Dado que minhas obrigações para com a antiga empresa ainda não estão totalmente esgotadas, os nomes dos atores mudaram. Aqui, de fato, eles são:
Empresa, Auditor, Titular dos direitos autorais.
Alguns anos atrás, em conexão com a entrada no mercado americano, os estrategistas da Companhia calcularam os riscos e consideraram o uso de software ilegal completamente inaceitável. A maior parte do software foi produzida pelo detentor dos direitos autorais. O serviço de TI foi encarregado de se tornar "branco e fofo" (C) - o
gene. Diretor A tarefa foi complicada pelo fato de o serviço de TI não apenas garantir a limpeza do software, mas também obter um pedaço de papel do detentor dos direitos autorais (C) -
F.F. Preobrazhensky . Esse documento, para que nenhum organismo de verificação de terceiros possa acusar indiscriminadamente a Companhia de não conformidade e a Companhia não tenha que provar o contrário, enquanto os riscos funcionarem.
Após repetidas reuniões com o detentor dos direitos autorais ao mais alto nível acessível a ele (observadores europeus e russos), eles receberam 2 ofertas:
- Auditoria do software instalado pelos esforços e meios do Titular dos direitos autorais, gratuitamente para a Empresa, com a obrigação real de remover, comprar ou alugar o software após a auditoria, mas sem documentos de limpeza;
- Auditoria paga pelo parceiro do Titular dos direitos autorais, às custas da Companhia, com a emissão de valores mobiliários confirmando a ausência de reivindicações do Titular dos direitos autorais pelo período especificado.
O custo da auditoria foi de cerca de uma porcentagem bastante grande do custo do aluguel anual de software, duração - 4 meses.
Tudo correu bem, o software foi removido ou pago, os documentos foram recebidos, a diretoria ficou satisfeita.
Após vários anos de leasing, o gerenciamento de TI enfrentou a tarefa de comprar software para uso permanente. A perspectiva de uma segunda auditoria se iluminou. O novo CIO, não familiarizado com o processo de negociações anteriores, ficou surpreso com o custo da auditoria do detentor dos direitos autorais e decidiu economizar. O auditor do "Big Four" ofereceu um preço várias vezes menor que o detentor dos direitos autorais, declarando que os resultados de sua auditoria serão citados não menos que a auditoria do detentor dos direitos autorais. E, é claro, o tópico de "pedaços de papel" foi contornado como um elemento insignificante. A opção com uma auditoria gratuita do próprio Titular dos Direitos não foi considerada.
A auditoria estava um pouco amarrotada, com uma composição muito pequena de executores do Auditor ("o que você queria com dinheiro tão ridículo"), a composição do software de resgate cresceu muitas dezenas de por cento (os executores não tiveram tempo de entender os requisitos e anotaram tudo o que foi encontrado, incluindo elementos desnecessários) ) Além disso, no relatório recebido nas primeiras linhas, havia uma frase interessante: “De acordo com as informações fornecidas pelo Cliente, …….” Concluiu-se que, de acordo com os padrões de gerenciamento de riscos, as informações do Cliente são as mais imprecisas. E, como um funcionário do detentor dos direitos autorais explicou em uma conversa privada, a presença de uma frase no relatório reduz automaticamente a responsabilidade do auditor ao detentor dos direitos autorais em nada. De fato, esta é a equipe da Fas para aqueles a quem o auditado emite uma opinião de auditoria na esperança de evitar reclamações ou cair sob a presunção de inocência.
Além disso, a duração da auditoria foi além do escopo do plano e não permitiu procedimentos de licitação padrão para a seleção de um fornecedor de licenças. Como resultado, a entrega foi feita por um fornecedor privilegiado, sem redução de preço e melhores condições de pagamento.
Às vezes, danos econômicos gerais bloquearam o custo da auditoria do detentor dos direitos autorais e deixaram a Companhia em risco de novos riscos.
Conclusões
- Em preparação para a auditoria, exija que os auditores não usem frases sobre o recebimento de qualquer parte das informações e que não aceitem os resultados, se houver. Fora da sua organização, o valor de um relatório de auditoria com frases semelhantes tende a zero.
- Se o detentor dos direitos autorais se propuser a realizar uma auditoria do software por conta própria e por meio e você não precisar de certificados de proteção, é melhor usá-la do que uma auditoria de terceiros. Nesse caso, parte do software não pode ser oculta, mas pelo menos a especificação final será mais relevante e, provavelmente, menor em tamanho do que o recomendado por um auditor externo.