Аудит программного обеспечения — это процедура, направленная на сбор информации об имеющихся установленных экземплярах, и сверка реального количества с финансово-хозяйственными документами на предмет совпадения или расхождения полученных величин. Что делать с дельтой расхождения — вопрос на усмотрение руководства. А вот о целесообразности регулярного аудита как раз и хотелось бы поговорить.
Так чем, на мой взгляд, полезен регулярный аудит и с какой периодичностью он должен проводиться? Аргументов несколько, и понятно, что не все они применимы в полном объёме для каждой организации. Тут скорее имеет смысл выбрать несколько наиболее понятных и приемлемых.
Первый аргумент — снижение рисков. Риски для ИТ-отдела в целом можно свести к технологическим, юридическим и репутационным. Причём последний, как правило, следствие двух первых — невыполнение контрактных и иных обязательств зависит от них напрямую. Формально для ИТ-отдела более значимым является технологический риск. От того, как всё работает или не работает, зависит отношение к ИТ-службе. Однако по многим объективным и субъективным причинам юридические риски также вешают на технический персонал или ИТ-руководство. Регулярный аудит ПО позволяет контролировать ситуацию. Разумеется, оптимально его проводить совместно с аудитом оборудования. И общая картина позволяет получить представление не только о недолицензировании, но часто и о перелицензировании. Что в перспективе даёт возможность создать нормальную систему бюджетирования, обеспечить экономию средств на закупку ПО, сформулировать аргументацию для финансистов о выделении средств. При понимании реальной картины и донесении её до руководства и спонсоров бюджета риски делятся на всех. На практике часто выходит, что руководство, не получая содержательной информации, часто вместо принятия решения просто отмахивается от проблемы. Чтоб принять взвешенное решение, требуются факты и цифры. Причём не в час Х, а гораздо раньше. Для перспективного планирования.
Второй аргумент — экономия денег на управлении процессами закупки ПО. Регулярный аудит также проверяет сроки действия контрактов. Нередко выходит так, что контракт заканчивается уже через месяц-другой, а бюджет на продление выделять еще не планировалось. Из опыта: контракт на продление лицензии антивируса на одном предприятии мог бы дать экономию в 40 тыс. долл. Но вместо продления контракт пришлось заключать как новый и за полную цену квартал спустя. Что опять же повысило и технологический риск.
Третий аргумент — сбор статистики об использовании ПО. Бывает, что требования на ПО не совпадают с реальными потребностями. Подразделения требуют очень навороченную редакцию для разовой работы или впрок, тогда как вполне обошлись бы более дешёвой редакцией. И аудит может показать статистику использования экземпляров. Что даст железобетонные аргументы при планировании закупки, особенно при аренде лицензий или использовании облачного ПО.
Четвёртый аргумент — который скоро может стать первым: облачные технологии. Точнее, не сами технологии, а способ их продаж. Обратите внимание на тенденцию продавать подобные сервисы либо на организацию (базы данных, порталы и пр.) либо на персоналии (хранилища, настольные пакеты ПО, почта и пр.). Практически не встречается модель продаж облачных сервисов «на устройство». Но пока от модели лицензирования «на устройство» не отказались, и получается такой зоопарк, в котором очень просто запутаться. И на выходе получаем или недостачу (юридический риск), или перебор (перерасход бюджетных средств). Что хуже — сложно решить.
Пятый аргумент — технический. В организациях, где не прописана процедура стандартизации рабочих мест, остаётся надеяться только на память системного администратора или хелпдеска. И при замене ПК часто возникает вопрос — какое ПО восстанавливать? Аудит поможет ответить и на вопрос о том, что восстанавливать, и на вопрос — что не восстанавливать за невостребованностью. А ещё в инфраструктуре периодически может происходить ротация ПК, и в результате на машине бухгалтера всплывает графический пакет.
Все перечисленные мной аргументы можно дополнять или создавать их новое прочтение. Отвергать их сложно. Даже если используется свободное или бесплатное ПО, излишки экземпляров на ПК и серверах повышают технологические риски. Никогда не знаешь, через какую уязвимость пролезет очередной зловред.
Так каков же период, подходящий для регулярного аудита? На мой взгляд, всё упирается в размер компании. В малом бизнесе часто достаточно ежегодного аудита. Особенно если там налажена стабильная работа и не происходит регулярной замены ПО. Для среднего уровня организаций от 50 до 250 ПК я бы посчитал нормальным ежеквартальный аудит. Впрочем, тут есть нюансы —филиалы и сотрудники «в полях». При наличии разветвлённой офисной инфраструктуры и сотрудников, не подконтрольных ИТ-службам, делать аудит надо чаще. Раз в один-два месяца. Ну а для крупных компаний месячный аудит — норма. И, как правило, такой аудит сопровождается формализованными бизнес-процессами и внедрённой SAM-методологией.
Средства же аудита могут быть самыми разнообразными, вплоть до ручного аудита без привлечения ПО. Выбор за вами.
Удачного вам аудита.
Автор статьи — специалист по лицензированию ПО и Software Asset Management.