议。
书架在哪里?
审计也可能会显示你在为不使用的软件付费。但是不要指望软件出版商会告诉你这些。
科纳里承认:“我很少听到供应商找到客户说,‘嘿,你们在我们这里花了太多钱’。”另一方面,她补充说,大多数供应商不会发起审计,除非他们相当有信心客户将需要真实。
Konary表示,企业可能会为他们的用户购买错误类型的许可——例如,当较便宜的自助许可可以做到时,开发商的许可。
“你可能有比你需要的更昂贵的级别。你有降级的选项吗?很多货架的发现都是由顾客发起的。”
她补充说,虽然实施软件资产管理工具会有所帮助,但企业还需要修改他们的流程,并培训人们如何处理复杂性。
在大多数情况下,软件发布者希望与企业客户保持良好的合作关系。但他们也想赚尽可能多的钱。这可能会使合作关系紧张到崩溃的地步。
Snow的Turpin说:“我们必须记住,出版商有权为他们的用户所使用的软件付费。“进攻是最好的防御。”为自己配备正确的管理工具,这样,如果你违反了规定,你就会知道,并可以按照自己的方式做一些事情。
这篇题为“软件审计:高科技如何强硬”的文章最初发表于信息世界 .