АУДИТЫ SAP: ГДЕ СКРЫВАЮТСЯ САМЫЕ КРУПНЫЕ ШТРАФЫ ЗА НЕСОБЛЮДЕНИЕ ТРЕБОВАНИЙ

Арон Милс (Aaron Mills), SAP License Compliance Manager, Accenture

Перевод оригинальной статьи из ITAK. ©2019 IAITAM, Все права защищены.
(Reprint from ITAK. ©2019 IAITAM, All rights reserved.)
Огромное спасибо IAITAM (www.iaitam.org) за разрешение на перевод.

Все клиенты SAP, скорее всего, сталкивались с аудитами данного вендора. Аудиты редко проводятся в подходящее время, а самое главное разочарование заключается в том, что объем, сроки и процесс оказываются разными каждый год. Широко распространено мнение, что, как и для других крупных поставщиков программного обеспечения, проведение аудитов SAP - это всего лишь инструмент, приносящий доход, чтобы заставить клиентов либо потратить больше на то, что у них есть в настоящее время, либо мягко «подтолкнуть», чтобы тратить деньги на более инновационные технологии, которые могут быть еще «сырыми» (например, S / 4HANA). SAP получает около 1 млрд. долларов годового дохода от своей глобальной аудиторской компании. Давайте рассмотрим некоторые из ключевых областей SAP, которые, как правило, приносят наибольшую прибыль в рамках комплайенс, а также способы проактивного управления каждой из них, чтобы клиенты могли снизить потенциальные риски.

ПОЛЬЗОВАТЕЛИ

Нарушение условий использования для пользовательских лицензий, выявленных в ходе аудитов, как правило, составляют значимую часть доходов для SAP. Одна из основных причин заключается в том, что ПО SAP не препятствует клиентам создавать новые пользовательские лицензии, когда они достигают предела контрактных прав. По мере того, как организации нанимают большее количество сотрудников, в результате органического или неорганического роста, это немедленно сказывается на необходимости увеличения количества пользовательских лицензий, поскольку они необходимы сразу же, чтобы новые сотрудники могли эффективно выполнять свои должностные обязанности. Если эти пользовательские лицензии приобретаются не сразу, то в результате аудита могут быть найдены клиенты с большим количеством развернутых пользовательских лицензий, чем реально лицензированных.

В периоды увольнений сокращение лицензий, как правило, упускается из виду, поскольку организации сосредоточены на более насущных вопросах бизнеса. Когда это происходит, сроки действия не учитываются должным образом, в результате чего пользовательские лицензии остаются активными даже после того, как сотрудники покинули организацию.
Ниже приведены некоторые рекомендации по управлению пользовательскими лицензиями и соблюдению требований:

  • Если планируется рост, независимо от того, является ли он органическим или неорганическим, приобретите пользовательские лицензии заранее
  • Если сотрудники покидают организацию, убедитесь, что срок действия этих пользовательских лицензий установлен на дату увольнения. Невыполнение этого условия приведет к тому, что инструменты аудита ПО SAP будут учитывать их как активные
  • Убедитесь, что ключи разработчика [в ориг. Ensure Developer Keys - прим. перев.] также отключены, когда разработчики больше не выполняют никаких действий в системе

ПРОГРАММНЫЙ ДВИЖОК

Необходимость в лицензионных правах для программного движка ПО SAP в периоды роста не столь актуальна, как для пользователей, но существует несколько механизмов ПО SAP, которые требуют более проактивного подхода к мониторингу их потребления:

  1. GRC Access Controls: клиенты, которые лицензируют этот продукт, делают это, чтобы контролировать, какие группы пользователей имеют доступ к различным компонентам ПО SAP. Когда SAP проводит аудит этого продукта, они обычно просят вас вытащить и отправить таблицу GRACUSERCONN. В этой таблице показаны все пользователи, которые отслеживаются данным программным обеспечением и могут быстро превысить ваши лицензионные права
  2. Manufacturing Integration & Intelligence: этот продукт лицензируется по всем сотрудникам. Вообще говоря, в число сотрудников входят все работники в вашей организации, которые получают зарплату, независимо от статуса занятости, но клиенты должны указывать в своем контракте конкретное нюансы по условиям трудоустройства, если это применимо. Хотя этот показатель определяется в ПО SAP, он, как правило, быстро упускается из виду, пока не начнется аудит
  3. HANA Database. Когда аудиторы SAP включают базу данных HANA в область аудита, они смотрят на пиковое использование за последние 12 месяцев. Клиенты SAP могут соответствовать требованиям почти весь год, но если в течение 1 месяца они превышают уровень своих прав, SAP будет предлагать увеличить количество лицензий для такого избыточного использования
  4. Extended Warehouse Management. Клиенты, которые имеют длинную историю закупок в SAP, скорее всего, лицензируются по количеству складов, настроенных в ПО SAP, но могут также лицензироваться по количеству товаров. По прейскуранту цена обеих метрик может превышать шестизначные цифры, в зависимости от региона. Настоятельно рекомендуется, чтобы этот продукт проверялся ежеквартально, чтобы предотвратить крупные штрафы за несоблюдение в будущем

НЕЯВНЫЙ ДОСТУП

С 2015 года термин «неявный доступ» вызвал волну беспокойства во всем мире для клиентов SAP. Проще говоря, неявный доступ возникает, когда нелицензированные системы и приложения сторонних производителей используют возможности вашей ERP-системы. Это может происходить как из-за человеческого фактора, так и с помощью приложений, не связанных напрямую, но интегрированных с вашим ПО SAP. За последние 4 года SAP не только продвинулась в том, как она проверяет неявный доступ, но и расширила возможности для проверки во время аудита. Ниже приведена временная шкала, показывающая эволюцию аудита неявного доступа:

  • 2015
    • SAP подает в суд на Diageo с требованием 54 млн. за неявное использование
  • 2016
    • Глобальная группа по соблюдению лицензий и аудита SAP начинает включать ручные проверки неявного доступа во время ежегодного аудита
    • SAP фокусируется только на создании внешнего заказа на продажу и заказа на поставку
  • 2018
    • С переходом на S / 4 HANA SAP переименовывает термин «неявный доступ» на «цифровой доступ».
    • Измерение цифрового доступа перешло от проверки двух типов заказов к 9 типам документов, что привело к экспоненциальному увеличению результатов его обнаруженийу
  • 2019
    • SAP анонсирует Программу внедрения цифрового доступа (DAAP), чтобы стимулировать и мотивировать свою текущую клиентскую базу перейти на эту новую модель лицензирования.
      Заглядывая в самое ближайшее время, риск возникновения косвенного доступа будет расти, так как предприятия внедряют больше технологий ИИ и используют ботов и датчики, способные передавать данные в ПО SAP. Клиенты должны ожидать, что SAP адаптирует свои текущие методы измерения для учета новых технологий.
      Несмотря на то, что у клиентов нет официального требования перейти на новую модель лицензирования, они должны понять, как SAP будет проверять наличие косвенного доступа. На сегодняшний день лучший способ определить неявный доступ в вашей инфраструктуре ПО SAP - это сделать следующее:
      1. Определите все соединения не-SAP к ПО SAP в текущем ИТ-ландшафте.
      2. Понять тип данных, которыми обмениваются — это мастер-данные или транзакционные?
      3. Каков поток этих данных? Односторонний или двусторонний обмен?
      4. Как происходит обмен данными? EDI, интеграция / автоматическая координация процессов, пакетная обработка, OpenHub и т. Д.
      У аудиторов SAP будет больше вопросов, чем перечислены выше, но эти четыре помогут собрать подавляющее большинство информации, которую будут искать. Проведение этих действий не только подготовит вас к аудиту, но и подготовит вас к будущим шагам с ПО SAP по мере развития вашего ИТ-ландшафта.

NETWEAVER FOUNDATION ДЛЯ СТОРОННИХ ПРИЛОЖЕНИЙ

Для большинства клиентов очень редко проводится аудит этого продукта. На самом деле, только 2% глобальной аудиторской команды SAP включают этот продукт в область своего аудита. Хотя клиенты, возможно, никогда не видели этого в ежегодном аудите, это не означает, что они не застрахованы от проверки.

Цель этого продукта - предоставить клиентам право использовать и интегрировать сторонние надстройки в платформу NetWeaver, чтобы они могли обмениваться информацией с приложениями ПО SAP. Хотя многие считают это типом косвенного доступа, он не включен как часть проверок на его наличие. SAP потребует, чтобы клиенты приобрели лицензии, если эти дополнения:

  • имеют доступ к информации в базовой базе данных приложений ПО SAP
  • добавляют новую, независимую функциональность

Сегодня этот продукт можно лицензировать одним из двух способов: по числу ядер или по количеству пользователей. Клиенты должны решить, какой показатель они хотели бы учитывать, поскольку SAP не разрешает лицензировать оба варианта. Если вы используете сторонние надстройки сегодня, для вас будет важно понять следующее:

  • Сколько конечных пользователей получают доступ к надстройкам
  • Сколько ядер (по оценкам) необходимо для запуска программного обеспечения
  • Сколько прав на использование ПО SAP в части, касающейся надстроек

После того, как клиенты определили любые потенциальные риски, им следует поработать со своей группой по работе с пользователями, чтобы понять и указать цены, рассчитанные по обеим метрикам, поскольку они могут очень отличаться.



 

ОБ АВТОРЕ:

Аарон Миллс возглавляет группу управления программными активами в Accenture, которая специализируется на ПО SAP. Его команда отвечает за консультирование клиентов по поводу их прав на ПО SAP и предоставление лучших практик по управлению ими. Прежде чем начать свою карьеру в Accenture, он провел почти 8 лет в SAP, где занимал различные должности в отделах продаж, эксплуатации и соответствия требованиям лицензий на программное обеспечение. Благодаря этим функциям он получил глубокие знания методологий и тактик аудита лицензий ПО SAP и может четко сформулировать не только то, что следует ожидать во время аудита, но и права, которые вы имеете как клиент SAP.

Ссылка на оригинал статьи: https://itak.iaitam.org/sap-audits-where-the-biggest-compliance-fines-are-hiding/

Сергей Ефимов, ITAM2.RU Project, руководитель проектов

Яндекс.Метрика