In dit blog delen wij een aantal praktische tips, gebaseerd op tientallen Audit Defense-trajecten die wij hebben uitgevoerd.

Begin op tijd

De voorbereiding op een audit begint niet bij ontvangst van de brief. Het is juist verstandig om hier al veel eerder mee te starten. Hieronder vindt je een aantal aandachtspunten waar je vandaag al mee aan de slag kunt (dit is geen uitputtend overzicht).

Scope: wat valt er écht onder de audit?

Auditors gaan er vaak vanuit dat de volledige IT-omgeving binnen de scope van de audit valt. In de praktijk is dat lang niet altijd het geval.
Controleer daarom uw contracten zorgvuldig en bepaal:

  • Welke entiteiten, omgevingen en systemen binnen de reikwijdte vallen
  • Op welke data en infrastructuur de softwareleverancier daadwerkelijk auditrechten heeft

Een heldere scope voorkomt dat er onnodig teveel data wordt gedeeld—met alle risico’s van dien.

Ontwikkel- en testomgevingen

Maak je gebruik van ontwikkel- en testomgevingen? Dan is het belangrijk om na te gaan of je hiervoor de juiste (vaak goedkopere) licenties gebruikt.
Omgekeerd geldt ook: weet je zeker dat er geen ontwikkellicenties, zoals Microsoft SQL Server Developer, in productie worden ingezet? In audits wordt dit direct aangemerkt als een Enterprise-editie—met aanzienlijke kosten tot gevolg. Wij hebben in de praktijk al ‘foutjes’ gezien die opliepen tot meer dan € 100.000.

Microsoft SQL Server: bewijs is essentieel

Als we specifiek kijken naar Microsoft SQL Server, zien we een terugkerend patroon: ontbreekt het bewijs van de geïnstalleerde editie, dan gaat een auditor standaard uit van de duurste variant—de Enterprise-editie.

Dit geldt ook voor:

  • Passieve omgevingen
  • Disaster recovery-opstellingen

Hoewel hier in sommige gevallen geen licentie voor nodig is, geldt: geen bewijs betekent betalen. Als klant ben je verantwoordelijk voor een correcte administratie én de bijbehorende bewijslast.

Virtuele servers: flexibiliteit vraagt om discipline

Virtuele omgevingen bieden flexibiliteit, maar brengen ook risico’s met zich mee. Licenties mogen vaak slechts één keer per bepaalde periode aan een fysiek apparaat worden toegewezen (bij Microsoft doorgaans eens per 90 dagen).
Daarnaast kunnen virtuele machines door features zoals high availability en load balancing dynamisch verplaatsen binnen de infrastructuur.

Als u niet vastlegt:

  • Welke virtuele servers op welke hosts draaien
  • Of verplaatsing is toegestaan binnen de licentievoorwaarden

dan zal een auditor uitgaan van het worst-case scenario: “alles draait overal”. Dit kan resulteren in aanzienlijke en vaak onnodige licentiekosten.

Einde abonnement? Software verwijderen!

Een veelvoorkomend aandachtspunt binnen moderne werkplekken betreft online abonnementen, zoals Microsoft Visio Plan 2. Gebruikers mogen bij dit soort abonnementen vaak software installeren op hun apparaat. Maar wat gebeurt er wanneer het abonnement afloopt of wordt beëindigd?
In dat geval moet de software worden verwijderd. Klinkt logisch—maar gebeurt dit ook daadwerkelijk binnen jouw organisatie?
Tijdens een audit geldt: staat de software geïnstalleerd, dan moet er een geldige licentie zijn, ongeacht of de software daadwerkelijk wordt gebruikt.

Wat kun je doen?

Goede voorbereiding is cruciaal. Begin daarom tijdig met het organiseren van de interne processen en verantwoordelijkheden. Betrek hierbij verschillende disciplines, zoals:

  • Inkoop (bewijsstukken en facturen)
  • Contractmanagement (registratie en interpretatie van licenties)
  • IT (inventarisatie en metingen)

Is dit binnen uw organisatie lastig te realiseren vanwege tijd, middelen of expertise? Dan kan Quexcel u hierbij ondersteunen. Bekijk onze dienstverlening op het gebied van Software Asset Management voor meer informatie.

Meten is weten

U kunt niets verbeteren wat u niet meet. Inzicht in uw softwaregebruik en licentiepositie vormt de basis voor compliance én controle.
Met de juiste voorbereiding gaat u met kennis en vertrouwen een audit in.
Mocht er toch paniek ontstaan op het moment dat de auditbrief binnenkomt, dan staat Quexcel klaar met een gespecialiseerde Audit Defense-dienst. Daarnaast organiseert ons zusterbedrijf Didactive regelmatig webinars over Audit Defense, waarin u praktische handvatten krijgt om audits succesvol te doorlopen.