Разработка поэтапной стратегии внедрения Software Asset Management с учетом уровня зрелости компании

Гриценко А.А.
Выпускник группы MBA CIO-24
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Управление программными активами (Software Asset Management) представляет собой методологию организации работы ИТ-подразделений, направленную на оптимизацию процессов, связанных с использованием активов программного обеспечения (программных активов).  К программным активам относят программное обеспечение (в различных формах: в виде эталонных носителей, релизов предназначенных для развертывания, готовых инсталляций), лицензии, документы, подтверждающие наличие прав на использования и т.п.

В последние годы в Российском ИТ-сообществе растет интерес к внедрению SAM.  Это связано с несколькими тенденциями: ростом зрелости ИТ-процессов; повышением требований к ИТ со стороны бизнеса в части улучшения экономической эффективности, юридической «чистоты» и снижения рисков; изменением требований со стороны внешних регуляторов.  В мире также, по прогнозам IDC, ожидается рост рынка решений SAM, обусловленный усилением государственного регулирования, консолидацией рынка ПО, сложностями лицензирования, внедрением виртуализации и облаков, а также недоиспользованием имеющегося ПО.

По результатам опросов, проведенных компанией Softline, в котором участвовали представители ИТ-руководства более 3000 компаний в России более 76% опрошенных знают, что такое SAM, 78% знакомы с законодательством, регулирующим вопросы использования ПО, около 92% проводят инвентаризацию и учет ПО, а 87% ведут учет и хранение документов, касающихся ПО, однако только у 26% опрошенных существуют документы, регулирующие жизненный цикл ПО от возникновения необходимости в нем до удаления.  Этот опрос в частности подтверждает, что несмотря на то, что уровень ознакомления с проблематикой SAM в России достаточно высокий и организации осуществляют функции, входящие в SAM, у большинства из них отсутствует целостный подход к SAM и уровень зрелости SAM низкий.

Управление программными активами лежит на пересечении нескольких областей – управления активами организации (в целом), интеллектуальной собственности, разработки программного обеспечения, управления изменениями.

Цель SAM – это управление, контроль и защита программных активов включая управление рисками, возникающими вследствие владения и использования данных активов.

Создание и совершенствование процессов управления программными активами может создать ряд преимуществ, связанных с управлением рисками, снижением затрат на ПО, а также конкурентных преимуществ на рынке.

SAM позволяет существенно снизить такие риски как:

1. юридические и финансовые риски, связанные с использованием нелегального ПО;
2. риски, связанные с необходимостью внеочередной закупки ПО или проведением незапланированных работ;
3. риски, связанные с информационной безопасностью;
4. риски нарушения предоставления технической поддержки.

Использование SAM позволяет снизить затраты на программные активы путем:

1. уменьшения доли неиспользуемого ПО;
2. снижения издержек на закупку ПО (благодаря эффекту масштаба и исключению необоснованных закупок);
3. улучшения управления требованиями к ПО;
4. совершенствования стратегического планирования ИТ-инфраструктуры;
5. снижения затрат на оборудование (благодаря более эффективному использованию ПО);
6. снижения стоимости поддержки лицензий;
7. понижение расходов на устранение проблем.

Помимо этого SAM может создать конкурентные преимущества, связанные с:

1. улучшением качества принятия управленческих решений;
2. увеличением гибкости ИТ;
3. ускорением интеграции ИТ-инфраструктуры при слияниях и поглощениях.

Основным стандартом в области SAM является стандарт ISO/IEC 19770.  В настоящий момент данный стандарт представляет собой 4 документа:

ISO/IEC 19770-1: SAM Processes (опубликован 9 мая 2006 года) — сосредотачивает внимание на процессах SAM, реализация которых в организации необходима для эффективного управления программными активами.

ISO/IEC 19770-2: SAM Tag (опубликован 11 ноября 2009 года) — стандартизирует способы идентификации программного обеспечения и управления им.  Целевая аудитория этой части стандарта — производители ПО, в том числе средств аудита. Данный стандарт устанавливает формат XML-файлов называемых тегами или "S/W ID"‑тегами, которые идентифицируют ПО.  Стандарт упрощает процессы идентификации, инвентаризации и управления правами.

ISO/IEC 19770-3: Software Entitlements — сосредотачивает внимание на способах отслеживания прав на использование программного обеспечения. Стандарт находится в состоянии предварительного обсуждения.

ISO/IEC 19770-4: SAM Maturity Assessments and Incremental Conformance — сосредотачивает внимание на методах оценки зрелости SAM в организациях, а также сертификации организаций на соответствие стандарту.

Первые две части опубликованы, остальные пока в разработке.

Существует также несколько подходов к реализации SAM, предлагаемых аудиторскими и консалтинговыми компаниями (Gartner, KPMG) а также производителями ПО (в частности ПО, используемого для автоматизации управления программными активами), такими как HP и Microsoft.

В данной работе проведен анализ предложенных методик и предложен собственный подход для разработки поэтапной стратегии внедрения SAM, которая учитывает цели, поставленные при внедрении и уровень зрелости сопряженных с SAM процессов.

Общий подход к внедрению SAM предполагает следующие шаги:

1. разработка видения и стратегии SAM;
2. разработка политик SAM;
3. проектирование и реализация процессов и процедур SAM;
4. исполнение процессов SAM и учет информации;
5. регулярный пересмотр и совершенствование.

Ключевую роль во внедрении играет понимание и поддержка SAM на высшем уровне и разработка конкретных и обязательных к исполнению политик и процедур.

Также при реализации необходимо принимать во внимание уровень зрелости компании в целом (имеется в виду уровень зрелости уровень зрелости процессной деятельности).  Для оценки зрелости используется целый ряд различных методик (BPMM, CMMI, (PM)2).  Эти методики во многом схожи и являются развитием модели зрелости процессов описанной Филиппом Кросби.  В этой модели выделено 5 уровней зрелости процессов:

1. Выполняемый процесс. Процесс в целом достигает своей цели. Однако деятельность осуществляется хаотически и бессистемно (по крайней мере эта система не формализована);
2. Управляемый процесс. Процесс дает результаты в соответствии с требованиями, а также планируется и отслеживается (формализовано управление). Результаты соответствуют определенным требованиям и стандартам;
3. Устоявшийся процесс. Процесс осуществляется и управляется регламентированным образом.  Экземпляры (прецеденты) процесса используют для получения заданного результата процесса принятые и адаптированные к конкретной ситуации версии стандартного, полностью документированного процесса;
4. Предсказуемый процесс. Процесс осуществляется в предписанных рамках для достижения заданных целей процесса.  Собираются и анализируются количественные результаты измерений производительности, что ведет к увеличению степени прогнозирования и управлению производительностью процесса;
5. Оптимизируемый процесс. Производительность процесса оптимизируется для соответствия текущим и будущим потребностям. Устанавливаются количественные целевые значения результативности и эффективности выполнения процесса. Мониторинг достижения установленных целей основывается на количественной обратной связи, а усовершенствование основывается на анализе его результатов.

Практически невозможно строить процессную деятельность сразу с высокого уровня, а также множество проблем возникают при большой разнице в зрелости связанных процессов.

Исходя из этих соображений, а также лучших практик, предложена методика разработки поэтапной стратегии SAM.  Исходя из целей внедрения SAM, предлагается выбрать базовое целевое состояние (набор процессов SAM) необходимых для достижения поставленных целей.  Основываясь на взаимозависимости процессов и начальном состоянии, формируется последовательность этапов, нацеленная на постепенное согласованное повышение уровня зрелости процессов.

На примере выполненных проектов внедрения приведен пример такой стратегии.  В компании был осуществлен первый этап (были спроектированы и автоматизированы процессы управления лицензиями, управления заказами на вычислительную технику и программное обеспечение, процесс управления договорами на техническую поддержку ПО).  В настоящий момент осуществляется второй этап, связанный с увеличением охвата процессов и повышением уровня зрелости.