Учитывая, что мои обязательства перед бывшей компанией еще не полностью исчерпаны, наименования действующих лиц изменены. Вот, собственно, и они:
Компания, Аудитор, Правообладатель.
Несколько лет назад, в связи с выходом на американский рынок, стратеги Компании просчитали риски и сочли использование нелегального ПО абсолютно неприемлемым. Основная масса ПО производилась Правообладателем. Перед ИТ-службой была поставлена задача стать «белыми и пушистыми» (С) — ген. директор. Задача осложнялась тем, что ИТ-службе требовалось не только обеспечить чистоту ПО, но получить от Правообладателя «всем бумажкам бумажку» (С) — Ф.Ф. Преображенский. Такой документ, чтобы никакой проверяющий сторонний орган не мог огульно обвинить Компанию в нон-комплайнсе и Компании не пришлось доказывать обратное, в то время как риски срабатывают.
После многократных встреч с Правообладателем на высшем доступном для него уровне (европейские и российские смотрящие) получили 2 предложения:
Стоимость аудита составила около достаточно большой процент от стоимости годовой аренды ПО, длительность — 4 месяца.
Все прошло достаточно гладко, ПО удалено либо оплачено, бумаги были получены, директорат доволен.
Спустя несколько лет аренды перед ИТ-руководством встала задача выкупа ПО в постоянное пользование. Засветила перспектива повторного аудита. Новый CIO, не знакомый с процессом прошлых переговоров, удивился стоимости аудита Правообладателя и решил сэкономить. Аудитор из «большой четверки» предложил цену в разы меньше Правообладателя, заявив о том, что результаты его аудита будут котироваться ничуть не меньше, чем аудита Правообладателя. И, конечно же, тема «бумажек» была обойдена, как незначительный элемент. Вариант с бесплатным аудитом силами самого Правообладателя не рассматривался.
Аудит проходил достаточно скомкано, очень малым составом исполнителей от Аудитора («а что вы хотели за такие смешные деньги»), состав ПО для выкупа вырос на многие десятки процентов (исполнители не имели времени разбираться в требованиях и записывали в найденное все, включая ненужные элементы). Плюс к этому в полученном отчете во первых строках была интересная фраза: «По информации, предоставленной Заказчиком, ……». Выяснилось, что согласно стандартам по управлению рисками, информация от Заказчика является самой недостоверной. И, как пояснил в частной беседе сотрудник Правообладателя, наличие такое фразы в отчете автоматически сводит ответственность Аудитора перед Правообладателем на нет. Фактически, это и есть команда «Фас» для тех, кому проверяемый дает аудиторское заключение в надежде уйти от претензий или попасть под действие презумпции невиновности.
Кроме того, продолжительность аудита вышла за рамки плана и не позволила провести стандартные процедуры конкурса по выбору поставщика лицензий. В результате поставку произвел привелигированный поставщик без какого-либо снижения цены и улучшения условий оплаты.
Общий экономический ущерб в разы перекрыл стоимость аудита Правообладателя и оставил Компанию под угрозой наступления новых рисков.
Выводы.
Компания, Аудитор, Правообладатель.
Несколько лет назад, в связи с выходом на американский рынок, стратеги Компании просчитали риски и сочли использование нелегального ПО абсолютно неприемлемым. Основная масса ПО производилась Правообладателем. Перед ИТ-службой была поставлена задача стать «белыми и пушистыми» (С) — ген. директор. Задача осложнялась тем, что ИТ-службе требовалось не только обеспечить чистоту ПО, но получить от Правообладателя «всем бумажкам бумажку» (С) — Ф.Ф. Преображенский. Такой документ, чтобы никакой проверяющий сторонний орган не мог огульно обвинить Компанию в нон-комплайнсе и Компании не пришлось доказывать обратное, в то время как риски срабатывают.
После многократных встреч с Правообладателем на высшем доступном для него уровне (европейские и российские смотрящие) получили 2 предложения:
- Аудит установленного ПО силами и средствмами Правообладателя, бесплатно для Компании, с фактической обязанностью удаления, покупки или аренды ПО после аудита, но без бумаг о чистоте;
- Платный аудит силами партнера Правообладателя, за счет Компании, с выдачей бумаг, подтверждающих отсутствие любых претензий Правообладателя на указанный срок.
Стоимость аудита составила около достаточно большой процент от стоимости годовой аренды ПО, длительность — 4 месяца.
Все прошло достаточно гладко, ПО удалено либо оплачено, бумаги были получены, директорат доволен.
Спустя несколько лет аренды перед ИТ-руководством встала задача выкупа ПО в постоянное пользование. Засветила перспектива повторного аудита. Новый CIO, не знакомый с процессом прошлых переговоров, удивился стоимости аудита Правообладателя и решил сэкономить. Аудитор из «большой четверки» предложил цену в разы меньше Правообладателя, заявив о том, что результаты его аудита будут котироваться ничуть не меньше, чем аудита Правообладателя. И, конечно же, тема «бумажек» была обойдена, как незначительный элемент. Вариант с бесплатным аудитом силами самого Правообладателя не рассматривался.
Аудит проходил достаточно скомкано, очень малым составом исполнителей от Аудитора («а что вы хотели за такие смешные деньги»), состав ПО для выкупа вырос на многие десятки процентов (исполнители не имели времени разбираться в требованиях и записывали в найденное все, включая ненужные элементы). Плюс к этому в полученном отчете во первых строках была интересная фраза: «По информации, предоставленной Заказчиком, ……». Выяснилось, что согласно стандартам по управлению рисками, информация от Заказчика является самой недостоверной. И, как пояснил в частной беседе сотрудник Правообладателя, наличие такое фразы в отчете автоматически сводит ответственность Аудитора перед Правообладателем на нет. Фактически, это и есть команда «Фас» для тех, кому проверяемый дает аудиторское заключение в надежде уйти от претензий или попасть под действие презумпции невиновности.
Кроме того, продолжительность аудита вышла за рамки плана и не позволила провести стандартные процедуры конкурса по выбору поставщика лицензий. В результате поставку произвел привелигированный поставщик без какого-либо снижения цены и улучшения условий оплаты.
Общий экономический ущерб в разы перекрыл стоимость аудита Правообладателя и оставил Компанию под угрозой наступления новых рисков.
Выводы.
- При подготовке к аудиторским проверкам требуйте от аудиторов не использовать фразы о получении какой-либо части информации от Вас и не принимайте результаты, если таковая фраза есть. Вне Вашей организации ценность аудиторского заключения с подобными фразами стремится к нулю.
- Если Правообладатель предлагает провести аудит ПО собственными силами и средствами и Вам не нужны охранные грамоты, лучше воспользуйтесь этим аудитом, чем сторонним. В этом случае скрыть часть ПО не получится, но по крайней мере итоговая спецификация будет более актуальной, и скорее всего, меньшей по размеру, чем рекомендованная сторонним аудитором.
