In de vorige blogs in deze reeks ging ik vooral in op (onbedoelde) licentie-overtredingen en het op orde brengen van de bijbehorende software-administratie. Maar er is nog een manier om onverwachte boetes of nabetalingen te voorkomen: ervoor zorgen dat de softwareleverancier helemaal niet bij je aanklopt voor een audit. Het is daarbij cruciaal om door de ogen van de publisher naar je eigen organisatie te kijken.
In de ideale situatie heb je continu inzicht in je software-uitgaven. Je hebt overzicht in je complexe landschap van licenties, subscriptions en contracten en weet precies wat er wordt gebruikt, door wie en op welke manier data zich door je organisatie beweegt. Software is tenslotte een belangrijk kapitaal goed voor je organisatie. Kortom: als er een audit komt, ben je voorbereid en heb je niets te verbergen. Laat die audit maar lekker komen, toch? In alle eerlijkheid: nee. Het liefst wil je die audit gewoon voorkomen. Het kost veel tijd (en dus geld), je moet een hoop papierwerk opleveren, er komen vragen van de security-afdeling en vaak lopen er zomaar allerlei mensen door je kantoor. Een hoop gedoe waar eigenlijk niemand op zit te wachten.
En de softwareleverancier eigenlijk net zo min. Alleen als er gerede twijfel is over je compliance-positie en eventuele licentie-overtredingen, zullen de stap zetten naar een audit. Toch komt het steeds vaker voor: verschillende onderzoeken laten zien dat het aantal software-audits al jaren toeneemt. Bij partijen als Oracle, SAP en Microsoft is het vaak gewoon onderdeel van het verdienmodel en de aanpak van het salesteam: een audit is voor hen een tool om de sales op gang te helpen en nieuwe gesprekken te faciliteren.
De ogen van de softwareleverancier
Als sam-manager kun je een audit voorkomen door je eigen risicoprofiel te bepalen. Kijk door de ogen van de softwareleverancier naar je eigen organisatie en vraag jezelf af: heeft de publisher reden om te twijfelen aan mijn compliance-positie? Welke signalen zend ik uit? Het komt er op neer dat je de leverancier laat weten dat bij jou alles in orde is en niets te halen valt. Organisaties die geen idee hebben welke signalen zij uitzenden, noemen wij vaak een ‘sitting duck’: ze wachten als het ware weerloos af tot ze ineens verrast worden door een audit, vaak van meerdere leveranciers tegelijkertijd. Zonder het te beseffen waren ze een sitting duck, waar leveranciers allang hun geweer op gericht hadden. Het in kaart brengen van die signalen – de sitting duck-analyse – is net als de administratieve component onderdeel van je software asset management-strategie.
Communicatie richting softwareleverancier
Communicatie met de softwareleverancier is daarbij misschien wel het belangrijkste. Of het nou gaat om een telefoontje van de salesmedewerker of een mailtje naar de helpdesk: elke vorm van communicatie met de publisher straalt signalen uit. Het is vooral zaak om de juiste dialoog te creëren. Straal uit dat je in controle bent en wees ervan bewust welke signalen kunnen suggereren dat je niet in controle bent.
Te harde en stellige statements, zoals een cio die zonder blikken of blozen zegt dat alles onder controle is, zijn verdacht. Het is beter om in absolute getallen te praten of in elk geval niet in te grote marges. Het klinkt geloofwaardiger als je aangeeft dat 203 van de 210 servers volledig in controle zijn, terwijl je werkt aan de laatste paar procent, in plaats van ‘alles’. Een proactieve houding in de dialoog helpt ook: je houdt de touwtjes in handen door zelf je software-administratie naar de publisher te sturen (mits die correct is uiteraard) en soms om validatie te vragen.
Aankoopgedrag, berichtgeving en externe IT’ers
Ook je aankoopgedrag wordt standaard gevolgd door je grootste software publishers en is een belangrijke indicator voor een eventuele audit. Er zijn verschillende ‘red flags’ die voor een leverancier makkelijk te herkennen zijn: denk aan de aanschaf van producten die samenhangen met andere producten, maar niet hetzelfde aantal licenties hebben, upgradelicenties zonder basislicenties of producten die ondersteunende technologie nodig hebben waarvoor de licentie ontbreekt.
De manier waarop je organisatie in de media komt, speelt ook mee. Denk aan berichtgeving over overnames of de groei van het bedrijf. Het kan allemaal duiden op een verminderde compliance-positie en daardoor de aandacht wekken van de publisher. Vooral overnames zijn een belangrijke trigger, omdat softwarelicenties dan meestal geen prioriteit hebben.
Wees ook bewust van externe consultants die namens een softwareleverancier in je organisatie rondlopen. Het is natuurlijk niet alsof zij een soort spionnen zijn, maar een informeel gesprekje met een consultant of een klantevaluatie kan aanwijzingen bevatten die duiden op compliance-issues. En dat kan altijd terecht komen bij de auditafdeling, die deze informatie uiteraard gebruikt. Vaak is het zo dat analyses bepalen of je op de auditlijst komt, maar je accountmanager heeft vaak een beslissende rol in de go/no-go.
Straal uit: hier is niks te halen
Het inrichten van een software-administratie en het implementeren van een software asset management is een langetermijnproces. Zeker als je uit een positie komt waar amper inzicht is in licenties, afspraken en kosten, kan het jaren duren voor je volledig compliant bent. Krijg je voor die tijd een audit voor de kiezen, dan ben je alsnog de pineut, terwijl je wel op de goede weg bent -zonde.
Focus je dus vanaf het begin niet alleen op het administratieve, feitelijke deel van licentiemanagement, maar kijk ook naar de signalen die je organisatie uitzendt. Voer eens een analyse uit en kijk van buitenaf naar je bedrijf, staande in de schoenen van de softwareleverancier. Uiteindelijk wil je dat die publisher maar één ding denkt: hier valt niks te halen.
Blogreeks
In de blogreeks ‘De echte kosten van software’ gaat Mark van Wolferen, directeur van softwarelicentiespecialist b.lay, in op het belang van inzicht in software-uitgaven en de rol van software asset management daarbij. In de volgende blog: quick wins om je software asset management te optimaliseren.