Thought Leadership
Compliance ist mittlerweile ein Begriff, der in vielen Unternehmen eine große Rolle spielt. Laut Wikipedia beschreibt er die Einhaltung von Gesetzen und Richtlinien. Fragen über Software-Compliance, relevante Normen und Softwarelösungen zur Erfüllung von Compliance-Vorschriften beantwortet Torsten Boch, Senior Product Manager Matrix42, in diesem Interview.
Welche Dimensionen hat Compliance aus der Sicht eines Softwareherstellers?
Wir betrachten “Compliance” im Wesentlichen aus zwei Perspektiven. Zum einen adressiert unsere Lösung die Verpflichtung jedes Unternehmens, eingesetzte Software auch ordnungsgemäß zu lizenzieren. Diesbezüglich ist eine Software zum Management von Softwarelizenzen, wie wir sie anbieten, eine unterstützende Lösung, um Transparenz über die Lizenzierungssituation herzustellen. In diesem Zuge ist ein Unternehmen in der Lage, möglicherweise bestehende finanzielle Risiken offenlegen. Mithin ist eine Softwarelösung für “Software Asset Management” (SAM) Teil des aktiven Risikomanagements. Zum anderen hat die Geschäftsleitung die Verpflichtung gegenüber den Geschäftsinhabern (z.B. der Aktionäre), wirtschaftlich mit Resourcen umzugehen. Ohne ein belastbares Lizenzmanagement ist häufig zu beobachten, dass Unternehmen aus Vorsicht viel zu viele Lizenzen erwerben und somit signifikante Kapitalbeträge nutzlos einsetzen.
Wie groß ist die Diskrepanz zwischen Theorie und Praxis? Also welchen Stellenwert sollte Compliance für Unternehmen haben und wie sieht es tatsächlich aus?
Leider ist zu beobachten, dass Compliance im Sinne einer ordnungsmäßigen und wirtschaftlichen Lizenzierung eingesetzter Software, oft nicht auf der Agenda des Risiko- bzw. Finanzmanagements von Unternehmen zu finden ist. Dies ist ungeachtet der Unternehmensgröße der Fall. Dabei lassen sich mit einem konsequenten und nachhaltigen Lizenzmanagement bis zu 30% der Softwarekosten einsparen. Dazu gibt es zahlreiche Analysen von internationalen Experten. Wenn man berücksichtigt, dass die Kosten für Softwarelizenzen die Kosten der Hardware um ein Vielfaches übersteigen, ist es unverständlich, dass Lizenzmanagement nicht bei jedem Unternehmen Chefsache ist. Schließlich gibt es keine wirtschaftlich tätige Organisation, die um den Einsatz von Software herumkommt.
Was genau ist Software-Compliance und wie wird dieses Thema heutzutage technisch gelöst?
Unter Software-Compliance versteht man die lizenzrechtliche Bewertung eingesetzter Software und den Abgleich mit erworbenen Lizenzbeständen. Software für Lizenzmanagement hilft bei dieser Aufgabenstellung, indem beschaffte Lizenzen verwaltet werden und technische Installationen automatisiert bewertet werden können. Allerdings kommen Unternehmen nicht darum herum, die von einer solchen Lösung aufbereiteten Daten zu qualifizieren. Darüber hinaus sind besondere Verfahren der Softwarebereitstellung (z.B. Terminal Server) oder spezielle Lizenzierungsbedingungen (z.B. Client Access – CAL) individuell zu betrachten, da eine automatische Berechnung ohne definierte Grundlagen nicht ohne weiteres möglich ist. Unabhängig vom Einsatz einer Softwarelösung für das Lizenzmanagement ist es für die effektive Bilanzierung der Lizenzen unabdingbar, dass das Unternehmen eine dafür angemessene Aufbau- und Ablauforganisation definiert. Ein gute Analogie hierfür ist das betriebliche Rechnungswesen. Auch hier reicht es nicht, eine Finanzbuchhaltungssoftware einzusetzen. Vielmehr müssen alle relevanten Prozesse darauf abgestimmt und ein verantwortliches Team definiert werden, deren Mitglieder entsprechend ausgebildet sind.
Welche Normen spielen ins Thema Compliance herein und wie können Software-Lösungen dazu beitragen, diese zu erfüllen?
Weltweit gibt es über 80 Normen und Richtlinien im Bereich des Risikomanagements! Als Beispiel seien hier die Normen ISO/IEC 31100:2009 sowie 31010:2009 genannt. Speziell im Softwarelizenzmanagement sollte die ISO/IEC-19770-1 hervorgehoben werden. Sie hilft Unternehmen dabei zu verstehen, dass Lizenzmanagement eine Querschnittsfunktion ist, die zahlreiche Schnittstellen zu Planungs-, Steuerungs-, Verwaltungs- und Betriebsprozessen hat. Diese organisatorische Vernetzung des Lizenzmanagements ist eine Ursache für die Komplexität der Aufgabenstellung, die viele Unternehmen vor schier unlösbare Herausforderungen stellt. Wir haben beobachtet, dass es genau dann schwierig wird, wenn Unternehmen ein Lizenzmanagement-Software einsetzen, die als “Silo-Lösung” kaum oder überhaupt nicht mit anderen IT- und Beschaffungsprozessen verknüpft wird. Aus unserer Sicht ist “Lizenzmanagement” eine integrale Funktion innerhalb eines gesamtheitlichen IT-Managements. Ohne Redundanzen und Medienbrüche können relevante Informationen direkt innerhalb der IT-Prozesse valide erfasst, verwendet und weitergegeben werden.
Die Cloud ist überall. Wie kann die Nutzung von Cloud-Lösungen die Compliance-Erfüllung in einem Unternehmen erfüllen; und wie kann auf der anderen Seite die Cloud helfen, Compliance-Richtlinien besser zu erfüllen?
Grundsätzlich erhöht die Nutzung der “Cloud” die Komplexität in Bezug auf Erfüllung der Compliance, auch unter Verschiebung der klassischen Aspekte eines Softwarelizenzmangements. Im Gegensatz zur Software, die “im Haus” installiert und betrieben wird, kann es bei einer Cloud-Nutzung kaum zur Unterlizenzierung kommen. Entsprechende Zugriffsrestriktionen über Benutzernamen und Passwort stellt i.d.R. sicher, dass die Anwendung nicht von unzulässig vielen Personen genutzt wird. Allerdings besteht auch hier die Möglichkeit, dass ein Unternehmen Geld verschwendet, wenn Zugänge nicht mehr genutzt werden, die Verträge aber unverändert weiter laufen oder gar erhöht werden. Darüber hinaus kommt ein ganz besonderer Aspekt ins Spiel, wenn Kennwörter im Besitz von Mitarbeitern sind, die das Unternehmen verlassen. Es bedarf eines stringenten Managements solcher Zugänge, um zu verhindern, dass der ehemalige Mitarbeiter die in der Anwendung liegenden Unternehmensdaten nach seinem Ausscheiden weiterhin nutzt. Womöglich in seiner neuen Tätigkeit bei einem Wettbewerber. Der Verlust von Firmengeheimnissen und vertraulichen Internas wäre die Folge.
Was sind die Vorteile von Softwarelösungen zur Erfüllung von Compliance-Vorschriften für die Unternehmer?
Softwarelösungen haben im Wesentlichen drei Vorteile: Automation, Prozessunterstützung und Dokumentation. Alle drei sind immens wichtig, wenn es darum geht, die Einhaltung von Compliance-Vorschriften sicher zu stellen. In der Automation liegt der Schlüssel für Effizienz. Sie stellt sicher, dass die verantwortlichen Mitarbeiter die Zeit haben, mit ihrem Wissen und ihrer Erfahrung komplexe Fragestellungen beurteilen und Entscheidungen treffen zu können, die eine Maschine nicht behandeln kann. Eine Unterstützung der Prozesse ist deshalb essenziell, weil komplexe Zusammenhänge und Abhängigkeiten nur so durchschaubar bleiben. In Verbindung mit der Dokumentation aller Rohdaten, Grundlagen, Zusammenhänge und Entscheidungen wird daraus ein nachvollziehbares Gesamtergebnis, das bei interner Revision sowie externem Audit belastbar bleibt.
Welchen Kostenfaktor bildet Compliance-Software und wie lautet die Gegenrechnung an Ersparnissen, Optimierung, etc.?
Eine ROI-Betrachtung (Return-on-Investment) bei Compliance-Initiativen ist äußerst schwierig zu treffen. Dies hängt von vielen individuellen Faktoren und der Ausgangssituation des jeweiligen Unternehmens ab. Mit Sicherheit lässt sich jedoch sagen, dass die Kosten für die unterstützende Softwarelösung in jedem Fall nur eine untergeordnete Rolle spielen – vorausgesetzt das Unternehmen nimmt die Aufgabenstellung ernst und treibt sie mit Eigenverantwortung sowie Nachhaltigkeit voran. Drei Viertel einer Compliance-Lösung betreffen organisatorische Aufgabenstellungen. Entsprechend dürfen die damit zusammenhängenden Kosten nicht unterschätzt und auch Opportunitätskosten nicht vergessen werden. Einsparungen durch die Kürzung nicht notwendiger Ausgaben sowie Minderung von bestehenden finanziellen Risiken werden jedoch in den allermeisten Fällen nicht ausbleiben. Wie hoch diese ausfallen, wird bei jedem Unternehmen unterschiedlich sein. Bei entsprechender Stringenz aller Aktivitäten wird die damit geschaffene Transparenz jedoch ganz sicher ihren angemessenen Wertbeitrag leisten.
Torsten Boch, Senior Product Manager Matrix42
