Die Zukunft des Lizenzmanagements ist SAM Governance, nicht das Zählen von Lizenzen.
Die Rolle eines SAM Risk Managements ist in der heutigen Organisation des Lizenzmanagement doch gar nicht vorgesehen. Wofür also soll das gut sein, welchen Sinn und welche Funktion sollte ein SAM Risk Management als organisatorische Einheit im Unternehmen haben?
Risiko Management im Lizenzmanagement besteht im traditionellen Verständnis aus der Kontrolle von Unter- und Überlizenzierung und der Einhaltung von Budgets für die Scope Softwareprodukte.
Um mehr braucht sich das Lizenzmanagement doch nicht zu kümmern, oder?
Nun, das galt vielleicht für die Vergangenheit für das Lizenzmanagements. Spätestens mit den neuen ISO Normen 19770-1:2017 und 55001 und den dort klar formulierten Anforderungen an das Risiko Management hat sich dies massiv verändert.
Viele Lizenzmanager tun sich schwer mit der aktuellen Norm für das Lizenzmanagement, der ISO 19770-1 in der Version 2017, da in dieser kaum mehr als ein paar Worte über das eigentliche Lizenzmanagement geäußert werden.
Dem Lizenzmanagement fehlt die Beschreibung des Frameworks der Lizenzmanagement Prozesse, die durchaus detailverliebte Erläuterung des "Was Wie zu tun ist", und die geradezu taylorisierte Aufteilung von Aktivitäten und Verantwortung im Lizenzmanagement. Die beiden Vorgänger der aktuellen Norm hatten sich hingegen intensiv mit den Facetten der Lizenzmanagement Prozesse beschäftigt und diese umfangreich beschrieben.
Abweichend davon fokussiert sowohl die aktuelle Norm 19770-1 als auch die mit ihr inhaltlich verbundene Norm ISO 55001 stark auf das Risk Management im Umfeld des Asset Managements, das Lizenzmanagement ist hingegen nur noch eine Komponente unter mehreren anderen. Und so einige im Lizenzmanagement haben sich daher dazu entschlossen, die 2017er Norm einfach mal zu ignorieren, nach dem Motto „das ist nicht unsere Norm“.
In den von den IT Budgets häufig weitgehend ausgeschlossenen dunklen Stuben des Lizenzmanagements heißt es, „mit dem Thema Risiko im Sinne des IT Risiko Managements, damit hat das Lizenzmanagement ohnehin nichts zu tun“.
Das sei die Aufgabe von anderen, wie z.B. BCM und IT Security. Vielleicht die IT Revision oder der Einkauf? Aber bitte nicht wir im Lizenzmanagement. Wir haben weder Budget noch Zeit noch Ressourcen für sowas, das ist nicht unsere Aufgabe.
Doch diese Einstellung ist grundsätzlich falsch und kontraproduktiv!
Das Lizenzmanagement nimmt damit eine seiner wesentlichen Aufgaben nicht wahr und es wird dadurch immer mehr an den unbedeutenden Rand der IT gedrängt.
Gerade in Zeiten von Miet- und Subscriptions-Lizenzen, von immer stärkerer Cloud und SaaS basierender Softwarenutzung, von zeitlich beschränkten Lizenzkeys, muss die Überwachung der laufenden Verträge und der Beurteilung möglicher Risiken aus der Nutzung viel stärker in den Fokus genommen werden, als das Messen, Zählen und Wiegen der klassischen Lizenzmanagement Verfahren.
Auch die eingesetzten Tools müssen sich wesentlich stärker nach diesen geänderten Rahmenbedingungen ausrichten, und nutzbare Daten zu den bestehenden Softwareverträgen und Nutzungen liefern und die daraus resultierenden Risiken beurteilen können.
Die vielen ITIL Silos sind darauf ausgerichtet, ihre Arbeit bestmöglich zu erledigen, aber sie sehen weder nach links noch nach rechts. Immer neue Risiken tun sich in diesem Dunkelfeld auf, in die die Softwarelizenzgeber gnadenlos hineinstechen.
Und solche Risiken gehen bis zum Risiko des Stillstandes im operativen Betrieb, wenn Verträge oder Lizenzkeys von Cloud und SaaS Anwendungen auslaufen.
Wer sonst soll die Zusammenhänge zwischen einem zeitlich beschränktem Lizenzvertrag, dem installierten time-bombed License Keys, dem Nutzungs- und Lizenzrecht herstellen und wer sonst soll erkennen, wo die von den auslaufenden Verträgen tangierten Produkte installiert sind, wenn nicht das Software Asset Management.
Das Lizenzmanagement sollte sich in diesem Kontext mehr als Teil einer Risikobewertungskette verstehen und gemeinsam mit IT Asset und Service Management, IT Security, Business Continuity Management und der IT Architektur in einem koordinierten Prozess als Querschnittfunktion agieren. Und sich verantwortlich fühlen für das Erkennen, das Managen und die Abwehr von Risiken aus der Softwarenutzung.
Die Experten aus dem Hause Gartner empfehlen ihren Kunden aus gutem Grund sich im Lizenzmanagement stärker auf die Themenbereiche
auszurichten.
Das Lizenzmanagement sollte diese Entwicklungen und die aktuellen ISO Normen nicht als Zurücksetzung begreifen, sondern als Chance sich stärker in der Unternehmens IT einzubringen.
Das IT Risikomanagement in den neuen SaaS und Cloud Zeiten kann vom Lizenzmanagement in vieler Hinsicht tatkräftig unterstützt werden, z.B. mit qualitativ hochwertigen SAM Tool Daten, einer guten SAM Governance und der Fokussieren auf das Erfassen und Steuern von Risikoparameter auf Grundlage einer guten Governance. Und dadurch auch den Anforderungen der ISO Normen gerecht werden.
Ein SAM Risk Management als Teil der SAM Organisation muss dafür Sorge tragen, dass die vielen dezentralen organisierten Einheiten großer, multinational agierender Unternehmen sich an einen einheitlichen Rahmen der Risikovorsorge halten, so wie in den Vorgaben der SAM Governance formuliert.
Lizenzen stellen in SaaS Umgebungen nur noch ein kaufmännisches und kein lizenzrechtliches Problem mehr dar. Weigert sich das betroffene Unternehmen aber die kaufmännischen Forderungen des Lizenzgebers zu erfüllen, dann kann daraus sehr schnell ein relevantes vertragsrechtliches Problem entstehen.
Daher sollten die Stakeholder, also die Risk Owner, wissen, was richtig und was falsch Verhalten ist.
Aber wissen die handelnden Personen das auch noch nach mehreren Jahren? Sind die ehemals agierenden Personen überhaupt noch im Unternehmen, wer weiß was wo abgelegt ist und welche Nebenabsprachen hat es gegeben?
Hier entwickelt sich ein großes schwarzes Loch, in dem die Unternehmensbudgets mehr und mehr zu versinken drohen.
Das SAM Risk Management muss sicherstellen, dass alle relevanten Daten zu Softwareverträgen so erfasst, dokumentiert und so transparent verfügbar gemacht werden, dass sie für das Risikomanagement sowohl zentral als auch lokal genutzt werden können.
Das SAM Risk Management muss sicherstellen, dass alle notwendigen Daten zu Nutzungsvereinbarungen in nutzbarer Form existent und zugänglich sind.
Und das bedeutet
Ein SAM Risk Management als Teil der Audit Prevention Prozesses und auf Basis einer ausgearbeiteten SAM Governance, ermöglich so auch eine Refokussierung des Lizenzmanagements, was einen Bedeutungsgewinn zur Folge hätte und auch eine bessere Selbstvermarktung des Lizenzmanagements im Unternehmen ermöglichen würde.
Jedoch, die Funktion des Risiko Management hilft nichts, wenn die Transparenz über Vorgänge und Nutzungen nicht gewährleistet ist.
Transparenz bedeutet Wissen, aktuell, vollständig und plausibel, und solches kann nur gewährleistet werden, wenn die Qualität und der Umfang der verfügbaren Daten ausreichen, um diese Transparenz herzustellen.
Eine hohe Datenqualität in SAM und den vorgelagerten IT Datenquellen sind dafür unabdingbar.
Was aber bedeutet Datenqualität wie bewertet man diese und wie stellt man sie sicher?
Wie dies am besten geschieht? Mehr dazu in Folge #4 unserer Serie "Gutes SAM - was ist das eigentlich?"
Lizenzcenter – Ihr Berater für effektives Software Lizenz- und Asset-Management
Untere Brendelstr. 11 – 61348 Bad Homburg - Telefon 06172-918614.