Comece por esperar o pior (ugh) ...
Você obviamente precisa ter um inventário completo de tudo o que DEVE ter para validar o que realmente tem. Isso significa ter cópias de todos os certificados de licença / acordos / etc. disponíveis. O bom gerenciamento de licenças é muitíssimo valioso, a fim de manter a integridade do seu negócio nessa área!
Dependendo de quanto anal você deseja obter, um bom pacote de inventário de software o ajudará imensamente. Algo como o que a Altiris (agora propriedade da Symantec) oferece. CONFIGURE BEM antes de executar seu inventário ou seu inventário será lixo.
Saiba o que você fará com qualquer violação que você encontrar durante a auditoria e comunique isso claramente à organização ANTES de iniciar a auditoria. Muitas violações desaparecerão magicamente quando isso acontecer e você não precisará inventariá-las:)
Esteja preparado para desembolsar algum dinheiro para entrar em conformidade quando encontrar violações.