Audyt licencji Microsoft to formalna procedura weryfikacji zgodności posiadanych licencji z faktycznym wykorzystaniem oprogramowania — prowadzona bezpośrednio przez Microsoft, wyznaczoną przez producenta firmę audytorską (najczęściej Deloitte, EY, KPMG) lub organizację BSA | The Software Alliance. Audyt może zakończyć się koniecznością dopłaty za brakujące licencje, naliczeniem kar umownych, a w skrajnych przypadkach — odpowiedzialnością karną za piractwo. Dobrze przeprowadzony audyt wewnętrzny przed kontrolą pozwala uniknąć nawet 90% problemów.
W skrócie
- Microsoft ma prawo żądać od każdego klienta biznesowego (Volume Licensing) udokumentowania stanu licencji
- Audyt może zostać wszczęty w dowolnym momencie — wystarczy 30-dniowe wyprzedzenie w formie pisemnej
- Typowa kontrola trwa od 4 tygodni do 6 miesięcy
- Najczęstszy wynik: konieczność zakupu brakujących licencji po cenie detalicznej + dopłata za zaległy okres użytkowania (tzw. true-up)
- Firmy z uporządkowanym SAM (Software Asset Management) przechodzą audyty praktycznie bezkosztowo
- Od 2024 roku Microsoft znacząco zwiększył częstotliwość kontroli w sektorze MŚP w Europie Środkowo-Wschodniej
Pełna definicja — czym dokładnie jest audyt licencji Microsoft
Audyt licencji (oficjalnie: Microsoft License Compliance Verification) to proces, w którym Microsoft — bezpośrednio lub przez zaufaną firmę zewnętrzną — porównuje faktycznie używane oprogramowanie i usługi z posiadanymi dokumentami zakupu, umowami licencyjnymi i stanem konta w Volume Licensing Service Center (VLSC) / Microsoft 365 Admin Center.
Audyt dotyczy przede wszystkim klientów z aktywną umową Volume Licensing (Enterprise Agreement, MPSA, Open Value, Select Plus) oraz użytkowników subskrypcji Microsoft 365. Klienci indywidualni z licencjami OEM/Retail — poza skrajnymi przypadkami — nie są obiektem kontroli Microsoftu (tu interweniuje raczej policja lub BSA na podstawie zgłoszenia o piractwie).
Trzy warianty kontroli — nie każdy "audyt" to to samo
- SAM Engagement (dobrowolny przegląd) — zaproszenie od Microsoftu do bezpłatnego przeglądu stanu licencji. Jeśli firma odmówi — Microsoft może eskalować do audytu formalnego. Jeśli firma skorzysta — Microsoft pomaga zinwentaryzować licencje i zaleca dobrowolny true-up. To w praktyce najczęstsza ścieżka pierwszej interakcji.
- License Compliance Verification (audyt formalny) — wszczęty oficjalnym pismem z Microsoftu lub kancelarii audytorskiej. Firma ma ustawowy obowiązek dostarczyć dane z inwentaryzacji. Odmowa skutkuje zerwaniem umowy Volume Licensing i automatycznym naliczeniem kar.
- BSA Audit (kontrola organizacji BSA) — dotyczy firm, które w ogóle nie mają umów Volume Licensing, ale korzystają z oprogramowania Microsoft. BSA działa na podstawie zgłoszeń (whistleblowing), często od byłych pracowników. Konsekwencje są zwykle bardziej dotkliwe, bo firma nie ma żadnego udokumentowanego stanu licencji na start — kontrola zaczyna się od zera.
Jak przebiega audyt krok po kroku
1. Otrzymanie pisma inicjującego
Microsoft lub firma audytorska (Deloitte, KPMG, EY — w zależności od regionu) wysyła do klienta formalne pismo z co najmniej 30-dniowym wyprzedzeniem. Pismo określa zakres audytu (np. „wszystkie produkty Microsoft Server i SQL Server”, „Microsoft 365 E3/E5”, „Windows 10/11 Enterprise”), termin odpowiedzi i dane kontaktowe audytora wiodącego.
2. Inwentaryzacja — zbieranie danych
Firma musi dostarczyć:
| Rodzaj danych | Źródło | Przykład |
|---|---|---|
| Wykaz posiadanych licencji | VLSC, faktury zakupowe, potwierdzenia e-mail | 150× Windows 11 Pro, 12× Office LTSC 2024 |
| Wykaz instalacji (wdrożeń) | Narzędzia inwentaryzacyjne (SCCM, Lansweeper, ServiceNow SAM, MAP Toolkit) | 178× Windows 11, 20× Windows Server 2025 |
| Wykaz użytkowników (dla subskrypcji) | Azure AD / Entra ID, Microsoft 365 Admin Center | 203 użytkowników z przypisaną licencją M365 E3 |
| Wykorzystanie funkcji premium | Konfiguracja serwerów, raporty użycia Power BI | SQL Server Enterprise używany tam, gdzie wystarczy Standard |
Audytor nie instaluje własnego oprogramowania szpiegowskiego na firmowych komputerach — to mit. Otrzymuje zestawienie wygenerowane przez firmę, które może podlegać weryfikacji (np. podczas wizyty na miejscu lub zdalnego przeglądu).
3. Porównanie i identyfikacja luk (Effective License Position)
Audytor zestawia posiadane licencje z wdrożonymi. Każda jednostka, dla której brakuje licencji, generuje licencjobrak (license shortfall). W raporcie widnieje też nadmiar licencji (over-licensed), ale — co istotne — Microsoft nie zwraca pieniędzy za nadmiarowe zakupy ani nie pozwala ich rozliczyć z brakami w innych kategoriach produktowych.
4. True-up — rozliczenie
Audytor przedstawia raport końcowy z wyliczoną kwotą do dopłaty. Firma ma zazwyczaj 30 dni na uregulowanie należności — po cenach detalicznych, bez rabatów volume, czyli znacząco drożej niż w normalnym zakupie. Dodatkowo Microsoft nalicza opłatę za okres, w którym oprogramowanie było używane bez licencji (zwykle wstecz maksymalnie 3 lata, zgodnie z terminem przedawnienia roszczeń majątkowych w Polsce).
5. Zamknięcie audytu i monitoring
Po opłaceniu true-up firma podpisuje list intencyjny o wdrożeniu procesów SAM. Microsoft może powtórzyć audyt po 12-24 miesiącach — jeśli poprzedni wykazał znaczące braki, prawdopodobieństwo ponownej kontroli wzrasta.
Co wyzwala audyt — 5 najczęstszych triggerów
- Nagły spadek zamówień w Volume Licensing — firma, która od lat kupowała 200+ licencji rocznie i nagle spada do 20, budzi podejrzenie, że nadal używa oprogramowania, ale przestała legalnie je nabywać.
- Brak aktywności w VLSC — długotrwały brak logowań, pobierania kluczy i przypisywania licencji to sygnał, że firma może działać poza kontrolą.
- Fuzja, przejęcie, restructuring — zmiana struktury właścicielskiej często ujawnia niespójności w licencjach (np. przejęta spółka używała Windows Server bez licencji).
- Zgłoszenie whistleblowerskie — były pracownik, niezadowolony kontrahent lub konkurent informuje BSA, że firma używa nielegalnego oprogramowania. BSA ma w Polsce aktywną linię zgłoszeniową i oferuje nagrody za skuteczne doniesienia.
- Sam Microsoft — losowe typowanie — około 20% audytów jest typowanych losowo z bazy klientów Volume Licensing. Microsoft realizuje roczne cele audytowe (ok. 3000-4000 kontroli rocznie globalnie).
Tabela porównawcza — audyt Microsoft vs BSA vs audyt wewnętrzny
| Kryterium | Audyt formalny Microsoft | Kontrola BSA | SAM Engagement | Audyt wewnętrzny (dobrowolny) |
|---|---|---|---|---|
| Kto wszczyna | Microsoft / Deloitte / KPMG / EY | BSA The Software Alliance | Microsoft (zaproszenie) | Firma samodzielnie |
| Podstawa prawna | Umowa Volume Licensing + klauzula audytowa | Ustawa o prawie autorskim (Dz.U. art. 115-122) | Zaproszenie do współpracy | Wewnętrzna polityka compliance |
| Wyprzedzenie | ≥ 30 dni | Nakaz sądowy lub wezwanie (krótsze terminy) | Dowolne, ustalane obustronnie | Bez ograniczeń |
| Średni czas trwania | 3-6 miesięcy | 1-3 miesięcy | 2-4 tygodnie | 2-8 tygodni |
| Kara za brak licencji | Dopłata ceny detalicznej + true-up wstecz | Odszkodowanie cywilne + odpowiedzialność karna (do 5 lat więzienia dla zarządu) | Dobrowolny true-up (bez kar) | Brak — naprawa przed kontrolą |
| Koszt dla firmy (średni) | 50-150 tys. zł dla MŚP | 100-500 tys. zł + koszty prawne | 10-50 tys. zł (true-up) | 0 zł — tylko nakład pracy |
| Czy można odmówić | Tak — ale skutkuje zerwaniem umowy | Nie — nakaz sądowy | Tak — ale ryzyko eskalacji | Nie dotyczy |
Jak przygotować firmę do audytu — 5 kroków
- Wdróż narzędzie do inwentaryzacji — minimum to Microsoft Assessment and Planning (MAP) Toolkit (darmowy), optymalnie: Lansweeper, Snow License Manager, ServiceNow SAM. Narzędzie musi wykrywać nie tylko tytuł oprogramowania, ale także jego wersję i edycję — bo to one decydują o typie wymaganej licencji.
- Utwórz rejestr licencji — jedna tabela (Excel lub baza) z kolumnami: produkt, edycja, typ licencji (OEM/Retail/VL/M365), data zakupu, numer faktury, liczba stanowisk. Aktualizuj przy każdym zakupie.
- Zrezygnuj z licencji "na lewo" — pojedynczy klucz OEM do Windows Server znaleziony na Allegro za 39 zł NIE jest legalną licencją dla firmy. W razie audytu takie źródło nie ma dokumentacji, a konsekwencje ponosi wyłącznie użytkownik końcowy.
- Zmapuj użytkowników i urządzenia 1:1 — każdy użytkownik Microsoft 365 musi mieć przypisaną licencję; każdy serwer Windows Server musi mieć odpowiednią licencję core'ową (Windows Server 2022/2025 licencjonowany jest per core, nie per maszynę — to częsta pułapka).
- Przeprowadź próbny audyt wewnętrzny — raz na rok, najlepiej z pomocą zewnętrznego konsultanta SAM, który zna najnowsze reguły licencjonowania (SQL Server per core vs per CAL, licencjonowanie w środowiskach zwirtualizowanych, reguły multiplexingu).
Częste pytania
Czy audyt Microsoft dotyczy też małych firm z licencjami OEM/Retail, bez Volume Licensing?
Nie. Audyt formalny jest elementem umów Volume Licensing — jeśli firma nie podpisała takiej umowy, Microsoft nie ma podstawy kontraktowej do żądania inwentaryzacji. Małe firmy są natomiast narażone na kontrolę BSA (na podstawie zgłoszenia) lub policji — szczególnie jeśli używają oprogramowania bez żadnej dokumentacji zakupu.
Co grozi za odmowę udziału w audycie Microsoft?
Zgodnie z klauzulą audytową w umowach Volume Licensing, odmowa udziału w kontroli jest traktowana jako naruszenie umowy. Microsoft ma wówczas prawo: rozwiązać umowę ze skutkiem natychmiastowym, naliczyć karę umowną (zazwyczaj równowartość szacowanych braków licencyjnych), a także przekazać sprawę do działu prawnego. Firma traci też dostęp do VLSC i wszystkie rabaty volume.
Jakie są najczęstsze pułapki licencyjne wykrywane podczas audytów?
Trzy najczęstsze: (1) SQL Server licencjonowany per CAL, a używane są funkcje Enterprise (zawsze wymaga licencji per core); (2) Windows Server w środowisku zwirtualizowanym bez odpowiedniej liczby licencji core'owych na hosta fizycznego — każdy fizyczny host musi być w pełni pokryty licencjami core, nawet jeśli maszyn wirtualnych jest mniej niż maksymalny limit; (3) użytkownicy Microsoft 365 z przypisaną licencją E5, ale korzystający tylko z funkcji E3 — marnowanie budżetu, które nie chroni przed brakami w innych obszarach.
Ile czasu trwa typowy audyt Microsoft od otrzymania pisma do zamknięcia?
Średnio 3-6 miesięcy. 30 dni na wstępną odpowiedź + 4-8 tygodni na dostarczenie danych inwentaryzacyjnych + 4-8 tygodni na analizę audytora + 30 dni na rozliczenie true-up. Firmy z uporządkowanym SAM potrafią zamknąć cały proces w 6 tygodni.
Czy Microsoft może zażądać audytu wstecz za 5 lat?
Teoretycznie — nie, ponieważ roszczenia majątkowe w Polsce przedawniają się po 3 latach (art. 118 Kodeksu cywilnego dla działalności gospodarczej). W praktyce jednak audytorzy Microsoftu standardowo analizują okres 3 lat wstecz od daty wszczęcia audytu, a w przypadku wykrycia celowego zatajenia — okres może być wydłużony na podstawie zapisów umowy Volume Licensing. Spór o przedawnienie w kontekście prawa umownego vs. cywilnego jest częstym elementem negocjacji z audytorem.
Czy klucze OEM są honorowane podczas audytu w firmie?
Tak — pod warunkiem, że pochodzą z legalnego źródła (faktura VAT od sprzedawcy) i zostały przypisane do konkretnych urządzeń zgodnie z zasadami licencji OEM. Audytor zażąda okazania dokumentów zakupu dla każdego klucza OEM. Jeśli komputer został kupiony z preinstalowanym Windows — wystarczy faktura za sprzęt. Jeśli klucz OEM został dokupiony osobno — potrzebna jest faktura za sam klucz.
Jak obniżyć ryzyko audytu od razu po jego otrzymaniu?
Pierwsze co należy zrobić: nie panikować i nie ukrywać danych — to zawsze pogarsza sytuację. Następnie: zatrudnić zewnętrznego konsultanta SAM (nie tego samego, który prowadzi audyt), dokonać własnej inwentaryzacji przed terminem dostarczenia danych audytorowi, i — o ile to możliwe — przeprowadzić dobrowolny true-up (zakup brakujących licencji) przed oficjalnym terminem. Często pozwala to negocjować niższe dopłaty niż w trybie formalnym.
Jak KluczeSoft może pomóc w przygotowaniach do audytu
Jeśli Twój audyt wewnętrzny wykaże braki w licencjach Windows, Office, Windows Server lub Microsoft 365 — nie musisz kupować ich w cenach detalicznych, które Microsoft narzuci w trakcie formalnego audytu. W ofercie KluczeSoft.pl — legalne licencje Microsoft znajdziesz w pełni legalne, udokumentowane fakturą VAT klucze OEM, Retail i subskrypcje Microsoft 365, które pomogą Ci zamknąć lukę licencyjną z wyprzedzeniem i bez przepłacania. Każdy zakup otrzymuje elektroniczną fakturę, którą można okazać audytorowi jako dowód legalności — to najtańszy sposób na uniknięcie kar.
Niniejszy artykuł ma charakter edukacyjny i nie stanowi porady prawnej. W przypadku trwającego audytu formalnego zalecamy kontakt z kancelarią prawną specjalizującą się w prawie IT oraz certyfikowanym konsultantem SAM.
Sprawdź też
- Wyrok UsedSoft przeciwko Oracle (C-128/11) — czym jest, co oznacza dla obrotu licencjami Microsoft i dlaczego wciąż ma znaczenie w 2026 roku
- Dyrektywa odsprzedaży licencji — na czym polega, jak działa zasada wyczerpania prawa i co oznacza dla kupujących oprogramowanie w UE
- Jak rozpoznać legalny klucz Microsoft — kompletny przewodnik weryfikacji licencji Windows i Office (2026)
- Klucze ESD legalne — czym są, skąd pochodzą i jak kupować bezpiecznie w 2026 roku
Sklep KluczeSoft
Potrzebujesz licencji? KluczeSoft.pl oferuje legalne klucze z gwarancją autentyczności i wysyłką w 1-3 minuty na e-mail:
Powiązane artykuły
- Dyrektywa odsprzedaży licencji — na czym polega, jak działa zasada wyczerpania prawa i co oznacza dla kupujących oprogramowanie w UE — Zasada wyczerpania prawa (ang.
- Audyt licencji Microsoft True-Up — kompletny przewodnik po rozliczeniu umów Volume Licensing w 2026 roku — Audyt licencji Microsoft True-Up to formalny proces weryfikacji i rozliczenia rzeczywistego stanu wykorzystania oprogramowania Microsoft w o.
- Klucz produktu — co to jest, jak działa i czym różni się od licencji cyfrowej (2026) — Klucz produktu to nie tylko ciąg znaków.
- Licencja subskrypcyjna — co to jest, jak działa i czym różni się od licencji wieczystej — Licencja subskrypcyjna to umowa między dostawcą oprogramowania a użytkownikiem, w której dostęp do programu nie jest sprzedawany na własność.
- Klucze ESD legalne — czym są, skąd pochodzą i jak kupować bezpiecznie w 2026 roku — ESD (Electronic Software Delivery, po polsku: elektroniczna dystrybucja oprogramowania) to metoda dostarczania licencji, w której zamiast fi.
