Yazılım Audit'ine Hazırlık: BSA Denetimi Öncesi 12 Madde

Bir Pazartesi sabahı şirket sahibinin masasına Microsoft Türkiye'den "yazılım kullanım denetimi" başlıklı bir mektup gelir. Yıllardır kullanılan Office, Windows ve sunucu lisanslarının audit'i 30 gün içinde tamamlanmalıdır; aksi takdirde yasal süreç başlayabilir. Bu sahnede birçok KOBİ'nin ilk tepkisi paniktir; oysa doğru hazırlanılırsa audit yönetilebilir bir idari süreçtir. Bu rehber denetim öncesi mutlaka tamamlanması gereken 12 somut adımı anlatır.

Audit Nedir, Kim Yapar?

Yazılım audit, yazılım sahibi şirketin (Microsoft, Adobe, Autodesk, Oracle vs.) veya onların adına hareket eden BSA (Business Software Alliance) gibi kuruluşların müşterilerinin lisans uyumluluğunu denetlemesi sürecidir. Türkiye'de en yaygın audit yapan kuruluşlar:

• BSA (Business Software Alliance): Microsoft, Adobe, Autodesk üyelerinin Türkiye temsilcisi. Şikayet ve örnekleme bazlı denetim yapar.
• Microsoft Türkiye: Doğrudan büyük müşterilerini periyodik denetler.
• SIIA (Software & Information Industry Association): Adobe ve diğer üyeler için.

Audit her zaman "şikayet" temelli değildir. Rastgele örnekleme, sektörel periyodik denetim, eski çalışanın ihbarı veya CSP partnerinin verdiği veriden tetiklenebilir.

12 Maddelik Hazırlık Listesi

1. Tüm Yazılım Envanterini Çıkar

Hangi cihazda hangi yazılım var? Microsoft, Adobe, Autodesk, antivirüs, özel yazılımlar. Manuel olarak topluyorsanız Excel ile başlayın; profesyonel için Lansweeper, Snipe-IT, Microsoft Configuration Manager (SCCM) veya Intune yardımcı olur.

2. Lisans Sertifikalarını Topla

Satın alma faturaları, OEM etiketleri, CSP portal çıktıları, Open License formaları. Hepsini tek bir klasörde (dijital + fiziksel) topla. Lisans kanıtlanamayan yazılım pratikte "lisanssız" sayılır.

3. Kullanılan vs Satın Alınan Karşılaştırması

Tabloda yan yana yaz: "Microsoft Office Pro Plus 2021 — Satın alındı: 25 lisans, Bilgisayarda kurulu: 32 cihaz". Eksik 7 lisans audit'in tam vurgu yapacağı yer.

4. Ayrılan Personel Cihazlarını Temizle

Eski çalışanın bilgisayarı yıllardır rafta duruyor; üzerinde Office aktif. Audit bu cihazı "kullanımda" sayar. Kullanımda olmayan cihazlardaki yazılımlar deaktive edilmeli ya da disk format atılıp hurdaya çıkarılmalı.

5. Crack ve Türetme Yazılımları Tespit Et

KMS aktivatörler, key generator'lar, indirme sitelerinden gelen Office gibi crack yazılımlar acil tespit + kaldırma gerektirir. Bunların kayıtlı kalıntıları (registry, klasörler) temizlenmelidir; antivirüs taraması yapılmalıdır.

6. OEM ile Volume Karışıklığını Düzelt

Bazı bilgisayarlarda OEM Windows + ayrı Volume Office vardır. Bunlar farklı lisans tipleridir; aynı kişi farklı kullanım haklarına tabi. Audit'te "karışık lisans" kötü görünür; tek tip lisansa standardize etmeye çalış.

7. Sanal Makinelerin Lisansını Belgele

VMware/Hyper-V/Proxmox üzerinde 5 sanal Windows Server çalışıyor. Her biri ayrı lisans gerektirir mi? Datacenter Edition ile 1 host, sınırsız VM çalışır; Standard Edition'da her 2 VM için 1 lisans gerek. Audit bunu detaylı sorar; mimari belgelenmeli.

8. Microsoft 365 Kullanıcı Sayısını Eşit Tut

50 lisans satın alındı, 60 hesap aktif. 10 hesap fazladan lisans gerektirir; ya satın al, ya hesabı kapat. Audit'ten önce sınırı eşitle.

9. Üçüncü Parti Yazılımları İncele

WinRAR, IDM, AnyDesk, TeamViewer ücretli mi, ücretsiz sürüm mü? "Personal use" sürümünü iş için kullanmak ihlaldir. Ücretli olanları, lisans dosyalarını topla; ücretsiz alternatif yoksa lisanslı sürüme geç.

10. Geliştirici Araçları (IDE) Kontrol Et

Visual Studio, JetBrains, AutoCAD gibi araçlar. Kişisel/öğrenci sürümünü iş için kullanma ihlal sayılır. Geliştirici araçları için ayrı denetim listesi tut.

11. Cloud Aboneliklerin Kullanım Sınırlarını Kontrol Et

Adobe Creative Cloud Team plan 5 kullanıcı için, 7 kişi kullanıyor. Microsoft Project bir abonelikte 1 kullanıcı, 3 kişi paylaşıyor. SaaS abonelikleri kullanıcı bazlıdır; paylaşım ihlal yaratır.

12. Eksik Lisansları Audit Öncesi Tamamla

Eksik tespit ettiğin yazılımı denetim notice'i geldikten sonra satın alıp "yasal" görünmek mümkün. Audit denetim tarihi öncesi satın alma kayıtlarını ister; tarih damgası önemli. Erken karşılayan müşteriye genellikle daha düşük ceza uygulanır; bazen ceza tamamen kaldırılır.

Audit Süreci Nasıl İşler?

Tipik akış:

1. Notice mektubu: 30-60 gün içinde envanter beklendiği bildirilir. Genellikle yetkili (CEO/sahip) muhatap.
2. Talep listesi: Hangi yazılımlar denetlenecek, hangi belgeler istenir.
3. Müşteri envanteri: Sizin sunacağınız tablo. Şirket adı, cihaz, yazılım, lisans kanıtı.
4. Onsite veya remote tarama (opsiyonel): Bazı denetimlerde tools (Microsoft MAP, Belarc Advisor) ile cihazlar tarananır.
5. Eşleştirme: Sunulan envanter satın alımlarla karşılaştırılır.
6. Sonuç raporu: Eksiklik varsa eksik lisans listesi + ceza.
7. Çözüm: Eksik lisansları satın al + ceza öde + yazılım envanterinizin gözden geçirildiğini doğrula.

Ceza ve Maliyet Beklentileri

Türkiye'de yazılım eksikliği için tipik formül: eksik lisansın satın alma fiyatı + (eksik fiyatın 1-3 katı) ceza. Yani 50.000 TL'lik eksik bir Office lisansı vakası 100.000-200.000 TL toplam maliyetle çözülebilir. Erken kabul edip işbirliği yapan müşteriye ceza katmanı düşürülür; itiraz eden ya da işbirliği yapmayan müşteriye yasal süreç başlar.

Yaygın Hatalar

• Audit notice'ini yok saymak: En kötü tepki. 30 gün cevapsız kalırsa yasal süreç hızlanır.
• Yalan beyanda bulunmak: "Bizde sadece 20 cihaz var" der iken çoğunu gizlemek. Audit firmaları teknik tools ile gerçeği tespit edebilir; yalan beyan ceza katmanını yükseltir.
• Avukat olmadan büyük denetimi yönetmeye çalışmak: Lisans hukuku özel uzmanlık ister. 100K TL üzeri görünen vakalarda hukuki danışmanlık şart.
• Acil eksik kapatma için trial sürüm yüklemek: Trial production'da çözüm değil; sadece geçici. Audit trial sürümü saymaz.
• Sonrası için önlem almamak: Audit kapanır ama bir sene sonra aynı sorun tekrar ortaya çıkar. Kalıcı envanter sistemi ve aylık compliance check şart.

Sıkça Sorulan Sorular

Açık kaynak yazılımlar audit'e dahil mi?Genelde değil — Linux, LibreOffice, GIMP, VLC gibi açık kaynak yazılımlar. Ama bu yazılımların yan ürünleri (örneğin Red Hat Enterprise Linux'un destek aboneliği) ücretli olabilir; kullanımları belgelenmeli. Açık kaynak yazılım için lisans kanıtı GPL/MIT lisans metni olur.

Cloud abonelikleri audit edilebilir mi?Evet. Microsoft 365, Adobe Creative Cloud, AWS gibi servisler arka planda kullanım metriği tutar. Kullanıcı sayısı, eşzamanlı oturumlar, kuruldu cihaz sayısı izlenebilir. SaaS audit'leri genelde daha kolaydır çünkü veri sağlayıcıda hazırdır.

Ne kadar zamanda audit'e hazır olabilirim?Detaylı envanter ve lisans toplama 2-4 hafta sürer. 100+ cihazlı bir KOBİ için 30 günlük süre yeterlidir; 500+ cihazlıda profesyonel destek almak gerekir. En önemli: notice mektubunu beklemeden bu envanteri zaten tutuyor olmak. Aylık compliance check rutini ile audit "normal iş" haline gelir, panik konusu olmaktan çıkar.