Pięć „grzechów głównych”, które narażają firmy na niezgodność licencyjną

Grzech Pierwszy:
Brak procesów SAM oraz uwzględnienia funkcji SAM w procesach IT.

Zwiększyliśmy na tydzień moc obliczeniową serwera, bo faktycznie była wtedy taka potrzeba, ale jak tylko „gorący” okres minął – a był to tylko tydzień – przywróciliśmy poprzednie ustawienia serwera. Poza tym wszystko odbyło się zgodnie z naszymi procedurami zarządzania zmianą.

Zgoda, jednak dlaczego nikt odpowiedzialny za licencjonowanie nie został uwzględniony w tym procesie? Ten książkowy wręcz błąd niestety nadal się zdarza, choć jego zaadresowanie jest w praktyce relatywnie proste – z oczywistych względów weryfikacja, czy organizacja posiada wolne licencje, powinna nastąpić przed zwiększeniem ich konsumpcji, a nie po nim. Powyższy przykład dotyczy braku uwzględnienia funkcji SAM w procesie
zarządzania zmianą, jednak należy na to zagadnienie spojrzeć szerzej, bo nawet najlepszy merytorycznie zespół nie będzie mógł działać efektywnie, jeśli jego funkcjonowanie nie zostanie dobrze osadzone w organizacji. Podobnie jak nawet najbardziej precyzyjny zegarek szwajcarski nie będzie dobrze działał, jeśli pozbawimy go choć jednego trybika.

Jeśli w Twojej organizacji istnieje zespół SAM, ale jego funkcjonowanie nie jest przemyślane od strony procesowej, istnieje duże prawdopodobieństwo, że nie będzie mógł efektywnie realizować stawianych przed nim zadań i celów.

Grzech Drugi:
Reaktywne podejście do zarządzania licencjami oprogramowania.

Jak tylko zaobserwowaliśmy tę niezgodność w raporcie, który nam Państwo dostarczyli, od razu skorygowaliśmy konfigurację serwera – teraz jest już w porządku.

Być może teraz klient jest już zgodny, ale należy pamiętać, że ustawienia generujące rozbieżność licencyjną utrzymywały się przez pewien okres w czasie (a nie zawsze istnieje możliwość weryfikacji jak długi ten okres był). Zatem faktem jest, że w tym okresie utrzymywała się również niezgodność. Za tę niezgodność producent ma pełne prawo oczekiwać od licencjobiorcy rozliczenia się, gdyż zapewnienie zgodności to proces a nie warunek, który musimy spełnić w danym momencie w czasie.

Warto na bieżąco monitorować środowisko i przeprowadzać cykliczne przeglądy kluczowych vendorów, aby identyfikować i adresować obszary niezgodności zanim zostaną wykryte podczas przeglądu zgodności licencyjnej.

Grzech Trzeci:
Brak komunikacji z vendorem.

Zdajemy sobie sprawę, że dozwolone podwójne użycie licencji w przypadku migracji systemów wynosi 30 dni, ale zwracamy uwagę, że przekroczyliśmy ten termin jedynie o dwa tygodnie. Niestety prace migracyjne się przedłużyły i nie mieliśmy możliwości zmieścić się w wyznaczonym okienku czasowym.

Oczywiście możemy liczyć na to, że podczas przeglądu vendor przymknie oko na relatywnie krótki czas przekroczenia i nie będzie oczekiwał rozliczenia się za zidentyfikowaną niezgodność, ale takie podejście jest ryzykowne i z pewnością nie wpisuje się w najlepsze praktyki SAM.

W takich sytuacjach warto rozważyć uprzedni kontakt z vendorem w celu uzyskania zgody na takie niestandardowe podejście – w końcu za zgodność po stronie producenta odpowiadają ludzie, z którymi zawsze można wypracować jakieś porozumienie, a nie bezwzględne algorytmy.

Grzech Czwarty:
Przerzucenie odpowiedzialności za zgodność na firmę wdrożeniową.

To musiał być błąd po stronie firmy, która nam wdrażała to rozwiązanie.

Niewykluczone. Ale czy w zakresie odpowiedzialności dostawcy była również weryfikacja zgodności licencyjnej? A jeśli była, to czy mamy pewność, że usługa została wykonana należycie? Standardem jest, że przy odbiorze usługi wdrożeniowej firmy weryfikują prawidłowe działanie systemów / oprogramowania, ale obszar licencyjny jest niestety często pomijany lub weryfikowany jedynie w sposób pobieżny. A przecież tak być nie powinno – w końcu odpowiedzialność za bycie zgodnym spoczywa na licencjobiorcy, a nie na stronie trzeciej, więc w ostatecznym rozrachunku zobowiązania za uregulowanie ewentualnych rozbieżności licencyjnych będą spoczywać właśnie na licencjobiorcy.

Niezależnie od tego, jak dobrze zabezpiecza nas umowa z dostawcą, warto dodać rzetelną weryfikację zgodności licencyjnej jako punkt do weryfikacji przy odbiorze prac wdrożeniowych.

Grzech Piąty:
SAM Manager, który ma samodzielnie adresować wszystkie wyzwania licencyjne.

Przecież się na tym znasz, to Twój obszar. Zweryfikuj to we własnym zakresie, nie mamy przewidzianego na to dodatkowego budżetu.

Wiele organizacji nadal nie posiada dedykowanego zespołu SAM, lub funkcję tę pełnią part-time osoby odpowiedzialne również za inne obszary IT (np. administratorzy systemów). Niemniej, bez względu na to, jak bardzo rozbudowana jest komórka SAM w danej organizacji przekonanie, że zawsze posiada ona kompetencje i czas, aby adresować ekspercko wszystkie wyzwania licencyjne, jest dość powszechne. Zespołom SAM udaje się z tym mitem walczyć z różnym skutkiem, ale jedno jest pewne – takie podejście to krótka droga do zaistnienia niezgodności. Dlaczego? Doświadczenie Deloitte pokazuje, że utrzymanie aktualnej wiedzy merytorycznej w obszarze licencjonowania jednego mega-vendora to praca na cały etat doświadczonego konsultanta. Tymczasem, większość dużych organizacji korzysta z oprogramowania co najmniej dwóch lub więcej mega-vendorów. Dołóżmy do tego fakt, że funkcja SAM odpowiada też za inne kwestie (np. utrzymanie narzędzia SAM, inwentaryzacja licencji, przedłużanie umów, itd.). Biorąc to pod uwagę łatwo jest dojść do wniosku, że samowystarczalny zespół SAM w dużej organizacji, musi liczyć co najmniej kilka osób zaangażowanych full-time.

Duże organizacje, które nie mogą sobie pozwolić na utrzymanie rozbudowanego zespołu SAM, lub nie chcą tego robić, powinny korzystać ze wsparcia zewnętrznych konsultantów – jednoosobowy samowystarczalny zespół SAM to mit. Nawet firmy posiadające duże zespoły operujące w formule samowystarczalności często zlecają przeprowadzanie cyklicznych przeglądy zgodności licencyjnej firmom zewnętrznym, co stanowi dodatkowy poziom zabezpieczenia przed ewentualnymi niezgodnościami.

Co zatem robić?

Zapewne zdecydowana większość osób, która dotarła do tego miejsca artykułu może stwierdzić, że co najmniej jeden z powyższych punktów dotyczy lub dotyczył organizacji, w której pracuje lub pracowała. Niewykluczone, że grzechy te nie doprowadziły do zaistnienia rozbieżności, lub – jeśli doprowadziły – nie została ona wykryta. Warto natomiast pamiętać, że podczas przeglądów zgodności wykorzystanie licencyjne często badane jest również historycznie, co oznacza, że ryzyko wykrycia takiej niezgodności i zmaterializowania się konieczności jej uregulowania może być w dalszym ciągu realne. A doświadczenie pokazuje, że takie niespodzianki przytrafiają się w najmniej oczekiwanym momencie. Oczywiście można tych kwestii nie adresować, podobnie jak można jeździć samochodem latami bez wymiany oleju. Pozostaje natomiast pytanie, czy nasza organizacja jest gotowa zaakceptować ryzyko zaistnienia nieoczekiwanej rozbieżności licencyjnej mogącej potencjalnie sięgać nawet kilku milionów Euro?