Po co nam audyt?

Wbrew powszechnej opinii, audyt oprogramowania w firmie nie jest wyłącznie związany ze sprawdzeniem jego legalności. W zależności od tego, jak gruntownie został przygotowany, może dostarczyć wyczerpujących informacji o użytkowanym oprogramowaniu, sprzęcie komputerowym, zagrożeniach związanych z wykorzystaniem określonego oprogramowania w firmie, a także mentalności i sposobie pracy użytkowników.

Michał Szafrański
12.01.1998

Wbrew powszechnej opinii, audyt oprogramowania w firmie nie jest wyłącznie związany ze sprawdzeniem jego legalności. W zależności od tego, jak gruntownie został przygotowany, może dostarczyć wyczerpujących informacji o użytkowanym oprogramowaniu, sprzęcie komputerowym, zagrożeniach związanych z wykorzystaniem określonego oprogramowania w firmie, a także mentalności i sposobie pracy użytkowników.

Do wykonania audytu oprogramowania można być zmuszonym, np. przez organizację taką jak Business Software Alliance (BSA). W tym przypadku zazwyczaj nie ma się wyboru: organizacja antypiracka wskazuje firmę, której należy udostępnić komputery w celu wykonania audytu. Bardziej komfortowa sytuacja zdarza się wtedy, kiedy firma sama decyduje o przeprowadzeniu audytu. Pojawia się jednak pytanie - kto ma się tym zająć? Może to wykonać samodzielnie lub też wynająć niezależną firmę specjalizującą się w audycie oprogramowania?

Sami sobie

Samodzielne przeprowadzenie audytu jest bardzo kuszące, ponieważ - przynajmniej początkowo - nie wydaje się przedsięwzięciem zbyt złożonym, po prostu trzeba wymyślić sposób na policzenie wszystkich pakietów pracujących w sieci. Zakładając nawet, że taką metodologię uda się firmie opracować, to należy jeszcze w miarę sprawnie i szybko sprawdzić wszystkie komputery w firmie. Nie nastręcza to trudności, ale w przypadku kilkuset lub nawet kilku tysięcy sprawdzenie każdego z nich może stać się problemem. Na tym jednak proces się nie kończy - konieczne jest jeszcze stworzenie raportów, które udzielą odpowiedzi na pytania postawione przed przystąpieniem do audytu.

W firmach, które samodzielnie chcą przeprowadzić audyt, rzadko udaje się zakończyć go pełnym sukcesem. Może się tak zdarzyć nawet wtedy, gdy planują go i przeprowadzają doświadczeni informatycy. Przyczyn tego jest co najmniej kilka. Podstawowa to fakt, że dział informatyczny przedsiębiorstwa zawsze ma ważniejsze sprawy do załatwienia niż przeprowadzenie audytu, a że wymaga on sprawdzenia każdego komputera pracującego w firmie, to proces ten może się przedłużać. Kolejny powód to częsty brak mocy sprawczej działu informatycznego, którego pracownikom trudno jest wejść np. do działu marketingu i poinformować zatrudnionych, że mają wolne dwie godziny, w trakcie których sprawdzone zostaną wszystkie komputery. Specjaliści zajmujący się audytem wymieniają jeszcze jedną przyczynę. Otóż zdarza się, że niektóre osoby, przykładowo wyższe rangą od pracowników działu informatycznego, mogą zgłaszać zastrzeżenia co do jego wyników lub kwestionować ich sens, gdy okaże się, że mają nie licencjonowane aplikacje lub niewłaściwie wykorzystują swoje komputery.

Zewnętrzna firma

Często więc rzetelne wyniki, niezależne od czynników wymienionych, może dostarczyć tylko zewnętrzna firma. Współpracując z działem informatycznym swojego klienta, ma szansę przygotować lepszy audyt niż sam klient, ponieważ ma większe doświadczenie i może mu zasugerować sprawdzenie kilku dodatkowych elementów, pozwalających uzyskać nie tylko informację o liczbie wymaganych licencji, ale także o pełnym środowisku, w jakim pracuje oprogramowanie stosowane w firmie. Zewnętrznej firmie łatwiej jest dotrzymać terminów zakończenia audytu niż zapracowanemu działowi informatycznemu.

Z wykupienia zewnętrznego audytu jest jeszcze jedna korzyść. Podglądając pracę firmy audytorskiej pracownicy działu informatycznego mogą nauczyć się metodologii przygotowywania i przeprowadzania takich badań, co z pewnością przyda im się w przyszłości. Przy kolejnym audycie mogą już oni bazować na zdobytych doświadczeniach.

Procedura audytowa

Choć ceny za audyt oprogramowania nie są jednoznaczne (zależą od liczby komputerów użytkowanych w firmie), to przyjmuje się, że koszt sprawdzenia jednej stacji wynosi ok. 140 zł (40 USD). W przypadku firmy, która posiada 1000 komputerów, bez uwzględniania rabatów, daje to niebagatelną sumę 140 000 zł.

Klient zazwyczaj zachęcany jest przez firmę do nabycia pakietu aplikacji (dokładnie takich samych, z jakich korzysta firma audytingowa), które umożliwiają mu późniejsze samodzielne przeprowadzanie audytów. Koszt licencji na takie narzędzia stanowi zazwyczaj kilkanaście procent sumy, jaką klient musi zapłacić za pierwszy audyt.

Sama procedura audytowa poprzedzona jest wielokrotnymi kontaktami klienta i wybranej firmy, mającymi na celu zapoznanie tej firmy ze sposobem, w jaki funkcjonuje system informatyczny klienta oraz problemami, z jakimi boryka się dział informatyczny, a jakie przynajmniej częściowo mogą zostać rozwiązane przez audyt (np. dzięki zgromadzonym za jego pośrednictwem informacjom).

W okresie przygotowań do pełnego audytu wykonuje się tzw. audyt próbny. Przeprowadza się go na pewnej liczbie komputerów pracujących w sieci firmowej i służy on głównie do opracowania zestawu procedur, które pozwolą maksymalnie zautomatyzować ostateczne przedsięwzięcie. Określa się wtedy m.in. strategię dotyczącą aplikacji, które mają być wykrywane na komputerach, sposobu ich oznaczania (np. czy dwie różne wersje edytora tekstu mają być oznaczane jako jeden czy dwa pakiety), określa się sposób, w jaki mają być rozpoznawane specyficzne aplikacje, opracowane przez firmowych informatyków.

Po zakończeniu próby przechodzi się do pełnego audytu wszystkich komputerów w sieci. Na dyskietce, która jest wczytywana do każdego z komputerów, znajduje się program dokładnie skanujący dysk twardy i wyszukujący wszystkich żądanych informacji. Proces skanowania jednego komputera, w zależności od stopnia skomplikowania procedury, trwa 20-30 min.

Co jeszcze wyszukać?

Wyniki audytu w zależności od sposobu jego przygotowania mogą dostarczyć wielu ciekawych informacji, np. czy pracujący na konkretnych komputerach użytkownicy prawidłowo wykorzystują dane im narzędzie, czy też na własną rękę dokonują wielu jego rekonfiguracji i instalacji oprogramowania. Można to stwierdzić, zlecając podczas audytu porównanie zmian między standardową konfiguracją nowego komputera dostarczanego przez dział informatyczny pracownikowi a aktualną konfiguracją. Takie informacje umożliwiają ograniczenie praw użytkownika, jeśli okazuje się np. że samodzielne zmiany konfiguracji powodują częste interwencje użytkownika w dziale wsparcia technicznego.

Inne korzyści, jakie daje audyt, to np. możliwość sprawdzenia, czy poufne dane standardowo przechowywane na serwerze nie są przez użytkowników kopiowane na lokalne dyski twarde. Wystarczy, że zdefiniuje się to w próbnej fazie audytu.

Jeszcze jeden dobry powód na przeprowadzenie pełnego audytu to możliwość stworzenia aktualnej inwentaryzacji sprzętu komputerowego. Firmy audytingowe oferują tu także dodatkowe usługi, takie jak możliwość oznaczenia wszystkich komputerów odpowiednimi naklejkami jednoznacznie identyfikującymi je w bazie. Powtórzenie takiego samego audytu po jakimś okresie pozwala dostrzec wszystkie braki sprzętu, zaginięcia pamięci, całych dysków twardych itp. Z pewnością nie zapobiegnie to ginięciu pewnych elementów, ale pomoże określić ich skalę.

Raport specjalny: Zbudować, utrzymać i zarządzać efektywnym zespołem IT


Niemal każdy tydzień przynosi niepokojące informacje na temat deficytu specjalistów IT na polskim rynku, popyt przewyższa podaż. Jak więc radzić sobie w takiej sytuacji? W prezentowanym raporcie przedstawiamy materiały dotyczące zarządzania strukturami IT.