Опыт: Понятие «все хорошо» бывает субъективным
В любой компании всегда возникают вопросы: кто отвечает за ПО? Зачем оно нужно? Зачем за него платить? И т. д. При этом схемы оптимизации очень разнообразные – и подчас дикие. Между тем юристы компании будут говорить, что как раз именно эта схема лицензирования – самая лучшая, потому что «мы вообще ничего не платим и продолжаем оставаться легальными пользователями». На самом деле это не так.
Adobe Systems
Производитель программного обеспечения. Основана в 1982 г. в США. Почти 100% акций – в свободном обращении, крупнейшие инвесторы – Primecap Management Company (8,37%), Valueact Capital Master Fund (6,24%). Капитализация – $20,4 млрд. Финансовые показатели (финансовый год, завершившийся 30 ноября 2012 г.): выручка – $4,4 млрд, чистая прибыль – $832,8 млн. В 2009 г. в России зарегистрирована дочерняя компания – ООО «Адоб системс». Ее выручка в 2011 г. – 174,9 млн руб., чистая прибыль – 4,8 млн руб.
Разговор с докладчиком
Владимир Разуваев: Есть такой миф сейчас на рынке, что если вендор приходит к заказчику, а тот на предложение провести аудит отвечает, что мне Softline или еще кто-то его сделал только что и буквально внедрил SAM, то этого достаточно, грубо говоря,чтобы вы отстали? Иван Дергачев: Покажите нам доказательства, покажите нам результаты вашего внедрения. Если вы фактически можете показать информацию об установках и у вас также ведется реестр закупленного ПО – достаточно будет оснований, чтобы сказать: «О кей, мы посмотрели ваш результат, нам хватило бегло двух минут, чтобы сказать: «Все, спасибо». Вопрос из зала: Что является юридическим основанием проведения аудита со стороны вендора? И. Д.: Есть несколько оснований. Одно из оснований – это то, что в User License Agreement есть такой пункт и, нажимая кнопку accept, конечный пользователь соглашается с этим пунктом. По этому пункту, как правило, прописано, что компания-правообладатель имеет возможность не чаще какого-то срока проводить аудит в такое-то время и т. д. И какая информация требуется правообладателю от компании, которая использует ПО. Вторая часть – это уже наш ГК, там уже конкретно прописана правоприменительная практика, что лицензиар и лицензиат, вступая в отношения, должны предоставлять друг другу какую-то информацию. Какую – в ходе аудита всем доводится [до сведения]. Вопрос из зала: А если у компании вообще нет соглашения ни с какими вендорами, а она работает, все работает? И. Д.: Бывают компании, которые занимаются коммерческой деятельностью на территории Российской Федерации без официально купленного ПО. <...> С этими компаниями работают уже другие методы. License Compliance, аудит – это я к своему другу прихожу, потому что мы друзья на основании соглашения, которое акцептировано. Тем, кто не акцептировал это соглашение, но тем не менее пытается набиться мне в друзья, я к ним «друзей» [из правоохранительных органов] привожу. Недавний пример – одну такую компанию, которая вела коммерческую деятельность на территории Российской Федерации, лишили статуса ИП, достаточно этого для коммерческой организации? Для физических лиц бывают еще какие-то [санкции]. Вопрос из зала: Но появляются ли основания, юридические основания, для проверки организации? И. Д.: Есть разные случаи. Есть проверки, которые инициированы правообладателем, есть проверки, которые инициированы правоохранителями. У всех бывают разные ресурсы информации. Кому-то достаточно кляузы от бывшего сотрудника, что в данной компании используется нелегальное ПО, чтобы инициировать проверку. Федор Дзержинский (Промсвязьбанк): Очень интересный вопрос Владимир задал: что нужно, чтобы снизить вероятность проверок. Среди ответов не прозвучал такой, который я бы интуитивно поставил первым в очереди (Может, я ошибаюсь, тогда вам виднее.) Это такой фактор, как наличие серьезных регулярных поступлений денег в адрес вендора соответствующего субъекта и чтобы эти поступления были соразмерны оценкам, ожиданиям при текущих условиях рынка. Вот была упомянута экономия от $7 млн на одном вендоре. Я бы не рискнул утверждать – мне кажется, что это уж слишком. И. Д.: Если я шаг назад сделаю и скажу, что работаю в том концерне, где работал [до Adobe], для меня вендор со своими проверками – это кость в горле, которая иногда появляется и что-то от меня хочет при том, что я и так ему деньги плачу. У меня постоянно появляются какие-то потребности, я их реализую и оплачиваю. Ф. Д.: Может быть, мало? И. Д.: Насколько мало, не мне судить. Я со стороны потребителя считаю, что каждая копейка, отданная вендору, отнята у своих сотрудников. Но на самом деле правильно задан вопрос. Есть вероятность среди следующих целей на ближайший год: вносить в шорт-лист [упрощенных проверок] компании, которые закупают ПО достаточно много, регулярно. Есть такая возможность. Действительно, мы не только анализируем потенциальное количество жалоб на эту компанию, но мы анализируем количество купленного ПО. Это тоже важный показатель, потому что легального пользователя не имеет смысла лишний раз мучить.
Я расскажу в двух словах, что такое License Compliance.
Для клиента License Compliance – это как раз одна из задач SAM-менеджера, или менеджера по управлению программными активами. У него есть ряд задач, которые, как правильно было сказано, являются процессными задачами. И если их не выполнять периодически, весь процесс рушится и управление ПО превращается в подобие зоопарка.
Со стороны вендора или компании правообладателя License Compliance – это немножко другая деятельность. Коротко – это сравнение количества установок с количеством купленного ПО, а также положительный опыт от внедрения SAM и проведения License Compliance аудитов.
О результатах и пользе аудита я расскажу на конкретном примере. Сравнительно недавно мы проводили аудит у известного автомобильного дилера – компании «Рольф». Крупная компания, много компьютеров. И результаты аудита были весьма приятные и для менеджмента самой компании, и для Adobe – мы увидели, что практики SAM действительно работают.
Выводы, которые мы сделали: успешное внедрение SAM позволяет значительно сокращать сроки аудитов, потому что если ты, обратившись в компанию, сразу получаешь информацию: «вот у нас количество установок, вот у нас количество ПО», то вопросов, как правило, не возникает. (Хотя обычно бывает по-другому: компании говорят, что «сейчас мы подготовим», и этот процесс затягивается на долгое время.) Результаты аудита опять же не становятся сюрпризом для менеджмента. Это не то что провели аудит и на выходе компанию обязуют купить ПО на многие миллионы. Проблемы вполне решаются плановыми закупками. И еще такие компании намного реже становятся целью для повторного аудита.
Теперь я на личном опыте расскажу о внедрении SAM. Я работал в очень крупном концерне, в который входило более 200 юридических лиц по всему миру – и в США, и в Европе, и в странах Азии, и, конечно, в России. Соответственно, очень много вендоров и очень много разных программных продуктов использовалось. Все началось, когда у компании-аудитора, которая нас проверяла, возникли вопросы: «А вы управляете своим ПО? И если управляете, то как?»
И тут все задумались, а почему бы с таким количеством программных продуктов, с сотнями тысяч установок, не заняться управлением ПО? К тому же в России на момент начала проекта SAM у нас произошел ряд слияний. Соответственно, шла передача активов и был проведен локальный аудит. Он показал, что, во-первых, во вновь образуемой компании должен быть человек, который занимается управлением лицензиями и ПО. Во-вторых, конечно же, выяснилось, что в компании отсутствуют процессы по управлению ПО. Аудиторы не поверили, что сами сотрудники ничего не ставят себе на компьютеры. Поэтому, даже если ваши сотрудники подписали бумагу, что не установят у себя самостоятельно программное обеспечение, это не гарантирует, что никакое лишнее ПО не появится на компьютерах вашей компании.
Таким образом стало понятно, что у нас отсутствуют централизованные инструменты для управления ПО и требуется система управления лицензиями. После того как все новости свалились на голову нашим айтишникам, было решено организовать свой внутренний проект. Внутренний, потому что российской компании-партнеру бывает очень сложно достучаться до штаб-квартиры западной компании.
Мы составили «экшн план», разбросали задачи по уровню ответственности (там были чисто юридические вопросы, были вопросы, касавшиеся нескольких отделов), определили сроки и получили одобрение руководства не только на выделение средств, но и на выделение времени, чтобы сотрудники занимались этим проектом.
Дальше была техническая реализация. Мы устанавливали ПО, которое позволяет проводить централизованные установки и инвентаризацию компьютеров, и, соответственно, ПО на компьютерах. Затем следовал очень интересный этап – сбор данных по всем закупкам всех юридических лиц – партнеров. И это была серьезная головная боль для айтишников. Мы думали, что обратимся в бухгалтерию – и нам предоставят все данные. Однако выяснилось, что в бухгалтерии за последние пять лет и бухгалтеры сменились, и происходили новые закупки, и сами бумаги терялись.
Один из вендоров дал нам хороший совет: обратиться к поставщикам нашего ПО, у которых есть данные по закупками. Мы это сделали, и они довольно скоро предоставили нам отчеты. Затем мы сравнили количество установок и количество лицензий. В случае расхождений мы докупали софт, но это было не основным. Главное было понять, где мы есть.
Очень интересна бюрократическая часть. Это занятие как раз для людей, у которых за плечами есть юридическое, экономическое или айтишное образование. Также человек должен быть хорошим менеджером, обладать положительной харизмой и быть знаком всему руководству компании, потому что весь процесс связан с большим количеством согласований. И если менеджмент говорит, что все должно быть зеленым, то рекомендация «давайте немножко сделаем красного» не прокатывает. Надо самим долбить менеджмент и убеждать, что именно так выгодно и полезно.
Когда все было сделано, мы смогли увидеть выгрузку по всему ПО, которое у нас было установлено. Мы удалили все, что было самостоятельно установлено сотрудниками, и предупредили их, что так делать нельзя.
Также были настроены оптимизации и стандартизации используемого ПО. Как правило, в компании один рисует в одном продукте, другой ваяет в другом, третий – в третьем, кто-то еще в четвертом, пятом, шестом... То есть для одной и той же задачи нет стандартного ПО. Что тут можно сделать? Обсуждаете со всеми, кто использует это ПО, какая программа больше всего подходит. Определяется один продукт, для всех закупается его последняя версия, все ее используют, и за счет этого происходит оптимизация и стандартизация.
Кроме того, мы действительно получили непрерывные процессы, которые позволяли контролировать исполнение самих директив и процедур. Скажем, мы в режиме онлайн получали информацию о том, что на таком-то компьютере вчера появилась такая-то программа. Мы звонили сотруднику и говорили: вы знаете, у вас там появилась программа, наверное, вы не сами ее установили, вам же нельзя было ее ставить. Нам говорили: да, конечно, она залезла к нам вместе с почтовым отправлением, или из интернета как-то попала (т. е. ребенок поиграл), или еще что-то – разные варианты были. Но тут важен сам факт, что у сотрудников появлялось понимание, что будь они даже нашими представителями на Камчатке или в Калининграде, они все под контролем. И периодические отчеты об использовании ПО позволяли менеджменту удостовериться, что мы в безопасности, что у нас все хорошо, что мы контролируем и используем все, что купили. Так что в нашем случае мы получили благодарность от руководства компании.
Но для крупных компаний больший интерес может представлять система управления в самом концерне. Опять-таки могу рассказать об этом на своем опыте. Есть центр управления активами, где хранится информация обо всех компьютерах. Есть само железо, которое «докладывает» об установленных на нем программах. Также есть информация о закупках и всех контрактах. Еще часть информации приходит от компьютеров, которые не подключены к доменной сети, поскольку используются на производстве, но другие сompliance-регуляции не позволяют их использовать в доменах. И кроме того, данные от HR. Все эти данные сливались в конечном счете в централизованную систему управления лицензиями. На основании этой информации мы получали некий баланс, который в дальнейшем анализировали и в соответствии с выводами делали последующие шаги.
Какой был получен опыт. Во-первых, изменение образа мышления. До внедрения SAM логика была приблизительно такой: «Почему я должен доказывать, что у меня все хорошо, если это действительно так?» Но, во-первых, понятие «все хорошо» в использовании ПО часто бывает субъективным. И если у вас нет прозрачных процессов и вы не можете отчетами за 5–10 минут доказать, что у вас действительно все хорошо, вам никто не поверит. Во-вторых, также стоит внимательно относиться к лицензиям. Если у вас есть лицензии, то еще не факт, что это ваши лицензии. Докажите, представьте их корректно.
Полученный опыт говорит и о том, что у вас должны быть хорошо отлаженные позитивные отношения со всеми структурами внутри компании. Скажем, в бухгалтерии есть специалисты, которые отвечают за основные средства. Они ведут карточки бухгалтерского учета ПО, списывают его, ставят на баланс и т. д. Менеджмент вообще может принимать решение: «А давайте эту программу использовать во всей компании, потому что ребенок научил меня в этой программе работать». Отдел закупок – это отдельная история. Они пытаются добиться максимальной выгоды по закупкам определенного ПО, при том что вам это ПО, может, и не нужно. Служба безопасности – вообще отдельные люди, которые, не понимая предметной области, тебе советуют, как ты должен себя вести. Поэтому прежде чем начинать внедрение проекта SAM, необходимо получить поддержку руководства компании, иначе каждый из этих шагов будет вас тормозить, вы просто потеряете время, а результатом вашей работы будет многолетнее страдание над бумагами.
Какие можно дать рекомендации? Если у вас есть желание проводить SAM самостоятельно, то желательно привлечь в команду человека, который как-то что-то слышал об этом. Желательно привлечь внешнего консультанта, который может со стороны оценить все ваши процессы и правильно провести инвентаризацию – не «где-то что-то лежит», а «пойди, принеси, покажи, отрапортуй по форме, не просто коробки передо мной свали, а покажи, как надо».
Проводя SAM, вы должны понимать, что нужно достаточно сотрудников, времени и финансов, чтобы в случае необходимости докупить лицензии или необходимое ПО.
И как было уже сказано, проект SAM не заканчивается как проект. Он переходит в процесс и всегда должен быть под контролем руководителя. Причем даже не у того менеджера, который отвечает за использование ПО в компании, а у руководителя IT.
И еще одно замечание. Самостоятельное внедрение процесса может не принести выгоды, а лишь минимизировать риски. Подумайте: может быть, стоит привлечь партнера хотя бы для проведения оценки, сколько времени может потребоваться для внедрения SAM, какие ресурсы потребуются от компании, какова будет экономическая выгода. И если вы и ваш партнер сделаете шаг навстречу друг другу, то у менеджмента не возникнет вопроса – зачем мы тратим деньги на SAM.
SAM – это инвестиции. И если их правильно вложить, то они быстро отбиваются.