Программные активы: SAM вам в помощь

Михаил Козлов, директор по развитию De Novo, модератор: Я бы хотел попросить Арсения [Тарасова] поделиться новостями с точки зрения лицензирования, аудита и тем, как Microsoft видит этот рынок - что нового, интересного мы должны знать.

Арсений Тарасов, директор департамента по работе с крупными организациями Microsoft в России: Количество IT-активов, программных продуктов, которые есть в компаниях, существенно растет, и у любого IT-директора существует задача развивать практику по управлению IT-активами. Значит, на рынке, естественно, растет количество компаний, которые занимаются этими вопросами - помогают IT-директорам решать эти вопросы. Небольшая статистика. Например, в 2 раза, с 20 до 40, увеличилось количество «золотых» партнеров, которые имеют компетенцию именно по Software Asset Management (SAM).

Второй важный момент - это на самом деле бомба в каком-то смысле - то, что в России будет ГОСТ, связанный с процессами SAM. Это, мне кажется, совершенно потрясающая новость. Подписан приказ об утверждении введения в действие этого ГОСТа, называется «Менеджмент программных активов». Часть первая - «Процесс и оценка соответствия по уровням». И как любой государственный стандарт, конечно, это внесет определенную ясность определения и повышения квалификации для сотрудников и компаний, которые этим пользуются.

Для себя в Microsoft мы понимаем, что одна из ключевых задач в IT-департаментах - вопросы, связанные с управлением активами, они являются той зоной, где взаимодействие с крупными игроками рынка чрезвычайно важно. Для нас инвестиции и помощь нашим уважаемым заказчикам в области SAM является приоритетной. У нас есть специальный отдел, который как раз помогает решать все вопросы, связанные с управлением IT-активами. И мы расширяем этот отдел и эту функцию, чтобы помочь всем тем заказчикам, которые ищут наиболее интересные и оптимальные способы управления внутренними IT-активами.

Михаил Козлов: Коллеги, а такой вопрос: есть ли в зале кто-нибудь, кто за последнее обозримое время пережил собственно аудит SAMовский? Можете поделиться - что при этом происходило, что было хорошо, что было плохо? Что понравилось, что не понравилось?

Участник круглого стола (из зала): Я получил истинное удовольствие от общения с замечательными специалистами из CSD. А если говорить серьезно, общение всегда конструктивное, когда стремишься сам провести аудит, чтобы все было известно самому. Когда сам ищешь эти данные, предоставляешь. Аудиторы в данном случае помогают только обработать данные. Например, мне предлагали провести аудит только по части офисов, а потом экстраполяцией определить, скажем, использование Windows, установленных на компьютере. Я сказал: нет, я хочу получить полную информацию. Я сам собрал и предоставил данные по всем офисам, которые имеет наша организация. В результате получил точность 95-96%. Это хорошая точность. И аудиторы мне помогли обработать эту информацию, потому что кое-что я знал, но не во всем у меня был опыт. Например, в области виртуализации мне помогли это все посчитать. Сейчас аудит закончен; мы знаем, что нам нужно докупить для того, чтобы наша организация была полностью лицензирована.

Денис Савенков, руководитель IT-департамента ЧТПЗ: Замечательно, что есть такие площадки для обмена опытом, потому что у меня аудит был полнейшим безобразием. Спасибо, что есть довольные этим делом люди. Потому что я, честно говоря, думал, что то, как у нас это происходило, - это стандарт и так и должно быть. Вдаваться в подробности не буду. Скажу просто, что все закончилось, по сути, разрывом отношений с Microsoft. К счастью, на данный момент никто из Microsoft, участвовавший в этом безобразии, там уже не работает, равно как и на ЧТПЗ.

Михаил Козлов: Но какие-то специфические проблемы вы можете нам представить?

Денис Савенков: Причины проведения [аудита] или то, что вылезло по итогам?

Михаил Козлов: Чем вы недовольны, что было плохо?

Денис Савенков: Во-первых, как я понимаю, аудит должен проводиться по инициативе клиента. Тут же каким-то образом нас заставили это сделать (а мы отказывались от участия Microsoft, потому что имели возможность выбрать). Проверку делала EY. Путем бегания по нашим подвалам, отключения продуктивных серверов и остановки производства. В итоге нашли небольшое количество недочетов, с которыми мы согласились и готовы были исправить. Но уже с нами все отношения [со стороны российской Microsoft] были прекращены - только Дублин (в Дублине находится ЦОД Microsoft. - «Ведомости»), только суды - уже Америка.

Арсений Тарасов: А это был SAM-аудит или просто аудит?

Денис Савенков: Это был просто аудит.

Татьяна Федотова, менеджер программ по продвижению лицензионного ПО Microsoft в России: Я хотела бы прокомментировать. Мы тут немножко путаем понятия. Я в Microsoft отвечаю за аудиты, не за SAM. И в терминологии Microsoft это два разных понятия. То, что было у вас, - действительно без права выбора партнера - это то, что делается по соглашению в обязательном порядке, вы не можете отказаться. Обычно такие аудиты проходят как раз в компаниях, которые отказались от добровольного SAM-проекта. И если мы ощущаем, что вы, может быть, не совсем эффективно управляете своими активами, тогда компания Microsoft действительно предлагает провести то, что предусмотрено соглашением.

Вопрос из зала: А какие сигналы, откуда ощущение? Что вы изучаете и анализируете?

Татьяна Федотова: На самом деле это некая стандартная процедура, которая предусмотрена соглашением, она проводится раз в сколько-то лет. Вот и все. Вы под нее подпали. Это не SAM. А предмет сегодняшнего разговора у нас все-таки SAM-проекты.

Михаил Козлов: Поясните, может быть, не все понимают. Давайте представим себе риск для компании, у которой есть объект аудита. В чем разница между SAM и не SAM?

Татьяна Федотова: Я бы не стала так формулировать вопрос, потому что дело не в рисках, а в цели. Цель аудита - это выявить недостачу [лицензий], а цель SAM - навести порядок и помочь компании в дальнейшем правильно управлять активами. Аудит не предусматривает какие-то консультации, выстраивание системы и т. д. Он просто сверяет то, что есть, и то, что собственно куплено. После аудита нужно просто купить то, чего недостает...

Михаил Козлов: ...Если найдены нарушения, которые, с вашей точки зрения, зафиксированы. А после SAM-аудита могут последовать просто рекомендации.

Татьяна Федотова: Совершенно верно.

Эллиот Гойхман, начальник IT-департамента «МДМ банка»: Я просто хотел немного пояснить касательно вот этих последовательностей и вот этих терминологий. Мы пережили на самом деле SAM, т. е. нами было получено письмо о том, что «МДМ банк» выбран для проведения аудита как одна из организаций, которая лицензирует продукты Microsoft. Так как у нас не было до того предложений, мы не отказывались от проведения SAM, то, соответственно, мы провели с Microsoft переговоры: сказали, что давайте мы сначала сделаем свой внутренний аудит посредством проведения SAM с привлечением партнеров. Дальше, соответственно, проконсультировавшись с ними, мы можем сократить потребление лицензий. И если после этого потребуется - после того, как мы предоставим Microsoft результаты этого SAM, - то сможем выработать общую стратегию. То есть был некоторый переговорный процесс. Но, насколько я понимаю, аудит с привлечением всяких больших аудиторских компаний, «большой четверки» и т. д. - это уже как бы переход к военным действиям, т. е. это уже имеет целью нахождение недолицензированности и дальше уже выставление [санкций].

Игорь Хлебников, начальник управления развития и сопровождения ИС компании «Итера»: На предыдущих конференциях, которые, собственно, «Ведомости» организовывали по SAM, очень много как раз говорилось о таком понятийном аппарате, что такое SAM, что такое аудиты и т. д. Принципиальное различие в том, что аудит, под который подпал коллега из ЧТПЗ, - это классический аудит на предмет соответствия лицензий, в данном случае это классический License Compliance. Когда мы говорим о SAM, мы говорим о реализации бизнес-процессов в организации. И SAM действительно дело достаточно добровольное, потому что компания выходит с неким положительным желанием посмотреть, что в организации происходит. Она либо делает это самостоятельно, либо обращается к внешним консультантам, проверяет бизнес-процессы, либо внедряет их, доводит, докручивает политики, нанимает в штат людей, которые отвечают за процесс управления программным обеспечением. SAM как система процессов имеет в первую очередь долгосрочные цели: что в организации все будет в порядке в долгосрочной перспективе. Она как бы подразумевает, что процесс лицензирования будет поставлен на некую контролируемую основу, когда сам заказчик, сама компания-клиент, знает, когда ему надо закупаться, когда у него заканчивается лицензия, нужно обновлять, допустим, подписки или еще что-то. И здесь принципиальные различия между аудитом License Compliance, который многие испытывают со стороны - будь-то Microsoft, Oracle, SAP и других компаний, либо когда проверяются собственно бизнес-процессы, в частности, и в рамках License Compliance.

Илья Панкратов, директор по консалтингу CSD: SAM-аудиты проводят независимые внешние организации, а не сам вендор. Если вы идете на SAM-аудит, т. е. на добровольный процесс, вы понимаете, что вам предоставят отчет. Вы вольны распоряжаться информацией, но вам показывают - вот у вас такие-то дыры, и если они будут обнаружены вендором, могут последовать те самые аудиты с проблемами.

Михаил Козлов: Хорошо, более-менее понятно. Значит SAM-аудит - это некий проект, по результатам которого мы видим: есть проблемы/нет проблем. Если мы посмотрим на SAM как на бизнес-процесс, как на управление программными, может быть, шире - IT-активами, то какие есть позитивные рекомендации, чтобы выстроить этот процесс именно управления активами, для того чтобы не доводить дело до экстрима.

Игорь Хлебников: Хотел сказать, что мы подходим к SAM в основном именно как к процессам. Ясно, что License Compliance - это то, что больше всего интересует клиентов, что у него есть, какой недостаток в лицензии, какие риски. Но это только самая верхушка айсберга. Если потом по ГОСТу перейдем, если по стандарту, то это самый первый уровень: надо определить достоверные данные - что у нас есть, с чем мы работаем. Но когда речь идет о процессе, невозможно один раз посчитать: ведь сегодня так, а через месяц внедрили новую IT-систему, потом купили другое юрлицо, что-то поменялось...

Правильно заниматься именно процессами, поставить их в соответствие с лучшими практиками - например, с международным стандартом ISO 19770. Не обязательно внедрять все-все процессы, ведь можно разумно подобрать то, что подходит для организаций, чтобы не допустить рисков, чтобы их сократить, и заниматься управлением программными активами на постоянной основе. Вот какова наша роль, когда мы участвуем в SAM-аудитах, а точнее - в SAM-проектах (потому что это все-таки не в чистом виде аудит, нет цели поймать или найти что-то у клиента и куда-то это предъявить)? Основная задача, чтобы клиент и вендор нашли общий язык, чтобы клиент понимал, какие у него есть IT-активы, как их оптимальнее лицензировать. И если по результатам аудитов предусмотрены серьезные штрафы (это везде в контрактах прописано), то в SAM этого нет.

Михаил Козлов: Коллеги, какие будут рекомендации, что нужно делать постоянно на основе лучших практик - например, представленных в виде стандарта ISO 19770, который у нас в ближайшее время, как мы слышали, будет реализован в системе ГОСТ.

Эллиот Гойхман: Денис [Савенков] и я представляем организации, которые как раз являются лицензиатом, и, соответственно, либо подпадаем под аудит, либо соглашаемся проводить SAM. Проблема в том, что, даже если вы не меняли свою инфраструктуру, все равно изменения, которые осуществляются вендором, могут привести к тому, что вы становитесь недолицензированными. Например, несколько лет назад Microsoft имел программу, по которой SQL-сервер (система управления реляционными базами данных. - «Ведомости») лицензировался на всю организацию, т. е. было неограниченное количество лицензий. Потом программа прекратилась, но Microsoft прекрасно знает, что мы давали им возможность установить сколько угодно. Сейчас мы начали лицензировать не просто по количествам серверов, а по количеству ядер. Соответственно, политика меняется. Опять же мы смотрим, что у нас там к 1 июля получится. Может возникнуть ситуация недолицензированности. В Microsoft прекрасно знали, что они изменили правила лицензирования, и пришла пора проверить соответствия. При этом в Ирландии в отличие, допустим, от российского Microsoft, они выстраивают какие-то метрики и говорят: с нашей точки зрения у банка должно расти количество пользователей, допустим, на 5-10% в год. И, соответственно, если у вас количество лицензированных пользователей не возросло - это для них сигнал: может, что-то там не так. В то время как мы знаем, что в банковской сфере в России сейчас как раз происходит такое... активное ужимание, роста не происходит и возникает некоторый диссонанс.

Илья Панкратов: Коллеги, можно я за Microsoft отвечу. Поправят коллеги из Microsoft, если я что-то не то скажу. Вообще говоря, зачем нужен как раз SAM? Такая ситуация, которая у вас произошла - Microsoft что-то изменил и вы стали нелицензионными, - она неправильна, ее не должно быть. И если по результатам SAM-проектов мы показываем: вы инфраструктуру не меняли, вам положено было такое количество лицензий... Да, конечно, есть коэффициенты пересчета в новой лицензии по умолчанию, они есть, и они могут действительно привести, если по-простому посчитать, к недолицензированию. Но если есть заключение, можно правильно посчитать. У вас по факту ничего не менялось, у Microsoft в этом случае к вам претензий нет - вы действительно платите Software Assurance, вы пользуетесь новой версией. Да, на правах down grade, но заключение SAM-экспертов после проектов позволяют вам подать эти данные в Microsoft, и вас не попросят покупать дополнительные процессорные лицензии. Понятны причины, почему меняются лицензирования. Была одна техника, сейчас техника стала многопроцессорной, и, конечно, правила подстраиваются. Это я не защищаю Microsoft - я рассказываю, как мы, например, к этому подходим и как можно ситуацию, о которой вы говорите, не допустить. Все эти стандарты по SAM настроены на недопущение отклонения от лицензионности, на устранение таких рисков.

Игорь Хлебников: Помимо Microsoft у любого заказчика есть еще вереница вендоров, и разобраться во всем лицензировании достаточно сложно. И еще раз - просто проводя такую четкую границу между License Compliance с аудитом какого-то конкретного вендора и SAM как набором бизнес-практик, бизнес-процессов, которые организация у себя внедряет. Неприятных ситуаций, о которых упоминали, теоретически быть не должно. Потому что у тебя как минимум отстроенный бизнес-процесс и ты знаешь, что сейчас что-то поменялось и что тебе нужно предоставить вендору, чтобы не было претензий. Плюс у тебя есть специализированный человек, который за это отвечает. И последнее: будь-то стандарт ISO 19770 или ГОСТ, в данном случае он выступает неким эталоном идеальной ситуации - и вы понимаете, что нужно сделать в организации. License Compliance - это самая, как сказал Эллиот [Гойхман], верхушка айсберга. Там много других проблем и моментов, но если ориентироваться на стандарт и хотя бы стараться внутренними силами или внешними делать, как там написано, то вероятности риска значительно снижаются.

Ольга Тютина, руководитель направления SAM Microsoft в России: Коллеги, в основном сейчас в дискуссии мы затронули тему рисков и недолицензирования. Но как человек, уже в течение восьми лет занимающийся SAM-проектами, могу сказать что в 90% случаев по их результатам выявляется, наоборот, перелицензирование в тех или иных областях. И я бы хотела обратить внимание на такую тему SAM, как повышение эффективности управления бюджетами на ПО, потребностями, выявление потребностей - что на самом деле нужно. И еще один момент, может быть, в продолжение дискуссии - роль SAM-менеджера в организации. За эти восемь лет, наверное, только в 2-3% процентах организаций мы действительно встречались с людьми, которые полноценно исполняют роль SAM-менеджера. Они могут называться директором по закупкам лицензий или директором по ПО, или менеджером по ПО, но выполняют роль именно SAM-менеджера. Выявляют потребности, понимают, как оптимизировать закупки, а не просто реагируют на «пожары» в связи с объявлением аудитов. И в организации, где есть такие люди, действительно упор в SAM делается именно на оптимизацию, а не на тушение пожаров. <...>

Денис Савенков: Коллеги, я тогда свою печальную историю закончу уже на оптимистичной ноте. А вы скажете, правильно мы сделали или нет. Мы не стали мудрствовать лукаво и - нет худа без добра - внедрили процесс старого доброго ITIL под названием «Управление лицензиями», которое является основной частью управления конфигурацией, посадили девочку, которую модно назвали тоже SAM-менеджер. И, по сути, этот процесс стал решать два вопроса - учет лицензий, фактически купленных и установленных с предоставлением автоматизированной аналитики, и некое планирование предстоящих закупок по лицензированию. То есть вот этот один процесс решил две задачи, и, в общем-то, сейчас мы готовы уже к любым Compliance и SAM. Я не знаю, это нормально ITIL решать такие задачи или нужно именно SAM внедрять, как он есть в ГОСТе, в ISO?

Илья Панкратов: ITIL, конечно, это очень хорошо, и этого достаточно с точки зрения понимания, что у вас есть активы. Но SAM - это вопросы управления конфигурациями плюс опыт лицензионного аналитика, потому что программы лицензирования того же Microsoft, Oracle, возьмем и еще кого-то - они достаточно специфичны, они описываются в различных тестовых документах, которые все надо учитывать.

Денис Савенков: Тут, на мой взгляд, встает корневая проблема - конфликт интересов. Лицензионная политика действительно настолько сложная - у меня несколько человек сидят именно на этом, и никто до конца внутри компании не понимает в нюансах, как это работает. Мы у кого спрашиваем? Спрашиваем у вас. А вам нужно нам это продать, вы отвечаете так, как это нужно вам.

Илья Панкратов: Мы рассказываем, как это устроено, и показываем все документы, мы вам помогаем. Да, есть на рынке потребность - есть услуга. Не мы в CSD придумали сложные правила лицензирования. Мы хорошо разбираемся в этой области, и я с уверенностью могу сказать, что наши эксперты знают если не все, то кое-что. Некоторые вещи не лежат в области IT. И мы всегда говорим, что SAM - это не просто знание айтишное, это на стыке - юридические знания, знания лицензирования и знание IT. И это не обязанность IT-отдела разбираться в законах, в бумажках, как это все устроено. Поэтому, в принципе, можно спокойно это отдать на аутсорсинг, вы же не все делаете внутренними хозяйственными методами. Есть вариант аутсорсинга, есть вариант нанять лицензионного специалиста. У нас были клиенты, у которых есть свой специалист - тогда не такая масштабная консультация требуется.

Эллиот Гойхман: Илья, а вы сами продаете лицензии Microsoft? Или вы специализировались только на проведении SAM и аудитов? Тогда вы можете сказать: да, привлекайте нас, потому что мы поможем выявить возможность использования существующих лицензий, лицензий дочерних предприятий, которые, например, покрываются, допустим, тем же зонтичным договором. Есть ли у вас интерес в сокращении, допустим, лицензий [у клиента]?

Илья Панкратов: Мы не продаем лицензии. Мы независимый аудитор, и как раз наш результат клиент оценивает по тому, насколько хорошо мы ему помогли. И масштаб того, насколько мы клиенту сэкономим деньги, насколько мы оптимизируем, - это и есть то мерило, и дальше уже можно переходить к процессам или к каким-то другим услугам. Наш бизнес - это консалтинг.

Михаил Козлов: Коллеги, есть ли у кого-нибудь комментарии или вопросы по поводу лучших практик? Бывают же, наверное, случаи, когда аудит выявляет, что есть какие-то ненужные лицензии? Причем не нужны они, как бы, на мой взгляд, бывают в двух аспектах. Первое - лицензия куплена, но не установлена больше года, двух или трех лет. И второй критерий ненужности - когда лицензии куплены, установлены и ни разу не запущено установленное приложение.

Участник дискуссии из зала: Мы относимся как раз к 2%, о которых говорила Ольга. И я могу сказать, что это лишь частные ситуации общего бардака -то, что вы сейчас сказали. Когда ситуация годами рассматривалась таким образом, что ПО - это что-то типа прошивки к стиральной машинке, т. е. само по себе существует - отдельное железо. То есть мы платим за железяки, а об остальном не думаем. Такой менталитет. А SAM - это некая ломка сознания по большому счету.

Михаил Козлов, модератор: У меня просто перед глазами отчет с британского Microsoft портала 1E, они публикуют всякую статистику по этому поводу. Сейчас они пишут, что, проанализировав 74 компании с 1,8 млн рабочих мест, т. е. с персональными компьютерами, они обнаружили, что 28% программного обеспечения, которое было установлено у этих заказчиков, ни разу не использовалось. Почти треть. Это перерасход лицензирования. <...>

По роду своей деятельности я довольно часто считаю отдачу от инвестиций в различные IT-проекты. И с моей точки зрения, этот показатель, который я приводил - количество неиспользованного ПО, - может лежать в основе хорошего бизнес-кейса - собственно, в обоснование того, почему нужно тратиться на постановку SAM как процесса. Две причины по большому счету. Первая - прямая денежная экономия, потому что, если вы найдете неиспользуемые лицензии, вы за них не заплатите (вот вам прямой возврат на инвестиции в SAM как процесс. И второе - это снятие рисков. Риска того, что вы будете uncompliance, т. е. не соответствовать разным требованиям: законодательным, вендорским, лицензирования. И не потратитесь а) на суды и б) на последующие дополнительные издержки, связанные с выполнением решений проигранных судов. Этот простой, методический подход, мне кажется, может быть хорошей рекомендацией всем участникам нынешней дискуссии.

Михаил Козлов, директор по развитию De Novo; Арсений Тарасов, директор департамента по работе с крупными организациями Microsoft в России; Денис Савенков, руководитель IT-департамента ЧТПЗ; Татьяна Федотова, менеджер программ по продвижению лицензионного ПО Microsoft в России; Эллиот Гойхман,

начальник IT-департамента «МДМ банка»; Игорь Хлебников, начальник управления развития и сопровождения ИС компании «Итера»; Илья Панкратов, директор по консалтингу CSD; Ольга Тютина, руководитель направления SAM Microsoft в России