应对软件供应商审计:Microsoft、Oracle、Adobe
审计函到来时,你有 30–60 天时间准备好所有材料。应对得当,审计可以以平局或对你有利的结果结束。应对不当,你就会签下一份六位数的追补授权协议。以下是针对各主要供应商的可靠应对手册。
Microsoft、Oracle、IBM、Adobe、SAP 和 Autodesk 都设有正式的许可证审计程序。审计权利写在你的主协议中;拒绝审计实际上并非可行选项。可选的是,你是有备而来还是仓皇应对。
各供应商的审计形式基本一致:发现扫描、许可证权利审查、差距计算、追补授权报价。关键是了解每家供应商关注什么,以及哪里有协商空间。
通用应对手册(适用于任何供应商)
- 书面确认收函,但暂不承诺时间表。标准措辞:"我们确认收到,将在 10 个工作日内回复拟定的安排。"
- 通知法务和采购部门。审计受主协议约束;大多数协议有关于通知、范围和合理性的条款。仔细阅读。
- 组建小型审计应对团队:一位 IT 负责人、一位财务负责人、一位法务负责人。与供应商建立单一联系人。
- 先自行进行发现扫描。在允许供应商扫描之前,先了解他们会发现什么。与权利对比核查,识别差距,准备好解释。
- 限制审计范围。审计条款通常没有供应商第一次要求的那么宽泛。就抽样比例、时间范围和哪些主体在审计范围内进行协商。
- 只提供合同要求的内容,不多提供。不要主动提供数据。不要授予超出合同范围的访问权限。
- 对发现项提出质疑。原始发现输出不等于最终数字。应用合同权利、合理使用条款、版本降级和停用证明来挑战数字。
- 谈判追补授权金额。即使差距确认,也很少以定价表价格支付。如果你有筹码,审计确认的追补授权金额打 3–6 折是常见结果。
Microsoft(SAM 审计/SPLA/EA 审计)
Microsoft 的审计通过认证第三方(德勤、毕马威、安永)在 SAM(软件资产管理)计划下进行。重点关注:
- 服务器许可证——Windows Server、SQL Server,尤其是基于核心数的许可误算。
- Office 365 / Microsoft 365 用户许可证——已分配 vs 已消耗席位。
- VDI/RDS 场景,用户远程访问桌面软件。
- SQL Server Enterprise 与 Standard 版本误用(在 Standard 许可证上使用了 Enterprise 功能)。
差距通常在哪里
- 超线程和虚拟化:基于核心数的许可要求计算物理核心数,而非虚拟机数量。对此的误解导致约 40% 的 Microsoft 发现项。
- SQL Server 功能:Always On、内存 OLTP 等功能需要 Enterprise 版;在 Standard 版上使用是第二常见的发现项。
- O365 超额分配:已停用用户仍在消耗许可证。
应对筹码
Microsoft 提供"许可证可移植性"和降级权利。发现你在使用 Enterprise 功能的情况,有时可以通过在整个资产组合中升级再降级,或跨资产重新分配许可证来修复。在同意购买新许可证之前,始终检查其他地方是否有未使用的 Enterprise 许可证。
Oracle(LMS 审计)
Oracle 的许可证管理服务(LMS)审计是行业内最激进的。重点关注:
- 数据库——Standard Edition 与 Enterprise Edition 功能使用。
- Java SE——是的,Java 现在需要许可证;预设会被审查。
- WebLogic、中间件——功能包。
- 虚拟化——尤其是 VMware。Oracle 的立场:整个 vSphere 集群必须获得许可,除非物理分区。这一立场有争议,但代价高昂。
差距通常在哪里
- 在 Standard 版上使用 Enterprise Edition 功能:分区、高级安全、RAC。
- Java SE:2019 年 1 月后安装的任何 Oracle JDK 都可能需要订阅。
- VMware 主机计数争议:Oracle 主张任何可能运行 Oracle 虚拟机的主机都需要获得许可。
应对筹码
Oracle 的发现项中经常包含有争议的立场(尤其是虚拟化方面)。记录物理硬分区、禁用 vMotion 的集群,以及你谈判的任何合同豁免条款。如果你没有 ULA(无限许可证协议)覆盖,谈判签署一份 ULA 的时机可能正好是审计期间——Oracle 在许多情况下会用审计发现换取多年期 ULA。
Java 陷阱
Oracle Java SE 于 2019 年转为订阅制。许多公司在不知情的情况下继续使用 Oracle JDK。如果你的开发机队运行 Oracle JDK(而非 OpenJDK 或 Adoptium),你有真实的合规风险。在审计发生之前切换到 OpenJDK,而非在审计过程中。
Adobe
Adobe 的审计针对 Creative Cloud 和 Acrobat。重点关注:
- 用户分配 vs 安装数量——Adobe 按用户销售;你不能在超过许可允许数量的设备上安装。
- 共享工作站上的并发用户。
- 购买了教育版许可证但用于商业用途的组织。
应对筹码
Adobe 对"我们愿意以更高套餐续订"的回应非常积极。审计发现经常被滚入一次优惠条款续订中解决。
IBM、SAP、Autodesk——简要说明
| 供应商 | 关注点 |
|---|---|
| IBM | 中间件的 PVU(处理器价值单元)许可证。子容量许可证要求在审计前 90 天以上运行 ILMT(IBM 许可证度量工具)。 |
| SAP | 间接/数字访问——第三方系统调用 SAP 的场景。著名的"Diageo 案"(追补授权 5500 万英镑)源于此。请仔细记录 API 访问情况。 |
| Autodesk | 并发版 vs 命名用户版。软件盗版调查有时由经销商举报触发。 |
能预防 80% 发现项的审计前合规工作
- 每家供应商的许可证权利记录:合同已上传、权利数量已提取、有效期已确认。
- 每月刷新发现数据:谁在哪里安装了什么、安装时间。
- 对账报告:权利 vs 消耗,差距附说明。
- 停用证明:停用部署时,记录在案。供应商会计入他们能证明已部署过的一切。
- 已提取的合同条款:通知期、审计频率上限、范围限制。
如果你能按需提供以上所有内容,审计就只是一次文件工作。没有它们,审计就变成一场从供应商最坏情况数字出发的谈判。
InventorIA 如何提供支持
InventorIA 持续追踪许可证权利 vs 实际使用情况,而不只是在审计时才做。Microsoft 365 / Adobe / Oracle / Salesforce 集成自动录入席位消耗;合同解析从 PDF 中提取权利数量。结果:审计函到来时,对账工作已经完成——你用数据应对,而非用慌乱。