Учитывая, что мои обязательства перед прежней компанией еще не полностью исчерпаны, имена нынешних лиц изменены.
Вот, собственно, они: Компания, Аудитор, Правообладатель.
Несколько лет назад в связи с выходом на американский рынок стратеги компании просчитали риски и сочли использование нелегального ПО абсолютно неприемлемым.
Основная часть программного обеспечения произведена Правообладателем.
IT-службе была поставлена задача стать «белой и пушистой» (С) - ген.
директор .
Задача осложнялась тем, что ИТ-службе нужно было не только обеспечить чистоту ПО, но и получить от Правообладателя «бумажку на все бумаги» (С) - Ф.
Ф.
Преображенский .
Такой документ, чтобы ни один сторонний проверяющий орган не мог огульно обвинять Компанию в несоблюдении требований и Компании не приходилось доказывать обратное, пока срабатывают риски.
После многочисленных встреч с Правообладателем на самом высоком доступном ему уровне (европейские и российские наблюдатели) мы получили 2 предложения:
- Аудит установленного программного обеспечения силами и средствами Правообладателя, безвозмездный для Компании, с фактическим обязательством по удалению, покупке или аренде программного обеспечения после проверки, но без документов о чистоте;
- Платная проверка партнером Правообладателя за счет Компании с выдачей документов, подтверждающих отсутствие каких-либо претензий со стороны Правообладателя за определенный период.
Все прошло вполне гладко, программное обеспечение было удалено или оплачено, бумаги получены, дирекция осталась довольна.
После нескольких лет аренды перед ИТ-руководством встала задача приобрести программное обеспечение в постоянное пользование.
Появилась перспектива повторной проверки.
Новый ИТ-директор, не знакомый с процессом прошлых переговоров, был удивлен стоимостью проверки Правообладателя и решил сэкономить.
Аудитор «Большой четверки» предложил цену в несколько раз ниже, чем у Правообладателя, заявив, что результаты его проверки будут котироваться не меньше, чем проверка Правообладателя.
И, конечно же, тема «бумажной работы» была обойдена как малозначительный элемент. Вариант бесплатной проверки самим Правообладателем не рассматривался.
Аудит был проведен довольно скомканно, с очень небольшим составом исполнителей от "Аудитора" ("что вы хотели за такие смешные деньги"), состав ПО для выкупа вырос на многие десятки процентов (исполнители не успеть разобраться в требованиях и записать все, что нашли, включая ненужные элементы).
Плюс в первых строках полученного отчета была интересная фраза: «Согласно информации, предоставленной Заказчиком, .
».
Оказалось, что по стандартам управления рисками информация от Заказчика является самой недостоверной.
И, как пояснил в приватной беседе сотрудник Правообладателя, наличие такой фразы в отчете автоматически сводит ответственность Аудитора перед Правообладателем на нет. По сути, это команда «ФАС» для тех, кому проверяемый дает аудиторское заключение в надежде уклониться от претензий или попасть под презумпцию невиновности.
Кроме того, продолжительность проверки вышла за рамки плана и не позволила провести стандартные тендерные процедуры по выбору поставщика лицензий.
В результате поставка была осуществлена предпочтительным поставщиком без какого-либо снижения цены или улучшения условий оплаты.
Общий экономический ущерб существенно превысил стоимость проверки Правообладателя и поставил Компанию под угрозу новых рисков.
Выводы.
- При подготовке к проверкам требовать от аудиторов не использовать фразы о получении от вас какой-либо части информации и не принимать результаты, если такая фраза присутствует. За пределами вашей организации ценность аудиторского отчета с такими фразами стремится к нулю.
- Если Правообладатель предлагает провести аудит ПО самостоятельно и сертификаты безопасности вам не нужны, лучше воспользоваться данным аудитом, чем сторонним.
В этом случае скрыть часть ПО не получится, но, по крайней мере, финальная спецификация будет более актуальной и, скорее всего, меньшей по размеру, чем рекомендованная сторонним аудитором.
-
Восьмибитные Шутки 2
19 Oct, 24 -
Пройдите Глазами Java-Программиста
19 Oct, 24 -
Dev Labs 2016. Java. 25 Июня
19 Oct, 24
