Секретная фраза аудитора

    Учитывая, что мои обязательства перед бывшей компанией еще не полностью исчерпаны, наименования действующих лиц изменены. Вот, собственно, и они:
    Компания, Аудитор, Правообладатель.

    Несколько лет назад, в связи с выходом на американский рынок, стратеги Компании просчитали риски и сочли использование нелегального ПО абсолютно неприемлемым. Основная масса ПО производилась Правообладателем. Перед ИТ-службой была поставлена задача стать «белыми и пушистыми» (С) — ген. директор. Задача осложнялась тем, что ИТ-службе требовалось не только обеспечить чистоту ПО, но получить от Правообладателя «всем бумажкам бумажку» (С) — Ф.Ф. Преображенский. Такой документ, чтобы никакой проверяющий сторонний орган не мог огульно обвинить Компанию в нон-комплайнсе и Компании не пришлось доказывать обратное, в то время как риски срабатывают.

    После многократных встреч с Правообладателем на высшем доступном для него уровне (европейские и российские смотрящие) получили 2 предложения:

    1. Аудит установленного ПО силами и средствмами Правообладателя, бесплатно для Компании, с фактической обязанностью удаления, покупки или аренды ПО после аудита, но без бумаг о чистоте;
    2. Платный аудит силами партнера Правообладателя, за счет Компании, с выдачей бумаг, подтверждающих отсутствие любых претензий Правообладателя на указанный срок.

    Стоимость аудита составила около достаточно большой процент от стоимости годовой аренды ПО, длительность — 4 месяца.

    Все прошло достаточно гладко, ПО удалено либо оплачено, бумаги были получены, директорат доволен.

    Спустя несколько лет аренды перед ИТ-руководством встала задача выкупа ПО в постоянное пользование. Засветила перспектива повторного аудита. Новый CIO, не знакомый с процессом прошлых переговоров, удивился стоимости аудита Правообладателя и решил сэкономить. Аудитор из «большой четверки» предложил цену в разы меньше Правообладателя, заявив о том, что результаты его аудита будут котироваться ничуть не меньше, чем аудита Правообладателя. И, конечно же, тема «бумажек» была обойдена, как незначительный элемент. Вариант с бесплатным аудитом силами самого Правообладателя не рассматривался.

    Аудит проходил достаточно скомкано, очень малым составом исполнителей от Аудитора («а что вы хотели за такие смешные деньги»), состав ПО для выкупа вырос на многие десятки процентов (исполнители не имели времени разбираться в требованиях и записывали в найденное все, включая ненужные элементы). Плюс к этому в полученном отчете во первых строках была интересная фраза: «По информации, предоставленной Заказчиком, ……». Выяснилось, что согласно стандартам по управлению рисками, информация от Заказчика является самой недостоверной. И, как пояснил в частной беседе сотрудник Правообладателя, наличие такое фразы в отчете автоматически сводит ответственность Аудитора перед Правообладателем на нет. Фактически, это и есть команда «Фас» для тех, кому проверяемый дает аудиторское заключение в надежде уйти от претензий или попасть под действие презумпции невиновности.

    Кроме того, продолжительность аудита вышла за рамки плана и не позволила провести стандартные процедуры конкурса по выбору поставщика лицензий. В результате поставку произвел привелигированный поставщик без какого-либо снижения цены и улучшения условий оплаты.

    Общий экономический ущерб в разы перекрыл стоимость аудита Правообладателя и оставил Компанию под угрозой наступления новых рисков.

    Выводы.

    1. При подготовке к аудиторским проверкам требуйте от аудиторов не использовать фразы о получении какой-либо части информации от Вас и не принимайте результаты, если таковая фраза есть. Вне Вашей организации ценность аудиторского заключения с подобными фразами стремится к нулю.
    2. Если Правообладатель предлагает провести аудит ПО собственными силами и средствами и Вам не нужны охранные грамоты, лучше воспользуйтесь этим аудитом, чем сторонним. В этом случае скрыть часть ПО не получится, но по крайней мере итоговая спецификация будет более актуальной, и скорее всего, меньшей по размеру, чем рекомендованная сторонним аудитором.

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 6 532 анкет, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 6

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        Так как обычно бывает — появилась у исполнителя очередная задача. Некий софт, судя по рекламе, может упростить выполнение задачи. А может и не упростить. Или упростить, но совсем немного.

        Исполнитель идет к начальнику, просит купить софт. Начальник денег не даст, пока не будет на 100% уверен, что это необходимо (и даже после этого надо ждать и ждать закупки). А клиент ждать не любит, ну и исполнитель ставит то, что надо (вариант — админ).

        Если софт таки нужен — идет закупка. Если кто-то затупил (исполнитель, начальник, бухгалтерия) — так ничего и не закупается. А если задача была одноразовая, и на софт для нее денег допроситься крайне сложно.

        Высокое начальство вообще не в курсе того, какой софт нужен исполнителям для мелких и средних задач (для основных, как правило, в курсе). Так и получается — исполнителям нужное, а высокому начальству ненужное (они видят в нем неэффективные расходы).
          0
          > Исполнитель идет к начальнику, просит купить софт. Начальник денег не даст, пока не будет на 100% уверен, что это необходимо (и даже после этого надо ждать и ждать закупки). А клиент ждать не любит, ну и исполнитель ставит то, что надо (вариант — админ).

          Под суд такого админа, чтобы отбить желание заниматься дурью. Нет денег — пользуйтесь свободным ПО или пишите свое.
          0
          Некоторые *продукты* в данном случае могут иметь вариации:
          -90 дней триала. Невзлетело или ограниченное пользование после окончания триала
          -Для ознакомления, официально не должно использоваться в коммерческих целях без лицензии.
          -Продукт с временной лицензией (от дней до нескольких лет), лицензия истекла.
          -Продукт с лицензией по количеству использований.

          Это самое популярное что на ум пришло. Некоторые продукты стоят 10+ тысяч долларов и Правообладатели за неправильное коммерческое использование будут гонять по судам пока вы не устанете.
            +2
            Трюк в том, что в корпоративных лицензиях чёрт ногу сломит — и это делается сознательно. Ну т.е. вы конечно можете поставить вообще на каждую машину, включая BYOD, отдельную лицензию по стрит прайсу, но даже это не спасёт от претензий, если софт лицензируется по ядрам процессора, а вы его вынесли в облако.
            На практике, с одной стороны, дикие скидки на оптовую закупку лицензий, а с другой — традиционное раздолбайство корпоративной бюрократии, когда специалистам лицензии нужны «вчера», а юристы с финансистами будут их год согласовывать.

            0

            Все ранее данные комментарии в принципе верны, спасибо. От себя добавлю, что по моим наблюдениям, периодический аудит SAM (хотя бы внутренний) целесообразен при наличии более чем 4 специалистов, имеющих право на установку ПО. Это чисто психология — один руководитель не может контролировать все шаги большого количества персонала. В нашем случае таких специалистов было более 500 в 60+ филиалах, и без стороннего аудита сложно обойтись. Да и стоимость аудита многократно ниже стоимости ошибки при составлении заказных спецификаций и оценке рисков.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое