Przejdź do treści
Powrót do Centrum Pomocy
Microsoft Licencja
Opinie i zaufanie

Audyt licencji Microsoft — na czym polega, jak się przygotować i uniknąć kar w 2026 roku

Audyt licencji (oficjalnie: Microsoft License Compliance Verification) to proces, w którym Microsoft — bezpośrednio lub przez zaufaną firmę zewnętrzną — porównu

11 min czytania·Zaktualizowano 1 miesiąc temu

Audyt licencji Microsoft to formalna procedura weryfikacji zgodności posiadanych licencji z faktycznym wykorzystaniem oprogramowania — prowadzona bezpośrednio przez Microsoft, wyznaczoną przez producenta firmę audytorską (najczęściej Deloitte, EY, KPMG) lub organizację BSA | The Software Alliance. Audyt może zakończyć się koniecznością dopłaty za brakujące licencje, naliczeniem kar umownych, a w skrajnych przypadkach — odpowiedzialnością karną za piractwo. Dobrze przeprowadzony audyt wewnętrzny przed kontrolą pozwala uniknąć nawet 90% problemów.

W skrócie

  • Microsoft ma prawo żądać od każdego klienta biznesowego (Volume Licensing) udokumentowania stanu licencji
  • Audyt może zostać wszczęty w dowolnym momencie — wystarczy 30-dniowe wyprzedzenie w formie pisemnej
  • Typowa kontrola trwa od 4 tygodni do 6 miesięcy
  • Najczęstszy wynik: konieczność zakupu brakujących licencji po cenie detalicznej + dopłata za zaległy okres użytkowania (tzw. true-up)
  • Firmy z uporządkowanym SAM (Software Asset Management) przechodzą audyty praktycznie bezkosztowo
  • Od 2024 roku Microsoft znacząco zwiększył częstotliwość kontroli w sektorze MŚP w Europie Środkowo-Wschodniej

Pełna definicja — czym dokładnie jest audyt licencji Microsoft

Audyt licencji (oficjalnie: Microsoft License Compliance Verification) to proces, w którym Microsoft — bezpośrednio lub przez zaufaną firmę zewnętrzną — porównuje faktycznie używane oprogramowanie i usługi z posiadanymi dokumentami zakupu, umowami licencyjnymi i stanem konta w Volume Licensing Service Center (VLSC) / Microsoft 365 Admin Center.

Audyt dotyczy przede wszystkim klientów z aktywną umową Volume Licensing (Enterprise Agreement, MPSA, Open Value, Select Plus) oraz użytkowników subskrypcji Microsoft 365. Klienci indywidualni z licencjami OEM/Retail — poza skrajnymi przypadkami — nie są obiektem kontroli Microsoftu (tu interweniuje raczej policja lub BSA na podstawie zgłoszenia o piractwie).

Trzy warianty kontroli — nie każdy "audyt" to to samo

  1. SAM Engagement (dobrowolny przegląd) — zaproszenie od Microsoftu do bezpłatnego przeglądu stanu licencji. Jeśli firma odmówi — Microsoft może eskalować do audytu formalnego. Jeśli firma skorzysta — Microsoft pomaga zinwentaryzować licencje i zaleca dobrowolny true-up. To w praktyce najczęstsza ścieżka pierwszej interakcji.
  2. License Compliance Verification (audyt formalny) — wszczęty oficjalnym pismem z Microsoftu lub kancelarii audytorskiej. Firma ma ustawowy obowiązek dostarczyć dane z inwentaryzacji. Odmowa skutkuje zerwaniem umowy Volume Licensing i automatycznym naliczeniem kar.
  3. BSA Audit (kontrola organizacji BSA) — dotyczy firm, które w ogóle nie mają umów Volume Licensing, ale korzystają z oprogramowania Microsoft. BSA działa na podstawie zgłoszeń (whistleblowing), często od byłych pracowników. Konsekwencje są zwykle bardziej dotkliwe, bo firma nie ma żadnego udokumentowanego stanu licencji na start — kontrola zaczyna się od zera.

Jak przebiega audyt krok po kroku

1. Otrzymanie pisma inicjującego

Microsoft lub firma audytorska (Deloitte, KPMG, EY — w zależności od regionu) wysyła do klienta formalne pismo z co najmniej 30-dniowym wyprzedzeniem. Pismo określa zakres audytu (np. „wszystkie produkty Microsoft Server i SQL Server”, „Microsoft 365 E3/E5”, „Windows 10/11 Enterprise”), termin odpowiedzi i dane kontaktowe audytora wiodącego.

2. Inwentaryzacja — zbieranie danych

Firma musi dostarczyć:

Rodzaj danychŹródłoPrzykład
Wykaz posiadanych licencjiVLSC, faktury zakupowe, potwierdzenia e-mail150× Windows 11 Pro, 12× Office LTSC 2024
Wykaz instalacji (wdrożeń)Narzędzia inwentaryzacyjne (SCCM, Lansweeper, ServiceNow SAM, MAP Toolkit)178× Windows 11, 20× Windows Server 2025
Wykaz użytkowników (dla subskrypcji)Azure AD / Entra ID, Microsoft 365 Admin Center203 użytkowników z przypisaną licencją M365 E3
Wykorzystanie funkcji premiumKonfiguracja serwerów, raporty użycia Power BISQL Server Enterprise używany tam, gdzie wystarczy Standard

Audytor nie instaluje własnego oprogramowania szpiegowskiego na firmowych komputerach — to mit. Otrzymuje zestawienie wygenerowane przez firmę, które może podlegać weryfikacji (np. podczas wizyty na miejscu lub zdalnego przeglądu).

3. Porównanie i identyfikacja luk (Effective License Position)

Audytor zestawia posiadane licencje z wdrożonymi. Każda jednostka, dla której brakuje licencji, generuje licencjobrak (license shortfall). W raporcie widnieje też nadmiar licencji (over-licensed), ale — co istotne — Microsoft nie zwraca pieniędzy za nadmiarowe zakupy ani nie pozwala ich rozliczyć z brakami w innych kategoriach produktowych.

4. True-up — rozliczenie

Audytor przedstawia raport końcowy z wyliczoną kwotą do dopłaty. Firma ma zazwyczaj 30 dni na uregulowanie należności — po cenach detalicznych, bez rabatów volume, czyli znacząco drożej niż w normalnym zakupie. Dodatkowo Microsoft nalicza opłatę za okres, w którym oprogramowanie było używane bez licencji (zwykle wstecz maksymalnie 3 lata, zgodnie z terminem przedawnienia roszczeń majątkowych w Polsce).

5. Zamknięcie audytu i monitoring

Po opłaceniu true-up firma podpisuje list intencyjny o wdrożeniu procesów SAM. Microsoft może powtórzyć audyt po 12-24 miesiącach — jeśli poprzedni wykazał znaczące braki, prawdopodobieństwo ponownej kontroli wzrasta.

Co wyzwala audyt — 5 najczęstszych triggerów

  1. Nagły spadek zamówień w Volume Licensing — firma, która od lat kupowała 200+ licencji rocznie i nagle spada do 20, budzi podejrzenie, że nadal używa oprogramowania, ale przestała legalnie je nabywać.
  2. Brak aktywności w VLSC — długotrwały brak logowań, pobierania kluczy i przypisywania licencji to sygnał, że firma może działać poza kontrolą.
  3. Fuzja, przejęcie, restructuring — zmiana struktury właścicielskiej często ujawnia niespójności w licencjach (np. przejęta spółka używała Windows Server bez licencji).
  4. Zgłoszenie whistleblowerskie — były pracownik, niezadowolony kontrahent lub konkurent informuje BSA, że firma używa nielegalnego oprogramowania. BSA ma w Polsce aktywną linię zgłoszeniową i oferuje nagrody za skuteczne doniesienia.
  5. Sam Microsoft — losowe typowanie — około 20% audytów jest typowanych losowo z bazy klientów Volume Licensing. Microsoft realizuje roczne cele audytowe (ok. 3000-4000 kontroli rocznie globalnie).

Tabela porównawcza — audyt Microsoft vs BSA vs audyt wewnętrzny

KryteriumAudyt formalny MicrosoftKontrola BSASAM EngagementAudyt wewnętrzny (dobrowolny)
Kto wszczynaMicrosoft / Deloitte / KPMG / EYBSA The Software AllianceMicrosoft (zaproszenie)Firma samodzielnie
Podstawa prawnaUmowa Volume Licensing + klauzula audytowaUstawa o prawie autorskim (Dz.U. art. 115-122)Zaproszenie do współpracyWewnętrzna polityka compliance
Wyprzedzenie≥ 30 dniNakaz sądowy lub wezwanie (krótsze terminy)Dowolne, ustalane obustronnieBez ograniczeń
Średni czas trwania3-6 miesięcy1-3 miesięcy2-4 tygodnie2-8 tygodni
Kara za brak licencjiDopłata ceny detalicznej + true-up wsteczOdszkodowanie cywilne + odpowiedzialność karna (do 5 lat więzienia dla zarządu)Dobrowolny true-up (bez kar)Brak — naprawa przed kontrolą
Koszt dla firmy (średni)50-150 tys. zł dla MŚP100-500 tys. zł + koszty prawne10-50 tys. zł (true-up)0 zł — tylko nakład pracy
Czy można odmówićTak — ale skutkuje zerwaniem umowyNie — nakaz sądowyTak — ale ryzyko eskalacjiNie dotyczy

Jak przygotować firmę do audytu — 5 kroków

  1. Wdróż narzędzie do inwentaryzacji — minimum to Microsoft Assessment and Planning (MAP) Toolkit (darmowy), optymalnie: Lansweeper, Snow License Manager, ServiceNow SAM. Narzędzie musi wykrywać nie tylko tytuł oprogramowania, ale także jego wersję i edycję — bo to one decydują o typie wymaganej licencji.
  2. Utwórz rejestr licencji — jedna tabela (Excel lub baza) z kolumnami: produkt, edycja, typ licencji (OEM/Retail/VL/M365), data zakupu, numer faktury, liczba stanowisk. Aktualizuj przy każdym zakupie.
  3. Zrezygnuj z licencji "na lewo" — pojedynczy klucz OEM do Windows Server znaleziony na Allegro za 39 zł NIE jest legalną licencją dla firmy. W razie audytu takie źródło nie ma dokumentacji, a konsekwencje ponosi wyłącznie użytkownik końcowy.
  4. Zmapuj użytkowników i urządzenia 1:1 — każdy użytkownik Microsoft 365 musi mieć przypisaną licencję; każdy serwer Windows Server musi mieć odpowiednią licencję core'ową (Windows Server 2022/2025 licencjonowany jest per core, nie per maszynę — to częsta pułapka).
  5. Przeprowadź próbny audyt wewnętrzny — raz na rok, najlepiej z pomocą zewnętrznego konsultanta SAM, który zna najnowsze reguły licencjonowania (SQL Server per core vs per CAL, licencjonowanie w środowiskach zwirtualizowanych, reguły multiplexingu).

Częste pytania

Czy audyt Microsoft dotyczy też małych firm z licencjami OEM/Retail, bez Volume Licensing?

Nie. Audyt formalny jest elementem umów Volume Licensing — jeśli firma nie podpisała takiej umowy, Microsoft nie ma podstawy kontraktowej do żądania inwentaryzacji. Małe firmy są natomiast narażone na kontrolę BSA (na podstawie zgłoszenia) lub policji — szczególnie jeśli używają oprogramowania bez żadnej dokumentacji zakupu.

Co grozi za odmowę udziału w audycie Microsoft?

Zgodnie z klauzulą audytową w umowach Volume Licensing, odmowa udziału w kontroli jest traktowana jako naruszenie umowy. Microsoft ma wówczas prawo: rozwiązać umowę ze skutkiem natychmiastowym, naliczyć karę umowną (zazwyczaj równowartość szacowanych braków licencyjnych), a także przekazać sprawę do działu prawnego. Firma traci też dostęp do VLSC i wszystkie rabaty volume.

Jakie są najczęstsze pułapki licencyjne wykrywane podczas audytów?

Trzy najczęstsze: (1) SQL Server licencjonowany per CAL, a używane są funkcje Enterprise (zawsze wymaga licencji per core); (2) Windows Server w środowisku zwirtualizowanym bez odpowiedniej liczby licencji core'owych na hosta fizycznego — każdy fizyczny host musi być w pełni pokryty licencjami core, nawet jeśli maszyn wirtualnych jest mniej niż maksymalny limit; (3) użytkownicy Microsoft 365 z przypisaną licencją E5, ale korzystający tylko z funkcji E3 — marnowanie budżetu, które nie chroni przed brakami w innych obszarach.

Ile czasu trwa typowy audyt Microsoft od otrzymania pisma do zamknięcia?

Średnio 3-6 miesięcy. 30 dni na wstępną odpowiedź + 4-8 tygodni na dostarczenie danych inwentaryzacyjnych + 4-8 tygodni na analizę audytora + 30 dni na rozliczenie true-up. Firmy z uporządkowanym SAM potrafią zamknąć cały proces w 6 tygodni.

Czy Microsoft może zażądać audytu wstecz za 5 lat?

Teoretycznie — nie, ponieważ roszczenia majątkowe w Polsce przedawniają się po 3 latach (art. 118 Kodeksu cywilnego dla działalności gospodarczej). W praktyce jednak audytorzy Microsoftu standardowo analizują okres 3 lat wstecz od daty wszczęcia audytu, a w przypadku wykrycia celowego zatajenia — okres może być wydłużony na podstawie zapisów umowy Volume Licensing. Spór o przedawnienie w kontekście prawa umownego vs. cywilnego jest częstym elementem negocjacji z audytorem.

Czy klucze OEM są honorowane podczas audytu w firmie?

Tak — pod warunkiem, że pochodzą z legalnego źródła (faktura VAT od sprzedawcy) i zostały przypisane do konkretnych urządzeń zgodnie z zasadami licencji OEM. Audytor zażąda okazania dokumentów zakupu dla każdego klucza OEM. Jeśli komputer został kupiony z preinstalowanym Windows — wystarczy faktura za sprzęt. Jeśli klucz OEM został dokupiony osobno — potrzebna jest faktura za sam klucz.

Jak obniżyć ryzyko audytu od razu po jego otrzymaniu?

Pierwsze co należy zrobić: nie panikować i nie ukrywać danych — to zawsze pogarsza sytuację. Następnie: zatrudnić zewnętrznego konsultanta SAM (nie tego samego, który prowadzi audyt), dokonać własnej inwentaryzacji przed terminem dostarczenia danych audytorowi, i — o ile to możliwe — przeprowadzić dobrowolny true-up (zakup brakujących licencji) przed oficjalnym terminem. Często pozwala to negocjować niższe dopłaty niż w trybie formalnym.

Jak KluczeSoft może pomóc w przygotowaniach do audytu

Jeśli Twój audyt wewnętrzny wykaże braki w licencjach Windows, Office, Windows Server lub Microsoft 365 — nie musisz kupować ich w cenach detalicznych, które Microsoft narzuci w trakcie formalnego audytu. W ofercie KluczeSoft.pl — legalne licencje Microsoft znajdziesz w pełni legalne, udokumentowane fakturą VAT klucze OEM, Retail i subskrypcje Microsoft 365, które pomogą Ci zamknąć lukę licencyjną z wyprzedzeniem i bez przepłacania. Każdy zakup otrzymuje elektroniczną fakturę, którą można okazać audytorowi jako dowód legalności — to najtańszy sposób na uniknięcie kar.


Niniejszy artykuł ma charakter edukacyjny i nie stanowi porady prawnej. W przypadku trwającego audytu formalnego zalecamy kontakt z kancelarią prawną specjalizującą się w prawie IT oraz certyfikowanym konsultantem SAM.

Sprawdź też

<!-- IL-V1 -->

Sklep KluczeSoft

Potrzebujesz licencji? KluczeSoft.pl oferuje legalne klucze z gwarancją autentyczności i wysyłką w 1-3 minuty na e-mail:

Powiązane artykuły

Najczęściej zadawane pytania

Nie. Audyt formalny jest elementem umów Volume Licensing — jeśli firma nie podpisała takiej umowy, Microsoft nie ma podstawy kontraktowej do żądania inwentaryzacji. Małe firmy są natomiast narażone na kontrolę BSA (na podstawie zgłoszenia) lub policji — szczególnie jeśli używają oprogramowania bez żadnej dokumentacji zakupu.
Zgodnie z klauzulą audytową w umowach Volume Licensing, odmowa udziału w kontroli jest traktowana jako naruszenie umowy. Microsoft ma wówczas prawo: rozwiązać umowę ze skutkiem natychmiastowym, naliczyć karę umowną (zazwyczaj równowartość szacowanych braków licencyjnych), a także przekazać sprawę do działu prawnego. Firma traci też dostęp do VLSC i wszystkie rabaty volume.
Trzy najczęstsze: (1) **SQL Server licencjonowany per CAL, a używane są funkcje Enterprise** (zawsze wymaga licencji per core); (2) **Windows Server w środowisku zwirtualizowanym bez odpowiedniej liczby licencji core'owych na hosta fizycznego** — każdy fizyczny host musi być w pełni pokryty licencjami core, nawet jeśli maszyn wirtualnych jest mniej niż maksymalny limit; (3) **użytkownicy Microsoft 365 z przypisaną licencją E5, ale korzystający tylko z funkcji E3** — marnowanie budżetu, które nie chroni przed brakami w innych obszarach.
Średnio 3-6 miesięcy. 30 dni na wstępną odpowiedź + 4-8 tygodni na dostarczenie danych inwentaryzacyjnych + 4-8 tygodni na analizę audytora + 30 dni na rozliczenie *true-up*. Firmy z uporządkowanym SAM potrafią zamknąć cały proces w 6 tygodni.
Teoretycznie — nie, ponieważ roszczenia majątkowe w Polsce przedawniają się po 3 latach (art. 118 Kodeksu cywilnego dla działalności gospodarczej). W praktyce jednak audytorzy Microsoftu standardowo analizują okres 3 lat wstecz od daty wszczęcia audytu, a w przypadku wykrycia celowego zatajenia — okres może być wydłużony na podstawie zapisów umowy Volume Licensing. Spór o przedawnienie w kontekście prawa umownego vs. cywilnego jest częstym elementem negocjacji z audytorem.
Tak — pod warunkiem, że pochodzą z legalnego źródła (faktura VAT od sprzedawcy) i zostały przypisane do konkretnych urządzeń zgodnie z zasadami licencji OEM. Audytor zażąda okazania dokumentów zakupu dla każdego klucza OEM. Jeśli komputer został kupiony z preinstalowanym Windows — wystarczy faktura za sprzęt. Jeśli klucz OEM został dokupiony osobno — potrzebna jest faktura za sam klucz.
Pierwsze co należy zrobić: nie panikować i nie ukrywać danych — to zawsze pogarsza sytuację. Następnie: zatrudnić zewnętrznego konsultanta SAM (nie tego samego, który prowadzi audyt), dokonać własnej inwentaryzacji przed terminem dostarczenia danych audytorowi, i — o ile to możliwe — przeprowadzić dobrowolny *true-up* (zakup brakujących licencji) przed oficjalnym terminem. Często pozwala to negocjować niższe dopłaty niż w trybie formalnym.

Czy ten artykuł był pomocny?

Audyt licencji Microsoft — na czym polega, jak się przygo… | Centrum Pomocy KluczeSoft