В последнее время разработчики и дистрибьюторы ПО настойчиво лоббируют внедрение концепции SAM (Software Asset Management, управление ПО как активом предприятия). Подобные идеи содержатся и в рекомендациях ITIL, а внедрению сервисного подхода во взаимоотношениях с бизнесом сейчас уделяют внимание довольно многие компании. Да и просто данный подход в принципе вполне разумен и ничем принципиально не отличается от управления другими активами. Так что количество таких проектов растет, в том числе и в России. Одним из примеров стало внедрение этого подхода в Национальном банке «ТРАСТ» (НБ «ТРАСТ»).

Что было до старта проекта

НБ «ТРАСТ» уже довольно давно входит в список 30 крупнейших кредитных организаций России, который ежемесячно составляет Центробанк. Это касается как объема активов, так и масштаба филиальной сети. Отделения НБ «ТРАСТ» имеются в 170 населенных пунктах в 60 субъектах Российской Федерации. Банк вошел в тройку лидеров по темпам прироста активов среди российских банков.

В деятельности банка используется весьма широкий спектр ПО. Оно охватывает стандартные пользовательские приложения, инфраструктурные системы, а также средства автоматизации основной деятельности (АБС и тому подобные системы). В результате, с учетом большого количества сотрудников, разбросанных по огромному количеству точек присутствия, ситуация с учетом ПО в банке обострилась сильнейшим образом. Никто не знал, все ли купленное ПО реально используется, какие программы сотрудники установили себе самостоятельно, без контроля ИТ‑службы, и насколько использование данных средств легитимно.

Естественно, это многократно усиливало юридические и репутационные риски. Особенно после вступления в силу части четвертой Гражданского кодекса Российской Федерации, фор­мализовавшей требования к купле-продаже и использованию продуктов, являющихся объектами интеллектуальной соб­ственности, в том числе и программ для ЭВМ.

В результате руководство банка приняло решение о начале работ по внедрению системы управления ПО как активом, или SAM. В качестве партнера была выбрана компания Softline. Дело в том, что только у нее был опыт успешного внедрения таких проектов. Кроме того, лишь у данной компании есть важное ноу-хау в части юридического аудита документов, подтверждающих легитимность использования ПО.

Задачи проекта

Основной задачей, стоявшей в ходе проекта, стало проведение инвентаризации всего ПО, установленного в банке. Далее следовало оценить, какую часть из этого составляет лицензионное ПО. Для этого было необходимо сличить закупленные объемы и то, что реально установлено и используется. Решение данной задачи позволило бы оценить объемы как недолицензирования, так и перелицензирования. А и то, и другое весьма неприятно: первое влечет юридические и репутационные риски, а второе просто означает, что ресурсы используются неэффективно.

Следующей задачей стало ограничение использования ПО в банке. Это означало, что следовало создать механизм, препятствующий сотрудникам устанавливать его без санкций ИТ‑службы. Для этого, в свою очередь, необходимо было выработать документацию, которая формализует процессы приобретения, хранения и утилизации программного обеспечения, как того требуют нормы международного стандарта ISO/IEC 19770-1: SAM Processes.

Ход работ

Началом работ по проекту стало внедрение программного средства AuditPro. Это было необходимо для проведения инвентаризации ПО, используемого в банке. AuditPro развернули по всей филиальной сети банка. С учетом масштаба задачи процедура сбора и передачи информации оказалось довольно непростой. Ее помогли решить процедуры, разработанные сотрудниками Softline. Они позволили собрать информацию в нужном виде и в заданные сроки.

Следующим этапом стал поиск финансовых и юридических документов, подтверждающих легитимность использования ПО. Он также вызвал целый ряд сложностей, прежде всего связанных с тем, что незадолго до запуска проекта произошло слияние с другим банком. А это, как показывает опыт, существенно осложняет поиск любых документов и является одним из главных препятствий при ведении работ по проектам такого рода. В частности, по оценке Александра Аушева, директора департамента контроля отношений с поставщиками информационных систем НБ «ТРАСТ», это усилило нагрузку на аудиторов. В ходе данной части аудита серьезную помощь оказали также специалисты Softline.

Была создана электронная база данных, включающая договоры на приобретение ПО и другие юридически важные документы, подтверждающие правомерность использования программных средств. При этом пришлось исправить целый ряд ошибок в договорах на поставку ПО. Ведь, как отметил Александр Аушев, очень часто забывают в явном виде указывать, что данный документ предоставляет заказчику право использовать то или иное программное средство. Очень часто не оговаривается и срок легитимного использования ПО, в ре­зультате чего он автоматически ограничивается пятью годами. Не всегда указывается количество рабочих мест, на которых допускается использовать ПО. Все эти ошибки усиливают юридические риски.

Далее данные, полученные в ходе первых двух этапов, сравнили друг с другом, что дало полную картину использования ПО в банке. При этом объем ПО, которое было рекомендовано удалить, оказался ничтожным. Масштабы недолицензирования оказались вполне ожидаемыми. В ходе аудита, несколько неожиданно, выяснилось, что по таким продуктам, как Microsoft Office 2003 и 2007, а также Lotus Notes, количество закупленных лицензий было существенно больше, чем реально используемых копий.

Затем последовали мероприятия, призванные ввести нормы стандарта ISO/IEC 19770-1: SAM Processes. Через руководство банка они реализовались на практике. Кроме того, для сотрудников ИТ-подразделения НБ «Траст» и менеджера по учету лицензий было проведено двухдневное обучение.

Были внедрены меры по контролю ПО в соответствии с детально разработанными инструкциями. Так, например, все вновь приобретаемые лицензии в обязательном порядке заносятся в базу данных AuditPro. Это сделано в том числе и для того, чтобы у любого филиала была возможность в определенной ситуации оперативно предоставить весь объем документов, подтверждающих корректное использование ПО. Характерно, что данный процесс описан регламентными документами, которые разработаны и внедрены в бизнес-процессы банка.

Все работы по данному проекту заняли восемь с половиной месяцев. Это соответствовало первоначальным планам. Бюджет проекта также не был превышен.

Результаты

Все задачи, стоявшие в ходе проекта, полностью выполнены. И это несмотря на его масштабы, новые в наших условиях. До этого, по данным Microsoft и Softline, еще не было успешного примера внедрения методологии SAM в территориально распределенной компании.

В ходе проекта получена четкая картина использования программного обеспечения в банке. Это помогло максимально снизить вероятность юридических и репутационных рисков, связанных с использованием нелицензионного ПО. Была разработана оптимальная схема лицензирования, способствовавшая сокращению финансовых и трудовых затрат в сфере закупок. Благодаря регулярной инвентаризации ПО по разработанной схеме в распоряжение руководства поступают актуальные данные о необходимом и «лишнем» ПО. Анализ этих данных позволяет лучше планировать ИТ-бюджет, что важно в нынешних непростых экономических условиях. В итоге уровень лицензирования ПО в НБ «ТРАСТ» соответствует рекомендациям вендоров для динамически развивающейся компании. ИТ-бюджет также удалось сократить, причем на весьма заметную величину и, что важно, безо всякого ущерба для бизнес-пользователей и не прибегая к сокращению ИТ-персонала.