SAM processen en organisatie deel II

Na het lezen van mijn vorige blog zal de oplettende lezer tot de conclusie zijn gekomen dat het managen van software compliance een combinatie vereist van de juiste tooling en processen, maar vooral, dat de processen, die direct door de tooling worden ondersteund, niet toereikend zijn. In deze aflevering pakken we het procesmodel weer op en geef ik een indruk van de (organisatorische) eenheden, die betrokken zijn bij de gerelateerde SAM-processen.

Processen en Organisatie

Software Asset Management is iets dat de hele organisatie aangaat. Het grootste deel hiervan is passief betrokken. Zij moeten worden geïnformeerd over SAM-regels, waar zij zich aan moeten houden (‘SAM policies’) en zich daar vooral netjes aan houden. Een aantal medewerkers houdt zich actief bezig met SAM-processen. Afhankelijk van het volwassenheidsniveau van de organisatie zullen sommigen specifieke SAM-rollen hebben, al dan niet in een organisatorische SAM-eenheid. Gerelateerde processen en eenheden hebben invloed op SAM-processen. De manier, waarop dat gebeurt, verschilt per organisatie. Het is onmogelijk om ‘het standaard organisatiemodel’ te ontwerpen, waarin alle SAM-activiteiten eenduidig kunnen worden belegd.

sam-process-modelhz-blog-2-2

[Figure 1 – SAM Process Model]                                                                            [Figure 2 – Sample Organization Model ]

We zullen het sterk vereenvoudigde model uit figuur 2 gebruiken om een aantal zaken toe te lichten, die van belang zijn bij het implementeren van SAM-processen.

Eindverantwoordelijkheid en mandaat

Software Asset Management vereist een flinke investering, die uiteindelijk, door o.a. kostenbesparingen en risicoreductie, nog veel meer moet opleveren. De bedragen, waar we het hier over hebben rechtvaardigen aandacht op RvB-niveau.

Feitelijk is de CEO eindverantwoordelijk voor de compliance van de hele organisatie. Voor wat betreft de software zal hij die rol waarschijnlijk delegeren aan een medewerker, ergens in de organisatie. Laten we deze persoon de ‘SAM Executive Sponsor’ noemen. Hij moet bereid zijn geld te steken in SAM en besluiten kunnen nemen, bijvoorbeeld in geval van escalaties. Idealiter zal de SAM Executive Sponsor op RvB-niveau zitten, bijvoorbeeld de CFO. Op dit niveau is het mogelijk om strategische sturing te geven aan projecten en processen.

De tweede rol, die minimaal het mandaat van het topmanagement moet hebben, is de SAM Process Owner (PO). Hij is verantwoordelijk voor het ontwerpen van de SAM-processen en de toolselectie, en het implementeren en monitoren van de processen. Dit kan bijvoorbeeld een stafmedewerker zijn in de ‘Compliance Office’ (zie figuur 2) of een vergelijkbare functie.

Naast deze twee rollen is er nog de SAM Manager. Hij is degene die operationeel leiding geeft aan de SAM-processen.

Tot voor kort echter, en voor veel organisaties nog steeds, is het managen van software geen prioriteit. Software wordt beschouwd als een IT-feestje en zo lang als de CFO niet onaangenaam wordt verrast door torenhoge boetes zal het hogere management geen geld vrijmaken voor een SAM-project. Het gevolg is dat in de meeste organisaties alleen de SAM Manager wordt benoemd, binnen de IT-divisie. Impliciet is hij dan ook PO. Voor escalaties is hij aangewezen op zijn hiërarchische lijnen, dus via de CIO. Omdat SAM-processen afhankelijk zijn van processen buiten de IT (Financiën, HR, etc) is dit een risico voor het SAM-project. De projectmanager zal dan ook expliciet commitment vragen op RvB-niveau.

Centraal vs. Decentraal

Compliance, en daarmee ook audits door softwareleveranciers, is een zaak voor de hele organisatie. Als een bedrijfsonderdeel niet compliant is (en dit niet door de overige onderdelen wordt gecompenseerd), is de hele organisatie incompliant. De belangrijkste SAM-processen moeten dan ook worden gecentraliseerd. In geval van regionale spreiding of zelfstandige eenheden zullen activiteiten vaak decentraal worden uitgevoerd. In die situaties is centrale sturing nodig om de processen op elkaar af te stemmen.

ISO 19770-1 maakt onderscheid tussen centrale en lokale processs owners. Onze overtuiging is dat lokale PO’s altijd functioneel centraal moeten worden aangestuurd.

Gerelateerde organisatorische eenheden

Als je Software Asset Management gaat implementeren is het van belang om vast te stellen wie je stakeholders zijn. Dat geldt in het bijzonder voor stakeholders in andere eenheden dan die, van waaruit het SAM-project wordt uitgevoerd. Als zij weigeren mee te werken, omdat dat ten koste gaat van hun eigen KPI’s, is je project tot mislukken gedoemd. Het is dus van cruciaal belang om een goede stakeholderanalyse uit te voeren en de daarvan afgeleide risico’s goed te managen.

De IT-afdeling is de belangrijkste stakeholder voor het SAM-team, waarschijnlijk maakt het team er zelfs deel van uit. Veel IT-medewerkers zijn gericht op een of meer fasen in de lifecycle van software, waarmee zij per definitie te maken hebben met SAM. De SAM-processen sluiten dan ook naadloos aan op de ITIL-processen. Het SAM Team ontvangt gegevens over de status en het gebruik van software. Aan de andere kant is het SAM Team betrokken bij beslissingen met betrekking tot aanschaf, ontwerp en ingebruikname van software.

In figuur 2 heb ik de RSCQ-rollen (Risk, Security, Compliance, Quality) samen als een organisatorische eenheid getekend. In de praktijk zullen deze rollen echter verspreid in de organisatie zijn belegd. Vaak werken zij op corporate niveau, maar ook binnen bedrijfsonderdelen komen zij regelmatig voor. Aangezien zij allemaal tot doel hebben risico’s te managen en te voldoen aan beveiligings- en kwaliteitsnormen, hebben zij per definitie met SAM te maken. Zij zullen dan ook nauw aansluiten op de SAM-processen en de SAM-organisatie.

Financiën is de afdeling die alle financiële transacties binnen de organisatie volgt. Software assets vormen een belangrijke post op de balans. Het niet compliant zijn van softwarelicenties vertaalt zich in hoge kosten (boetes, aanschaf van ontbrekende licenties) en verminderde inkomsten en marktaandeel door negatieve publiciteit en imagoschade. Het SAM-project zal een initiële investering vragen, maar zich later dubbel en dwars terugverdienen. Vooral bij het opstellen en beoordelen van de business case zal Financiën een belangrijke rol spelen.

In grotere organisaties heb je te maken met verschillende valuta en belastingstelsels. Het doorbelasten van softwarekosten, bijvoorbeeld naar bedrijfsonderdelen, zal worden verzorgd door Financiën, op basis van gegevens, die door het SAM Team worden aangeleverd.

In het SAM-project is de Financieel Directeur een van de belangrijkste stakeholders.

Inkoop is de afdeling, die volgens vastgestelde regels de aanschaf van producten en diensten regelt. Hun medewerking is nodig om alle gegevens van aangeschafte software te krijgen, die nodig zijn om de compliance positie te kunnen bepalen. Inkoop wil aanschaf van producten vooral tegen de laagste prijs realiseren. Bij software kan goedkoop echter duurkoop zijn. Er zijn legio clausules in de softwarecontracten, die goed in de gaten moeten worden gehouden. Het gebruiksrecht van software kan bijvoorbeeld gelimiteerd zijn tot een regio of land, auditvoorwaarden kunnen strijdig zijn met corporate policies of zelfs met lokale wetgeving. De SAM-organisatie werkt nauw samen met Contract Management. Vaak is dit een onderdeel van Inkoop. De expertise van de SAM-specialist kan een belangrijke bijdrage leveren in de onderhandelingen over de voorwaarden.

De complexiteit van de softwarecontracten en het risico om niet-compliant te zijn hebben tot gevolg dat de afdeling Juridische Zaken (JZ of Legal) veelvuldig in SAM-processen betrokken zal worden. Met name bij contractonderhandelingen en audits zal hun hulp worden ingeroepen.

De afdeling Personeelszaken (PZ of HR), levert informatie over medewerkers, bijvoorbeeld aantallen en nieuwe en vertrekkende medewerkers. Daarnaast heeft HR ook tot doel om beleid en procedures naar de medewerkers te communiceren. Een belangrijke succesfactor voor SAM is dat richtlijnen voor het installeren en gebruiken van software, SAM policies, bekend zijn bij en worden nageleefd door alle medewerkers. Bij voorkeur moeten er sancties zijn bij overtreding van de regels, bijvoorbeeld een aantekening in het personeelsdossier of zelfs ontslag. In al deze zaken speelt HR een sleutelrol.

Conclusie

Er is geen standaard recept voor de plaats van een SAM Team in een organisatie. Het is echter overduidelijk dat het SAM Team connecties heeft met een groot aantal afdelingen, en daarmee met hun processen. Deze connecties zijn tweerichtingsverkeer. Zij leveren de input voor de SAM-processen, maar zij doen ook hun voordeel met de informatie uit de SAM-processen en de expertise van het SAM-team. Deze afdelingen zijn essentieel voor SAM en zullen dus intensief bij het SAM-project moeten worden betrokken.

 

Hans van der Zanden

Medeoprichter en CFO van In2SAM BV
Procesgoeroe sinds 25 jaar
Toegevoegd Expert aan ISO Workgroup 21, coauteur van ISO 19770 bijlagen

Leave A Reply