Инвентаризация программного обеспечения — важный процесс для любой организации, позволяющий оценить состояние лицензирования и ПО для дальнейшего управления им.
Что представляют собой оба подхода с точки зрения практики заказчика?
И ежегодная инвентаризация ПО, и управление программными активами (Software Asset Management, SAM) – это процессы, которые помогают компаниям оценить состояние лицензирования их программного обеспечения для дальнейшего управления им.
Цели могут быть разные – от предоставления сведений вендорам ПО и проверяющим органам до подготовки к закупкам или оптимизации инфраструктуры и ИТ‑затрат. В России существует стандарт управления ПО ГОСТ Р ИСО/МЭК 19770‑1, в соответствии с которым доступность информации о закупленном ПО, полученной в результате инвентаризации, является самым первым уровнем менеджмента программных активов. Всего их четыре, и чем осознаннее подход компании к этому вопросу, тем выше ее соответствие стандарту. Работа по внедрению SAM подразумевает поэтапное движение к четвертому уровню.
Зачастую в компаниях вообще отсутствуют регулярные процессы инвентаризации, и оценка существующего ПО происходит только по инициативе вендора. Последний обращается к заказчику с предложением провести лицензионную сверку с участием партнера, который обладает необходимой для этого компетенцией. Это разовое действие, которое позволяет вендору убедиться в том, что заказчик выполняет условия лицензионного соглашения, а также проконсультировать по вопросам оптимизации ИТ‑затрат на ПО.
Бывает и так, что заказчик сам становится организатором инвентаризации и проводит ее внутренними силами. Как правило, это довольно трудоемко и не очень эффективно, потому что необходима специализированная экспертиза, в частности, лицензионного аналитика.
У компании регулярно возникает потребность в проведении инвентаризации по нескольким причинам. Во‑первых, как минимум раз в год происходит закупка ПО и требуется уточнить, что нужно купить, а от чего можно отказаться. Во‑вторых, заказчику нужно подтверждать соблюдение лицензионного статуса перед вендором и правоохранительными органами – это позволяет избежать разного рода рисков. Наконец, для оптимизации расходов на ИТ в долгосрочной перспективе компании могут понадобиться аналитические данные такого рода. В компаниях, у которых нет собственных практик управления программными активами, инвентаризация может стать отправной точкой для выстраивания грамотной стратегии менеджмента программного обеспечения.
Перейдем к SAM. Эта методология помогает организациям оптимизировать текущие закупки и затраты на ПО, а также снизить риски использования нелицензионного софта. SAM, в идеале, должен возникать на стороне заказчика как саморазвивающийся процесс. Это означает, что ежегодно составляются планы по улучшению практики управления программными активами компании и ведется контроль их исполнения.
Стратегия внедрения SAM выстраивается для достижения стандарта ИСО/МЭК 19770‑1. Первый этап стратегии включает регулярный сбор и хранение всей достоверной информации о закупках и установках ПО, а также о наличии лицензий. В результате складывается картина общего лицензионного статуса компании. Затем на следующем уровне руководство организации оценивает степень подверженности рискам, а также потенциал для усовершенствований и оптимизации за счет использования данных, полученных ранее. На этом уровне компания выводит использование исключительно лицензионного ПО на уровень корпоративной культуры. Оформляется процесс постоянного совершенствования, компания начинает получать быстрые выгоды от оптимизации использования лицензий, снижая затраты на закупку. Появляется возможность перераспределения лицензий и оптимизации схем лицензирования. При разовой инвентаризации исходные данные о ПО могут быть неполными или потерявшими актуальность, а потому они не обеспечивают должного эффекта. В этом смысле SAM дает компаниям большое преимущество.
Это базовая идея всей методологии SAM, и многие компании комфортно чувствуют себя на этом этапе, не продвигаясь дальше.
Третий уровень SAM с точки зрения стандарта ИСО/МЭК 19770 – это интеграция с операционными процессами, например, с планированием бюджета, процессами риск‑менеджмента и управления информационной безопасностью, а также поддержки пользователей. На этом этапе у компании возникает четкое понимание того, какие закупки ей предстоят. Таким образом, SAM становится поставщиком надежных данных для прочих операционных процессов, повышая тем самым их эффективность, а также качество выходных результатов. Кроме того, интеграция способствует повышению общего уровня информационной безопасности компании, ведь использование нелицензионного ПО сопряжено с рисками загрузки вредоносных программ.
Четвертый уровень – это доведение всех процессов, внедренных на предыдущих уровнях, до максимальной зрелости. На самом высоком уровне SAM является частью ИТ‑стратегии глобальной поддержки бизнеса. На практике в мире очень немного компаний, которые находятся на этом уровне, но к нему стоит стремиться. Внедрение и автоматизация SAM требует времени и ресурсов. Также необходимо иметь опыт ведения процессов, знать ПО разных вендоров, требования и ограничения регуляторов, разбираться в гибридной и облачной инфраструктуре. Интересно, что сейчас во всем мире наблюдается тенденция к использованию SAM на аутсорсинге. В этом случае у клиента в постоянном доступе есть специалисты по SAM, которые могут поддерживать его при возникновении вопросов.
Оценка рисков и затрат в двух сценариях контроля лицензионного статуса
Оценка затрат производится индивидуально для каждого заказчика. В большинстве случаев у заказчика в базовой точке нет четкого понимания того, как выстраивать процесс, и обозначенная в заголовке дилемма, по сути, состоит в том, что делать на начальном этапе – выбрать ежегодный аудит, либо развить практику SAM внутри компании.
По общему правилу для небольших компаний с парком до 50‑100 ПК предпочтительнее первый вариант, а для крупных – второй. Нюанс заключается в параметрах определения масштабов организации и соответствия тому или иному статусу. Существует ряд критериев, по которым это можно установить, но это отдельный вопрос.
Определенные риски есть в обоих сценариях. Самостоятельный контроль лицензирования без привлечения партнера может оказаться напрасной тратой ресурсов, поскольку лица, контролирующие этот процесс, могут не обладать достаточной экспертизой. Инвентаризация с привлечением партнера также несет риск недостаточной компетенции третьей стороны, поэтому партнера на такой проект стоит выбирать тщательно, оценивая опыт, репутацию на рынке, отсутствие дополнительной заинтересованности в результатах проекта, например, в части увеличения продаж лицензий.
Относительно рисков развития практики SAM внутри компании стоит учитывать важный момент. Переквалификация штатного сотрудника ИТ‑отдела в SAM‑менеджера может занять долгий срок и быть недостаточно эффективной. Некоторые организации поступают так, чтобы сэкономить и добиться при этом ожидаемого результата, но на практике это реализуется крайне редко. Тут, как в спорте, важна постоянная практика, одной теории мало. Компании динамичны – меняется инфраструктура, уходят и приходят сотрудники, ПО регулярно приобретают, развертывают, перемещают и списывают, поэтому для качественного выстраивания SAM нужен очень опытный и высококвалифицированный специалист.
Выгоды постоянного лицензионного соответствия и оптимизации закупок
Таким образом, инвентаризация ПО, пусть даже ежегодная, – это только первый этап управления программными активами, соответственно, масштаб этих процессов значительно различается. В любом случае, когда компания сталкивается с необходимостью закупать ПО без определенной подготовки, ситуация может стать критической. Регулярные лицензионные сверки, учет и правильное хранение информации позволяют систематизировать и отладить этот процесс, то есть избавить заказчика от необходимости в срочном режиме принимать необдуманные решения о закупке, которые могут привести к ненужным расходам.
Часто возникают ситуации, когда приобретённая лицензия была нужна сотруднику не для постоянного использования, а для решения периодической задачи. В таких случаях, как правило, никто не контролирует дальнейшее использование лицензии и самого ПО. Часто бывает, что у заказчика применение больше половины софта носит эпизодический характер, поэтому проверяется его востребованность за последние 90 дней. Если в течение квартала к программе не обращалось подавляющее большинство сотрудников, значит, часть лицензий можно вывести в резерв, удалив соответствующие установки, и в дальнейшем использовать его при возникновении новых запросов. Такого рода подход дает очень хороший эффект.
Очень важно для заказчика исключить риски претензий как со стороны вендора, то есть правообладателя, так и со стороны проверяющих органов. Необходимо уделять должное внимание учету документов, подтверждающих лицензирование, в частности, бухгалтерских документов по этим закупкам, а также вести их учет таким образом, чтобы их можно было оперативно предъявить в случае проверки. Подобные вопросы учета рассмотрены в стандарте в числе требований к первому уровню.
В целом, SAM помогает компаниям понять, что ИТ не существует отдельно от деятельности компании и бизнеса. Любые действия – покупка ПО, миграция в облако, аутсорсинг – влияют на прибыль компании в целом. Не стоит забывать о структуре ИТ‑активов и ежегодных затрат, глобальной стратегии компании, а также о том, как неправильные решения в ИТ могут вызвать значительные экономические последствия для компании.
- Больше информации и практических советов по теме лицензирования ПО вы можете получить на курсе «Лицензирование продуктов Microsoft»
- Научиться управлять лицензионным ПО и получать от этого выгоды на курсе «Управление программными активами на предприятии»