Systém SAM pomáhá řídit, kontrolovat a chránit softwarová aktiva firmy
Vypořádat se s nelegálním softwarem, programy, které nemají ve firemních počítačích nebo noteboocích co pohledávat, není lehké. Co pojem „nelegální software“ znamená?
Obecně jde buď o software, na který firma nemá licenci, nebo o softwarové vybavení, jež je v rozporu s licenční politikou. Nejčastějším problémem je instalace více kopií programů, než na které má firma dle licence nárok, nebo instalace softwaru na uživatelské stanice, na nichž by se vyskytovat neměl, protože není třeba k pracovním činnostem.
Všichni vědí, že používání nelegálního softwaru může skončit finančním postihem. Dalším aspektem neuspořádaného a nekontrolovaného řízení softwarových aktiv (programová aktiva, ke kterým patří aplikační a systémové vybavení, vývojové nástroje, funkčnost a podobně) však také může být nehospodárné použití financí na nákup licencí. Odhlédneme-li od morální a etické roviny spojené s používáním nelegálního softwaru, uvedené argumenty by měly vést k zamyšlení, zda by firmy problematice řízení životního cyklu softwarových aktiv, software asset management (SAM), neměly věnovat větší pozornost.
Fakta
V České republice se 39 procent softwaru používá nelegálně. To pro české softwarové odvětví představuje ztrátu ve výši 2,5 miliardy korun (dle analýzy BSA-IDC o softwarovém pirátství ve světě v letech 2006 až 2007). ČR se tím řadí mezi dvacet zemí s nejnižší mírou softwarového pirátství.
Co do počtu případů softwarového pirátství se dle stejné analýzy na prvním místě umístila Praha (25 procent), následoval Jihomoravský kraj (třináct procent) a Ústecký kraj (dvanáct procent). Na tyto oblasti připadá polovina všech případů porušování autorského práva k softwaru a třetina způsobené škody. Z policejních statistik vyplývá, že více než 94 procent evidovaných případů je objasněno.
Firma přistižená v Česku při používání nelegálního softwaru zaplatí za škody způsobené softwarovým firmám v průměru 200 tisíc korun. V Evropské unii tato částka činí 371 tisíc korun (dle analýzy BSA).
Minimálně 75 procent firem v celosvětovém měřítku nadměrně utrácí za svá IT aktiva.
Firmy, které zavedou SAM, mohou během prvního roku očekávat až 30procentní úsporu nákladů spojených s aktivem. V následujících pěti letech lze očekávat další úspory v ročních nákladech na aktivum v rozmezí od pěti do deseti procent.
Společnost Compass uvádí, že ve Velké Británii je devět procent firemních výdajů na software spojeno s nadbytečným počtem licencí. A také že firmy vydají osm až patnáct procent prostředků za software, který nikdy nepoužijí.
Odpovědnost
Za firmu je odpovědný její vlastník a nejvyšší vedení. Kromě jejího chodu jsou však odpovědní i za případný nelegální software. Předcházet rizikům z nelegálního používání softwaru i hledat prostor pro snižování výdajů lze vytvořením firemní kultury, která bude minimalizovat porušování pravidel pro nakládání s ním a objevovat cesty k optimalizaci jeho využívání během životního cyklu. To by měl být jeden z cílů stanovených vedením firem. Návod, jak při vytváření takového prostředí postupovat, poskytuje SAM.
Norma ISO/IEC 19770-1 software asset management, formálně přijatá v květnu 2006, upravuje řízení životního cyklu softwarových aktiv a poskytuje návod k optimalizaci nakládání s nimi a s tím spojenými finančními prostředky.
Dalším cílem této normy je poskytnout organizacím materiál, s jehož pomocí lze prokázat, že firma provozuje SAM v kvalitě uspokojující požadavky corporate governance. Prospěch z jeho zavedení se týká tří oblastí: řízení rizik, kontroly výdajů či nákladů a získání konkurenční výhody.
Charakteristika systému
SAM lze charakterizovat jako systém účinného řízení, kontroly a ochrany softwarových aktiv. Tato norma navazuje na skupinu norem ISO/IEC 20000 – IT service management.
Strukturu SAM lze rozdělit do tří základních kategorií. První je organizační zabezpečení (organizational management process for SAM), jehož součástí je kontrolní prostředí (control environment for SAM) a plánování a zavedení (planning and implementation process for SAM). Druhou jsou základní procesy SAM (core SAM processes), k nimž patří inventarizace (inventory process for SAM), ověření a zajištění souladu (verification and compliance process for SAM) a provozní řízení a rozhraní dalších procesů (operations management process and interfaces for SAM). Třetí je rozhraní pro základní IT procesy (primary process interfaces for SAM), jež tvoří rozhraní v životním cyklu softwaru (life cycle process interfaces for SAM).
Norma se snaží propojit principy firemního řízení rizik a uplatnit zásady systému řízení kvality. To znamená, že nejprve je nutné nastavit základní kontrolní prostředí, které zajistí, aby veškeré aktivity spojené s pořizováním a udržováním softwaru měly jasná pravidla a definované odpovědnosti za jejich prosazování a kontrolu. Definování těchto pravidel vychází z výsledků pravidelných posouzení rizik ve vztahu k softwaru a souvisejícím firemním aktivům.
Řízení životního cyklu softwaru a definice základních rozhraní pro SAM na související IT procesy vycházejí z obecně uznávaných postupů. Z toho vyplývá, že žádnou činnost ve vztahu k IT procesům není vhodné provádět izolovaně a že je třeba vše chápat v širších souvislostech.
Očekávání
Standardy, rámce ani normy nejsou samospasitelné. Rozhodne-li se firma zavést nějaký rámec či normy, nemusí to automaticky znamenat úplnou minimalizaci či kontrolu rizik. Ve většině případů je určitě motivem snaha o dobrou věc, na kterou bude nutné vynaložit velké úsilí a prostředky. Pokud by však měl být cílem jen zisk certifikátu, je lepší investovat prostředky do něčeho jiného.
Důležitý je vlastní proces a základní principy, a nikoli pouhý zisk certifikátu. Principy je nutné pochopit a následně zavést dle konkrétních potřeb firmy. Pro úspěšné fungování je však klíčový lidský faktor, proto je také třeba uplatňovat důsledný systém kontroly.
V diskutované normě je pří řízení softwarových aktiv podstatným prvkem ověření a zajištění souladu s definovanými pravidly, licenčními nároky a podmínkami. Tuto činnost by firma měla provádět pravidelně a nezávisle na auditech výrobců softwaru, přestože se řídí stejnými postupy.
Jak je na tom firma s nelegálním softwarem, může poskytnout interní audit. S patřičným vybavením a znalostmi lze rychle posoudit a navrhnout nápravná opatření k minimalizaci rizik. Interní audit může doporučit zavedení SAM dle diskutované normy. Jeho výsledkem však také může být zjištění, že tato oblast nepředstavuje významné riziko, a není tedy třeba podnikat žádné další kroky.
Širší souvislosti
Zavedením SAM se automaticky nevyřeší všechny problémy spojené s používáním nelegálního softwaru. Problematiku je třeba vnímat v širších souvislostech. Příčiny a motivy k instalaci a použití nelegálního softwaru mohou být nejen objektivní a cílené, ale i neúmyslné. Nelegální software se navíc může nacházet v nepředvídatelných částech firmy. Kombinací principů a rámců upravujících a popisujících corporate i IT governance lze však zlepšit kontrolní prostředí a tím zajistit, aby vlastníci a vedení společností měli včas pravdivé informace, které jim umožní reagovat na hrozící rizika.
Diagram:
Výhody ze zavedení SAM
