SAP監査とコンプライアンスのリスクを管理する方法

ソフトウェアの世界では、監査という言葉は誰もが聞きたくない言葉です。監査とは、簡単に言うと「ソフトウェアの使用状況と購入したライセンスが一致しているかどうかをチェックすること」です。そして監査には多くの時間とコストを費やします。監査通知を受け取った際、企業は「なぜ弊社なのか」「弊社は本当にコンプライアンスに準拠していないのか」「弊社に不足しているものは何か」と考えます。このような不確実性は、どのようなライセンスを購入したか、誰が使用しているのか、どのように使用されているのかを把握できていないことに起因しています。そのため、これまで以上に、ベンダーが監査を行いに来る前に、ソフトウェアの使用状況を把握しておくことが非常に重要です。

昔、Oracle社、Microsoft社、IBM社などのベンダーは、監査に関して最も恐れられていましたが、近年ではSAP社がその存在感を増しており、その監査はエンドユーザ組織にとって非常に複雑で困難なイベントとなっています。交渉を成功に導き、SAP監査を乗り切るためには、しっかりした準備が鍵となります。以下では、多くの組織に共通するコンプライアンス上の問題について説明します。また、SAP監査プロセスの理解を深めるために必要不可欠なヒントや実践的な推奨事項もご紹介しますので、環境を最適化して全体的なリスクを低減することができます。

私たちは日々の業務の中でさまざまなコンプライアンス問題に遭遇しますが、SAP のお客様からは最適なアプローチがわからないという質問をよく耳にします。ここでは、SAP のお客様に見られる最も一般的なライセンスコンプライアンスの問題をいくつかご紹介します。

• 不適切なユーザライセンスの割り当て : SAP には、さまざまな使用要件を満たすため、いろんな Named User ライセンスの種類が用意されます。理論的には、顧客はビジネスニーズを満たすために SAP Named User ライセンスを取得し、SAP との新規契約が締結された時点で、ユーザは必要なライセンスタイプに分類されるべきです。新しいユーザが作成されるたびに同じ手順を踏んで、個人に適切なライセンスタイプが割り当てられていることを確認する必要があります。しかし、実際には、取得したライセンスが正しく配布され、ユーザに割り当てられていることはほとんどありません。これは、顧客が単純な管理ミスによってコンプライアンス違反に陥り、必要のないライセンスの代金を支払う可能性があることを意味します。正確で強制的なオンボーディング/オフボーディングプロセスが鍵を握っています。
• デフォルトのユーザ分類 : SAPでユーザが作成される場合、SAPの管理者は、そのユーザをそのユーザのアクティビティに適したライセンスをユーザタイプで分類する必要があります。しかし、このプロセスが定義されていないことが多く、結果として推測、あるいは最悪の場合、分類が割り当てられないことになります。ユーザを手動で分類しない場合、システムは自動的にそのユーザをデフォルトのライセンスタイプ、通常は Professional (もちろん最も高価なもの) に分類されます。
• ProfessionalライセンスとLimited Professionalライセンスの比率 : Limited Professionalライセンスを所有しているお客様の場合、SAP では通常、この分類で提供できるユーザ数を制限する比率を設定しています。もう 1 つ、コンプライアンス上の問題としてよく目にするのが、契約書に規定されているLimited Professionalユーザの分類比率を時間の経過とともに見失ってしまうことです。
• SAPソフトウェアエンジン/パッケージ : SAP環境が大きくなればなるほど、インストレーションの監視は難しくなります。 SAPエンジンの測定は簡単だと思われるでしょう。しかし、SAPには無数の異なるライセンシングメトリクスがあり（同じ製品でも異なるメトリクスの場合もあります）、それらすべてがSAPの組み込み計測トランザクションUSMMを使用して計測されているわけではありません。その上で顧客は、a) メトリクスを十分に理解し、b) ソフトウェアがどこで使用されているかを知り、c) 実際の使用状況を可視化する必要があります。
• 自己申告タイプのエンジンライセンスを過小評価している : 標準的な監査では、SAPは使用状況を確認するため、製品を選択し、自己申告書を送付します。監査時にエンドユーザに送付する自己申告書には、売り上げ、従業員数、年間支出、CPU などの指標でライセンスされているソフトウェア製品が含まれています。
• SAP BusinessObjectsの測定 : 標準的な監査では、SAPは使用状況を確認するため、製品を選択し、自己申告書を送付します。監査時にエンドユーザに送付する自己申告書には、売り上げ、従業員数、年間支出、CPU などの指標でライセンスされているソフトウェア製品が含まれています。
• SAP S/4 HANAのグローバル割り当て制限 : SAP BusinessObjects は、レポート作成や分析、データの可視化、オフィス統合などの主要機能を持つ分析プラットフォームです。BusinessObjectsは2007年にSAPに買収されました。買収前の BusinessObjects のライセンスモデルは、主にサーバーのインストール数やユーザに基づいていました。買収後、SAP は命名規則やパッケージ、メトリクスを何度も変更しており、各顧客が BusinessObjects ソフトウェアを使用する際のライセンスルールを理解しておくことが重要です。
• SAPの間接アクセス : SAPの見解では、SAP以外のアプリケーションを経由してSAPソフトウェアを使用する場合でも、ライセンスを購入する必要があるとされています。この分野におけるSAPのライセンスモデルは、ここ数年世間の厳しい監視下に置かれており、この間、SAPは大規模なコンプライアンス違反の指摘により、顧客の間で騒動を引き起こしてきました。相互アクセスなどが多い場合、間接アクセスによるコンプライアンスリスクは高くなります。SAPにはお客様が間接アクセス用のライセンスを何種類で用意され、それぞれ異なる価格モデル、異なるメトリクス、異なる測定プロセスが用意されています。お客様に最適なのはどれでしょうか？

信頼できるアドバイザーと一緒に働く

上記のリスクのいずれかが貴社にとって懸念事項となるでしょうか？おそらく、次のヒントと推奨事項は、貴社のSAPシステムからリスクを除去し、コストを削減することができるように、状況を改善するのに役立ちます。

監査の唯一の目的は、ソフトウェアの使用状況を監視し、財務トランザクションでのコンプライアンス違反を是正することです。SAPの監査チームは、お客様の使用状況が購入したライセンスや利用可能なライセンスに沿ったものであることを自ら証明することを期待しています。監査の対象となるエンドユーザには、厳しい期限を適用するのがSAPの慣行です。SAPのグローバルライセンス監査/コンプライアンス(GLAC)チームは、彼らがお客様に要求したデプロイメントと使用状況のデータの提供に関して、企業が確認作業を開始してから中小企業なら3週間、大企業であれば4週間以内には結果が返ってくるだろうと予想しています。当然のことながら、この短い時間枠では、お客様がコンプライアンス上の問題を分析し、調整することが制限されます。したがって、定期的に、特に正式な SAP 監査が始まる前に内部監査を実施することを強くお勧めします。

エンタイトルメントを知る

使用状況の自己評価は、契約上の権利を理解して初めて効果的です。SAP ライセンス契約書や契約文書には複雑な法律用語が多く含まれており、法務チームであっても SAP ソフトウェアの専門家ではない可能性が高いため、これは一般的には簡単な作業ではありません。さらに、元の契約書は何年も前に署名されている可能性があり、その間に追加のSAP製品を購入したことはほぼ間違いないでしょう。したがって、契約書とその後の付録と注文書の徹底的な見直しは、（内部）監査の準備のために不可欠です。より深く掘り下げると、それはSAP製品が販売されたコンテキストを理解することが重要です。例えば、契約書には全社的なメトリクスが適用されると記載されているのに、顧客が特定のビジネスユニットのみを対象としたライセンスを購入したというケースは珍しくありません。製品メトリクス、ブロック数、契約上合意されている可能性のある特別条項（間接使用など）を理解することは、考慮すべき契約条項のほんの一例に過ぎません。

利用権を決定するのはお客様の契約であり、SAP の現在の価格表ではないことに注意してください。このように、契約上の権利、関連するメトリクス、および価格設定を十分に理解していれば、顧客として明らかに有利になります。

システムランドスケープの更新

SAP サポートポータルは監査人の参考資料であり、お客様の実際のシステム使用状況を反映したものでなければなりません。この点に注意を払わないと、一例として、SAP環境の測定に、ITスタッフが数年前にテストしたがライセンスを取得していないモジュールやエンジンの使用状況が含まれているという状況に陥る可能性があります。要するに、SAP はすべての SAP システムについて質問してくるので、準備をしておきましょう。SAP が提供する測定計画には、SAP が提供する非アクティブな SAP システムが含まれている可能性があり、コスト面で不利な結果が生じる可能性があります。少なくともポータルを最新の状態に維持することで、無駄な時間と不必要な解釈コストを防ぐことができます。

使用状況を知る

SAP ソフトウェアの使用状況を積極的に内部で測定することを強くお勧めします。これは、すべてのユーザとエンジンの徹底的な分析を完了するために行う必要があります。結果として得られた情報をSAPに送信するのは明らかに賢明ではありません。ほとんどの組織では、システムを定期的にメンテナンスしていないため、測定結果に不正確なデータが含まれている可能性があります。そのため、テスト測定を実行し、SAPの専門家に検証してもらうことをお勧めします。SAPコンサルタントの推奨事項（例：ユーザのクリーンアップ、ノートの実装など）を実施した後、必要に応じてのみ、測定データに自信を持ってSAPと共有することができます

SoftwareOneはお客様を支援します

予想外の違約金による支出、また本来不必要であるはずのリスクを回避するためには、独立した専門家へ支援を求めることが重要です。そうすれば、SAP監査に直面した際、不意を突かれるようなリスクは少なくなります。特定の知識を持つ専門家の協力を得ることで、潜在的に無駄な支出の影響を最小限に抑えることができます。当社の専門家は、SAPの手法（測定ロジックやSAP契約の法的側面を含む）を徹底的に理解しており、実質的なコストの最適化を実現し、コンプライアンス違反の状況を回避するお手伝いをします。

SoftwareOneのコンサルタントは、監査やライセンス管理などのSAPソフトウェアの複雑な状況について、業界をリードする専門家です。あらゆる規模の企業に独立したアドバイスを提供し、SAP環境の理解、SAPコストの管理、最適化の領域の分析とピンポイントの指摘、リスクの大幅な低減を支援します。