IT TANÁCSADÁS
SAM – Szoftvereszközgazdálkodás a gyakorlatban kpmg.hu
SAM – Szoftvereszköz-gazdálkodás a gyakorlatban | 3
1 Vezetői összefoglaló Mit is jelent pontosan a szoftvereszköz-gazdálkodás („Software Asset Management” – rövidítve: SAM)? Csupán a jogszabályok és a licencszerződések által előírt szabályok betartásának gyakorlata ez, amellyel az informatikai költségek is csökkenthetőek? Vagy komolyabb eredmények is elérhetőek, ha a szervezet által használt szoftvereket hatékonyabban kezeljük és jobban kontrolláljuk? A Gartner piackutató és tanácsadó társaság a közelmúltban végzett globális felmérése szerint a szervezetek több mint a fele esett át az elmúlt évben legalább egy szoftvergyártó licencfelülvizsgálatán1. Ez a statisztika Európát tekintve meghaladja a 60 %-ot, és az arány Magyarországon is töretlenül növekszik, amelyet megerősít a KPMG 2010-es és 2011-es tapasztalata is. A szoftvergyártók szellemi tulajdonjogainak védelmét biztosító licencszerződések mellett többek között a hatályos szerzői jogról szóló törvény is szabályozza a szoftverek használatának kereteit. A szoftverkiadók licencauditjai mellett különböző hatóságok is ellenőrizhetik a szoftverfelhasználás licencszerződés-megfelelőségét és egyben jogszerűségét is. A büntetések jogi, valamint pénzügyi konzekvenciái, és adott esetben a szervezetek hírnevére gyakorolt negatív hatásai mellett mi motiválja még a társaságokat a hatékony szoftvereszköz-gazdálkodás kialakítására? A SAM az egész üzletmenetre hatást gyakorló, átfogó megközelítés, amely segíti az informatikai költségek csökkentését, a szoftverek felhasználásához kapcsolódó esetleges jogi kockázatok mérséklését, és emellett növeli az informatika és a felhasználók hatékonyságát. Az ITIL 2 definíciója szerint a SAM „minden olyan folyamat és infrastruktúraelem összessége, amely a szervezeten belül használt szoftvereszközök hatékony kezelése, ellenőrzése és védelme érdekében szükséges, a szoftvereszközök teljes életciklusa alatt”.
Emellett az innováció és a technológiai fejlesztések sebessége is komoly kihívást jelent a hatékony szoftvereszköz-gazdálkodás megvalósításával szemben. Elég, ha a rohamosan fejlődő hardvertechnológiákra, többmagos processzorokra, vagy a virtualizációs megoldások hatalmas tempójú terjedésére gondolunk. A virtualizáció talán a többi kihívást is messze meghaladó mértékben érinti a hatékony szoftvereszköz-gazdálkodás megvalósítását, hiszen a hardverek és szoftverek tradicionális kapcsolatát megváltoztatva dinamikusan változó konfigurációkat hoz létre, amelyek ke zelése SAM- és szoftverlicencmegfelelőség szempontjából is igen összetett feladat. A licencmegfelelőség vitán felül a SAM egyik legfontosabb tényezője. Egy fejlett és jól kialakított szoftvereszközgazdálkodási stratégia segít abban, hogy a legtöbbet hozzuk ki a licencszerződéseink feltételeiből, az ezekhez kapcsolódó költségek ugyanis az informatikai büdzsék egyre növekvő részét teszik ki. A licencfeltételek pontos ismerete nem csupán a licenc-felülvizsgálatok alkalmával jöhet jól, hanem akkor is, amikor szeretnénk meghatározni, hogy pontosan milyen szoftverre és mennyi licencre is van szükségünk az üzleti funkciók valamint az elvárt eredményesség hatékony támogatása érdekében. Ajánlásunkból megtudhatja, hogy miként alakítható ki a hatékony szoftvereszköz-gazdálkodás, milyen előnyöket biztosít mindez, milyen kockázatokat kezelhet vele, és hogyan csökkentheti jelentősen informatikai költségeit.
A SAM az informatikai környezet kezelésében kritikus szerepet tölt be, ugyanis ha a szervezet nincs tisztában azzal, hogy milyen szoftvereszközei vannak, hol találhatóak azok, hogyan vannak konfigurálva, kik és hogyan használják azokat, akkor ez súlyos negatív hatással lehet a hatékony üzletmenetre. Számos informatikai folyamat – így például a konfiguráció- vagy a változáskezelés bevezetése és működtetése – jelentős mértékben függ attól, hogy a szervezet kellő ismeretekkel rendelkezik-e az általa használt szoftvereszközökről.
1 Gartner polls & surveys show an increase in software license audits”, 31 July 2009 2 ITIL (Information Technology Infrastructure Library) – Az informatikaiszolgáltatás-menedzsment kialakítására vonatkozó, széles körben elfogadott ajánlások és gyakorlat gyűjteménye. © 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
4 | SAM – Szoftvereszköz-gazdálkodás a gyakorlatban
2 Mi a SAM? Az informatikai szolgáltatások minőségét, ezáltal az üzlet sikerét is nagymértékben befolyásolja a hatékony szoftvereszközgazdálkodás. Az informatikaiszolgáltatás-menedzsment legelismertebb, átfogó ajánlása, az ITIL (lásd 2. lábjegyzet) szerint a szoftvereszköz-gazdálkodás definíciója a következő: „Minden olyan folyamat és infrastruktúraelem összessége, amely a szervezeten belül használt szoftvereszközök hatékony kezelése, ellenőrzése és védelme érdekében szükséges, a szoftvereszközök teljes életciklusa alatt”.
Az ITIL külön fejezetet szentel a Software Asset Management-nek, amely a vállalati kultúra és a folyamatok kialakítása mellett részletezi a lehetséges támogató eszközöket és a licencelés sajátosságait is. A téma meghatározó szabványa, az ISO/IEC 19770-13 elsősorban a jól kontrollált folyamatok kialakítására helyezi a hangsúlyt valamint a kockázatkezelésben, a költségek ellenőrzésében és az így kialakított versenyelőnyben látja a SAM igazi hozzáadott értékét.
3 Világosan a SAM-ról: kockázatok és kihívások A definíciók, szabványok és elmélet mellett vizsgáljuk meg gyakorlati szemszögből is a szoftvereszköz-gazdálkodást: milyen kockázatok kezelésére szolgál a SAM, és milyen nehézségekkel kell szembenéznünk a kialakítása során? 3.1 Ijesztő tények Néhány megdöbbentő tény, amelyek a KPMG 2010-es és 2011-es évek során végzett magyarországi munkáinak tapasztalataiból származnak: • A vizsgált társaságok hozzávetőleg 70 %-ának nincs naprakész hardver- és szoftverleltára. • Tíz cég közül nyolc esetében nem tudják, ki is használja valójában a szoftvereket. • Csak a vizsgált társaságok mintegy 10 %-ánál van kijelölt SAM-felelős. Emellett a Gartner felmérése szerint általában mintegy 30 %-os eltérés van a beszerzett licencek és a valójában használt szoftverek között. Ha ehhez hozzávesszük azt a tényt, hogy a szoftvergyártók által kezdeményezett szoftverlicenc-auditok száma folyamatosan növekszik, akkor nem söpörhetjük a SAM kérdését a szőnyeg alá. 3.2 A SAM által kezelt kockázatok A szoftvereket használó szervezetek számos olyan kockázattal néznek szembe, amelyek kezeléséhez egy megfelelően kialakított SAM érdemben hozzá tud járulni. Az mindenki számára nyilvánvaló, hogy a SAM segíti a licencszabályok megsértésének elkerülését, de emellett még számos más, elsőre nem is annyira nyilvánvaló kockázatot is képes kezelni:
• Az engedély nélkül telepített szoftverek nemcsak a licencszabályokba valamint a szerzői jogi és adott esetben más jogszabályokba ütközhetnek, de informatikai inkompatibilitás problémákat és súlyosabb esetekben akár rendszerleállásokat is okozhatnak. • A szoftverek megrendelése, beszerzése, telepítése és használata, valamint a licencdíjak fizetése szervezetileg jellemzően egymástól elkülönül, ezért a kommunikáció hiányából is adódhatnak olyan telepítések – akár tesztelési céllal is –, amelyek nincsenek összhangban a megvásárolt és kifizetett licencekkel. • Központosított és dokumentált nyilvántartások hiányában gyakran előfordul, hogy a licencszerződések és a vonatkozó igazolások elvesznek, a disztribútor nem továbbítja azokat, vagy csak nem a megfelelő személyek tárolják őket a szervezeten belül, és ezért a beszerzéseket nem tudják optimalizálni. Sokan nem tudják, de az esetlegesen elveszett licencigazolások pótlására szinte minden esetben van lehetőség, minimális költségek mellett. • A szoftverlicenc-szerződések sokszor összetett feltételeinek nem megfelelő áttanulmányozása és ismerete miatt is kialakulhat a licencszabályok megsértése. • A licencszerződéseknek és a jogszabályoknak megfelelő szoftverfelhasználást a szoftvergyártók mellett több hatóság is ellenőrizheti Magyarországon. Az így feltárt eltérések akár jogi és pénzügyi következményekkel is járhatnak, ugyanakkor az üzleti életben alapvető jelentőséggel bíró céghírnévre és megbízhatóságra is negatív hatással lehetnek. Az itt felsorolt kockázatok mind jól kezelhetőek egy átgondolt SAM-folyamat kialakításával.
3 ISO/IEC 19770-1 Information technology – Software Asset Management – Part 1: Processes (ISO szabvány a Szoftvereszköz Gazdálkodás kialakításáról, melynek első része a releváns folyamatokra helyezi a hangsúlyt) © 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
SAM – Szoftvereszköz-gazdálkodás a gyakorlatban | 5
3.3 Kihívások egy hatékony SAM kialakítása során Miért nehéz egy jól működő SAM kialakítása? Nehéz-e egyáltalán? Vegyük sorra először, milyen kihívásokkal kell szembenéznünk a hatékony szoftvereszköz-gazdálkodás kialakítása során: • Számos szoftvergyártó megannyi szoftverterméke, különböző verziókban, komponensekkel és csomagokban is elérhető, amihez hozzáadódnak a szoftverek összetett licenc- és árazási szabályai, amelyek megfogalmazása esetenként bonyolult, és gyakran változnak is. Megfelelő szakértelem hiányában a társaságok sokszor nehezen látják át ezt a bonyolult rendszert. • Sok szervezet esetében nincs megfelelő kommunikáció az informatika, a beszerzés, a jogi osztály és a többi üzleti terület között, így a rendelkezésre álló licencek, a telepített, valamint a használt szoftverek összehasonlítása sem történhet meg. Több esetben előfordul, hogy egy speciális szoftvert egy adott üzleti terület szerez be és üzemeltet az informatika tudta nélkül. • A felső vezetés a felelős a szoftverekért számviteli, adóügyi, sőt büntetőjogi szempontból is4, azonban sok esetben mégsem kontrollálja azok használatát megfelelően. Egyrészt nem jelöl ki egyértelmű felelőst a szoftvereszközgazdálkodásért, így gyakran a különböző felelősöknél meglevő részfeladatok és felelősségek nehezítik a helyzetet. Másrészt a vezetőség a legtöbb esetben legfeljebb emberi erőforrást biztosít a SAM-hoz, de nem áldoz a pénzügyi beruházást is igénylő, de jellemzően megtérülő szoftveres támogatásra, és így a SAM alapját képező pontos és naprakész leltár sem mindig valósítható meg.
• A decentralizáció, a szervezeti változások, illetve a komplex felépítésű, nemzetközi szervezetek tovább bonyolítják a szoftverek felhasználását és a felhasználás korrekt elszámolását. • Sok szoftvertermék telepítése igen egyszerű, ami megkönnyíti a jóhiszemű, de illegális telepítést nemcsak a rendszergazdák, de akár a felhasználók számára is. • A szoftverek kihasználtságát sok esetben nem mérik és vizsgálják, így nem tudni, hogy az adott szoftver felhasználása és az általa teremtett érték összhangban van-e a licencdíjjal és az üzemeltetési költségekkel. • A gyors üzleti változásokhoz való alkalmazkodás komoly erőfeszítést igényel az informatika részéről, és nem feltétlenül vezet optimális szoftverhasználathoz. • Az informatikai technológiai változások és fejlesztések, mint a virtualizáció, a szoftver, mint szolgáltatás modell (SaaS – Software as a Service) vagy a cloud-technológia (felhő alapú számítástechnika) megváltoztatja a hagyományos képet a szoftverek használatáról. Ön is szembesült már ezekkel a kihívásokkal? Ezek mindmind a gyakorlati életből vett, sok társaság számára igen komoly kihívást jelentő körülmények. A szoftverek felhasználóinak, a szoftvergyártóknak és disztribútoroknak, illetve a SAM-tanácsadóknak az összehangolt munkája szükséges egy sikeres SAM kialakításához, ami megoldást nyújt a fenti problémákra.
4 A számvitelről szóló 2000. évi C. törvény (Szt.) 8.§ (5) bekezdése, A gazdasági társaságokról szóló 2006. évi IV. törvény 26.§ (2) bekezdése, A büntető törvénykönyvről szóló 1978. évi IV. törvény (Btk.) 289. § (1) bekezdése és 329/A § alapján. © 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
6 | SAM – Szoftvereszköz-gazdálkodás a gyakorlatban
4 A SAM gyakorlati kialakítása Vannak szervezetek, melyek már rendelkeznek valamilyen szoftvereszköz-gazdálkodási gyakorlattal, azonban ezek és az informatikai vezetők SAM-ról alkotott értelmezése igen különböző. A téma meghatározó szabványa, az ISO/IEC 19770-1 (lásd 3. lábjegyzet) és tapasztalati meglátásaink segítenek a hatékony SAM kialakításában, csak követnie kell az alábbiakban röviden bemutatott lépéseket. 4.1 SAM kontroll-környezet kialakítása Olyan átfogó és jól szabályozott kontroll-környezetet kell kialakítani a SAM számára, amely támogatja annak hatékony, de ellenőrzött és nyomon követhető működését. Fontos, hogy a SAM stratégiai szinten kapcsolódjon az általános vállalatirányítási és az informatikai irányítási folyamatokhoz. Emellett operatív szinten is fontos a kapcsolat megteremtése a releváns informatikai folyamatokkal, mint a konfigurációmenedzsment, a változáskezelés és az informatikai üzemeltetés, ezért hasznos, ha egy nagyobb keretrendszer, mint pl. ITIL (lásd 2. lábjegyzet) részeként alakítják ki. 4.1.1 A SAM vállalatirányítási folyamat kialakítása A SAM kialakításához felső vezetői elkötelezettség, támogatás és felelősségvállalás szükséges, amelyet a SAM stratégiában és a kapcsolódó szabályzatokban, eljárásokban kell megfogalmazni. A stratégia ki kell, hogy jelölje a SAM hatáskörét, az érintett társaságokat és szervezeti egységeket, valamint az alapvető felelősségi köröket. A szoftverek használatához kapcsolódó kockázatokat fel kell mérni (pl. jogszabályi nem-megfelelőség, engedély nélküli szoftver használat, a szükségesnél magasabb licenc- vagy üzemeltetési költségek, különböző országok és szervezetek eltérő jogszabályi vagy felhasználói kultúrabeli háttere), és kezelni kell azokat. 4.1.2 A SAM-hoz kapcsolódó felelősségek és kompetenciák A SAM-hoz kapcsolódó felelősségi köröket egyértelműen ki kell jelölni, és felelőst kell kinevezni, aki a felső vezetésnek tartozik elszámolással és tájékoztatási kötelezettséggel, ugyanakkor átlátja az egész folyamatot, erőforrásokat tud allokálni a kialakításhoz és működtetéshez, kapcsolatot tart a szoftvergyártókkal és beszállítókkal, ismeri a jogszabályi és licencfeltételeket, valamint megfelelő szakértelemmel és kompetenciákkal bír.
4.1.3 A SAM-szabályok kialakítása A szervezet méretétől függően a SAM támogatására szabályzatokat és eljárásokat kell kidolgozni. A szabályzatoknak meg kell határoznia a felelősségeket, az alapvető SAM folyamatokat, a kapcsolódásukat az informatikai, változáskezelési, beszerzési és egyéb üzleti folyamatokhoz. Itt különösen fontos kiemelnünk, hogy a változáskezelés és a szoftverbeszerzés a tudatos szoftvereszköz-gazdálkodást támogassa, a folyamatokba olyan jóváhagyások legyenek beépítve, amelyek megakadályozzák az ésszerűtlen, költséges és a SAM-stratégiával ellenkező beszerzéseket. Emellett támogatniuk kell a jogszabályi és licencfeltételeknek való megfelelőséget, és korlátozni, valamint szankcionálni kell a személyes és illetéktelen szoftverhasználatot. A szabályzatot a szervezetben mindenkinek ismernie kell, ugyanakkor az előírások betartását a SAM-felelős hivatott ellenőrizni. 4.2 A SAM tervezése, bevezetése, felülvizsgálata és folyamatos javítása A SAM kialakítása és üzemeltetése során célszerű ugyanazt a jól bevált Act Do PDCA-modellt alkalmazni, amelyet a minőségirányítási rendszerek kapcsán is Check sikerrel alkalmaz már számos társaság. A PDCA-megközelítés (Plan-Do-Check-Act, tehát Tervezés-Megvalósítás-Ellenőrzés-Intézkedés) lényege, hogy a gondos tervezés és megvalósítás után szükséges a kialakított folyamatok és eredmények ellenőrzése, visszamérése, majd a folyamatok javítása. Plan
4.2.1 A SAM tervezése és bevezetése A SAM tervezése során formálisan meg kell határozni: • a SAM célját, a folyamatok és a célok mérhető eredményeit, valamint a SAM által kezelni hivatott kockázatokat; • a SAM hatáskörét, vagyis azt, hogy mely szervezetekre és szoftvereszközökre vonatkozik; • a célok tükrében a SAM-folyamatokat, -felelősségeket és -szabályzatokat; • a SAM működtetéséhez szükséges erőforrásokat és rendszeres tevékenységeket. A tervek alapján a felső vezetés támogatásával ki kell alakítani a szoftvereszköz-gazdálkodás keretrendszerét, azt hozzá kell kapcsolni a szervezet meglevő folyamataihoz, be kell vezetni a támogató szoftvereszközöket (úgymint CMDB5, leltártámogató eszközök), és tájékoztatni kell a felelősöket a feladataikról.
5 CMDB (Configuration Management DataBase) – A szervezet informatikai rendszereinek és infrastruktúrájának minden adatát tartalmazó strukturált nyilvántartás, adatbázis. © 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
SAM – Szoftvereszköz-gazdálkodás a gyakorlatban | 7
4.2.2 A SAM felülvizsgálata és folyamatos javítása A SAM-felelősnek rendszeres időközönként tájékoztatnia kell a vezetőséget a SAM-folyamatok és célok helyzetéről, azok hatékonyságáról, a rendszeres ellenőrzések eredményeiről, és a SAM által kezelt kockázatok állapotáról, különös tekintettel a licencmegfelelőségre. Amennyiben a felülvizsgálat hiányosságokat tár fel, úgy javító intézkedéseket kell foganatosítani, amelyeket ésszerű határidőn belül meg kell valósítani. Célszerű emellett egy olyan gördülő SAM-stratégia lefektetése, amely a szervezet helyzetének átvilágítása és a következő 3-5 év kilátásainak és terveinek figyelembevételével egy középtávú szoftvereszközgazdálkodási tervet határoz meg, amelynek használatával elősegíthető a méretgazdaságosság, az optimális felhasználás, a legideálisabb licenckonstrukció kiválasztása, és mindezek által a beruházások és költségek optimalizálása. 4.3 A szoftverek nyilvántartása és leltára 4.3.1 A szoftverek nyilvántartási szabályai A szoftverekhez kapcsolódó adatok nyilvántartásának elsődleges célja, hogy minden kapcsolódó információt egy helyen, egységesen és védetten tároljon a szervezet. A szoftvernyilvántartás célszerűen a következő adatokat kell, hogy tartalmazza: • a licencelt szoftverek neve, azonosító adatai, verziója, felelősei, státusza és típusa;
• a szoftverek elsődleges verzióinak, telepítőkészleteinek és engedélyezett másolatainak helye; • a szoftverlicencek nyilvántartása: – licencdokumentumok, megállapodások, szerződések helye, lejárata; – naprakész licencfeltételek leírása; • a telepített szoftverek nyilvántartása, amely tartalmazza: – a telepített szoftverek nevét, verzióját, kiadását; – a telepített szoftverek helyét (megnevezett szerver, munkaállomás); – a telepített szoftverek összesített mennyiségét, felhasználók számát. A szoftverek pontos és naprakész nyilvántartását előre kijelölt felelősöknek kell vezetniük, olyan dokumentált és ellenőrzött folyamatok mentén, hogy a tárolt adatok bizalmassága és integritása ne sérülhessen. Célszerű olyan szoftver- és licencnyilvántartó szoftvereszközt bevezetni, amely akár automatizált felmérési folyamatokat is képes elvégezni. Ugyanakkor célszerű a szoftvernyilvántartást összekötni a hardvernyilvántartással, mivel az ez utóbbiból vett adatok (pl. hardver típusa, platform, környezet, processzor típus és szám) a licencmegfelelőség megállapításához is hasznos információt nyújthatnak. Az információból célszerű olyan adatbázist építeni, amely kapcsolódhat a konfigurációmenedzsment adatbázisához (CMDB), a szoftverek számviteli nyilvántartásához, és felhasználható a szoftverekhez és egyéb informatikai eszközökhöz kapcsolódó kockázatelemzések során is. Fontos kiemelni a szoftverek informatikai és számviteli típusú nyilvántartásai között összhang jelentőségét, ezt sok szervezet elhanyagolja, ami komoly jogszabályi és licencmegfelelőségi kockázatot hordoz. 4.3.1.1 A szoftverek nyilvántartásának számviteli vonatkozásai A társaságnak a számviteli törvény előírásai szerint főszabályként leltárral kell alátámasztania mindazon eszközeit, amelyeket a mérlegében kimutat. A leltár nem jelenti az évenkénti fizikai leltározást, elegendő, ha a mennyiségi szoftvernyilvántartását összeveti a beszámolóval azoknál a szoftvereszközöknél, ahol végleges licencet kap az ügyfél a konstrukció elején vagy a végén. Ha előfizetéses konstrukcióban használja az adott szoftvert, vagy ha nem választ a konstrukció végén kivásárlási lehetőséget, úgy költségként is elszámolhatja a szoftvereket, és ez esetben nem szükséges a számviteli nyilvántartás, mert nem aktiválják a szoftvert, mint eszközt (javasolt azonban az egységes nyilvántartás, megfelelő megjelöléssel). További jellemző kérdés a hardverekkel együtt vásárolt szoftverek esete, ahol a szoftver felhasználási joga az adott hardverhez kötött, a szoftver értékcsökkenését a hardverrel együtt, párhuzamosan kell megtenni. Mivel a licencszerződések számviteli vonatkozásai esetenként változóak, ezért minden esetben javasolt kellő képzettséggel és kompetenciával bíró szakértő véleményét kérni.
© 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
8 | SAM – Szoftvereszköz-gazdálkodás a gyakorlatban
4.3.2 A szoftver nyilvántartások rendszeres ellenőrzései, leltár folyamatok Annak érdekében, hogy biztosítva legyen a szoftvernyilván tartások naprakész állapota, javasolt a folyamatos karbantartás mellett különböző ellenőrzőpontok beépítése a SAM-folyamatokba, melyek eredményeiről jelentéseket kell készíteni, és a feltárt hiányosságokat ki kell javítani: • legalább negyedévente szűrni az engedély nélkül telepített programokat; • legalább negyedévente összehasonlítani a mennyiségi licenckonstrukciók esetében az alkalmazott és telepített szoftverek számát a felhasználói jogosultságok számával; • legalább félévente áttekinteni a rendelkezésre álló licenceket, és kiszűrni a szükségteleneket; • évente felülvizsgálni az infrastrukturális változások hatásait, úgymint a szerverkonszolidációs és -virtualizációs projekteket, a PC-k és a felhasználók számának változásait; • évente áttekinteni a szoftverek kihasználtságát a rendszergazdák és a felhasználók bevonásával (valóban használják-e a szoftvert, szükséges-e annyi példány, a megfelelő hardveren fut-e, stb.), és félévente összehasonlítani a szoftverekkel kapcsolatos kiadásokat az informatikai költségvetéssel; • évente áttekinteni a szoftvervásárlási szokásokat, hogy vajon kihasználták-e a centralizált beszerzésekből származó esetleges kedvezményeket (egy vállalatcsoport tagjai központosított, összevont szoftverbeszerzésekkel
kedvezőbb licencdíjat érhetnek el), a megfelelő licenckonstrukciót használja-e a társaság, és a megfelelő beszállítótól vásárol-e; • félévente áttekinteni a SAM-kockázatok kezelésére hozott intézkedések státuszát; • évente áttekinteni a SAM-célok megvalósulását. A rendszeres ellenőrzések mellett folyamat- és rendszerszinten (beállításokkal) is biztosítani kell, hogy ne történjenek a SAM-felelős engedélye nélkül szoftvertelepítések, ezzel is biztosítva a szervezet licencmegfelelőségét. Mindezt segíti a szoftverterítő és -felderítő alkalmazások bevezetése és aktív használata is. Nagy hangsúlyt kell helyezni a szervezet által valóban használt szoftverek átfogó kezelésére és felmérésére. A naplófájlokból kinyerhető és mérhető, hogy egy telepített szoftvert milyen gyakran indítanak el a felhasználók, azt mennyi ideig futtatják, a háttérben vagy aktívan használják-e. Megfelelő nagyságú minta vételével és a felhasználók megkérdezésével megállapítható a szoftver tényleges kihasználtsága, és az is, hogy a valós igényekkel megegyező számú szoftver van-e telepítve. A felmérés bővíthető olyan kérdések feltevésével, hogy mi történne, ha az adott szoftvert nem használhatnák többet, vagy az adott szervert lekapcsolnák, vannak-e helyettesítési megoldások (például üzletfolytonossági és katasztrófa-helyreállítási tervek alapján), illetve a kiesésből származó kár összemérhető-e az üzemeltetési és licencköltségekkel.
© 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
SAM – Szoftvereszköz-gazdálkodás a gyakorlatban | 9
4.4 A szoftverekhez kapcsolódó egyéb operációs feladatok 4.4.1 A beszállítói és ügyfélkapcsolatok kezelése A hosszabb ideje megbízhatóan és jó színvonalon teljesítő szoftvergyártók és beszállító partnerek jelentős mértékben képesek hozzájárulni a szervezetek sikeres működéséhez. Fontos, hogy teljesítményüket és az általuk nyújtott szolgáltatások színvonalát a szervezet folyamatosan mérje, rendszeresen értékelje, és a velük kötött szerződésben levő szolgáltatási szintekhez hasonlítsa (amennyiben vannak ilyenek). A szerződéseket a lejáratuk előtt legalább fél évvel felül kell vizsgálni, hogy az informatika kellő mértékben meggyőződhessen arról, hogy valóban a legjobb szállítóval dolgozik-e együtt, és a legjobb konstrukciójú szerződést köti-e meg. 4.4.2 A szoftverek pénzügyi menedzsmentje Mint említettük, kiemelten fontos az informatikai és számviteli szempontú szoftvernyilvántartások összehangolt kezelése. A szoftverek értékét, a használatuk érdekében tett beruházásokat (pl. szoftverlicencek, hardverek, fejlesztés, stb.) és a felmerült költségeket (pl. munkaerő, üzemeltetés, támogatás, karbantartás, stb.) pontosan az adott szoftverhez kell rendelni, és ehhez a számvitelnek, az informatikának és a felhasználóknak is információt kell szolgáltatniuk. Ezt aztán össze kell hasonlítani a tervezett költségvetéssel és a szoftver által biztosított értékekkel és funkciókkal, hogy a vezetőség számára pontos tájékoztatást lehessen adni a szoftverek használatával kapcsolatos döntések meghozatalához. 4.4.3 A szoftverek biztonsági menedzsmentje Bár itt csak a szoftvereszköz-gazdálkodás biztonságspecifikus kérdéseivel foglalkozunk, fontos tudni, hogy a szoftverek biztonsága igen összetett témakör, lefedi az alkalmazások logikai biztonságát (pl. felhasználói jogosultságok, jelszókezelés), a funkciók és feladatkörök elkülönítését, az adatbázisok védelmét, vagy a naplózás kérdéseit is. A szoftverek telepítőkészleteit védeni kell az illetéktelen hozzáféréstől, mert könnyen alul-licenceltté válhatunk. Ugyanilyen eredményhez vezethetnek az illegálisan letöltött és telepített szoftverek. A szoftvernyilvántartásokhoz csak az arra kijelölt személyek férjenek hozzá, hiszen ezen adatok tartalma és integritása kiemelt jelentőséggel bír a beruházásokat, valamint az egyéb informatikai döntéshozatali folyamatokat befolyásoló mivoltuk miatt is. 4.4.4 A SAM kapcsolódása az IT-fejlesztési és -üzemeltetési folyamatokhoz A SAM-nak az informatikai folyamatok szerves részévé kell válnia. A szoftverpark fejlesztése és a beszerzések során szükséges megvizsgálni a mennyiségi igényeket, hogy a fejlesztés lefedhető-e meglevő szoftverrel, illetve, hogy az új szoftver beleillik-e az informatikai környezetbe, valamint a SAM-stratégiába. A működtetés során nagy hangsúlyt
kell fektetni a szoftverrel kapcsolatban előforduló hibákra és a jelentett incidensekre – az üzembiztonsági problémák pénzügyi károkat is okozhatnak, amelyeket a szoftver értékelésénél be kell számítani. 4.5 A szoftveréletciklus vége – a kivezetés Minden szoftver életében elérkezik az idő, amikor véglegesen lecserélik, illetve felhagynak a használatával, mert már nem tudja elég hatékonyan, gazdaságosan, vagy az elvárható biztonság szintjén támogatni az üzletmenetet. Fontos, hogy a szoftverek lecserélésével és kivezetésével valóban jól járjon a szervezet, ezért ügyelni kell a licencés a támogatási szerződések megszüntetésére, a nyilvántartásokból való kivezetésre és a díjak fizetésének leállítására, ami ismételten aktív kommunikációt igényel az informatika, a pénzügy és a beszerzés között. Előfordul, hogy a részlegek közötti aktív kommunikáció hiányában a beszerzés újra megrendeli a már nem használt licenceket, vagy a pénzügy ugyanazt az összeget utalja a beszállítónak, mint az előző évben. 4.6 A SAM érettségi modell Egyes szervezetek már élen járnak a hatékony szoftvereszköz-gazdálkodás kialakításában, akár működtetésében is, míg mások még csak most kezdik felfedezni a SAM előnyeit. Az alábbi ábra azt mutatja be, hogy milyen felkészültségbeli és fejlettségbeli szinteket különböztetünk meg a SAM Érettségi Modell elvei szerint: Alap SAM Ad-Hoc
Standardizált SAM
Racionalizált SAM Aktív
Dinamikus SAM
Csekély kontroll a felett, hogy milyen informatikai eszközöket használnak és hol.
A SAM-folyamat és a SAMeszközök/adatok tárháza elérhető.
Stratégiát, szabályzatokat, eljárásokat és eszközöket használnak a szoftverek teljes életciklusa alatt.
Közel valós időben követik a változó üzleti igényeket.
Hiányoznak a szabályzatok, az eljárások, az erőforrások és az eszközök.
Basic
A rendelkezésre álló információ nem feltétlenül pontos és teljes. Jellemzően nem használják fel a döntésekhez.
Az üzleti célok elérése érdekében az eszközök menedzseléséhez megbízható információt használnak.
Standardized
Rationalized
A SAM stratégiai eszköz az általános üzleti célok elérésére.
Dynamic
Világszinten is kevés társaság tartozik a racionalizált vagy dinamikus SAM-ot alkalmazók körébe, de Magyarországon még alacsonyabb e cégek száma, ami jól mutatja a szoftvereszköz-gazdálkodás fejletlenségét. Közös jellemző, hogy a legtöbb társaságnál nincs kijelölt SAM-felelős, nem megfelelően szabályozott a folyamat, a nyilvántartások nem pontosak, teljesek és naprakészek. Így hiába is fordítanak figyelmet a licencek karbantartására, ha a felelősségek tisztázatlansága és a nyilvántartások hiányosságai miatt nem világos, hogy milyen és mennyi licencre is van szükség.
© 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
10 | SAM – Szoftvereszköz-gazdálkodás a gyakorlatban
5 A hatékony SAM alkalmazásának előnyei A megfelelően kialakított és kontrolláltan üzemeltetett szoftvereszköz-gazdálkodás számos előnyt jelent mind a magán/versenyszférában, mind az állami/közszférában tevékenykedő szervezetek számára. Ezeket az előnyöket alapvetően a következő három kategóriába sorolhatjuk: 5.1 Költséghatékonyság és takarékosság • A központosított licencgazdálkodás által megvalósíthatóak a központosított beszerzések, és igénybe vehetőek a mennyiségi kedvezmények, valamint jobban tervezhetőek a költségek és ütemezhetőek a számlafizetések. • A jól kontrollált SAM csökkenti és optimalizálja az alkalmazott szoftverek tárházát és mennyiségét, általa standardizálhatóak a munkaállomások, így a licenc mellett a támogatási és karbantartási költségek is csökkennek. • A kevesebb és hatékonyabban kihasznált szoftverek csökkentik az igényelt infrastruktúra méretét és a platformok számát, így azok üzemeltetési költségeit is (a hardverek és operációs rendszerek beszerzése és üzemeltetése, értékcsökkenése, karbantartási költségei, a kapcsolódó munkabérköltségek, vagy a kevesebb hardverrel összefüggő kevesebb iroda terület, alacsonyabb közmű- és áramköltségek). • Az ellenőrzött SAM-folyamatok és naprakész nyilvántartások révén a szoftverauditok kisebb megterhelést jelentenek a társaságnak a munkaerő szempontjából is, gyorsan lezajlanak, és nem várt költségek, vagy váratlan szoftverbeszerzéshez kapcsolódó kiadás nélkül fejeződnek be • Az informatikai folyamatok hatékonyságának javításán keresztül is csökkenek az üzemeltetési költségek, akár kevesebb munkaerővel is elvégezhetőek a feladatok, és az optimális szoftverhasználat következtében elégedettebb a felhasználók is. 5.2 A működés javításából származó előnyök • A SAM bevezetése nyomán pontos, naprakész és jól strukturált nyilvántartások lesznek elérhetőek, melyek tiszta képet festenek a társaság igen fontos értékteremtő eszközeiről, a szoftverekről. A SAM segítségével a vezetőség hatékonyan tud stratégiai döntéseket hozni az informatikai alkalmazásokkal és beszerzésekkel kapcsolatban. • A jól megtervezett, kialakított és bevezetett SAM javítja az informatikai folyamatok hatékonyságát, a szervezeti egységek közötti kommunikációt és az összehangolt munkavégzést.
• Az optimális szoftverhasználat növeli a felhasználók elégedettségét és hatékonyabban támogatja, gyorsítja az üzleti folyamatokat. • A kevesebb hibával, felhasználói szemszögből megbízhatóbban működő szoftverek csökkentik a bejelentett problémák számát és a rendszerleállásokat, ugyanakkor motiválják a dolgozókat. • A hatékony SAM és a pontos, naprakész nyilvántartások elősegítik és felgyorsítják a szoftverbeszállítókkal való tárgyalásokat és kommunikációt. • A jól működő SAM-folyamatok hatékonyan támogatják és fel is gyorsítják a szoftverpark fejlesztését, valamint a szükséges szoftverek bevezetését, így a társaság gyorsabban leköveti az üzleti és ezáltal a piaci igényeket is. • A pontos szoftver- és hardvernyilvántartásnak köszönhetően a meghibásodott, leselejtezett munkaállomásokhoz tartozó hardverhez kapcsolt szoftverek is rendezhetőek a könyvelésben. 5.3 Kockázatok kezelése és a megfelelőség biztosítása • A pontos és naprakész nyilvántartásoknak köszönhetően bármikor megállapítható a használatban lévő szoftverek és rendelkezésre álló licencek köre és mennyisége. Így megakadályozható a törvényi előírások valamint a licencszerződések megsértése. • Az ellenőrzött SAM-folyamatok segítségével megakadályozhatóak az engedély nélküli telepítések, melyek a licencszerződések és akár a jogszabályok megsértéséhez vezethetnek, ugyanakkor informatikai kompatibilitásbeli és üzembiztonsági problémákat, adott esetben rendszerleállásokat is okozhatnak. • Az alkalmazott szoftverek körének optimalizálásával minimalizálhatóak a szoftverek sérülékenységeiből fakadó kockázatok, mint például az adatvesztés. • A szoftvertelepítések és a letöltések korlátozásával csökkenthető az informatikai támadások veszélye, ideértve a kártékony kódok, vírusok és akár botnethálózatok behatolását is. Azoknak a szervezeteknek, amelyeken fontos a törvényes működés, és legálisan használt szoftverekkel, valamint hatékony informatikai folyamatokkal kívánják csökkenteni a költségeiket, egy tudatosan felépített és ellenőrzötten működő szoftvereszköz-gazdálkodás biztosíthatja a tervezhetőség és a kiszámíthatóság lehetőségét.
© 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
Kapcsolat: Sallai György igazgató T: +(36) 1 887 6620 E:
[email protected]
Az itt megjelölt információk tájékoztató jellegűek, és nem vonatkoznak valamely meghatározott természetes vagy jogi személy, illetve jogi személyiség nélküli szervezet körülményeire. Társaságunk ugyan törekszik pontos és időszerű információkat közölni, ennek ellenére nem vállal felelősséget a közölt információk jelenlegi vagy jövőbeli hatályosságáért. Társaságunk nem vállal felelősséget az olyan tevékenységből eredő károkért, amelyek az itt közölt információk felhasználásából erednek, és nélkülözik társaságunknak az adott esetre vonatkozó teljes körű vizsgálatát és az azon alapuló megfelelő szaktanácsadást. A KPMG név, a KPMG logó és a „cutting through complexity” a KPMG International lajstromozott védjegye. © 2013 KPMG Tanácsadó Kft, a magyar jog alapján bejegyzett korlátolt felelősségű társaság, és egyben a független tagtársaságokból álló KPMG-hálózat magyar tagja, amely hálózat a KPMG International Cooperative-hez (“KPMG International”), a Svájci Államszövetség joga alapján bejegyzett jogi személyhez kapcsolódik. Minden jog fenntartva.
