COMPAREX AG
Warum beim Software Asset Management 100% Compliance nicht immer ein gutes Ziel sind (Header)

Warum beim Software Asset Management 100% Compliance nicht immer ein gutes Ziel sind

Software Portfolio Management kann so einfach sein – mit der richtigen Strategie. Eine der wichtigsten Fragen, die man sich zu Beginn stellen muss, ist die Definition der eigenen Ziele. Dabei neigt man schnell zum Perfektionismus. Warum Ihnen dieser Drang zum Verhängnis werden kann und was sie dagegen tun können, erklärt unser SAM-Experte Anton Fischer.

Ein Blogbeitrag von Anton Fischer, Senior Consultant Software Asset Management

Die Ausgangssituation

Mein letzter Kunde hatte Großes vor. Als Joint Venture und Spin-Off zweier weltbekannter Unternehmen hatte man hohe Ziele, musste in kürzester Zeit in Produktion gehen und sollte – wie nicht anders zu erwarten –  als Tochter zweier börsennotierter Unternehmen sofort Profit bringen. Um dies zu unterstützen, wurde die in kürzester Zeit aus dem Boden gestampfte IT als 1:1-Copy der bisherigen IT-Infrastruktur der Konzernmutter angelegt.

Der Vorteil davon? Ganz klar, man war in kürzester Zeit ready to run. Die IT-Mitarbeiter arbeiteten quasi in derselben Umgebung weiter, kannten ihre Abläufe und mussten zunächst keine Überlegungen hinsichtlich Optimierung, Vereinheitlichung und Organisation anstellen.

Nur galt das natürlich nicht nur für den deutschen Standort, sondern für alle drei weltweit verteilten Unternehmensteile, die da plötzlich als „ein Laden“ funktionieren sollten und trotzdem in den bisherigen Strukturen weiterarbeiteten.

Selbstverständlich beschäftigte man in der Gründungs- bzw. Übergangsphase ein Heer von Spezialisten – hauptsächlich Anwälte renommierter Wirtschaftskanzleien –  um den Deal sauber, schnell und juristisch wasserdicht über die Bühne zu bringen.

Und das Lizenzmanagement?

Was das mit Lizenzmanagement zu tun hat? Jede Menge, denn ein bestehender IT-Betrieb benötigt Lizenzen. Egal, ob es ein Produktionssteuerungsgerät ist, das mit jeder Menge hoch spezialisierter OEM-Software ausgestattet ist, ein 08/15-Client in einem Sekretariat oder ein Datenbank-Cluster für SAP.

Man sammelte also zunächst Verträge und Kaufnachweise. Man suchte in Kellern, Schubladen, ERP-Systemen und sonstigen Archiven nach verwertbaren Unterlagen, aus denen sich ein Lizenzbestand ableiten ließ. Wer schon einmal ein SAM-Projekt in einem Merger-Umfeld geleitet hat, weiß, welche detektivische Ermittlungsarbeit das sein kann. Und der weiß, dass man an einen Punkt gerät, an dem man sich notgedrungen auf eine Methodik zurückzieht, bei der man mit den Software-Herstellern einen generalisierten Lizenzübertrag zu vereinbaren versucht. Es wurden also von Wirtschaftsanwälten generische sog. „Transfer-Letter“ entwickelt, die von Hersteller und Kunde unterzeichnet wurden. Der Inhalt war ziemlich einfach: Man betrachtet diesen und jenen Vertrag künftig als übertragen. Nicht mehr, aber auch nicht weniger. Für das Management und die Anwälte war das Thema damit erledigt. Schnell, treffsicher, 100%ig. Dachte man.

Geht 100% Compliance?

Es gab aber in einer Fachabteilung die (sicherlich richtige) Auffassung, dass dies vielleicht noch nicht die ganze Arbeit sei und startete ein „Compliance-Projekt“. Man holte COMPAREX als Partner an Bord und stellte ein ziemlich großes Budget bereit, um innerhalb kurzer Zeit eine „hundertprozentige Übersicht“ der Compliance zu bekommen. Der fachlich bewanderte Leser wird nun schon ahnen, dass hier der erste große Fehler im Projekt gemacht wurde. Aus den unterschiedlichsten Gründen und Zielen wollten die Protagonisten:

  • Große Risikozahlen
  • Hohe Schlagzahlen
  • Lange Listen mit Herstellern und Produkten
  • Persönliche Reputation

erzeugen – mit der Aussage „wir haben 100% unserer Assets und Verträge überprüft“.

COMPAREX folgte dem Auftrag des Kunden und warf ein Heer von Consultants aus ganz Deutschland in das Projekt. Treu der Devise „Masse statt Klasse“ wurden es für einige Kollegen lange Tage, Terminpläne zu Bedrohungen und Routine zum Alptraum.

Am Ende standen gewaltige und beeindruckende Werke aus PowerPoint und Excel zur Verfügung, die Unternehmensexistenz vermeintlich bedrohende Risikozahlen, Vorwürfe in die eigenen Reihen des Unternehmens und leider auch bis ans Ende erschöpfte Consultants – aber auch großes Lob für COMPAREX für die geleistete Arbeit.

All das wäre durchaus positiv zu verwerten gewesen, wenn diese Erkenntnisse unmittelbar zu Entscheidungen, Verbesserungen und Veränderungen geführt hätten. Wie so oft landeten die Daten aber in der virtuellen Schublade – denn es gab zu der Zeit weder Prozesse noch Know-how, wie man damit nun umgehen soll, wie man das Alte aufarbeitet und das Neue so gestaltet, dass man Compliance als reelles Ziel formulieren kann.

Eine mögliche Alternative…

Meine provokante These hierzu: Hätte man sich am Anfang auf eine Risikomatrix geeinigt, anhand derer man die eingesetzten Software-Produkte und/oder -Hersteller bewertet hätte, hätte man zwar nicht die angestrebten „100%“ erreicht. Dafür hätte man für die Hochrisiko-Produkte sehr genaue Zahlen ermittelt, eine „Mitigation-Strategie“ entwickeln können und Vorgehensweisen, diese Risiken künftig zu vermeiden.

Wie kann nun so eine Risikomatrix aussehen?

Es gibt dafür kein Patent-Rezept, soviel vorweg. Aber es gibt eine Reihe von Kriterien, die man unternehmensspezifisch auswählen sollte, um die Bewertung des Risikos realistisch zu gestalten. Eine kleine Auswahl sei hier beschrieben:

Software-Umsatz je Hersteller bzw. Produkt

Wenn der Umsatz für einen Hersteller oder ein spezifisches Produkt 10 Mio. EUR per anno beträgt, ist das Risiko sicherlich höher als bei 10 Tausend EUR per anno. Eine Falschlizenzierung erzeugt hier deutlich unterschiedliche Finanzrisiken.

Produktionsrelevanz

Ein Softwareprodukt, mit dessen Nutzung die Produkte des Unternehmens hergestellt werden, die die Supply Chain steuern und letztlich dadurch zum wirtschaftlichen Erfolg des Unternehmens beitragen, haben ein deutlich höheres Risiko für Schadenersatz (Gewinne durch unlizenzierte Software) oder Produktionsausfall (Klagen auf Nutzungsunterlassung) als z.B. ein Grafik-Viewer, der keinen Einfluss auf die Produktivität hat oder schnell ersetzt werden kann.

Audit-Risiko

Wie wir wissen, gibt es einige Hersteller, die für die Wahrscheinlichkeit, Häufigkeit und Aggressivität eines Lizenzaudits bekannt und berüchtigt sind. Und es gibt Hersteller, mit denen man im Rahmen einer partnerschaftlichen Zusammenarbeit seine Lizenzcompliance untersuchen kann, um sie – bei Bedarf – ohne zusätzliches Risiko zu korrigieren, meist sogar im Rahmen von bestehenden Volumenlizenzverträgen.

Generelles Risiko für (unbeabsichtigte) Falschlizenzierung

Eine Installation – eine Lizenz. So einfach machen es uns die wenigsten Hersteller. Meistens gilt es zusätzliche Betrachtungen anzustellen für: indirekte Zugriffe, Multiplexing, Virtualisierung, Lizenzmobilität, Zugriffe, Fail-over/Standby-Szenarien, externe Nutzung, Versionsmischung, etc. Dies bezieht sich nicht auf einen bestimmten Hersteller, sondern kann bei vielen vorkommen oder auch nur für bestimmte Produkte.

Eigenes Lizenzmanagement

Nicht jedes Unternehmen hat für alle Produkte intern die gleiche Kompetenz für Lizenzierungsfragen. Manche beschäftigen sich nur mit einer Hand voll Herstellern intensiv und lassen andere eher unberücksichtigt. Das kann unabhängig vom Hersteller oder Produkt auch sehr unterschiedliche Risiken erzeugen.

Länderspezifische Risiken

In Staaten wie z.B. Russland oder China ist das Audit-Risiko sicherlich sehr unterschiedlich und Incompliance wird auch unterschiedlich geahndet. In Brasilien dürfen nur im Land beschaffte Softwareprodukte eingesetzt werden, in China gibt es z.T. spezielle Chinese-Market-Versionen. Auch das muss in die Bewertungsmatrix einbezogen werden.

Diese vorgenannten Beispiele und weitere Kriterien sollten vor einem Compliance-Projekt genutzt und angewandt werden, um die für das jeweilige Unternehmen passende Auswahl an Herstellern/Produkten für ein erstes SAM-Projekt zu treffen. Sie können auch dazu dienen, um nicht nur eine Auswahl, sondern auch eine Priorisierung, eine Abbildung auf einer Timeline vorzunehmen. Es ist für das Unternehmen auch eine Möglichkeit, nicht die gesamte Energie auf das Compliance-Projekt zu richten, sondern sich parallel – auch aus den Erkenntnissen der ersten Lizenzbilanzen – dem Thema Prozesse zu widmen. Das spart Zeit, Energie und letztlich auch Geld.

Was kann COMPAREX dazu beitragen?

Unsere Portfolio Management Platform kann die Auswahl an Herstellern und/oder Produkten gezielt unterstützen. Sie stellt Zahlen und Informationen über den vorhandenen „Software-Zoo“ bereit und macht Aussagen über veraltete oder technisch risikobehaftete Produkte. Mit dieser Arbeitsgrundlage und beim Kunden vorhandenen Verträgen können eine Auswahl und Reihenfolge der nachfolgenden Compliance-Betrachtungen erstellt werden. Schnell, treffsicher, risikoangepasst. Die 100% aus der Überschrift gelten dann zwar nicht für den ganzen Software-Stall, aber für die Auswahl der betrachteten Produkte hat der Kunde dann absolut belastbare Zahlen und kann seine Strategien daraus entwickeln.

Übrigens, wollen Sie wissen, was aus dem Kunden wurde, den ich eingangs beschrieben habe? Er produziert, er expandiert und er hat mit Unterstützung von COMPAREX ein Prozess-Design-Projekt durchgeführt. Er ist jetzt gut aufgestellt, um das nun zweite Compliance-Projekt zu stemmen – mit einer Auswahl an Risiko-Herstellern mithilfe einer Bewertungsmatrix.

Wie viel Optimierungspotenzial hat Ihr Software-Inventar?

Finden Sie heraus, wie Sie als Lizenzeinkäufer und IT-Budgetverantwortlicher mit der Portfolio Management Platform profitieren.

Alle Informationen zur Protfolio Management Platform

 




Aktuell und kostenlos: Nutzen Sie die Erfahrung unserer Consultants

SAM-Veranstaltungen:

SAM Roadshow ‐ Wenn die Lizenzbilanz zum Abfallprodukt wird!

Januar 2019 - Februar 2019

kostenfreie Veranstaltung

Mehr Informationen »



Diesen Artikel teilen

Artikel vom:
19.09.2018

geschrieben von:

TAGS:
Compliance, SAM, Software Asset Management

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben