Дискуссия: Кому выгодно?

На круглом столе, состоявшемся на конференции SAM Academy, был поставлен жесткий вопрос: не слишком ли навязчивы и дороги предлагаемые на рынке услуги по управлению программными активами? Участники дискуссии не во всем согласились друг с другом, но по многим вопросам достигли взаимопонимания

Федор Дзержинский, Промсвязьбанк: Представим себе фирму, которая создается с нуля. Закупается правильно оборудование, закупается правильно ПО. Есть достаточные деньги для того, чтобы предсказать будущие проблемы с контрольным соответствием лицензий. Это можно сделать по-настоящему с маленькой поправкой на то, что, когда вы читаете стандарты, нужно понимать, что там написано между строк. У вас, например, фирма существует 20 лет, в ней имеется наследство в виде оборудования и ПО. А самое главное, что это оборудование и ПО встроены в бизнес-процессы, которые приносят деньги фирме. И разрушение этого ПО – правильное это ПО или неправильное – может привести к очень тяжким последствиям. Все об этом думают. Поэтому ситуация [с публичными кейсами] такая. Сделать так, как себе представляют вендоры, когда пишут стандарты SAM, на практике, пардон, невозможно. В этом нет ничего страшного – можно разумно делать и двигаться к лучшему. В интересах всех сторон: вендоров, и бизнеса, и закона, и т. д. А можно пытаться решать необъятную задачу и оставлять дело в том состоянии, в котором оно было в течение этих 20 или больше лет. <...>

Олег Седов, журнал IT Manager: На конференции звучало такое мнение: вот руководитель из IT считает, что у него все хорошо, а конкретно с софтом уж точно хорошо, поэтому им аудит никакой не нужен. С другой стороны, если они берутся сами проводить у себя аудит, они получают подтверждение: все хорошо и зря мы время тратили на это. Инициатива-то [аудита], мне кажется, должна идти от других сторон...

Владимир Разуваев, Softline: Ответ простой. Если мы посмотрим на стандарт ISO и на модель SAM Optimization Model от Microsoft, то за 90% процессов, которые там прописаны (управлять ПО, мониторить ПО и т. п.), никто, кроме IT, отвечать, в принципе, не может. Поэтому никакая другая структура, бизнес-единица не может отвечать за вот эти направления. Если мы, конечно же, не говорим о закупке ПО, где должно принимать участие IT, но основная функция, конечно же, не у них. Дабы исключить коррупцию и прочие вещи.

Александр Голев, QCS: Володя, ты говоришь в основном о процессах операционного взаимодействия. Однако есть руководящие процессы SAM, которые айтишникам осуществлять в общем-то тяжело. И взаимосвязь с безопасностью, взаимосвязь с финансами [отделами] в любом случае должна быть. У меня был случай, когда проект по SAM инициировала служба внутренней безопасности банка, например. Мало того, IT в этом проекте для них был отдел-противник.

Вопрос из зала: Проект провалился?..

А. Г.: Он затянулся, но не провалился, слава богу.

О. С.: Сегодня мы получили подтверждение, что активность вокруг тематики SAM очень большая. Однако, с моей точки зрения как журналиста, публичных кейсов единицы. Почему?

Михаил Соколов, Yota: Возможно, кому-то это мнение покажется слишком экстремистским, но я, в общем, увидел следующее в этой истории с SAM с точки зрения того, что нужно вендору, что нужно пользователю, что нужно IT: там как-то не складывается гармонии. Все стандарты, сегодня упомянутые, – это прокрустово ложе, в которое, собственно, пытаются уложить жизнедеятельность пользователей и правила, по которым должен играть бизнес, и фактически правила, по которым он должен развиваться. Я ознакомился с прошлогодними выступлениями спикеров на конференции [SAM Academy 14 марта 2012 г.], и как-то вот страшно стало, если честно. Навязывается такая диктатура SAM, что нужно: внедрить процессы, заставить людей писать заявки, процесс закупки... Посадить человека – отдельного SAM-менеджера...

О. С.: Михаил, но ведь где-то это является элементом корпоративной культуры. Есть компании – не буду называть какие, – где нет специалистов, нет сотрудников. Там есть кадры. Кадры, которые точно так же по стандартам пишут, ходят, передают и знают, где начинаются их полномочия, а где они заканчиваются.

М. С: Мне, честно говоря, за вот такие компании сложно ответить.

А. Г.: У меня другой посыл: стандарт – это рецепт. Есть принцип разумности. Есть Дэвид Бэкит [председатель рабочей группы ISO 19770], который делает очень много для стандартов ISO 19770 и ездит [по миру]. Зачем? Чтобы всем дать общий рецепт. Но он в этом варится с теоретической точки зрения, и он действительно всех пытается туда затащить.

М. С.: А знаете, рецепт от чего это? От болезни, которая знаете в чем заключается? Все стандарты SAM пытаются защитить на самом деле несколько устаревшую бизнес-модель.

А. Г.: Я очень боялся этого ответа...

М. С.: И скорее, рецепты эти пытаются, собственно, вот эту болезнь вылечить. К сожалению, многие вендоры увязли в очень старой модели лицензирования. В современном мире, когда появляется много персональных устройств, их настолько много становится, что уже они доминируют над устройствами, которыми, собственно, люди пользуются на работе, которые им выдает компания. И с этой точки зрения, это все попытки по большому счету продлить жизнь устаревшей модели лицензирования...

О. С.: И уже неэффективной...

М. С.: Да, и уже неэффективной. Вместо того чтобы посмотреть на нее, как бы признать ее трупом и просто начать менять что-то. Вот какие примеры таких изменений есть – там облачные технологии, SaaS, компания Adobe со своим новым Creative Cloud. Достаточно приятные штуки, на самом деле. Вот, честно говоря, приятнее платить по вот такой модели. Понимаете, я могу передумать каким-нибудь иллюстратором пользоваться через месяц. У меня там какая-то вспышка активности, мне нужно векторной графикой позаниматься. Ну да, я «триалку» [оценочную версию] могу поставить, ну еще раз поставить ее на другой компьютер. Но все ж хотят, чтобы здесь какая-то экономика была, да. Вот здесь какая-то экономика зарождается, на самом деле.

А. Г.: А у меня продолжение есть. Нам жить-то все равно в той ситуации, какая есть. Мы можем сейчас тут революционные лозунги кидать: «Давайте менять ситуацию с лицензированием», – но это не освобождает нас от обязанности быть License Compliance. Мобильные устройства. Кто-нибудь уже управляет?.. Я не жду, что кто-то скажет «да».

О. С.: Я так понимаю, что у тебя сложилось впечатление по прошлогодним конференциям, сегодняшним докладам, что тема SAM все-таки начинается в недрах IT. Какие-то первые шаги можно делать там, не ставя бизнес в известность. А вот когда эта тема перестает быть только айтишной и выходит на уровень бизнеса, который надо в это вовлекать, мотивировать, убеждать?

А. Г.: Когда деньги понадобятся на это... Ну это циничный краткий ответ, а вообще, по большому счету очень многие проекты в недрах IT начинаются либо на свои деньги, либо на какие-то средства, доступные отделу IT на некие игрушки внутри этого отдела. Кроме тех случаев, когда сразу начинается большой полномасштабный проект на уровне бизнеса. Вот, как ты говоришь, в IT зародилось и когда надо выходить на бизнес? Это когда деньги на игрушки закончились, когда все «пилоты» проведены, когда три вида проектов за счет Microsoft сделаны и еще, может, какой-то вендор тоже предложен в ближайшем будущем. И если проекты проведены хорошо, то у людей возникает необходимость продать [идею], да. Не только я продаю – как консультант клиенту, но и CIO продает бизнесу идею. Есть внутренняя продажа. Такая же точно продажа с такими же трудностями. И если грамотно провели первые этапы, получили цифры – с этими цифрами идем просить денег на продолжение банкета.

О. С.: Ты же идешь к бизнесу не один. У тебя какой-то партнер должен быть. У IT-директора – консультант, у консультанта – IT-директор. Что должно быть у них в руках? Какие цифры? Я считаю, что ситуация в мире и в России в том числе не отличается большим разнообразием. Не так много компаний, где в управлении бизнесом остаются владельцы бизнеса. В основном это какие-то наемные сотрудники. И их критерии KPI своеобразные...

А. Г.: А вот это совсем другая ситуация. У них KPI – это личная мотивация: я такой классный, я сделал классный проект. Александр, покажите мне savings, да. Показываем возможную экономию и идем с этим к бизнесу. А иначе не пойдет дальше проект, если мы не сможем этого показать. В такой ситуации, когда это началось с низов, с небольших денег, с каких-то инициатив.

О. С.: Вот сомневаюсь я, что KPI наемного генерального директора вырастет от того, что он сэкономил какие-то деньги. А вот если он что-то упустил и это дойдет до владельца бизнеса, то да, это повлияет. Вот у меня вопрос все тот же: у меня сложилось впечатление, что вся мотивация к аудиту софта построена на кнуте. Тебя оштрафуют, у тебя будет то-то, тебя припрут этим. Но с точки зрения бизнеса – а пряники-то где? Аргументация о том, что если вас проверят и ничего не найдут и вам за это ничего не будет, – это не пряник. На мой взгляд, это отложенное ожидание кнута.

Михаил Малышев, Adobe Systems: На самом деле во время аудита часто выявляется устаревшее ПО. И, получается, есть возможность перейти на новые версии, более функциональные. В холдинге, допустим.

О. С.: А хотите, я угадаю, какие рекомендации даст компания Adobe, если найдет старый, неэффективный программный продукт?

М. М.: Попробуйте.

О. С.: Заменить на продукты Adobe.

М. М.: Ну да. С большим функционалом.

О. С.: И другими деньгами.

М. М.: На самом деле небольшими в последнее время. Серьезно. Мы просто в этом году запустили новую программу лицензирования, которая позволяет за в 3 раза меньшие деньги все стандартизировать и реализовать.

О. С.: Опять-таки это аудит в интересах конкретного производителя. Поставщика решений.

М. М.: Да.

О. С.: Бизнесу это зачем?

М. М.: Там же бизнес-функционал. В этих версиях больше интересных функций, которые позволяют решать задачи быстрее и делать более красивые, интересные вещи. Есть, допустим, обработка документов, которая раньше занимала там... не знаю... 30 минут, теперь занимает семь минут. И это возможно, потому что вы перешли на новую версию Acrobat, например. Или у вас с точки зрения бизнеса стало меньше рисков по безопасности. Потому что вы перешли с девятой версии Acrobat на одиннадцатую. Но если бы не было аудита, вы бы этот процесс не начали.

О. С.: И не перешли бы на то, чтобы заплатить денег вашей компании.

М. М.: Но и не получили бы функционал.

О. С.: Владимир, а ты сейчас кого хочешь поддержать? (Обращается к Владимиру Разуваеву.)

В. Р.: Я могу просто поделиться опытом. Ты сказал о том, что продажи SAM в России – это, скорее всего, ради ненаступления юридической ответственности. Я недавно был в небольшом бизнес-туре в Узбекистане. А там нет ответственности за использование нелицензионного ПО. И для меня был шок – а как продавать? Нет, честно... Я узнал о том, что там нет ответственности, тогда, когда у меня началась первая, самая первая презентация для моего первого клиента там. Когда я спросил: «Ребята, а для чего вообще меня позвали?» – они сказали: «Мы хотим просто порядок навести и деньги сэкономить». Вот две основные темы. Любой IT-директор может прийти к своему руководителю, владельцу бизнеса или к CIO – прийти и сказать, что я молодец и сэкономил для компании столько-то денег. Более того, есть компании, сейчас даже в России есть такие компании, чаще всего с иностранным элементом, у которых KPI завязан на сохраненные деньги. У них бонус зависит не от того, что они меньше потратят, а от того, сколько они сэкономят.

А. Г.: Зачем они вообще закупают, если у них ответственности нет, – это такой большой вопрос. Если кто не знает, у американцев есть такой чудесный акт – competition act, который был сначала в одном штате, а теперь его подписали 27. Это когда они могут проверить американский бизнес, у которого зарубежные поставщики, на предмет того, чтобы у поставщиков было лицензионное ПО. Процедура эта крайне сложна, вообще, ее инициировать крайне сложно, но ее уже многие боятся. К вопросу о «боятся». Чтобы запустить SAM не только в России... А у меня есть личный опыт этого года – это Мальта, Кипр и немножко Греция. Везде, в этих юрисдикциях тоже, люди должны чего-то бояться.

Последний тренд – самый «продающий» аргумент (по крайней мере, у нас и еще у нескольких европейских партнеров) – секьюрити. SAM дает контроль за конфигурациями дополнительно плюс к тому, который, может быть, уже есть. Есть понятие авторизованного набора ПО, проверенных источников ПО. Можно с этим спорить часами, но безопасность повышается. И в этом случае чего мы боимся? Что безопасность будет нарушена.

А вот после того, как запущен проект по SAM, здесь уже задача... Показать после этого первого проекта плюшки, и за эти плюшки уже дальше цеплять. А плюшки – это эффективность. Вот этим отличаются профессиональные внедренцы SAM и успешные, те, кто на этом миллионы зарабатывает, от тех, кто не зарабатывает на этом миллионы.

О. С.: Вот это мне очень понятно. Я считаю, что в наши дни практика снижения издержек на IT пагубна. В 2008 г. издержки на IT сократили так, что уже непонятно, как IT еще существует, и никто их поднимать не собирается. Во-вторых, задача IT-директора – не показать снижение издержек на IT, а показать увеличение эффективности бизнеса за счет IT. И вот аргумент о том, что новая версия будет работать лучше, он меня убеждает. Другое дело, что он требует доказательств. Вот здесь начинаются сложности. Обещания не значат, что будет хорошо. Кто-нибудь может прокомментировать?

Ф. Д.: Я хочу обратить внимание на то, что, когда вы говорите о страхе, вы не указываете субъект этого страха – кто боится. А это довольно важно. И есть некий фактор, который, в общем-то, очень сильно мотивирует к SAM, несмотря на то что идеал недостижим и несмотря на то, что можно тешить себя надеждой, что не к вам первому придут. А фактор это вот какой: он связан с тем, что отсутствие порядка с учетом лицензий делает совершенно определенным и неприятным вопрос о том, кто будет отвечать, если придут. Ну т. е. находят на миллион долларов ворованный софт, и это уголовная статья, причем в особо крупных размерах. Значит, кто будет отвечать? Вот фокус в том, что при отсутствии порядка в том или ином приближении к SAM отвечать будет либо первое лицо организации, либо первое лицо IT, если его хорошенько, так сказать, обложили. И в этом смысле SAM – это некая дань вообще чувству просто элементарной справедливости. Поскольку явно первое лицо организации ничего не в состоянии ни сделать, ни понять в том, что касается технических вопросов. Ну это как-то не по адресу, по совести, да? И идея состоит в том, чтобы отвечал примерно тот, кто вызвал соответствующие последствия. А он задаст вопрос: «А почему я должен отвечать, когда мне приказали?» Ну вот и дальше эта цепочка раскручивается, и это попытка установить некий баланс интересов.

Хотел еще отметить одну вещь. Это в докладе Криса [Джонсона] было отмечено, и я хочу это акцентировать. Если внимательно почитать материалы по информационной безопасности стандарта ISO и материалы IT, в какой-то момент ясно, что есть просто три разных SAM. Один – учет программного обеспечения для целей информационной безопасности, другой – учет для целей управления IT-сервисами, третий – учет для управления правами на ПО, лицензиями и т. д. Просто три разных методологии.

Причем стандарты ISO – это третье. Просто разные цели, хотя и близкие.

О. С.: Спасибо. Прокомментируешь что-нибудь? (Обращается к Александру Голеву.)

А. Г.: Я прокомментирую по поводу того, что уж субъектом страха с точки зрения финансов и безопасности все-таки является ну если не первое лицо, то владельцы бизнеса. <...>

О. С.: Вот аргумент о том, что на первой проверке мы экономим 30%, а потом по 10% каждый год. На месте бизнеса я бы спросил: «Вы что, первый год плохо работали, что вы каждый год собираетесь меня разводить на 10%?» Или я придумываю?

А. Г.: Понимаешь, на это ответить двусложно нельзя. Надо рассказывать бизнесу про повышение зрелости процесса SAM. Можно примеры разные жизненные. Да, первый раз граблями прошли, собрали крупное, потом увидели мелкий мусор, значит, проходы уже мельче чистим. Так оно и происходит на самом деле – 30% вылезают из грубейших ошибок. Я тебе могу порядки назвать. Если это компания там под 10 000 компьютеров, ну пусть 5000, то экономия в первый год может составить те самые 30% – $5 млн. А сколько даже самый дорогой SAM-консультант возьмет за год, да не за год обслуживания, за приведение всего этого в порядок? Ну никак не пять миллионов. И даже, наверно, не три. <...>А мы еще, между прочим, помимо экономии на ПО не считаем некоторые косвенные вещи. Такие, как, например, экономия на безопасности, снижение процентов простоя IT-инфраструктуры (хотя многие айтишники смеются над этим, но пускай просто подумают немножко). Мы на своем опыте знаем, поскольку у нас помимо SAM еще есть аутсорсинг: если мы приводим инфраструктуру клиента в порядок, у нас количество тикетов [обращений] в техподдержку сокращается на 40%. На 40% сокращается количество тикетов, за которые, между прочим, по некоторым контрактам нам платит time to material, т. е. за конкретные часы. Мы теряем деньги на техподдержке, но мы не теряем клиентов. Клиент доволен, если мы там продолжаем по-другому работать.

М. С.: Понимаете, когда людям из бизнеса приходится объяснять, что вот сейчас придет вендор и проведет аудит своих лицензий, обещая 30% экономии, знаете, какой сразу логичный вопрос: «А что они просто скидку не дадут на эти 30% на следующий год?» Ведь по большому-то счету, если посмотреть на практику, вся история с SAM дальше Compliance не ушла. Приходит вендор для того, чтобы сказать, как оптимальней пользоваться софтом. А у бизнеса очень часто бывают такие ожидания, что кто-то придет и скажет, что вообще вот этой программой не надо пользоваться, лучше пользоваться другой от другого вендора, например. А когда приходит вендор, чтобы прооптимизировать свой софт, – здесь бизнесу чудится что-то странное: приходит, чтобы сам себе вроде как выручку порезать...

В. Р.: Мне очень близка позиция Михаила. Я хотел бы только возразить по одному поводу: два года назад я согласился полностью с фразой о том, что дальше компаний вся тема SAM вообще не прошла. Сейчас это не так. Сейчас внедряются какие-то процессы и процедуры. Но! Соглашусь далее с тем, что дальше этих процессов, описанных процессов и процедур в области управления софтом, компания никуда не движется. Она их не внедряет, она их не использует в нормальном режиме. Это для нее не становится процессом.

М. С. Нет побуждающего мотива потому что. Там мотивация фрагментарная. Она возникает по поводу, например, IPO... Или у Microsoft финансовый год заканчивается, новый контракт им нужно как-то это... Я прошу прощения, я без обвинений. Просто я имею в виду, что это какие-то разрозненные во времени такие вспышки [интереса]. <...>

Анна (мнение из зала): Я – коллега Александра [Голева]. Я немножечко встану в оппозицию всему тому, что говорилось здесь. На самом-то деле основным заказчиком SAM как технологии должен выступать не IT-директор, а должен выступать бизнес. Эффективность компании в целом, эффективность ее функционирования на рынке, оценка стоимости компании волнует бизнес, а не IT. И когда человек от бизнеса понимает, что ему нужна эффективность, ему нужно плодотворно работать в определенных областях, и самое главное – видит различия между инвестициями и затратами: какой у него отдел несет затраты, а какой – инвестиции. И главное, понимает роль IT-инфраструктуры – это затраты или основа функционирования компании, тогда бизнес как бы имеет мотивацию разбираться с этими проблемами. Но не ранее. Мотивация страха – она имеет отношение к разовым проектам. Навели порядок на отчетную дату, успокоились, все хорошо. А процесс можно внедрять, только если это понимает бизнес. <...>

Андрей Юдкин, Manpower Group: Мне кажется, что единого сценария, универсального для каждого случая, просто быть не может. В одном случае у нас инициатором может выступать IT. Когда человек посмотрел: у нас есть такие-то затраты, но если мы изменим модель лицензирования, внедрим четкие процессы, то в этом случае мы можем сделать определенные savings. С другой стороны, инициатором может выступать бизнес. То есть бизнес требует, чтобы наша компания была Compliance с точки зрения лицензирования. Или, например, как сейчас в нашем случае получается, наша штаб-квартира инициирует процесс подготовки документации в рамках [сетевого протокола] SOCKS. Соответственно, это тоже является определенным стимулом, двигателем, который оказывает определенное влияние на процессы SAM в компании. <...>

О. С.: Вот как только компания выходит на уровень транснационального игрока, эти все мотивации, и SOCKS в том числе, становятся аргументами, и они перестают быть кнутом, а становятся пряником. Потому что в результате, в силу соответствия Compliance всему-всему-всему, акции должны идти вверх. Не банки, дающие деньги под проценты в рост, а акционеры, инвесторы выстраиваются в очередь, и компания в выигрыше. <...>

Сегодня у меня сложилось впечатление, что методики SAM – это символ практики довольно цивилизованного продвинутого рынка, где и бизнес, и IT понимают, что они делают, зачем они это делают, они играют в одну общую командную игру. В России еще не цивилизованный рынок. Для того чтобы он стал таким, должно пройти какое-то время, потому что XXI век отличается не только новыми технологиями, а новыми компетенциями, которыми мы если и обладаем, то плохо. И нужно друг друга через какие-то сообщества, какие-то встречи информировать. Это время. Но оно должно пройти. И результат должен быть.

Олег Седов

заместитель главного редактора журнала IT Manager

Окончил МВТУ им. Баумана и Московский государственный университет культуры и искусств (МГУКИ). Автор учебных фильмов. Работал в издательствах «СК-пресс» и «Открытые системы».

Александр Голев

партнер, руководитель отдела SAM, коммерческий директор IT-компании QCS

Окончил МГТУ «Станкин». Работал исполнительным директором системного интегратора KGB.ru, был генеральным директором и партнером в компании QRTC.

Федор Дзержинский

начальник отдела системной экспертизы департамента информационных технологий Промсвязьбанка

Окончил МИФИ. Имеет сертификат CSDP (IEEE Computer Society Certified Software Development Professional). До 1995 г. занимался научной и преподавательской деятельностью в Московском институте повышения квалификации «Атомэнерго». В 1995–2007 гг. работал в банке «Российский кредит», с 2007 г. – в Промсвязьбанке.

Михаил Соколов

IT-директор Yota

Окончил МАТИ-РГТУ имени К. Э. Циолковского по специальности «прикладная математика». С 2006 г. занимается задачами в области архитектуры информационных систем. Участвовал более чем в 50 проектах в различных отраслях.

Михаил Малышев

директор по работе с крупными заказчиками, Adobe Systems

Окончил Московский государственный открытый университет. Работал IT-директором в ЗАО «Союзтелеком», менеджером по работе с ведущими корпоративными заказчиками медиасектора в Microsoft. В Adobe Systems – с октября 2008 г.

Андрей Юдкин

IT-директор Manpower Group Russia

Окончил МГТУ им. Баумана. Имеет степень MBA в области IT. С 1995 г. работает в компании Manpower. Участвовал во всех проектах по внедрению информационных систем компании.