Сертификация: Мексиканские чиновники подали бизнесу личный пример

Ассоциация производителей программного обеспечения BSA – это ведущая мировая технологическая организация, которая существует с 1988 г. В нашей ассоциации состоят крупнейшие технологические компании мира (в последние два квартала к нам присоединились IBM и Oracle); мы присутствуем в 80 странах мира и свою задачу видим в способствовании внедрению инноваций и защите интеллектуальной собственности.

BSA охватывает примерно 80% всех поставщиков бизнес-ПО по всему миру. В России, как и на любом рынке, где мы работаем, мы преследуем несколько целей: вести адресованную компаниям и потребителям просветительскую деятельность относительно ценности программного обеспечения как актива; способствовать внедрению политики, которая помогает инновационному процессу в технологиях.

При этом BSA занимает очень жесткую позицию по защите интеллектуальной собственности компаний – членов ассоциации. В России за последние годы мы совместно с партнерами и государственными органами очень хорошо продвинулись вперед в этой области. По цифрам, которые ежегодно публикует IDC, мы видим, что в России уровень пиратства с 83% в 2005 г. снизился до 63% в 2011 г. Это большой прорыв: самое крупное падение, которое мы видели в одной отдельно взятой стране, так что молодцы россияне. BSA и сама проводит исследования. Мы задавали вопросы пользователям, в том числе владельцам компаний: как они смотрят на пиратство? Так вот, 22% российских пользователей ПК сказали, что всегда приобретают нелегальное ПО, и только 22% говорят, что всегда покупают легальное. То есть уровень пиратства – 63% и только 22% респондентов признаются, что всегда приобретают нелегальное ПО. Налицо определенный разрыв между независимыми расчетами по рынку и самовосприятием уровня пиратства среди пользователей. Почему возникает такой разрыв? Давайте будем откровенны. Некоторые люди воруют. Пиратство программного обеспечения существует, но это лишь одна сторона медали. Огромная часть пользователей, особенно среди владельцев компаний, полагают, что приобретение какого-то количества ПО полностью их легализует, не осознавая, что, не покрывая лицензиями все рабочие места, они продолжают нарушать авторские права. И мы сегодня уже слышали: такое впечатление, что нет ни одной компании – ни в России, ни в мире, ни во вселенной, – которая на 100% была бы уверена в том, что пользуется полностью легальным ПО. Это удивительный факт, и надо понять, как с ним обходиться.

Конечно же, мы стремимся максимально защищать авторские права участников ассоциации и взаимодействуем по этой части с государственными органами по всему миру. Но мы также понимаем, что плохая информированность руководителей, недостатки в процессах управления, ограниченность ресурсов могут привести к ситуации, когда вы, сами того не желая, можете очутиться в положении нелегального пользователя. И, собственно, тут и возникает место для процесса SAM. Для нас SAM – это внутренняя политика, которая отвечает на вопрос легальности использования ПО для многих компаний и помогает им при сохранении легальности использования ПО получить выгоду от повышения производительности труда. Как некоммерческая организация и с учетом того, что среди наших участников присутствует большинство вендоров, мы можем общаться с рынком на нейтральной основе, от имении индустрии ПО в целом, чтобы оценивать и признавать готовность компаний к управлению программными активами и предлагать соответствующие услуги (я их опишу чуть позже). Именно поэтому BSA входит в рабочую группу 21 ISO, где вместе с участниками ассоциации и другими партнерами мы вырабатываем стандарты, которые должны применяться к оценке готовности к SAM отдельных пользователей и компаний.

Почему, в принципе, компании занимаются управлением программными активами (см. диаграмму)? Удивительно, что основным движущим фактором по-прежнему является стремление обеспечить легальность использования ПО и соблюдение условий лицензирования. На втором месте стоит повышение эффективности затрат на программное обеспечение. Не просто вопросы легальности и полного выполнения лицензионных требований, но также проблема эффективности. Приведу несколько цифр, которые показывают, насколько важной вещью является управление программными активами для организации. Например, реализация программы SAM может сократить до 50% временные затраты IT-сотрудников – и, соответственно, значительно сократить затраты материальные. Или: в среднем организации лишь на 70% используют программное обеспечение, которое ими закуплено по лицензионному соглашению. Мы, кстати, постоянно сталкиваемся с ситуацией, когда проверяемая компания использует либо слишком много лицензий, либо недостаточно. И количество лицензий, которых, допустим, на какой-то продукт закуплено слишком много, не компенсирует того, что на другой продукт у вас лицензий недостаточно. В результате случается так, что вы тратите (и иногда в течение долгого времени) на ПО больше, чем должны, но по-прежнему остаетесь нарушителем. И это чрезвычайно неприятно для любого владельца бизнеса: если ему приходится нести ответственность за нелегальность использования одного ПО, при этом он чрезмерно много тратит на лицензирование другого. Еще цифра: 29% IT-директоров и финансовых директоров не знают, сколько они каждый год тратят на свои основные программные активы – и это удивительно. Я уверен, что, если взять другие статьи расходов – например, на парковку автомобилей, на зарплату, на аренду, – эти затраты гораздо четче видны руководителям.

Таким образом, если говорить коротко, управление программным обеспечением – это критически важная вещь. И если делать это достаточно хорошо, SAM может стать хорошим средством, помогающим правильно управлять компанией, сокращать затраты, повышать эффективность и внедрять хорошие правила корпоративного управления. А вот если эта деятельность не осуществляется, без SAM программное обеспечение может даже стать разрушающим фактором для эффективности работы компании применительно к производительным затратам.

Надо заметить, что, если даже компания все это осознает – и выгоды, и, наоборот, проблемы, – это не обязательно означает, что все это вдруг рассосется. Тем не менее дискуссии на эту тему продолжаются. Речь идет о разных формах лицензирования, о разобщенности взглядов, и пока не все передовые практики приняты в каждой компании. Самое главное, что тут ни один вендор не может дать гарантии, что вы полностью будете соответствовать требованиям лицензирования всех других поставщиков ПО, которым вы пользуетесь. Именно поэтому BSA и создала экосистему SAM, которая покрывает потребности отдельных групп, в том числе физических лиц, профессионалов, которые работают либо на себя как специалисты по IT, либо как консультанты, обладающие достаточными знаниями, чтобы запустить процесс SAM в организации, которой они оказывают услуги. Юридическим лицам мы выдаем сертификат аудитора, чтобы, привлекая компанию, вы были уверены, что работаете с квалифицированным партнером, который в курсе всех стандартов в этой области на рынке и который может стать для вас нейтральным советчиком. Всего три вида сертификатов: CSS(O) – для организаций, CSS(Р) – для IT-профессионалов, CSS(А) – аудиторский. Все три аспекта экосистемы, кстати, полностью соответствуют стандарту ISO 19770-1. В центре экосистемы SAM находится организация, сертифицированная по стандартам SAM. Это основополагающий элемент, и он обеспечивает, так сказать, правильный план по внедрению SAM для компании. Получая сертификат CSS(O) (а рынок нас об этом просил достаточно долго), компания может спозиционировать себя как полностью соответствующая международным стандартам SAM, приобретает конкурентное преимущество и может продемонстрировать, что не только играет по правилам с точки зрения соблюдения условий лицензирования, но и получает выгоды и преимущества профессионально поставленного управления программными активами.

Несколько аргументов, которые мы используем, чтобы доказать, что наличие сертификации CSS(O) соответствует потребностям рынка. Во-первых, сертификат подтверждает, что бизнес-процессы компании надежны и полностью соответствуют стандартам и практике, а также позволяют правильно поставить процесс управления программными активами. Для организации наличие такой сертификации означает четкую демонстрацию ее лидерского, ведущего положения, демонстрирует преимущество в конкурентной среде, позволяет добиться максимальной эффективности ведения бизнеса. И дает ряд других преимуществ, которые позволяют сократить риски и повысить эффективность использования программных ресурсов.

Теперь – как выглядит процесс сертификации. Хочу подчеркнуть, что в сертификации организации очень часто участвуют наши сертифицированные аудиторы, и они тесно взаимодействуют с организациями. Это двухэтапная проверка: 1) существующих в компании политик, процессов, механизмов контроля и т. д. на устойчивость и соответствие международным стандартам; 2) соответствия лицензионным соглашениям на ПО, используемое в компании, и способности соблюдать данное соответствие в долгосрочной перспективе. Попробую вкратце описать процесс сертификации компании. Для того чтобы начать процесс, организация должна обратиться с заявкой в BSA. После чего стороны определяют аудитора из числа сертифицированных компаний, который будет проводить аудит. В течение 4–6 недель аудитор проводит работу, в процессе которой все три стороны постоянно взаимодействуют. При обнаружении тех или иных несоответствий компании дается время на их устранение. После этого аудитор готовит заключение, по итогам которого BSA выдает сертификат организации.

Мы пока находимся на раннем этапе реализации этого проекта, который носит всемирный масштаб, начали с нескольких стран. И я привез с собой три примера – два из Индии и один из Мексики. Это достаточно любопытно, поскольку показывает, что очень велико разнообразие организаций, где мы проводим CSS(O)-сертификацию. Первый пример – Symphony, индийская компания, предоставляющая услуги по аутсорсингу разработки ПО для многих международных компаний. Как мы знаем, Индия представляет собой чрезвычайно конкурентный рынок аутсорсинга разработки ПО, и для Symphony было важно спозиционировать себя как ведущую компанию в этой отрасли, ей нужно было подтвердить, что она полностью выполняет все требования по лицензированию ПО и проводит процесс SAM должным образом. Для этого ей нужна была сертификация CSS(O). Второй пример: совместная государственно-частная компания, управляющая международным аэропортом Дели. Это, конечно, тоже организация очень открытая, она аккумулирует интересы разных сторон и находится под активным контролем. Сертификация SAM стала частью программы аэропорта по обеспечению устойчивой и долгосрочной безопасности инфраструктурного объекта. Им нужно было обеспечить эффективность и удостовериться в безопасности всех существующих систем деятельности, в том числе и программного обеспечения, используемого в деятельности аэропорта. Поскольку я сам пассажир, я полностью поддерживаю их стремление в этой части. Последний пример – это министерство экономики Мексики и четыре его ведомства. Это, кстати говоря, был первый государственный орган, который решил пройти процесс сертификации CSS(O). Мотивация министерства состояла в том, чтобы, так сказать, создать прецедент – на своем опыте показать компаниям в Мексике (а эта страна представляет собой очень многообещающий и развивающийся рынок), как необходимо управлять активами ПО, и побудить их последовать примеру. Они хотели продемонстрировать, что постановка профессионального управления программными активами является критически важным фактором успеха. А в их конкретном случае – фактором успешного предоставления государственных услуг населению.

В каком положении мы находимся в России. После запуска образовательного курса на русском языке по внедрению SAM в соответствии с международными стандартами, предназначенного для профессионалов, – CSS(P) – мы хотим продвинуться еще на один шаг. Домашнее задание, которое перед нами стоит, – это, во-первых, включить местные компании, местных поставщиков SAM-консалтинга в список сертифицированных аудиторов CSS(A) – т. е. для начала сертифицировать компании, которые будут проводить аудит в России. Это очень важно с точки зрения владения локальным опытом, спецификой законодательства и местного рынка. После этого совместно с новоиспеченными аудиторами мы планируем идентифицировать две-три пилотные компании, которые должны быть технологически и идеологически готовы к сертификации, т. е. у них уже должны быть внедрены ключевые процессы управления активами ПО и соответствующие процедуры. Мы не хотим быть святее папы Римского и требовать слишком многого – но хорошо, если в компании используется больше 500 компьютеров. Вот такое минимальное требование: 500, плюс-минус. То есть пока нас не интересует пилотная организация совсем малого размера, где 20 ПК. Потом, когда это все наберет обороты, конечно, мы будем стремиться охватывать компании любого масштаба.