Artikel top billede

(Foto: Computerworld)

Fortrolig rapport: Sådan tjekkes dine licenser under licens-audit

Fortrolig rapport kaster lys over, hvordan de ellers så hemmelige licens-audits bliver udført herhjemme. Se dele af rapporten her.

Licensaudits - eller licenskontroller - udføres i praksis ofte af store revisionshuse som KPMG og Deloitte på vegne af it-producenterne.

Men hvordan griber disse revisionshuse egentlig opgaven an?

For hvordan tjekker man, om en kunde reelt har flere licenser, end der er betalt for?

Det kaster en såkaldt licensaudit-rapport fra Varde Kommune lidt lys over.

Her blev kontrollen udført af KPMG for Microsoft.

Udfaldet kan du læse mere om her.

"KPMG's arbejde har, jf. den indgåede aftale været baseret på interviews og analyse af information modtaget fra kunden og Microsoft," hedder det om metoden.

Kontrol over flere dage

Denne kontrol er foretaget i perioden 6. april 2011 til den 14. april 2011.

"Vi har foretaget test den 6. april 2011 på kundens domicil Bytoften 2, 6800 Varde."

"Efter gennemførelsen af vores undersøgelse kan kunden have videregivet information til Microsoft, som ikke er inkluderet i vores analyse, og afhængig af karakteren heraf skal vore konklusioner eventuelt vurderes i lyset heraf," fremgår det af rapporten.

Informationer modtaget fra kunden og Microsoft er i henhold til aftale blevet verificeret stik-prøvevis, fremgår det.

"Vi har, som aftalt med Microsoft, tilstræbt at gøre stikprøverne repræsentative for de softwaretyper, vi har behandlet i undersøgelsen," står der i metodenbeskrivelsen.

I praksis er foretaget en stribe stikprøver.

Sådan fungerer det med stikprøver

Læs også:

Kommune i flæsket på KMD: Godt gal over licens-rod.

Dansk kommune slap for stor regning fra Microsoft.

"I de tilfælde hvor vi ikke har kunnet verificere kundens information ved at lave systemopslag eller dataudtræk, har vi angivet dette," fremgår det videre af rapporten.

Kontrollen hos Varde Kommune

KPMG har verificeret antal af workstations og servere ved at sammenholde kundens lister med information fra Active Directory, antivirus-servere, backup-servere, hosts for virtuelle servere eller andre systemer, som registrerer et elektronisk livstegn fra de pågældende Workstations og servere.

"Vi har ved vores gennemgang identificeret 129 servere og 1243 Workstations. Vi har verificeret installationer ved at gennemføre scanning af 100 procent af serverne og 52,86 procent af Workstations for Microsoft software," fremgår det videre.

Såfremt kunden anvender virtuelle servere har KPMG foretaget udtræk fra virtuelle miljøer visende antal processorer, farme og indstillinger for de virtuelle servers mobilitet mellem hosts.

"Oplysninger om antal processorer i anvendelse er verificeret gennem ovennævnte scanning af servere og workstations samt ved ovennævnte udtræk fra hosts for virtuelle servere."

Håndholdte enheder

Samtidig er oplysninger om håndholdte enheder, såsom mobiltelefoner og pda'er, verificeret gennem udtræk fra synkroniseringsservere.

"Microsoftsoftware i anvendelse på terminal-løsninger er verificeret gennem udtræk fra terminal-servere visende hvilke brugere og Workstations, der tilgår hvilken Microsoft software via disse servere," står der om metoden.

Verifikationen af OEM-licenser til operativsystemer til Workstations og servere er gennemført ved på interview-basis at undersøge, om kunden indkøber et OEM-operativsystem sammen med køb af Workstations sammenholdt med faktura køb fra kundens sidste Workstations køb samt stikprøvekontrol af ægthedsbeviser, skriver KPMG.

"I de tilfælde hvor vi ikke har modtaget fyldestgørende informationer fra kunden, har vi foretaget et skøn."

"Såfremt en mere detaljeret analyse var blevet gennemført, kunne yderligere forhold, som eventuelt ville ændre vores konklusioner, muligvis være blevet afdækket."

"Resultaterne af vores gennemgang er forelagt kunden i udkast forud for endelig rapportering til Microsoft," skriver KPMG.

Sådan så der ud hos kunden

Læs også:

Kommune i flæsket på KMD: Godt gal over licens-rod.

Dansk kommune slap for stor regning fra Microsoft.

I den konkrete kontrol hos Varde Kommune var nogle særlige forhold.

"På workshoppen gennemgik vi kundens Citrix-miljø. Denne gennemgang viste, at kunden publicerede Office Professional 2003 til alle medarbejdere i kommunen."

"Kunden informerede, at dette ikke var tilsigtet," skriver KPMG.

"I nærværende rapport har vi opgjort kommunens Workstations til at kræve en licens til Office 2003 Professional medmindre, der er installeret en nyere version," fremgår det.

"Kunden har 3 stk. SQL-servere installeret på deres virtuelle miljø."

Dissetre installationer er i rapport opgjort til at kræve 22 stk. SQL Server 2008 Enterprise (1.pl.), da dette er det antal processorer, som disse servere har til rådighed, hedder det.

"På workshoppen informerede kunden, at en SQL Server Enterprise var flyttet for nyligt fra en fysisk installation til deres virtuelle miljø."

"En SQL Server Standard skulle kun have været installeret med SQL Manage-ment Studio, men var installeret som en fuld SQL server."

På workshop-tidspunktet var der ikke nogle databaser på denne server. 

En SQL Server Enterprise var installeret, men var ifølge kunden migreret til en fysisk installation.

Kunden informerede, at der ikke var skrevet i databaserne siden 2009.

Antal brugere

"I nærværende rapport har vi opgjort kundens opdeling mellem corporate- og academic-brugere ud fra det fremsendte materiale fra kunden."

"Ifølge denne liste har vi opgjort at kunden har 1389 corporate-brugere og 727 academic-brugere."

Kunden har fremsendt materiale visende antallet af brugere, som har en token og en mobil enhed.

"Disse brugere er i nærværende rapport opgjort til at kræve en User CAL."

"Vi har antaget, at disse bruger alle har en Workstation, som kun de tilgår, og trukket dette antal fra det samlede antal Workstations. De resterende Workstations har vi opgjort til at være dækket af Device CAL," hedder det i rapporten.

Men også kunden høres, inden konklusionen falder.

KPMG: Fortrolig licensrapport

Læs også:

Kommune i flæsket på KMD: Godt gal over licens-rod.

Dansk kommune slap for stor regning fra Microsoft.

"Vi har forelagt rapporten i udkast for kunden og bedt denne om kommentarer til rapportens tal, som aftalt på opstartsmødet 6. april."

"Kunden har per mail givet os en generel kommentar om, at de ikke er enige i tallene i rapporten, og at de anser sagen for afsluttet."

"Vi har forespurgt kunden, hvilke tal de ikke er enige i således, at vi kunne rette såfremt, der var behov for dette, men kunden har ikke ønsket at give specifikke oplysninger om dette," skriver KPMG.

Du kan dog læse om hele sagen fra Varde Kommune her - herunder forløbet set fra kommunens CIO.

"Vi ser derfor ingen grund til at rette i rapportens tal," skriver KPMG.

KPMG: Fortrolig rapport
Fra KPMG har Computerworld modtaget et kortfattet skriftligt svar.

"Vi kan ikke kommentere en konkret, fortrolig rapport, men helt generelt kan man sige om licenskontroller, at de sigter mod, at softwarevirksomhedernes kunder betaler for den - og kun den - software, de anvender ifølge indgåede kontrakter," lyder det fra Torben Lange, leder af Forensic i KPMG.

"Når KPMG skal fastlægge, hvad der anvendes og sammenholde det med, hvad der er betalt licens for, sker det i tæt samarbejde med kunderne, der altid får lejlighed til at gennemgå og kommentere vores observationer inden rapporterne færdiggøres," forklarer han.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere