Softwaregebruik in het compliance-tijdperk. Compliant softwaregebruik: is de IT-organisatie er wel klaar voor?

RESEARCH NOTE

Softwaregebruik in het compliance-tijdperk Het onderzoek • Onderzoek onder business en IT managers naar software, compliance en licenties • Bedrijfsleven en overheid • 93 deelnemers

Het gebruik van software binnen organisaties als essentieel onderdeel van de bedrijfsvoering is niet meer weg te denken. Binnen organisaties draaien vaak honderden zoniet duizenden applicaties op desktops en servers. Mede door de toegenomen aandacht voor compliance binnen de boardroom stellen organisaties zich steeds vaker de vraag of de gebruikte software en de aangekochte gebruiksrechten (de licenties) wel in evenwicht zijn. Het blijkt echter geen sinecure dit vast te stellen, laat staan dit evenwicht te bewaren. Dit komt mede omdat het relatief simpel is applicaties te gebruiken zonder de bijhorende licenties aan te schaffen. Veel organisaties zijn in overtreding zonder het zelf te beseffen. Deze research note laat zien dat de meeste organisaties het de normaalste zaak van de wereld vinden dat softwaregebruik goed geregeld is. Tegelijkertijd blijkt dat goede softwarecompliance nog niet zo eenvoudig is als het lijkt. Veel organisaties vinden het moeilijk om vast te stellen wat er wordt gebruikt aan software en al helemaal of de bijhorende licenties aanwezig zijn. Ook het inrichten van processen rondom licentiebeheer gaat moeizaam. Mogelijke knelpunten zijn het feit dat niet alleen IT, maar ook de business zich moet inspannen voor software compliance en het ontbreken van een proces om organisatiebreed inzicht te krijgen in het daadwerkelijke softwaregebruik.

Summary Compliant softwaregebruik: is de IT-organisatie er wel klaar voor? De IT-organisatie vindt over het algemeen dat zij de meest geëigende partij binnen de organisatie is om de eindverantwoordelijkheid voor licentiebeheer te dragen. Het is dan ook opvallend dat vier op de tien IT-managers geen zwaarwegende morele bezwaren hebben tegen het gebruik van software waarvoor niet is betaald . Geen overtuigende uitgangspositie om de gehele organisatie compliant te krijgen. Daarnaast geeft de meerderheid van de deelnemers aan dat er wel voldoende managementaandacht is binnen de IT-organisatie voor compliance, maar in de helft van de organisaties worden de procedures niet actief nageleefd of ontbreken ze helemaal. Aanvullende acties nodig om controles effectief te maken Slechts een kleine meerderheid van de organisaties constateert actief niet-compliant softwaregebruik. Daarnaast heeft men vaak moeite om te bepalen welke rechten verbonden zijn aan het hebben van bepaalde licenties. Zowel in daadwerkelijk softwaregebruik als in aangekochte licenties ontbreekt het overzicht. In deze situatie is het moeilijk vast te stellen of de organisatie compliant is. De meeste organisaties zien dan ook mogelijke verbeteringen waarbij de problematiek breder wordt getrokken dan licentie-compliance alleen. Binnen zogenaamde software asset management programma’s draait het naast licentie-compliance om kosteneffectief gebruik van IT-middelen. Een organisatie die compliant is heeft dus niet alleen juridisch de zaken op orde, maar heeft tegelijkertijd de financiële en operationele kant van softwaregebruik beter in de hand. Businessmanagement mag meer worden aangesproken op softwaregebruik Licentie-compliance is geen technisch issue, maar een bedrijfsbreed agendapunt waarbij de ITorganisatie een belangrijke bijdrage levert op het gebied van softwaregebruik. De meerderheid van de businessmanagers vindt illegaal softwaregebruik ‘not done’, waardoor de IT-organisatie beter in staat wordt geacht een beroep op hen te doen dan tot nu toe gebruikelijk om samen met hen de organisatie compliant te maken. 1

Softwaregebruik compliance-tijdperk

Compliant softwaregebruik binnen de organisatie Is het legaal gebruiken van software eigenlijk niet de normaalste zaak ter wereld? Volgens de deelnemers aan het onderzoek wel (figuur 1). Software gebruiken waarvoor niet betaald is kan niet. Enige nuancering is hier op zijn plaats: het business management spreekt zich veel stelliger uit over legaal softwaregebruik dan het IT-management. figuur 1

“Het gebruik van software waarvoor niet betaald is vind ik moreel verwerpelijk” 8%

14% 9%

83%

61% 25%

Mee oneens Neutraal Mee eens

Mee oneens Neutraal Mee eens Business management

IT m a n a g e m e n t

Voor de IT-organisatie is deze minder uitgesproken stellingname van IT-managers niet bepaald een goede uitgangspositie. Temeer daar IT de kar moet gaan trekken om de hele organisatie compliant te maken op het gebied van software. In negen van de tien organisaties is IT al eindverantwoordelijk voor het licentiebeheer binnen de organisatie. En volgens de deelnemende IT-managers is dat ook de meest logische plek om de eindverantwoordelijkheid te leggen. Compliance omvat meer dan alleen de inkoop van licenties. Er zijn aanvullende inspanningen nodig naast het op orde hebben van alle licenties. In zes op de tien onderzochte organisaties is er meer aandacht gekomen voor de vereiste licenties om software legaal te gebruiken door de toegenomen aandacht voor het thema compliance. Dit thema is een goed aanknopingspunt voor de IT-organisatie om de handschoen actief op te pakken. Al vergt het op de agenda krijgen van de problematiek wel de nodige creativiteit en doorzettingsvermogen. Een derde van de managers geeft aan dat de financiële en juridische consequenties van illegaal softwaregebruik wel bekend zijn, maar dat het ontastbare van het probleem een oplossing in de weg staat (figuur 2). Individuele werknemers vinden het moeilijk om het probleem aan te pakken en op te lossen, hiervoor is een duwtje in de rug nodig, afkomstig van bijvoorbeeld de directie. figuur 2

“De financiële en juridische consequenties die voortvloeien uit illegaal gebruik van software zijn wel bekend, maar te ontastbaar om het probleem goed op te lossen”

33%

38%

28%

35%

Mee oneens Neutraal Mee eens 29% Business management

2

Mee oneens Neutraal Mee eens 37% IT m a n a g e m e n t

Softwaregebruik compliance-tijdperk

Compliant softwaregebruik nog niet overal actief vastgesteld Een belangrijk onderdeel van legaal softwaregebruik is het op orde hebben van alle licenties die horen bij de software die in gebruik is. Het is volgens de meeste organisaties geen sinecure om te bepalen welke licenties precies nodig zijn voor het gebruik van software en in welke hoeveelheid (figuur 3). Enkele IT-managers vinden dat het zelfs bijna onmogelijk is om dit vast te stellen voor hun eigen organisatie. figuur 3

“Hoeveel moeite kost het om goed vast te stellen welke licenties nodig zijn en in de juiste hoeveelheid?” 3% 29% 68%

Vaststellen is vrijwel onmogelijk Vaststellen kost relatief veel moeite Vaststellen kost relatief weinig moeite

Het belangrijkste struikelpunt bij licentiemanagement betreft de precieze gebruiksrechten (de licenties) van de software (figuur 4). Voor zeven op de tien IT-managers is het lastig om exact vast te stellen op welke wijze software mag worden gebruikt op basis van de ingekochte licenties. Vier op de tien managers geeft aan betere informatie nodig te hebben van softwareleveranciers om vast te kunnen stellen welke licenties nodig zijn. figuur 4

“Welke aspecten bemoeilijken het vaststellen van de benodigde licenties?” Onduidelijkheid rondom gebruiksrechten van de licenties Geen goede informatie softwareleverancier of -fabrikant Complexe productcatalogus van leveranciers Verantwoordelijkheid licenties bij outsourcing onduidelijk Ontbreken van een goede relatie met de softwarefabrikant

71%

42%

35%

11%

9% 0

10

20

30

40

50

60

70

80

90

100

(%)

Als alle licenties goed worden beheerd, dan is het nog steeds mogelijk dat de organisatie niet compliant is. Werknemers of decentrale organisatieonderdelen kunnen software installeren en gebruiken zonder dat hier actieve controle op plaatsvindt. De meeste ondervraagde organisaties hebben al procedures vastgelegd omtrent illegaal softwaregebruik (figuur 5). Enkele organisaties geven aan dat zij actief controleren en dat installeren van programmatuur niet mogelijk is voor individuele werknemers. Bijvoorbeeld organisaties die gebruikmaken van thin clients waarbij programmatuur alleen vanaf centrale servers gestart en gebruikt kan worden. In bijna de helft van de organisaties is echter geen enkele vorm van controle aanwezig op het daadwerkelijke softwaregebruik.

3

Softwaregebruik compliance-tijdperk

figuur 5

“Zijn er binen uw organisatie vastgelegde procedures voor het gebruik van commerciële software waarvoor geen licenties zijn afgesloten?” 8% 18%

5%

38%

Nee Ja, maar geen actieve controle op installatie en gebruik software Ja, er is actieve controle Ja, deze software wordt verwijderd door tools Andere procedure

31%

Sommige organisaties krijgen versneld te maken met het op orde hebben van legaal softwaregebruik als er een externe audit plaatsvindt door bijvoorbeeld een software vendor. Ongeveer een derde van de organisaties heeft wel eens een audit gekregen, in de meeste gevallen in de afgelopen twaalf maanden (figuur 6). figuur 6

“Hebt u wel eens te maken gehad met een externe audit wat betreft softwaregebruik?”

29%

63%

Ja, in het afgelopen jaar Ja, langer dan een jaar geleden Nee

8%

Alhoewel steeds meer PC’s in bedrijven strenger worden beveiligd is het nog vaak mogelijk om software te gebruiken zonder dat dit opgemerkt wordt. Compliant softwaregebruik is niet alleen een aandachtspunt voor de IT-organisatie, maar eigenlijk voor de gehele organisatie waar gewerkt wordt met computers. Voor de meerderheid van de organisaties vormde de audit de aanleiding om verbeteringen door te voeren (figuur 7). Vooral het licentiebeheer werd beter opgezet dan voorheen. Bovendien was de audit aanleiding om de kosten die gemoeid gaan met software eens goed onder de loep te nemen. Ook werd het gebruik van bepaalde software stopgezet. figuur 7

“Welke effecten heeft de audit gehad?” Verbetering proces licentiebeheer

35%

Geen specifiek effect

30%

Beter kostenmanagement software

26%

Gebruik software stopgezet

26%

Verbetering inkoopproces licenties

22% 0



10

20

30

40

50

60

70

80

90

100

(%)

Softwaregebruik compliance-tijdperk

Vertrouwen in de IT-organisatie botst met de realiteit Zowel binnen als buiten de IT-organisatie is er vanuit het management aandacht nodig voor compliant softwaregebruik. De benodigde inspanningen om dit te bereiken moeten worden opgevoerd (figuur 8). Bijna de helft van de businessmanagers is het hiermee eens. Bij het IT-management is de stelligheid wat minder groot, maar bijna vier op de tien managers denken dat er wel aanvullende acties nodig zijn. figuur 8

“Als het softwaregebruik compliant moet zijn dan is de huidige inspanning op het vlak van licentiebeheer onvoldoende” 25% 33%

46%

39%

Mee oneens Neutraal Mee eens 21%

Mee oneens Neutraal Mee eens 36%

Business management

IT m a n a g e m e n t

Op welke plek zijn de meeste inspanningen dan nodig? Daarover zijn de deelnemers het eens: vooral buiten de IT-organisatie (figuren 9 en 10). Opvallend is dat businessmanagers hierbij strenger voor de business zijn dan voor IT, een teken dat compliant softwaregebruik meer is dan een technisch probleem. De meeste deelnemers denken dat er binnen de IT-organisatie voldoende aandacht is voor de problematiek van licenties. Dit vertrouwen is niet helemaal terecht gezien het feit dat er in de helft van de organisaties geen controle is op de procedures voor oneigenlijk softwaregebruik of deze procedures zelfs ontbreken. De IT-organisatie staat dus voor de flinke uitdaging om het vertrouwen in te lossen in de vorm van concrete acties. Als de IT-organisatie niets onderneemt, dan gebeurt er binnen de organisatie waarschijnlijk weinig om de organisatie compliant te krijgen. Slechts 20 procent denkt dat er voldoende managementaandacht is voor compliant softwaregebruik buiten de eigen IT-organisatie. figuur 9

“Binnen de IT-organisatie is voldoende managementaandacht voor compliant softwaregebruik” 16% 55%

29%

Mee oneens Neutraal Mee eens



Softwaregebruik compliance-tijdperk

figuur 10

“Buiten de IT-organisatie is voldoende managementaandacht voor compliant softwaregebruik” 20% 44%

Mee oneens Neutraal Mee eens

36%

Acties zijn niet alleen nodig op het technische vlak. Alhoewel steeds meer PC’s in bedrijven strenger worden beveiligd, is het nog vaak mogelijk om software te installeren zonder dat dit wordt opgemerkt. De organisatie blijft echter wel aansprakelijk. Compliant softwaregebruik is niet alleen een aandachtspunt voor de IT-organisatie, maar eigenlijk voor de gehele organisatie waar wordt gewerkt met computers. Men doet er dan ook verstandig aan om over softwaregebruik iets op te nemen in het personeelsbeleid of het arbeidscontract.

Uitdaging voor de IT-organisatie: versla de accountant Zoals eerder aangegeven is IT in veruit de meeste organisaties eindverantwoordelijk voor licentiemanagement. Vanuit deze verantwoordelijkheid is het dan ook aan IT om het gesprek over compliant softwaregebruik aan te gaan met de business. Dat kan veel vaker dan op dit moment al gebeurt (figuur 11). De helft van de businessmanagers geeft aan dat zij nog nooit zijn aangesproken door iemand over het gebruik van software en de benodigde licenties. Als een businessmanager - in dit onderzoek veelal CFO’s - wordt aangesproken, dan gebeurt dit vaker door de accountant dan door de eigen IT-organisatie. En dat terwijl de IT-organisatie aangeeft dat de business zelf wel informeert hoe software wordt beheerd en welke licenties nodig zijn. Een uitgesproken kans voor de IT-organisatie om de problematiek bespreekbaar te maken en te komen met oplossingen. figuur 11

“Bent u wel eens aangesproken door iemand op het beheer van software en licenties?” Business management

50%

Nee 17%

Ja, door accountant 13%

Ja, door IT 8%

Ja, door BSA Ja, door software-leverancier

4%

Ja, door IT-partner

4% 0



10

20

30

40

50

60

70

80

90

100

(%)

Softwaregebruik compliance-tijdperk

figuur 11 (vervolg)

“Bent u wel eens aangesproken door iemand op het beheer van software en licenties?” IT m a n a g e m e n t

Ja, door RvB / MT

54%

Ja, door interne controller

48%

Ja, door softwareleverancier

46%

Ja, door accountant

40%

Ja, door IT-partner

27%

Ja, door BSA

6%

8%

Nee 0

10

20

30

40

50

60

70

80

90

100

(%)

De business houdt de deur dus niet gesloten als IT aangeeft dat er samenwerking nodig is om software-compliance goed te regelen. Voorwaarde is wel dat de IT-organisatie in staat is om het overzicht van gekochte licenties in relatie te brengen met het daadwerkelijke gebruik van software binnen de organisatie. Alleen met deze informatie kan samen met de business worden gewerkt aan een situatie die tegelijkertijd kosteneffectief en compliant is. Als één van deze elementen ontbreekt dan is de kans groot dat de organisatie of niet compliant is (het is mogelijk dat software wordt gebruikt waarvoor niet wordt betaald) of niet efficiënt en effectief inkoopt (er wordt voor software betaald die niet wordt gebruikt).

Van licentiebeheer naar Software Asset Management Om compliant softwaregebruik te realiseren en de business te voorzien van praktische en betaalbare oplossingen moet de IT-organisatie een aantal zaken op orde hebben. Advies moet gebaseerd zijn op goed inzicht welke software nodig is, welke software daadwerkelijk in gebruik is en voor welk gebruik precies wordt betaald. Het proces om dit inzichtelijk te krijgen wordt ook wel aangeduid met Software Asset Management (SAM). Organisaties geven zelf aan dat op deze vlakken nog verbeteringen mogelijk zijn (figuur 12). Vooral het vaststellen van softwaregebruik en het hebben van centraal overzicht over de aangeschafte licenties kan worden verbeterd. Uit de mogelijke verbeteringen kan de conclusie worden getrokken dat het inrichten van het SAM-proces helpt om de organisatie compliant te krijgen en te houden. Bovendien kan ook het kostenmanagement van software worden verbeterd. De IT-organisatie kan beter aangeven wat de effectiviteit is van de huidige softwareportfolio en verbeteringen aandragen. Het dan is niet ongebruikelijk dat het aantal gebruikte applicaties of zelfs hele platforms aanmerkelijk afneemt. Deze reductie kan een flinke impact hebben op de totale beheerskosten van IT.



Softwaregebruik compliance-tijdperk

figuur 12

“Wat zijn voor uw organisatie verbeterpunten voor beheer van licenties en software?” Vaststellen daadwerkelijk gebruik software

64%

Centraal overzicht aangeschafte licenties

63%

Kostenmanagement software

38%

Kostenverlaging softwarebeheer

34%

Beheerprocessen aanpassen

27% 0

10

20

30

40

50

60

70

80

90

100

(%)

Voor de ondersteuning van licentiebeheer en softwaregebruik zijn zogenaamde SAM-tools in opmars. In Nederland is deze software echter nog niet algemeen in gebruik (figuur 13). Het gebruik van deze tools is niet automatisch een garantie dat de organisatie compliant is, maar kan voor de IT-organisatie wel een steun in de rug zijn om softwaregebruik te inventariseren en vast te stellen in welke mate software overbodig is, omdat het niet wordt gebruikt. figuur 13

“Gebruikt uw organisatie tools ter ondersteuning van Software Asset Management?” 25%

33%

7%

Ja Nee, we starten binnen 12 maanden Nee, we overwegen dit Nee

35%

Colofon

Postbus 890 1000 AW Amsterdam [t] +31 (0)20 622 3444 [email protected] www.digitalboardroom.com

Auteur: Sven van de Riet

Copyright © 2006 DigitalBoardroom



Een goede aanpak voor de IT-organisatie om de organisatie compliant te krijgen is om eerst het interne proces van licentiebeheer goed in te richten. Het resultaat, een actueel overzicht van alle gekochte software, kan worden gebruikt om met de business te kijken welke software nodig is, welke software te duur wordt ingekocht, waar functionaliteit van software elkaar overlapt en tot slot welke software wellicht overbodig is en kan worden uitgefaseerd. Als vervolgens SAM goed wordt ingericht ontstaat een omgeving waarbinnen effectief en efficiënt het daadwerkelijke gebruik en het betaalde gebruik van software met elkaar vergeleken kan worden. Dit maakt de mogelijke gaten in compliant softwaregebruik bespreekbaar, zodat ze vervolgens kunnen worden opgelost.