Audit Lesen Perisian: Amaran Besar untuk Insurans AI

Pada 15/12/2025, VMware memfailkan saman di mahkamah persekutuan AS terhadap Allstate, mendakwa syarikat insurans itu menghalang audit pelesenan perisian dan gagal memenuhi kewajipan pelaporan serta penyimpanan rekod. Isunya nampak “teknikal”—skrip audit tak boleh dijalankan, borang tak lengkap, tarikh tertangguh—tetapi mesejnya sangat jelas untuk industri insurans: bila transformasi digital dan AI makin agresif, disiplin pematuhan (compliance) tak boleh longgar walau sedikit.

Saya selalu nampak organisasi terlalu fokus pada kelajuan—migrasi awan, automasi tuntutan, model AI untuk fraud—tetapi menganggap dokumentasi dan audit sebagai kerja belakang tabir. Realitinya, kegagalan urus lesen perisian dan rekod penggunaan bukan sekadar risiko kos. Ia boleh jadi risiko undang-undang, risiko operasi, dan risiko reputasi—tiga perkara yang paling “mahal” untuk penanggung insurans.

Kes ini juga selari dengan tema siri “AI dalam Insurans dan Pengurusan Risiko”: kalau syarikat tak dapat buktikan penggunaan perisian secara telus, bayangkan cabaran untuk buktikan data governance AI, keadilan model, atau jejak audit keputusan underwriting.

Apa yang kes VMware–Allstate ajar tentang pematuhan digital

Jawapan ringkas: Audit perisian bukan sekadar semak bil—ia ujian sama ada organisasi boleh membuktikan pematuhan melalui rekod yang lengkap dan konsisten.

Berdasarkan pemfailan VMware, hubungan kontrak bermula sejak 12/12/2008 melalui Master End User License Agreement yang mengandungi klausa “Audit Rights” (hak audit). Antara tuntutan penting yang ditekankan:

• Allstate perlu menyimpan rekod penggunaan perisian yang tepat sekurang-kurangnya dua tahun selepas sokongan/langganan tamat.
• VMware (atau wakilnya) boleh memeriksa rekod dan peranti pengkomputeran untuk sahkan penggunaan ikut kontrak.
• Jika audit menunjukkan kurang bayar melebihi 10% untuk tempoh diaudit, pelanggan perlu membayar kos audit selain bayaran tertunggak.

Pertikaian turut melibatkan Enterprise License Agreement (ELA) bertarikh 30/09/2019 dan pindaan 29/07/2022 yang memanjangkan tempoh hingga 29/07/2025, termasuk kewajipan:

• Laporan jumlah lesen yang digunakan pada tarikh tertentu
• Menyediakan maklumat tambahan “yang munasabah” untuk pengesahan pematuhan
• Menyimpan rekod yang mencukupi untuk membuktikan pematuhan oleh syarikat dan afiliasi

Kenapa ini penting untuk insurans? Sebab struktur kawalan yang sama—rekod tepat, kebolehkesanan, akses audit—ialah asas kepada pengurusan risiko untuk sistem AI. Kalau rekod aset IT pun kabur, biasanya rekod data latihan AI dan log keputusan model lebih teruk.

Corak kegagalan yang biasa berlaku (dan mudah berulang)

VMware menggambarkan “pola kelewatan”: notis audit 04/03/2025, bahan audit dihantar 04–05/2025, susulan berulang, sasaran 29/08/2025 tak dipenuhi. Pada 12/09/2025, VMware mendakwa Allstate menyatakan VMware “telah dibuang dari semua peranti” dan skrip audit tak boleh dijalankan kerana komponen tak lagi wujud. Pada 01/10/2025, Allstate dilaporkan menyatakan semua instans tamat/dibuang dan mengisytiharkan audit “selesai”.

Walaupun kita tak membuat kesimpulan tentang merit kes (itu tugas mahkamah), dari sudut pengurusan risiko saya berani kata: mengisytiharkan audit selesai secara unilateral jarang menutup isu—biasanya membuka isu baharu.

Kenapa audit lesen perisian jadi “cermin” risiko AI dalam insurans

Jawapan ringkas: Risiko audit lesen perisian dan risiko AI berpunca daripada masalah yang sama—ketiadaan “single source of truth” untuk aset, data, dan bukti pematuhan.

Insurans kini bergantung pada ekosistem teknologi yang kompleks: virtualisasi, awan hibrid, alat analitik, platform AI/ML, dan vendor pihak ketiga. Bila pematuhan lesen goyah, ia memberi isyarat empat kelemahan yang juga akan menjejaskan program AI.

1) Kegagalan inventori aset = model AI sukar diaudit

AI memerlukan inventori data dan model yang jelas: dataset apa digunakan, versi model mana berjalan, di mana ia dideploy, siapa pemiliknya.

Dalam audit lesen perisian, inventori yang gagal biasanya nampak begini:

• Tiada peta persekitaran (on-prem, awan, DR site)
• Afiliasi/anak syarikat guna sistem yang sama tanpa kawalan pusat
• Perubahan persekitaran berlaku ketika audit, tetapi tak dilapor

Dalam AI, corak itu bertukar menjadi:

• Dataset “bertindan” tanpa pemilik yang jelas
• Feature store tanpa kawalan versi
• Model diubah suai cepat (A/B test) tetapi log keputusan tak seragam

Satu ayat yang patut diingat: Kalau anda tak boleh kira instans, anda tak boleh pertahankan keputusan model.

2) Dokumentasi lemah = risiko kawal selia dan litigasi meningkat

Syarikat insurans berurusan dengan pelanggan, regulator, dan litigasi. Bila berlaku pertikaian—sama ada tuntutan ditolak, premium naik, atau kes penipuan—soalan kritikal ialah: “Tunjukkan bukti.”

Audit lesen perisian menguji perkara yang sama:

• Rekod penggunaan
• Sejarah perubahan
• Bukti pembayaran/entitlement

AI pula menuntut:

• Data lineage (asal-usul data)
• Model cards / dokumentasi model
• Log inferens (bila model buat keputusan, input apa, output apa)

Tanpa dokumentasi, organisasi bukan sekadar “tak patuh”—organisasi tak mampu mempertahankan diri.

3) Vendor governance yang longgar = kos tersembunyi meletup

Bila vendor besar terlibat (platform virtualisasi, awan, alat AI), kos sebenar bukan hanya langganan. Kos tersembunyi termasuk:

• Masa pasukan IT/Legal untuk respons audit
• Kos perunding audit bebas
• Gangguan operasi kerana pengumpulan bukti ad-hoc
• Risiko injunksi atau perintah mahkamah (dalam senario litigasi)

Dalam dunia AI insurans, vendor governance yang longgar juga boleh menyebabkan:

• Pelanggaran kontrak penggunaan data
• Ketidakpatuhan syarat privasi
• Ketergantungan (lock-in) tanpa pelan keluar

4) “Buang sistem” bukan strategi pematuhan

Dakwaan bahawa instans dibuang lalu audit dianggap selesai—jika benar berlaku—mengajar satu pengajaran keras: memadam jejak bukan menyelesaikan kewajipan rekod.

Dalam AI, tindakan “memadam dataset” atau “matikan model” selepas isu timbul juga tak semestinya memadam liabiliti. Rekod keputusan dan bukti proses masih diperlukan untuk siasatan dalaman, regulator, atau tuntutan undang-undang.

Amalan terbaik: bina auditability sebelum anda perlukan audit

Jawapan ringkas: Jadikan audit sebagai proses rutin, bukan projek kecemasan.

Kalau saya membantu pasukan risiko/teknologi di syarikat insurans, saya biasanya cadangkan rangka kerja ringkas tetapi tegas di bawah. Ia relevan untuk lesen perisian dan juga program AI.

1) Wujudkan “sumber kebenaran tunggal” untuk aset dan entitlement

Bukan sekadar senarai Excel. Anda perlukan repositori yang diselenggara dengan baik untuk:

• Kontrak & entitlement (apa yang dibeli, tempoh, syarat audit)
• Inventori deployment (di mana perisian digunakan, berapa banyak)
• Pemetaan afiliasi (siapa guna di bawah payung yang sama)

Untuk AI, tambah:

• Inventori model (versi, tujuan, pemilik, status produksi)
• Inventori dataset (sensitiviti, persetujuan, retensi)

2) Automasi pemantauan pematuhan (di sinilah AI membantu)

AI bukan sekadar untuk underwriting. Dalam pematuhan, AI boleh memantau corak anomali seperti:

• Lonjakan deployment yang tak selari dengan entitlement
• Perubahan konfigurasi yang berlaku semasa “freeze period” audit
• Akaun servis yang akses data sensitif tanpa tiket perubahan

Prinsipnya mudah: AI menguatkan kawalan dalaman, bukan menggantikannya.

3) Tetapkan protokol audit: siapa buat apa, dalam berapa hari

Audit gagal biasanya kerana tiada RACI yang jelas. Tetapkan:

• Pemilik audit (contoh: Head of IT Governance)
• Pasukan sokongan (Infra, Security, Procurement, Legal)
• SLA dalaman untuk respons (contoh: 10 hari bekerja untuk serah data awal)
• “Evidence checklist” standard

Untuk AI, protokol audit patut merangkumi:

• Semakan bias & fairness
• Semakan drift (data drift/model drift)
• Semakan akses & privasi

4) Polisi retensi rekod yang selari dengan kontrak dan risiko

Jika kontrak perlukan rekod 2 tahun selepas sokongan tamat, pastikan polisi retensi menyokongnya. Jangan biar sistem log dipadam automatik kerana setting default.

Dalam AI insurans, retensi log inferens dan data keputusan underwriting perlu diseimbangkan dengan privasi—tetapi “seimbang” bukan bermaksud “tiada apa disimpan”. Anda masih perlukan bukti minimum yang defensible.

5) Latih “audit drills” suku tahunan

Ini yang ramai tak buat. Buat simulasi:

• Pilih satu vendor perisian kritikal
• Jalankan semakan usage vs entitlement
• Uji kemampuan tarik laporan dalam 48 jam

Sama juga untuk AI:

• Pilih satu model (contoh: fraud scoring)
• Minta pasukan keluarkan dokumentasi model, versi, dan sampel log keputusan
• Uji masa pemulihan bukti (evidence retrieval time)

“Pematuhan yang baik bukan bila audit datang—pematuhan yang baik ialah bila audit boleh datang bila-bila.”

Soalan lazim (yang biasanya ditanya oleh pengurusan)

Adakah audit lesen perisian relevan jika kita dah migrasi ke awan?

Ya. Awan tak menghapuskan audit; ia mengubah bentuk bukti. Anda masih perlu tunjuk rekod penggunaan, konfigurasi, dan entitlement. Malah, persekitaran awan yang dinamik boleh meningkatkan risiko “over-deploy” jika tiada kawalan.

AI boleh kurangkan risiko audit atau tambah risiko?

Kedua-duanya. AI mengurangkan risiko bila digunakan untuk pemantauan dan pengesanan anomali. AI menambah risiko bila data, model, dan vendor diurus tanpa dokumentasi, kawalan akses, dan jejak audit yang konsisten.

Apa indikator awal organisasi kita bermasalah?

Tiga indikator mudah:

1. Tiada inventori aset/perisian yang disahkan (verified) setiap suku tahun
2. Pembelian perisian tersebar tanpa pusat kawalan kontrak
3. Pasukan tak boleh keluarkan laporan penggunaan dan log perubahan dalam 72 jam

Apa langkah paling praktikal selepas membaca ini

Kes VMware–Allstate (difailkan 15/12/2025) patut dibaca sebagai “alarm bell” untuk sesiapa yang memacu AI dalam insurans. Bukan sebab ia tentang satu vendor atau satu syarikat—tetapi sebab ia menunjukkan bagaimana ketidakjelasan rekod boleh berubah menjadi pertikaian besar.

Jika anda sedang membangunkan underwriting berasaskan AI, automasi tuntutan, atau sistem pengesanan penipuan, saya cadangkan buat tiga perkara minggu ini:

1. Semak 10 kontrak perisian paling kritikal: ada klausa audit? apa kewajipan rekod?
2. Bandingkan entitlement vs deployment untuk satu platform utama (virtualisasi/awan/data)
3. Tetapkan “AI & Software Compliance Dashboard”: satu papan pemuka yang memaparkan status inventori, drift, akses, dan bukti audit

Transformasi AI yang berjaya bukan hanya tentang ketepatan model. Ia tentang kebolehan mempertahankan operasi anda—di hadapan auditor, regulator, dan mahkamah jika perlu.

Kalau audit datang esok, adakah organisasi anda boleh serahkan bukti dalam masa 48 jam—atau anda akan mula mencari fail lama dan berharap semuanya “cukup baik”?