Programinės įrangos gamintojų atliekami auditai per pastaruosius 5 metus tik dažnėjo ir 2019-ieji nežada būti ramesni, tad jei naudojate „Microsoft“, „Oracle“, „SAP“, „Adobe“ ar kito populiaraus gamintojo programinę įrangą, šiemet į Jūsų duris gali pasibelsti auditoriai, tikrinantys naudojamų programų legalumą. Ką reikėtų žinoti privataus ir viešojo sektoriaus organizacijoms apie gamintojų atliekamus auditus ir priemones, kurios padeda sumažinti riziką, kad gamintojų patikrinimas netaptų neįveikiamu finansiniu ir teisiniu išbandymu, – pasakoja „Blue Bridge“ IT inžinierė Miglė Bučelytė ir infrastruktūros sprendimų vadovas Algirdas Lunys.
Auditas – viena iš naudojimo sąlygų
Gamintojo auditas – neišvengiama procedūra, su kuria sutinkama įsigijus programinę įrangą. Nors patys gamintojai nepateikia tikslios statistikos apie tai, kiek ir kokiose šalyse daugiausiai atliekama patikrinimų, Tarptautinės verslo programinės įrangos vadovų asociacijos (angl. The International Business Software Managers Association) apklausos liudija, kad nuo 2015 m. organizacijose, turinčiose daugiau nei 500 darbo vietų, auditų skaičius padidėjo 40 proc. Be to, auditai padažnėjo – kai kurios organizacijos per pastaruosius kelerius metus sulaukė 2-3 skirtingų gamintojų auditorių vizitų.
Apžvalgininkai jau kurį laiką atkreipia dėmesį ir į tai, kad savo programinės įrangos legalumu itin atidžiai turėtų rūpintis ir mažesnės nei 100 darbuotojų įmonės, nes didžiųjų gamintojų akys vis dažniau kryptis būtent į šį programinės įrangos naudotojų segmentą. Pagrindinė to priežastis – visame pasaulyje sparčiai augantis nedidelių, plačiai technologijas naudojančių įmonių skaičius.
Patikrinimai dažnėja ir Lietuvoje
Gamintojų auditai nėra naujiena ir Lietuvoje, patikina „Blue Bridge“ infrastruktūros sprendimų vadovas Algirdas Lunys.
„Tarp dažniausiai apsilankančių auditorių – pasamdyti „Microsoft“ ir „Oracle“ kompanijų. Šie gamintojai garsėja griežtomis patikros sąlygomis, o tai reiškia, kad nustačius neatitikimus, dažniausiai nėra suteikiamas laikas „pasitaisyti“ – tenka įsigyti trūkstamas licencijas ar teises naudoti programinę įrangą už didesnę kainą, į kurią įskaičiuota bauda. Rasti neatitikimai gali kainuoti kelis tūkstančius, o kai kada – ir kelis milijonus eurų. Kaip galima atspėti, kuo daugiau kompiuterinių darbo vietų ir įvairesnės programinės įrangos – tuo sunkiau centralizuotai valdyti programinės įrangos naudojimą ir tuo didesnės gali būti potencialios baudos. Svarbu pažymėti, kad auditai vienodu dažnumu ir sąlygomis atliekami ir privataus, ir viešojo sektoriaus organizacijose“, – pabrėžia pašnekovas.
Atvykę auditoriai tikrina visą šiuo metu organizacijoje naudojamą programinę įrangą įdiegtą į kompiuterius ir serverius. „Tarkime, jeigu naudojate seną „Windows“ versiją, audito metu turėsite pateikti šios programinės įrangos įsigijimo dokumentus – net jei tai įvyko prieš dešimtmetį“, – sako pašnekovas, pastebėdamas, kad būtent dėl to tik organizacijos, persikėlusios į „debesis“ – vienintelės, galinčios nesijaudinti dėl auditų.
Kodėl taip dažnai nustatomi neatitikimai?
Daugumoje organizacijų, kuriose atliekami auditai, nustatoma pažeidimų. Kaip pastebi „Blue Bridge“ atstovas, didžioji dalis šių pažeidimų kyla iš nežinojimo. „Tariant kitais žodžiais, dažnai organizacijos nežino, kad nelegaliai arba neteisingai naudoja programinę įrangą. Viena to priežasčių – gamintojai labai dažnai keičia licencijas ir naudojimo sąlygas. Kita vertus, dalis organizacijų, net gerai žinodamos programinės įrangos taisykles, neteisingai jas interpretuoja“, – sako A. Lunys.
Vienas iš „klasikinių“ pažeidimų pavyzdžių – retesnė programinė įranga, kurios organizacijai prireikia tik retkarčiais ir kurios licencijų įsigyjama mažiau nei yra darbo vietų, o tai reiškia – ir potencialių jos naudotojų. „Įsigijote tik 20 programinės įrangos licencijų, bet teoriškai prie jos gali prieiti net 800 darbuotojų? Audito metu jums gali tekti įsigyti dar 780 šios įrangos licencijų“, – pastebi pašnekovas.
Dalis nustatomų pažeidimų susiję ir su neteisingu programinės įrangos naudojimu. „Programinė įranga, kuri įsigyjama kaip teisė ir nėra instaliuojama į kompiuterį, irgi gali būti netyčia naudojama neteisingai – t. y. ne pagal naudojimo taisykles, kurios dažniausiai būna labai detalios ir gana painios. Visgi apibendrinant tokio tipo naudojimo klaidas galima pastebėti, kad dažniausiai jos irgi susijusios su netiksliu naudotojų skaičiumi“, – sako „Blue Bridge“ atstovas.
„Pamėgdžioti“ auditą arba kuo naudinga IT inventorizacija?
Nepaisant nerimo, supančio gamintojų auditų temą, IT ekspertai primena, kad profesionalių auditorių naudojamos metodikos ir įrankiai žinomi ir prieinami, todėl kiekviena organizacija gali savarankiškai atlikti programinės įrangos inventorizaciją iki auditorių vizito.
„Savanoriška“ programinės įrangos inventorizacijos procedūra mažai kuo skiriasi nuo profesionalių auditorių atliekamos patikros, kadangi ją atliekant turėtų būti vadovaujamasi tarptautiniais standartais ir gerosiomis praktikomis, o svarbiausia – nustatyti neatitikimai gali būti neskausmingai ištaisyti ir neužtraukti baudų“, – pastebi A. Lunys.
Tipinė programinės įrangos inventorizacija susideda iš 3 pagrindinių žingsnių – iš pradžių nuskenuojami serveriai ir kompiuteriai ir nustatoma, kiek bei kokios programinės įrangos įdiegta. Po to šie duomenys palyginami su tuo, kiek programinės įrangos įsigyta. Šiai analizei naudojamos sąskaitos bei kitokie finansiniai dokumentai. Galiausiai, duomenys apie faktiškai naudojamą programinę įrangą palyginami su duomenimis apie įsigytą programinę įrangą. Tokią inventorizaciją rekomenduojama atlikti bent kartą per metus.
Keli inventorizacijos iššūkiai
Ką reikėtų žinoti organizacijoms nusprendusioms atlikti savarankišką auditą? Pasitelkdama populiariausios inventorizacijos tipą – „Microsoft“ licencinio turto įvertinimo, vadinamo SAM (angl. Software Asset Management), pavyzdį, „Blue Bridge“ IT inžinierė Miglė Bučelytė pamini kelius pagrindinius iššūkius, lydinčius inventorizacijos procedūrą.
„Pirmajame žingsnyje, skenuojant kompiuterius ir serverius, daugiausiai iššūkių kelia techniniai parametrai, kurių reikia, kad nuskaitymo įrankiai galėtų pasiekti kiekvieną įrenginį esantį tinkle. Dėmesį reikėtų atkreipti į tinklo taisyklių konfigūraciją, izoliuotas aplinkas, reikalavimus operacinėms sistemoms, ugniasienės nustatymus. Su detalesne instrukcija, kokių parametrų reikia norint kokybiškai nuskenuoti kompiuterius ir serverius, galima susipažinti gamintojo puslapyje“, – pasakoja pašnekovė.
Antrajame SAM žingsnyje didžiausias iššūkis su kuriuo galima susidurti – papildomas laikas ir pastangos, kurių reikia norint surinkti visus finansinius dokumentus, liudijančius šiuo metu naudojamos programinės įrangos įsigijimą. „Kaip rodo patirtis, reta organizacija išvengia sąskaitų ieškojimo tarp buhalterijos dokumentų. Žinoma, jei pirkote vardines licencijas, dėl jų sąrašo galima kreiptis į patį gamintoją arba peržiūrėti jų sąrašą licencijų valdymo paskyroje (angl. Volume Licensing Service Center). Tai šiek tiek palengvina finansinių dokumentų surinkimą“, – pastebi M. Bučelytė.
Sudėtingiausia – palyginti duomenis
Ekspertė neslepia, kad sudėtingiausiu SAM etapu galima laikyti paskutiniąją procedūrą, kai duomenys apie faktiškai naudojamą ir įsigytą programinę įrangą palyginami.
„Tarkime, įsigijote 2019 m. „MS Office“ versiją, tačiau į kompiuterius įsidiegėte 2013-ųjų versiją, nes ji geriausiai suderinama su jūsų infrastruktūra. Nuskaitymas rodo, kad naudojate 2013 m. versiją, o finansiniai dokumentai – kad susimokėjote už 2019-ųjų versiją. Ar tai gali būti laikoma neatitikimu? Atsakymas nėra akivaizdus ir priklauso nuo to, kokiu būdu įsigijote „MS Office“ bei kokias teises naudoti šią programinę įrangą turite”, – pastebi M. Bučelytė, pridurdama, kad tokių galvosūkių paskutiniajame SAM etape – daugybė, o juos painiojant gali prireikti ir teisininkų, ir licencijavimo specialistų pagalbos. „Pavyzdžiui, programinę įrangą įsigijote 2016 m. ir nuo to laiko jos licencija kelis kartus keitėsi. Tam, kad suprastumėte, ar teisingai naudojate programinę įrangą, teks ieškoti tos licencijos versijos, kuri galiojo konkrečiu laiku, kai pirkote programinę įrangą. Tokie ir panašūs darbai reikalauja ne tik papildomo laiko, bet ir kompetencijų“, – sako pašnekovė.
Būtent turint omeny paskutiniojo etapo keblumą, verta pasvarstyti, kaip efektyviausia atlikti savanorišką auditą – savarankiškai ar pasitelkus IT tiekėjo pagalbą, pastebi infrastruktūros sprendimų vadovas A. Lunys. „IT tiekėją galima samdyti ir tik konsultacijoms, sprendžiant daugiausiai problemų keliančius SAM etapus, o didžiąją dalį darbų – atlikti patiems tokiu būdu kaupiant patirtį ir užtikrinant, kad ateinančiais metais inventorizacija bus lengvesnė“, – pastebi pašnekovas.
Ar auditas turi ilgalaikį poveikį?
„Teikdami SAM paslaugas, klientams parengiame trumpalaikes arba ilgalaikes rekomendacijas, kuriose, atsižvelgiant į programinės įrangos gyvavimo ciklus, jų įsigijimo modelį ir t. t., pateikiame įžvalgas, kaip geriausia išspręsti opiausias legalumo problemas ir užtikrinti, kad ateityje jos nepasikartotų. Vis dėlto kalbant apie ilgalaikį audito poveikį, reikėtų pabrėžti, kad inventorizacija yra savotiška „momentinė nuotrauka“ užfiksuojanti programinės įrangos legalumą konkrečiu laiku. Kaip rodo mūsų patirtis, situacija gali pasikeisti kad ir per savaitę, jei įdiegiama nauja programa arba kažkas pašalinama, todėl įprotį reguliariai atlikti inventorizaciją turėtų lydėti centralizuota programinės įrangos diegimo politika bei taisyklės, užtikrinančios, kad jau prieš įsigyjant vieną ar kitą programą būtų tiksliai interpretuojamos jos naudojimo taisyklės“, – pabrėžia „Blue Bridge“ infrastruktūros sprendimų vadybininkas A. Lunys.
Tarp techninių priemonių, padedančių užtikrinti legalumą, pašnekovas pamini specialias programas, kurios automatiškai pateikia ataskaitą apie tai, kokia programinė įranga įdiegta.
„Tokie įrankiai bent iš dalies padeda automatizuoti audito procesą, tačiau visiškai išvengti žmogaus darbo neįmanoma – organizacijose naudojama labai daug ir įvairios programinės įrangos, kuri įsigyjama skirtingais būdais ir skirtingu laiku. Tam, kad galima būtų pamatyti bendrą vaizdą ir nustatyti, koks programinės įrangos procentas naudojamas neteisingai, būtina išsami surinktų duomenų analizė“, – sako A. Lunys.
Reikia pagalbos atliekant licencinio ūkio auditą?
Susisiekime: Algirdas.Lunys@www.bluebridge.lt, +370 676 25066
Algirdas Lunys – UAB „Blue Bridge“ Infrastruktūros sprendimų vadovas, sertifikuotas „Microsoft“ programinės įrangos įsigijimo, valdymo, optimizavimo bei licencijavimo smulkioms, vidutinėms ir didelėms organizacijoms specialistas.