Modelli di licenza
Software Asset Management (SAM)
Licenze OEM
Ciclo di vita del prodotto Microsoft
Tipi di licenze
Licenze di vendita al dettaglio
Microsoft Enterprise Agreement
End-User License Agreement (EULA)
[...]
Microsoft Audits
23 april 2024
Che cos'è un audit Microsoft?
Un audit Microsoft è un controllo generale delle licenze delle aziende. Nonostante il nome suggerisca che sia Microsoft a eseguire gli audit, questi vengono eseguiti da una terza parte ingaggiata da Microsoft. Gli auditor di terze parti hanno il compito di determinare se le aziende utilizzano correttamente il software Microsoft in conformità alle linee guida di Microsoft. Se il revisore scopre discrepanze o un uso sospetto del software, l'azienda sottoposta a verifica può essere costretta a giustificare l'uso del software e a fornire prove. Un utilizzo del software che può essere classificato come sospetto o non corretto implica una discrepanza tra le licenze software acquistate e quelle in uso, quando le seconde sono maggiori delle prime. Pertanto, secondo le linee guida di Microsoft, un'azienda dovrebbe utilizzare solo un numero di licenze pari o inferiore a quello acquistato. Ogni verifica è diversa perché le aziende hanno infrastrutture di licenza diverse. Pertanto, non esiste una definizione unica di tutti i processi che compongono un audit Microsoft. Sebbene le procedure varino, esistono alcune fasi standard che vengono rese note da Microsoft e dalle aziende che si sono sottoposte a un audit.
Il processo dell'audit Microsoft dipende dal tipo di audit (vedi sotto). L'ordine più generale prevede l'invio di una lettera ufficiale all'azienda per informarla dell'audit e del suo scopo. L'azienda può anche fissare un incontro con un rappresentante di Microsoft in merito all'audit e per sollevare eventuali domande o dubbi. Durante questo incontro, i revisori forniscono anche tutte le informazioni pertinenti sul programma, sui processi e sui risultati attesi dell'audit. La fase successiva consiste nella raccolta dei dati da parte di un auditor esterno. Questa raccolta di dati può includere una visita in loco da parte degli auditor per una valutazione adeguata. Dopo la raccolta dei dati, gli auditor presentano un rapporto con i risultati dell'audit, le eventuali raccomandazioni e il contesto di riferimento. Questi rapporti sono solitamente soggetti a errori a causa della mancanza di una conoscenza approfondita o di una comprensione dei processi interni dell'azienda e delle decisioni di licenza. A questo punto, l'azienda sottoposta all'audit può correggere eventuali errori di calcolo, di interpretazione o di altro tipo e fornire un contesto aggiuntivo o documenti legali. Successivamente, viene presentato a Microsoft un rapporto di audit finale. Nella maggior parte dei casi, Microsoft presume che l'azienda sia conforme al contratto di licenza fino a prova contraria.
Tipi di audit Microsoft
Esistono tre tipi generali di audit Microsoft. Il più comune è il Self-Audit, seguito dal Software Asset Management (SAM) Engagement. L'audit Microsoft più rigoroso è l'audit dei contratti di licenza e della conformità (LCC).
L'autoverifica di solito richiede che l'azienda sottoposta a verifica raccolga i documenti di acquisto e le chiavi software del software in uso e li invii a Microsoft. Lo scopo principale di questo tipo di audit è che l'azienda dimostri la conformità al contratto di licenza di Microsoft.
L'incarico SAM viene solitamente svolto da un revisore terzo. Il costo dell'incarico SAM è solitamente coperto al 100% da Microsoft. L'azienda sottoposta ad audit riceve solitamente una raccomandazione sulle licenze appropriate per il proprio software.
L'audit Microsoft più rigoroso è l'audit dei contratti di licenza e della conformità (LCC). Questo audit è il risultato quando un'azienda ignora o rifiuta la richiesta di Microsoft di condurre un Self-Audit o un SAM Engagement. Per la sua natura obbligatoria, l'audit LCC è formale e può portare ad azioni legali. Gli audit LCC di solito si traducono in vendite aggiuntive per Microsoft a causa dell'inadeguatezza delle licenze delle aziende sottoposte ad audit. Questo tipo di audit è spesso associato all'avvio di un'azione legale da parte di Microsoft nei confronti dell'azienda sottoposta a verifica, con l'obiettivo di ottenere un risarcimento finanziario. Le azioni legali possono andare da semplici multe a procedimenti giudiziari. Quest'ultimo è di solito lo scenario peggiore. Un risarcimento più comune è la già citata vendita di licenze aggiuntive.
Perché Microsoft conduce gli audit?
Microsoft può condurre un audit arbitrariamente e in qualsiasi momento. Se un'azienda utilizza licenze Microsoft, è probabile che prima o poi venga sottoposta a un audit. Gli audit sono un controllo regolare da parte di Microsoft per determinare se un'azienda utilizza il suo software in modo legale. Lo scopo principale di un audit Microsoft è verificare se il numero di licenze software corrisponde alle licenze con prova d'acquisto. Inoltre, un audit esamina anche le licenze di tutti i software e degli utenti/dispositivi.
Se Microsoft ha motivo di ritenere che un'azienda non rispetti il contratto di licenza e/o utilizzi il software in modo illegale, molto probabilmente l'azienda verrà sottoposta a un audit. Un audit può essere causato da diversi fattori, come ad esempio modelli insoliti di utilizzo del software. Un'altra ragione per un audit può essere un recente acquisto o rinnovo di software. In questi casi, l'audit verifica se la quantità di software richiesta è stata effettivamente concessa in licenza. Anche le aziende che si sono recentemente fuse o hanno acquisito un'altra società possono essere sottoposte a un audit Microsoft, per evitare che le licenze siano insufficienti a causa della confusione.
Cosa controlla il revisore durante un audit Microsoft?
Gli auditor esterni vengono assunti da Microsoft per raccogliere i dati disponibili sull'utilizzo del software dell'azienda sotto indagine e fornirli al produttore del software. Gli auditor devono rimanere imparziali sia nei confronti di Microsoft che dell'azienda sottoposta ad audit, per questo motivo di solito partono dal presupposto che l'azienda non stia utilizzando correttamente le licenze. In caso di ambiguità o discrepanze, gli auditor propenderanno maggiormente per la parte di Microsoft. Dopo aver esaminato i dati e le prove di licenza, la società di revisione presenta un rapporto finale sia all'azienda che a Microsoft. Tuttavia, questa non è la decisione finale di Microsoft. Se un'azienda non è d'accordo con il rapporto del revisore, può opporsi alle conclusioni fornendo il contesto o la documentazione mancante.
Come ci si prepara a un audit Microsoft?
Quando le aziende ricevono la notifica di un imminente audit Microsoft, di solito conducono un primo "audit" interno contando il software utilizzato e raccogliendo le relative ricevute di acquisto. Le aziende si preparano agli audit Microsoft anche tenendo costantemente traccia dei documenti e delle prove di acquisto del software in un database organizzato. Dopo aver ricevuto una lettera relativa a un audit in arrivo, si consiglia alle aziende di contare tutte le macchine virtuali, i server fisici e le CAL di utenti/dispositivi. Le grandi organizzazioni effettuano il Software Asset Management per assicurarsi di essere conformi alle regole di Microsoft.
In quali casi si può fallire un audit Microsoft?
Uno dei motivi più comuni per cui un'azienda non supera un audit Microsoft è la mancanza di conoscenza o comprensione del contratto di licenza. Il contratto di licenza di un'azienda può dipendere dal contesto. Poiché i revisori non conoscono il contesto specifico di ogni azienda, non possono tenerne conto durante l'audit. Pertanto, a seconda delle circostanze aggiuntive, le aziende che concedono in licenza il loro software devono fornire il contesto e i documenti pertinenti a sostegno delle loro scelte di licenza.
Un altro motivo per cui un'azienda non supera l'audit Microsoft è un errore di calcolo. Gli auditor di solito utilizzano Excel per raccogliere i dati necessari al calcolo delle licenze, ma in questo processo possono verificarsi degli errori. Pertanto, si consiglia alle aziende di esaminare criticamente i dati dei revisori e di segnalare eventuali discordanze o errori di calcolo.
Oltre agli errori dei revisori, anche le aziende possono essere responsabili di dati di inventario errati. Indipendentemente dal fatto che sia intenzionale o meno, la disorganizzazione dei dati di Active Directory può indurre i revisori a raccogliere i dati richiesti in modo errato. Altri fattori possono includere dati di inventario obsoleti, incompleti o di scarsa qualità. Anche gli ambienti di test e gli sviluppi non verificati dei requisiti software dell'azienda possono falsare l'utilizzo effettivo del software e quindi i rapporti dei revisori. Per questo motivo, in caso di audit, le aziende di solito scelgono di condurre un "audit" interno del proprio database hardware e software per prepararlo e organizzarlo per i revisori.
Un'azienda che utilizza un numero di software superiore a quello indicato nella prova d'acquisto non supererebbe un audit Microsoft. Supponendo che non vi sia un abuso delle linee guida di Microsoft e che una prova d'acquisto (ad esempio, una fattura) sia accidentalmente mancante, l'azienda ha il diritto di fornirla comunque. Le prove di acquisto possono essere le licenze Software Assurance, la dichiarazione di licenza Microsoft, le licenze OEM o la fattura. In caso di audit, le aziende non sono tenute a fornire tutti i tipi di prova d'acquisto. Se esiste un documento legale o una singola prova d'acquisto che supporti il numero di software utilizzati, non c'è motivo per cui un'azienda non superi l'audit Microsoft.
Quali sono le conseguenze del mancato superamento di un Microsoft Audit?
Se un'azienda non rispetta il contratto di licenza di Microsoft o non è in grado di dimostrarlo, può incorrere in alcune conseguenze. Ad esempio, l'azienda potrebbe incorrere in una multa e/o in sanzioni. Se del caso, Microsoft potrebbe anche intraprendere un'azione legale contro l'azienda a causa dell'uso illegale del software. Oltre a pagare le suddette multe, l'azienda potrebbe essere obbligata a rispettare il contratto di licenza di Microsoft acquistando le licenze per le quali non esiste una prova d'acquisto. Le aziende che non sono riuscite a superare un audit Microsoft hanno subito anche danni alla reputazione.