Консалтинг в управлении ИТ-активами

качественно. Профессионально.

Аудиты SAP: где скрываются самые крупные штрафы за несоблюдение требований

Арон Милс (Aaron Mills), SAP License Compliance Manager, Accenture

Перевод оригинальной статьи из ITAK. ©2019 IAITAM, Все права защищены.
(Reprint from ITAK. ©2019 IAITAM, All rights reserved.)
Огромное спасибо IAITAM (www.iaitam.org) за разрешение на перевод.


Все клиенты SAP, скорее всего, сталкивались с аудитами данного вендора. Аудиты редко проводятся в подходящее время, а самое главное разочарование заключается в том, что объем, сроки и процесс оказываются разными каждый год. Широко распространено мнение, что, как и для других крупных поставщиков программного обеспечения, проведение аудитов SAP - это всего лишь инструмент, приносящий доход, чтобы заставить клиентов либо потратить больше на то, что у них есть в настоящее время, либо мягко «подтолкнуть», чтобы тратить деньги на более инновационные технологии, которые могут быть еще «сырыми» (например, S / 4HANA). SAP получает около 1 млрд. долларов годового дохода от своей глобальной аудиторской компании. Давайте рассмотрим некоторые из ключевых областей SAP, которые, как правило, приносят наибольшую прибыль в рамках комплайенс, а также способы проактивного управления каждой из них, чтобы клиенты могли снизить потенциальные риски.

Пользователи

Нарушение условий использования для пользовательских лицензий, выявленных в ходе аудитов, как правило, составляют значимую часть доходов для SAP. Одна из основных причин заключается в том, что ПО SAP не препятствует клиентам создавать новые пользовательские лицензии, когда они достигают предела контрактных прав. По мере того, как организации нанимают большее количество сотрудников, в результате органического или неорганического роста, это немедленно сказывается на необходимости увеличения количества пользовательских лицензий, поскольку они необходимы сразу же, чтобы новые сотрудники могли эффективно выполнять свои должностные обязанности. Если эти пользовательские лицензии приобретаются не сразу, то в результате аудита могут быть найдены клиенты с большим количеством развернутых пользовательских лицензий, чем реально лицензированных.

В периоды увольнений сокращение лицензий, как правило, упускается из виду, поскольку организации сосредоточены на более насущных вопросах бизнеса. Когда это происходит, сроки действия не учитываются должным образом, в результате чего пользовательские лицензии остаются активными даже после того, как сотрудники покинули организацию.
Ниже приведены некоторые рекомендации по управлению пользовательскими лицензиями и соблюдению требований:

Программный движок

Необходимость в лицензионных правах для программного движка ПО SAP в периоды роста не столь актуальна, как для пользователей, но существует несколько механизмов ПО SAP, которые требуют более проактивного подхода к мониторингу их потребления:

  1. GRC Access Controls: клиенты, которые лицензируют этот продукт, делают это, чтобы контролировать, какие группы пользователей имеют доступ к различным компонентам ПО SAP. Когда SAP проводит аудит этого продукта, они обычно просят вас вытащить и отправить таблицу GRACUSERCONN. В этой таблице показаны все пользователи, которые отслеживаются данным программным обеспечением и могут быстро превысить ваши лицензионные права
  2. Manufacturing Integration & Intelligence: этот продукт лицензируется по всем сотрудникам. Вообще говоря, в число сотрудников входят все работники в вашей организации, которые получают зарплату, независимо от статуса занятости, но клиенты должны указывать в своем контракте конкретное нюансы по условиям трудоустройства, если это применимо. Хотя этот показатель определяется в ПО SAP, он, как правило, быстро упускается из виду, пока не начнется аудит
  3. HANA Database. Когда аудиторы SAP включают базу данных HANA в область аудита, они смотрят на пиковое использование за последние 12 месяцев. Клиенты SAP могут соответствовать требованиям почти весь год, но если в течение 1 месяца они превышают уровень своих прав, SAP будет предлагать увеличить количество лицензий для такого избыточного использования
  4. Extended Warehouse Management. Клиенты, которые имеют длинную историю закупок в SAP, скорее всего, лицензируются по количеству складов, настроенных в ПО SAP, но могут также лицензироваться по количеству товаров. По прейскуранту цена обеих метрик может превышать шестизначные цифры, в зависимости от региона. Настоятельно рекомендуется, чтобы этот продукт проверялся ежеквартально, чтобы предотвратить крупные штрафы за несоблюдение в будущем

Неявный доступ

С 2015 года термин «неявный доступ» вызвал волну беспокойства во всем мире для клиентов SAP. Проще говоря, неявный доступ возникает, когда нелицензированные системы и приложения сторонних производителей используют возможности вашей ERP-системы. Это может происходить как из-за человеческого фактора, так и с помощью приложений, не связанных напрямую, но интегрированных с вашим ПО SAP. За последние 4 года SAP не только продвинулась в том, как она проверяет неявный доступ, но и расширила возможности для проверки во время аудита. Ниже приведена временная шкала, показывающая эволюцию аудита неявного доступа:

NetWeaver Foundation для сторонних приложений

Для большинства клиентов очень редко проводится аудит этого продукта. На самом деле, только 2% глобальной аудиторской команды SAP включают этот продукт в область своего аудита. Хотя клиенты, возможно, никогда не видели этого в ежегодном аудите, это не означает, что они не застрахованы от проверки.

Цель этого продукта - предоставить клиентам право использовать и интегрировать сторонние надстройки в платформу NetWeaver, чтобы они могли обмениваться информацией с приложениями ПО SAP. Хотя многие считают это типом косвенного доступа, он не включен как часть проверок на его наличие. SAP потребует, чтобы клиенты приобрели лицензии, если эти дополнения:

Сегодня этот продукт можно лицензировать одним из двух способов: по числу ядер или по количеству пользователей. Клиенты должны решить, какой показатель они хотели бы учитывать, поскольку SAP не разрешает лицензировать оба варианта. Если вы используете сторонние надстройки сегодня, для вас будет важно понять следующее:

После того, как клиенты определили любые потенциальные риски, им следует поработать со своей группой по работе с пользователями, чтобы понять и указать цены, рассчитанные по обеим метрикам, поскольку они могут очень отличаться.




Об авторе:

Аарон Миллс возглавляет группу управления программными активами в Accenture, которая специализируется на ПО SAP. Его команда отвечает за консультирование клиентов по поводу их прав на ПО SAP и предоставление лучших практик по управлению ими. Прежде чем начать свою карьеру в Accenture, он провел почти 8 лет в SAP, где занимал различные должности в отделах продаж, эксплуатации и соответствия требованиям лицензий на программное обеспечение. Благодаря этим функциям он получил глубокие знания методологий и тактик аудита лицензий ПО SAP и может четко сформулировать не только то, что следует ожидать во время аудита, но и права, которые вы имеете как клиент SAP.

Ссылка на оригинал статьи: https://itak.iaitam.org/sap-audits-where-the-biggest-compliance-fines-are-hiding/