Учет и контроль

Отсутствие контроля за использованием программного обеспечения (ПО) может привести к весьма значительным затратам. Поэтому руководителю компании очень важно системно организовать процесс управления ПО. Он должен включать пять этапов:


— создание группы управления ПО;


— оценка сложившейся ситуации с распределением и использованием средств информационной технологии (ревизия ПО);


— разработка плана управления ПО;


— внедрение плана и проведение корректировки;


— продолжение выполнения программы управления ПО.

ДЕЛЕГАТЫ ИЗ РАЗНЫХ ОТДЕЛОВ


При первоначальной разработке и внедрении системы управления ПО очень важно добиться одобрения и поддержки на всех уровнях организации, особенно у высшего руководства. В противном случае отдел информационных технологий рискует оказаться в изоляции и вызвать к себе враждебное отношение.


Этого можно избежать, включив в группу управления ПО сотрудников различных подразделений. Рекомендуется задействовать следующие категории сотрудников: кого-то из представителей высшего руководства, сотрудников отдела информационных технологий, бухгалтерии, административных работников, представителя юридического отдела, а также отдела кадров. Размер группы определяет конкретная организация, но обычно в такую группу входят не более 10 человек.

РЕВИЗОР “ЕДЕТ” ПО СЕТИ


Прежде чем составлять план управления ПО, необходимо четко уяснить, как и где организация использует ПО. Для этого нужно провести инвентаризацию, то есть ревизию имеющихся программных продуктов.


При ее проведении и требуется отследить каждый имеющийся в организации программный пакет. Существует широкий спектр инструментов, предназначенных для облегчения и автоматизации этого процесса.


В значительной мере ревизию можно провести с помощью программных продуктов, особенно если компьютерное оборудование организации объединено в одну или несколько сетей или если обмен программными приложениями производится по сети.


Ревизия средств информационной технологии — это совокупность действий, которая включает в себя изучение документации и опрос сотрудников и позволяет выяснить, как в данной организации происходит приобретение, распространение и использование ПО.

Исследования, проведенные аудиторской фирмой Print UK Limited, показали, что в типичной крупной организации, владеющей более чем 500 ПК, реальное число компьютеров зачастую процентов на 20 превосходит предполагаемое. Gartner Group указывает, что более 90% организаций приобретают информационные средства, не разработав механизма, позволяющего вести контроль за этими приобретениями.



Ревизию можно проводить одним из трех следующих способов:


— своими силами, пользуясь методиками и иными ресурсами, которые представляют специализированные аудиторские фирмы;


— своими силами, пригласив дополнительно внешнего специалиста аудиторской фирмы, который обеспечит основной инструментарий и поможет в реализации процесса;


— заключив контракт с внешней аудиторской фирмой на выполнение всего необходимого объема работ.


У каждого из вариантов есть преимущества и недостатки. Организация может стремиться к экономии средств, задействуя сотрудников отдела информационных технологий, администрацию отделов или добровольцев.


Однако, как показывает практика, проведение ревизии собственными силами в компании, располагающей более 100 ПК, невыгодно. У неопытного персонала на подготовку к проведению ревизии может уйти до 20 часов на каждые 100 ПК, а сама инвентаризация обычно занимает не менее получаса на каждую рабочую станцию.


Дополнительное и довольно значительное время уйдет на подведение итогов. В общей сложности, как показало исследование, внутренняя проверка 1000 рабочих станций может обойтись почти в два раза дороже, чем проведение ревизии силами внешних специалистов.


Разница в стоимости частично объясняется тем, что у внешней фирмы могут иметься стандартные бланки, средства и шаблоны для выполнения подобной работы, а персоналу отдела информационных технологий придется сначала разработать или подобрать такие инструменты, особенно если ревизия проводится впервые.


Существует множество разнообразных программных продуктов, облегчающих проведение ревизии СИТ. Их можно разделить на четыре основные категории:


— средства учета, которые предназначены в основном для проведения инвентаризации установленных программных продуктов и составления отчета;


— инструменты контроля, которые отслеживают работу ПО в сети, помогая регулировать использование сетевых лицензий;


— средства сетевого администрирования, объединяющие в единый комплект программы, предназначенные для измерения, инвентаризации и выполнения других заданий;


— средства управления ПО, которые предоставляют все возможности по инвентаризации, контролю и управлению, а также помогают в установке, распространении и защите ПО от вирусов и поддерживают работу справочной и других служб.


Ревизия ПО состоит из следующих этапов:


— подготовка к проверке;


— предварительная инвентаризация (изучение записей для определения того, каким программным обеспечением владеет организация);


— анализ правил и процедур (изучение правил приобретения, установки, использования и распределения продуктов);


— физическая проверка и сбор информации (изучение того, какое ПО реально используется и какими ограничениями обусловлено его использование).

ПОРЕПЕТИРУЙТЕ


При подготовке к проверке группа контроля должна выполнить следующие действия:


— получить одобрение администрации и организации в целом;


— провести учет всех компьютеров в организации, включая все принадлежащие компании ноутбуки и портативные машины, которые могут подключаться к локальной вычислительной сети, а также все принадлежащие компании ПК, которые находятся в удаленных подразделениях или у сотрудников дома;


— назначить дату проведения ревизии. Время, необходимое для проведения ревизии, зависит от конфигурации используемых в организации ПК, числа рабочих станций и возможной скорости работы аудиторов. В среднем понадобится по 45 минут на сбор информации о каждой рабочей станции и по два дня на оформление документации и пересмотр правил;


— назначить аудиторов. Необходимо распределить аудиторов по конкретным рабочим станциям и отделам;


— составить сводку лицензионных соглашений. Сводка лицензионных соглашений поможет рядовым сотрудникам и руководителям отделов понять, какие продукты имеются у организации и как их можно использовать;


— создать необходимые бланки и разработать процедуры. Обязательно понадобятся: извещение о проведении ревизии с указанием графика намеченных мероприятий, бланки аудиторских справок и сводок, анкета об использовании ПО;


— провести “генеральную репетицию” ревизии. Неправильное проведение проверки на глазах у всей организации может иметь катастрофические последствия. Во избежание этого группа аудиторов должна вначале провести проверку внутри самого отдела информационных технологий.

В ЖИЗНИ ВСЕ НЕПРОСТО


При предварительной инвентаризации компания в идеале должна использовать для приобретения ПО такие процедуры, чтобы большая часть необходимых данных могла быть получена путем простого запроса. К сожалению, в жизни это случается чрезвычайно редко.


Чаще всего будут в наличии записи разной степени достоверности о покупках ПО у различных поставщиков. Когда организация приобретает все программные продукты у одного продавца (поставщика), для начала обратитесь к нему с запросом обо всех сделанных покупках. Если поставщик не представил вам необходимую информацию или если организация пользуется услугами нескольких поставщиков, то эти сведения нужно запросить в бухгалтерии самой организации.


Поскольку в некоторых случаях вы получите информацию о покупке устаревших версий, то нужно будет исследовать данные о приобретении соответствующих обновленных версий (upgrade), чтобы определить, какая версия в действительности находится в эксплуатации на законных основаниях.


По окончании этого этапа группа управления ПО должна получить ответ на следующий важнейший вопрос: какие версии и каких продуктов реально принадлежат организации? Эту информацию удобно свести в таблицу, содержащую сведения обо всех имеющихся у компании лицензионных соглашениях (сводка лицензионных соглашений). Во многих случаях реально используемое ПО существенно отличается от того, что было приобретено.


КОРПОРАТИВНЫЙ МИНИМУМ


Анализ правил и процедур — один из важнейших этапов в повышении эффективности управления ПО. Число правил и процедур зависит от размеров, сферы деятельности и стиля работы фирмы. Однако есть некоторый минимум, которым не следует пренебрегать.


— Правила использования ПО и соблюдения авторских прав. Для того чтобы снизить вероятность обвинения организации в нарушении авторских прав, очень важно сформулировать и довести до общего сведения ясные и строго контролируемые правила в отношении ПО, защищенного авторским правом.


— Правила и процедуры приобретения ПО. Что делают сотрудники, когда им нужен новый программный продукт или обновление старого? Существует ли специальный бланк или процедура заказа? Требуется ли виза начальника? Кто и на каком основании принимает решение о закупках? У кого закупается ПО? Как обеспечивается поиск оптимальных расценок?


— Процедуры установки программного обеспечения. Кто отвечает за доставленное в организацию ПО? Кто его устанавливает? Кто записывает серийные номера, проводит регистрацию и записывает регистрационные данные?


— Процедуры обучения. Кто отвечает за планирование и организацию обучения? Проводится обучение своими силами или с привлечением внешней организации? Если внешняя организация не привлекалась, то, может быть, стоит это сделать?


— Правила и процедуры персонального использования ПО. Разрешается ли в вашей организации устанавливать на ПК и использовать личное ПО? Разрешается ли использовать на переносных компьютерах принадлежащее организации ПО (если это позволяет лицензионное соглашение)?


— Процедуры удаления ПО. Что происходит со старыми копиями, когда проводится модернизации ПО? Что делают с ПО, которое больше не используется? Существуют ли определенные правила?


Когда в организации имеется хотя бы 25 компьютеров, то во избежание потерь необходимо сформулировать правила работы с ними. Если таких правил и процедур не существует, то включите их разработку в план управления ПО. В случае когда правила и процедуры уже изложены в письменном виде, просмотрите их, чтобы убедиться, что они точны и современны.

РУЧНАЯ АВТОМАТИКА


Физическую проверку и сбор информации, если все компьютеры объединены в сеть, можно произвести автоматически с помощью специальной программы. Такая программа проверит наличие перечисленных продуктов на каждом включенном в сеть жестком диске.


Для тех компьютеров, которые не подключены к сети, в том числе для переносных ПК, можно использовать инструментальные средства другого типа, рассчитанные на обследование отдельного жесткого диска. Помните, что в большинстве случаев не все компьютеры организации объединены в сеть, поэтому, проводя ревизию, вам придется “пройтись” по организации.


Осуществляемый в ходе ревизии сбор информации разбивается на четыре этапа:


— использование программных средств для просмотра жесткого диска. Информацию с каждого диска надо собирать на отдельную дискету, чтобы идентифицировать и изолировать любые вирусы, которые могут оказаться на одном из компьютеров. Это позволит также избежать переноса вирусов с одной машины на другую в ходе ревизии. Использовавшийся для проведения ревизии программный инструмент создаст отчет на дискете. В конце проверки из этих отдельных отчетов может быть создан сводный отчет. Поскольку проверка каждого диска занимает несколько минут, то в это время можно провести опрос персонала, чему посвящен следующий этап ревизии;


— проведение опроса пользователей. Во время этого опроса можно выяснить, насколько хорошо организация удовлетворяет потребности своих сотрудников в ПО. Кроме того, можно выявить правила или процедуры, являющиеся чересчур обременительными;


— запись информации, полученной в ходе программной проверки и опроса персонала. Внесите в контрольную таблицу всю информацию о каждой из программ, обнаруженных в ходе автоматического или ручного просмотра диска. Для каждого экземпляра программы запишите, были ли представлены сотрудниками дистрибутивы, документация и лицензионные соглашения. Спишите серийный номер продукта из него самого или из инструментальной программы, которая использовалась для проведения ревизии, и сравните его с номером, указанным в руководстве пользователя или на дистрибутиве. Обратите внимание: отсутствие руководства пользователя или дистрибутива часто свидетельствует о том, что данное ПО было похищено или унесено домой (не обязательно его нынешним пользователем). Если недостающие компоненты найти не удается, нужно немедленно приобрести новые. При наличии необходимых документов, подтверждающих законность приобретения, многие компании позволяют купить недостающее по более низкой, чем исходная, цене;


— рассмотрение результатов совместно с пользователем. Кратко расскажите сотруднику о правилах компании в отношении ПО. Особое внимание уделите тому, какие продукты сотрудник может использовать дома, а также тому, какие личные программы он поместил на жесткий диск. Удалите с диска все нелегальные копии. Запишите все просьбы пользователя о предоставлении дополнительного ПО или экземпляров правил, проведении обучения, все его жалобы и замечания.

ОТЧИТАЙТЕСЬ ПО ПОЛНОЙ ПРОГРАММЕ


На заключительном этапе проведения ревизии полученная информация должна быть сведена воедино таким образом, чтобы на ее основе группа управления ПО могла составить план управления программным обеспечением. Такое подведение итогов можно оформить в виде таблицы, образец которой приведен в конце данной главы. С этой точки зрения нужно обратить внимание на следующие вопросы:


1. Совпадают ли результаты ревизии с результатами, ожидавшимися на основании записей о покупках?


2. Есть ли компоненты — дискеты или документация, которые требуют замены? Обнаружены ли программы, за которые нельзя отчитаться, или нелегальные копии, которые следует приобрести легальным путем?


3. Столкнулась ли группа аудиторов с существенными неудовлетворенными потребностями в ПО либо в обучении или с избыточным ПО, которое следует убрать или перераспределить? Или такого рода ситуации встречались только в виде исключения?


4. Имеются ли какие-нибудь другие существенные жалобы или комментарии, которые указывают на уже возникшие или только наметившиеся тенденции в использовании программных продуктов?


Ответы на эти вопросы войдут в раздел “Анализ ситуации” плана управления ПО. Бланки и отчеты следует сохранить как документальное свидетельство ревизии. Их можно использовать для справок в случае изменения в ПО или в штате сотрудников.

ПЛАН ПО ПЛАНИРОВАНИЮ


На основании полученной информации необходимо составить план управления ПО. Он состоит из следующих элементов.


Краткое резюме. Два-три абзаца вступления, в котором изложены основные составляющие плана. Предназначается для быстрого ознакомления руководства.


Анализ ситуации. Краткое описание того, как приобретается, распределяется и используется ПО в настоящее время. Здесь излагается информация, полученная в основном в ходе подготовительного этапа — ревизии ПО. Сюда нужно включить следующие сведения:


Список всех лицензионных соглашений относительно используемых продуктов (сводка лицензионных соглашений).


Результаты ревизии (отчет о ревизии ПО) и краткое изложение сведений, полученных в ходе опроса, отчет об использовании ПО (анкета об использовании ПО).


Краткое описание процесса, применяемого для заказа, получения и распределения ПО. Особое внимание здесь следует уделить “узким” местам. Обычно чем более формализован процесс, тем больше усилий требуется от пользователей, желающих получить необходимый продукт. Если же процесс децентрализован, то он может быть настолько неформален, что приобретенное ПО не будет полноценно использоваться.


Цели. Проанализировав сложившуюся ситуацию, гораздо проще сформулировать цели плана управления ПО. Эти цели зависят от результатов обследования. Варианты:


— сокращение капиталовложений в прикладные программы для ПК на 15%;


— обеспечение стопроцентного соблюдения лицензионных соглашений внутри организации (снижение риска использования нелицензионного ПО).


Сокращение затрат редко бывает единственной задачей плана управления ПО. Если основной целью организации является более эффективное выполнение ею своих задач за счет оптимизации использования ПО, то приоритетными целями плана должны стать вопросы, связанные с получением ПО, наиболее подходящего для выполнения текущих задач организации.


Стратегия. Для каждой задачи должны быть сформулированы пути ее решения. Например, для достижения указанного выше 15-процентного снижения затрат таким путем может быть перераспределение неиспользованных копий продуктов между отделами или переход от индивидуальных лицензий (например, на текстовый процессор) к лицензии на одновременное использование этого продукта целым коллективом.


Внедрение. Здесь описывается, какие корректировочные действия следует предпринять и какие человеческие и финансовые ресурсы для этого потребуются.


Приложения. В конце плана должны быть приложены бланки, форматы, соглашения, а также другая документация, которая будет использована в ходе его внедрения.

РЕВИЗИЯ — ТОЛЬКО НАЧАЛО


По результатам ревизии ПО группа управления может в соответствии с разработанным планом вносить изменения в процесс приобретения, распространения и использования программных продуктов. Реализация плана и проведение корректировки включает внесение всех изменений, которые были признаны необходимыми.


План должен быть согласован со всеми заинтересованными подразделениями организации и представлен на утверждение руководителям для приведения его в соответствие с остальными принятыми в ней планами, правилами и процедурами.


Некоторые из предусмотренных планом действий имеют разовый характер, другие рассчитаны на долгую перспективу. Например, во время ревизии ПО сотрудники отдела ИТ или ревизоры могут обнаружить и удалить вирусы, обновить версии ПО или ликвидировать копии нелицензионного ПО.


После внедрения плана может возникнуть потребность в других действиях — например, в расследовании случаев кражи ПО или сознательного нарушения лицензионных соглашений.


Для проведения подобных мероприятий потребуется непрерывная долгосрочная программа управления ПО. Следовательно, работа группы не должна закончится проведением ревизии, составлением плана совершенствования управления и его внедрения. С этого должна начаться систематическая работа по управлению ПО. Ведь в организации появятся современные версии старого ПО или даже абсолютно новые классы ПО.


Ревизию ПО в рамках этой программы и составление новых планов управления ПО нужно проводить не реже одного раза в год.


При подготовке данной публикации были использованы материалы веб-сервера http://www.microsoft.com/rus