Что представляют собой оба подхода с точки зрения практики заказчика?
И ежегодная инвентаризация ПО, и управление программными активами (Software Asset Management, SAM) — это процессы, которые помогают компаниям оценить состояние лицензирования их программного обеспечения для дальнейшего управления им. Цели могут быть разные — от предоставления сведений вендорам ПО и проверяющим органам до подготовки к закупкам или оптимизации инфраструктуры и ИТ-затрат. В России существует стандарт управления ПО ГОСТ Р ИСО/МЭК
Зачастую в компаниях вообще отсутствуют регулярные процессы инвентаризации, и оценка существующего ПО происходит только по инициативе вендора. Последний обращается к заказчику с предложением провести лицензионную сверку с участием партнера, который обладает необходимой для этого компетенцией. Это разовое действие, которое позволяет вендору убедиться в том, что заказчик выполняет условия лицензионного соглашения, а также проконсультировать по вопросам оптимизации ИТ-затрат на ПО. Бывает и так, что заказчик сам становится организатором инвентаризации и проводит ее внутренними силами. Как правило, это довольно трудоемко и не очень эффективно, потому что необходима специализированная экспертиза, в частности, лицензионного аналитика.
У компании регулярно возникает потребность в проведении инвентаризации по нескольким причинам. Во-первых, как минимум раз в год происходит закупка ПО и требуется уточнить, что нужно купить, а от чего можно отказаться. Во-вторых, заказчику нужно подтверждать соблюдение лицензионного статуса перед вендором и правоохранительными органами — это позволяет избежать разного рода рисков. Наконец, для оптимизации расходов на ИТ в долгосрочной перспективе компании могут понадобиться аналитические данные такого рода. В компаниях, у которых нет собственных практик управления программными активами, инвентаризация может стать отправной точкой для выстраивания грамотной стратегии менеджмента ПО.
Перейдем к SAM. Эта методология помогает организациям оптимизировать текущие закупки и затраты на ПО, а также снизить риски использования нелицензионного софта. SAM, в идеале, должен возникать на стороне заказчика как саморазвивающийся процесс. Это означает, что ежегодно составляются планы по улучшению практики управления программными активами компании и ведется контроль их исполнения.
Стратегия внедрения SAM выстраивается для достижения стандарта ИСО/МЭК
Это базовая идея всей методологии SAM, и многие компании комфортно чувствуют себя на этом этапе, не продвигаясь дальше.
Третий уровень SAM с точки зрения стандарта ИСО/МЭК 19770 — это интеграция с операционными процессами, например, с планированием бюджета, процессами риск-менеджмента и управления информационной безопасностью, а также поддержки пользователей. На этом этапе у компании возникает четкое понимание того, какие закупки ей предстоят. Таким образом, SAM становится поставщиком надежных данных для прочих операционных процессов, повышая тем самым их эффективность, а также качество выходных результатов. Кроме того, интеграция способствует повышению общего уровня информационной безопасности компании, ведь использование нелицензионного ПО сопряжено с рисками загрузки вредоносных программ.
Четвертый уровень — это доведение всех процессов, внедренных на предыдущих уровнях, до максимальной зрелости. На самом высоком уровне SAM является частью ИТ-стратегии глобальной поддержки бизнеса. На практике в мире очень немного компаний, которые находятся на этом уровне, но к нему стоит стремиться. Внедрение и автоматизация SAM требует времени и ресурсов. Также необходимо иметь опыт ведения процессов, знать ПО разных вендоров, требования и ограничения регуляторов, разбираться в гибридной и облачной инфраструктуре. Интересно, что сейчас во всем мире наблюдается тенденция к использованию SAM на аутсорсинге. В этом случае у клиента в постоянном доступе есть специалисты по SAM, которые могут поддерживать его при возникновении вопросов.
Оценка рисков и затрат в двух сценариях контроля лицензионного статуса
Оценка затрат производится индивидуально для каждого заказчика. В большинстве случаев у заказчика в базовой точке нет четкого понимания того, как выстраивать процесс, и обозначенная в заголовке дилемма, по сути, состоит в том, что делать на начальном этапе — выбрать ежегодный аудит, либо развить практику SAM внутри компании.
По общему правилу для небольших компаний с парком до
Определенные риски есть в обоих сценариях. Самостоятельный контроль лицензирования без привлечения партнера может оказаться напрасной тратой ресурсов, поскольку лица, контролирующие этот процесс, могут не обладать достаточной экспертизой. Инвентаризация с привлечением партнера также несет риск недостаточной компетенции третьей стороны, поэтому партнера на такой проект стоит выбирать тщательно, оценивая опыт, репутацию на рынке, отсутствие дополнительной заинтересованности в результатах проекта, например, в части увеличения продаж лицензий.
Относительно рисков развития практики SAM внутри компании стоит учитывать важный момент. Переквалификация штатного сотрудника ИТ-отдела в SAM-менеджера может занять долгий срок и быть недостаточно эффективной. Некоторые организации поступают так, чтобы сэкономить и добиться при этом ожидаемого результата, но на практике это реализуется крайне редко. Тут, как в спорте, важна постоянная практика, одной теории мало. Компании динамичны — меняется инфраструктура, уходят и приходят сотрудники, ПО регулярно приобретают, развертывают, перемещают и списывают, поэтому для качественного выстраивания SAM нужен очень опытный и высококвалифицированный специалист.
Выгоды постоянного лицензионного соответствия и оптимизации закупок
Таким образом, инвентаризация ПО, пусть даже ежегодная, — это только первый этап управления программными активами, соответственно, масштаб этих процессов значительно различается. В любом случае, когда компания сталкивается с необходимостью закупать ПО без определенной подготовки, ситуация может стать критической. Регулярные лицензионные сверки, учет и правильное хранение информации позволяют систематизировать и отладить этот процесс, то есть избавить заказчика от необходимости в срочном режиме принимать необдуманные решения о закупке, которые могут привести к ненужным расходам.
Часто возникают ситуации, когда приобретённая лицензия была нужна сотруднику не для постоянного использования, а для решения периодической задачи. В таких случаях, как правило, никто не контролирует дальнейшее использование лицензии и самого ПО. Часто бывает, что у заказчика применение больше половины софта носит эпизодический характер, поэтому проверяется его востребованность за последние 90 дней. Если в течение квартала к программе не обращалось подавляющее большинство сотрудников, значит, часть лицензий можно вывести в резерв, удалив соответствующие установки, и в дальнейшем использовать его при возникновении новых запросов. Такого рода подход дает очень хороший эффект.
Очень важно для заказчика исключить риски претензий как со стороны вендора, то есть правообладателя, так и со стороны проверяющих органов. Необходимо уделять должное внимание учету документов, подтверждающих лицензирование, в частности, бухгалтерских документов по этим закупкам, а также вести их учет таким образом, чтобы их можно было оперативно предъявить в случае проверки. Подобные вопросы учета рассмотрены в стандарте в числе требований к первому уровню.
В целом, SAM помогает компаниям понять, что ИТ не существует отдельно от деятельности компании и бизнеса. Любые действия — покупка ПО, миграция в облако, аутсорсинг — влияют на прибыль компании в целом. Не стоит забывать о структуре ИТ-активов и ежегодных затрат, глобальной стратегии компании, а также о том, как неправильные решения в ИТ могут вызвать значительные экономические последствия для компании.
Автор статьи — руководитель направления ИТ-консалтинга компании ITERBI.
