Microsoft Audit wiki

Microsoft Audits

Wat is een Microsoft Audit?

 Een Microsoft Audit is een algemene controle van de juiste licenties van bedrijven. Ondanks dat de naam suggereert dat Microsoft de audits uitvoert, worden ze uitgevoerd door een derde partij die door Microsoft wordt ingehuurd. De externe auditors zijn verantwoordelijk voor het vaststellen of bedrijven Microsoft-software op de juiste manier gebruiken in overeenstemming met de richtlijnen van Microsoft. Als de auditor afwijkingen of verdacht softwaregebruik ontdekt, kan het zijn dat het onderzochte bedrijf dat softwaregebruik moet rechtvaardigen en bewijzen moet voorleggen. Een softwaregebruik dat als verdacht of onjuist kan worden geclassificeerd, houdt een mismatch in tussen de aangeschafte softwarelicenties en de licenties die in gebruik zijn, wanneer de laatste groter is dan de eerste. Daarom mag een bedrijf volgens de richtlijnen van Microsoft alleen hetzelfde aantal licenties gebruiken als het gekochte aantal of minder. Elke audit is anders, omdat bedrijven verschillende licentie-infrastructuren hebben. Daarom is er geen eenduidige definitie van alle processen die deel uitmaken van een Microsoft Audit. Hoewel de procedures variëren, zijn er een paar standaardstappen die door Microsoft en bedrijven die een audit hebben ondergaan, bekend worden gemaakt.

Het proces van de Microsoft Audit hangt af van het type (zie hieronder). De meest algemene volgorde is dat er eerst een officiële brief naar het bedrijf wordt gestuurd waarin het op de hoogte wordt gebracht van de Audit en het doel ervan. Het bedrijf kan ook een vergadering plannen met een vertegenwoordiger van Microsoft over de audit en om eventuele vragen of zorgen te uiten. Tijdens deze vergadering geven de auditors ook alle relevante informatie over het tijdschema, de processen en de verwachte resultaten van de audit. De volgende algemene stap is het verzamelen van gegevens door een externe auditor. Deze gegevensverzameling kan een bezoek ter plaatse van de auditors inhouden voor een adequate evaluatie. Na het verzamelen van de gegevens presenteren de auditors een rapport met de bevindingen van de audit, eventuele aanbevelingen en de relevante context. Deze rapporten zijn meestal vatbaar voor fouten vanwege het gebrek aan diepgaande kennis of begrip van de interne processen en licentiebeslissingen van het bedrijf. Op dit punt kan het gecontroleerde bedrijf eventuele misrekeningen, verkeerde interpretaties of andere fouten aanpakken en aanvullende context of juridische documenten verstrekken. Hierna wordt een definitief auditrapport aan Microsoft gepresenteerd. In de meeste gevallen gaat Microsoft ervan uit dat het bedrijf de licentieovereenkomst naleeft totdat het tegendeel wordt bewezen. 

Soorten Microsoft-audits

Er zijn drie algemene soorten Microsoft Audits. De meest voorkomende is de Self-Audit, gevolgd door de Software Asset Management (SAM) Opdracht. De meest strikte Microsoft Audit is de License Contracts and Compliance Audit (LCC) Audit. 

De Self-Audit vereist meestal dat het gecontroleerde bedrijf de aankoopdocumenten en softwaresleutels van de gebruikte software verzamelt en aan Microsoft voorlegt. Het belangrijkste doel van dit type audit is dat het bedrijf bewijst dat het voldoet aan de licentieovereenkomst van Microsoft.

De SAM-opdracht wordt meestal uitgevoerd door een derde partij die de audit uitvoert. De kosten van de SAM-opdracht worden meestal 100% door Microsoft gedekt. Het gecontroleerde bedrijf krijgt meestal een aanbeveling voor de juiste licenties voor zijn software.

De meest strikte Microsoft Audit is de License Contracts and Compliance Audit (LCC). Deze audit is het resultaat wanneer een bedrijf het verzoek van Microsoft om een Self-Audit of SAM Engagement uit te voeren negeert of afwijst. Vanwege de verplichte aard is de LCC audit formeel en kan deze leiden tot juridische stappen. LCC-audits leiden meestal tot extra verkoop voor Microsoft vanwege ontoereikende licenties van de gecontroleerde bedrijven. Dit audittype wordt vaak geassocieerd met het feit dat Microsoft een rechtszaak aanspant tegen het gecontroleerde bedrijf met als doel financiële compensatie te ontvangen. Dit kan variëren van eenvoudige boetes tot gerechtelijke vervolging. Dit laatste is meestal het slechtste scenario. Een meer gebruikelijke compensatie is de bovengenoemde extra licentieverkoop. 

Waarom voert Microsoft audits uit?

Microsoft kan willekeurig en op elk moment een audit uitvoeren. Als een bedrijf Microsoft-licenties gebruikt, bestaat de kans dat het op een bepaald moment wordt gecontroleerd. Audits zijn een regelmatige controle van Microsoft om vast te stellen of een bedrijf zijn software legaal gebruikt. Het belangrijkste doel van een Microsoft Audit is om te controleren of het aantal softwarelicenties overeenkomt met de licenties met een aankoopbewijs. Daarnaast worden tijdens een Audit ook de licenties van alle software en gebruikers/apparaten onderzocht. 

Als Microsoft redenen heeft om aan te nemen dat een bedrijf de licentieovereenkomst niet naleeft en/of software illegaal gebruikt, zal dat bedrijf hoogstwaarschijnlijk worden gecontroleerd. Een audit kan door meerdere factoren worden veroorzaakt, zoals ongebruikelijke softwaregebruikspatronen. Een andere reden voor een Audit kan een recente softwareaankoop of -vernieuwing zijn. In deze gevallen controleert een Audit of de juiste hoeveelheid vereiste software daadwerkelijk gelicentieerd is. Bedrijven die onlangs zijn gefuseerd of een ander bedrijf hebben overgenomen, kunnen ook te maken krijgen met een Microsoft Audit om te voorkomen dat er door verwarring te weinig licenties worden verstrekt.

Waar controleert de Auditor op tijdens een Microsoft Audit?

Externe auditors worden door Microsoft ingehuurd om de beschikbare gegevens over het softwaregebruik van het onderzochte bedrijf te verzamelen en aan de softwarefabrikant te verstrekken. Auditors moeten onbevooroordeeld blijven ten opzichte van zowel Microsoft als het gecontroleerde bedrijf, daarom gaan ze meestal uit van het standpunt dat het bedrijf niet correct licentiëert. In het geval van enige dubbelzinnigheid of mismatch, zullen de auditors meer naar de kant van Microsoft neigen. Na onderzoek van de gegevens en licentiebewijzen presenteert het auditbedrijf een eindrapport aan zowel uw bedrijf als Microsoft. Dit is echter niet de uiteindelijke beslissing van Microsoft. Als een bedrijf het niet eens is met het rapport van de auditor, kan het bezwaar maken tegen de bevinding door ontbrekende context of documentatie te verstrekken.

Hoe bereidt u zich voor op een Microsoft Audit?

Wanneer bedrijven op de hoogte worden gebracht van aankomende Microsoft Audit, voeren ze meestal een eerste interne "audit" uit door de gebruikte software te tellen en de bijbehorende aankoopbewijzen te verzamelen. Bedrijven bereiden zich ook voor op Microsoft Audits door consequent hun documenten en bewijzen van softwareaankopen bij te houden in een georganiseerde database. Na ontvangst van een brief over een inkomende audit, wordt bedrijven ook aangeraden om alle virtuele machines, fysieke servers en User/Device CAL's te tellen. Grote organisaties doen aan Software Asset Management om er zeker van te zijn dat ze voldoen aan de regels van Microsoft.

In welke gevallen kunt u niet slagen voor een Microsoft Audit?

Een van de meest voorkomende redenen waarom een bedrijf niet slaagt voor een Microsoft Audit is een gebrek aan kennis of begrip van de licentieovereenkomst. De licentieovereenkomst van een bedrijf kan contextafhankelijk zijn. Aangezien auditors geen kennis hebben van de specifieke context van elk bedrijf, kunnen ze daar tijdens de audit geen rekening mee houden. Daarom moeten bedrijven die hun software licenseren afhankelijk van aanvullende omstandigheden, de betreffende achtergrond en documenten verstrekken ter ondersteuning van hun licentiekeuzes. 

Een andere reden waarom een bedrijf niet slaagt voor zijn Microsoft Audit is een fout in de berekening. Auditors maken meestal gebruik van Excel om de nodige gegevens te verzamelen voor de berekening van licenties, maar hierbij kunnen fouten optreden. Daarom wordt bedrijven aangeraden om de gegevens van de auditors kritisch te beoordelen en eventuele onenigheden of rekenfouten te melden. 

Naast fouten van de controleurs, kunnen bedrijven ook verantwoordelijk zijn voor verkeerde inventarisatiegegevens. Ongeacht of het opzettelijk is of niet, ongeorganiseerde Active Directory gegevens kunnen ertoe leiden dat auditors de benodigde gegevens verkeerd verzamelen. Andere factoren kunnen ook verouderde, onvolledige of kwalitatief slechte inventarisatiegegevens zijn. Testomgevingen en niet-gecontroleerde ontwikkelingen in de softwarevereisten van het bedrijf kunnen ook een verkeerd beeld geven van het werkelijke softwaregebruik en daarmee van de rapporten van de auditors. Daarom kiezen bedrijven er in het geval van een audit meestal voor om een interne "audit" van hun hardware- en softwaredatabase uit te voeren om deze voor te bereiden en te organiseren voor de auditors.

Een bedrijf dat meer software gebruikt dan het aantal dat op het aankoopbewijs staat, zou ook niet slagen voor een Microsoft Audit. Ervan uitgaande dat er geen sprake is van misbruik van Microsofts richtlijnen en er per ongeluk een aankoopbewijs (bijv. factuur) ontbreekt, heeft het bedrijf het recht om dit alsnog te leveren. Sommige aankoopbewijzen kunnen Software Assurance Licenties, Microsoft Licentieverklaring, OEM licenties of de factuur zijn. In het geval van een audit hoeven bedrijven niet alle soorten aankoopbewijzen te leveren. Zolang er een wettelijk document of een enkel aankoopbewijs is dat het aantal gebruikte software ondersteunt, is er geen reden voor een bedrijf om niet te slagen voor de Microsoft Audit. 

Wat zijn de gevolgen als u niet slaagt voor een Microsoft Audit?

Als een bedrijf de licentieovereenkomst van Microsoft niet naleeft of niet kan bewijzen dat het dat wel doet, kan het bepaalde gevolgen ondervinden. Het bedrijf zou bijvoorbeeld een boete en/of boetes kunnen krijgen. Indien van toepassing kan Microsoft ook juridische stappen ondernemen tegen het bedrijf op basis van het illegale softwaregebruik. Naast het betalen van de bovengenoemde boete(s), zou het bedrijf verplicht kunnen worden om zich aan de licentieovereenkomst van Microsoft te houden door de licenties aan te schaffen waarvoor geen aankoopbewijs bestaat. Bedrijven die niet door een Microsoft Audit zijn gekomen, rapporteren ook reputatieschade.