Rollen und Verantwortlichkeiten im Lizenzmanagement

Transkript

1 Rollen und Verantwortlichkeiten im Lizenzmanagement März 2014 Einleitung: Der effiziente Einsatz von Software stellt eine immer drängende werdende Herausforderung für Unternehmen dar. IT-gestütztes Lizenzmanagement kann die Unternehmen dabei unterstützen, Über- und Unterlizensierungen festzustellen und eröffnet diesen Handlungsoptionen. Nur ein funktionsfähiges Lizenzmanagementsystem schafft Compliance, also die Einhaltung von Verträgen, Recht und Gesetz, da dieses Transparenz im Unternehmen über die lizensierte und genutzte Software schafft. Im Folgenden sollen Rollen und Verantwortlichkeiten im Lizenzmanagement dargestellt werden. Die Darstellung differenziert hierbei zwischen dem strategischen/operativen Lizenzmanagement ( Kernrollen ) und dem Sonderfall Softwareaudit. Die Darstellung der Rollen und Verantwortlichkeiten orientiert sich an der RACI-Matrix. Ferner orientieren sich die aufgeführten Rollen an einem in Deutschland ansässigem Unternehmen; bei globaler Tätigkeit sind die Rollen und Organisationsstrukturen entsprechend zu skalieren und an die Unternehmensstruktur anzupassen (Anpassung an Länderstrukturen, Konzernstrukturen). Bei großen Konzernstrukturen ist es zweckmäßig, die Aufgaben des Lizenzmanagements auf mehrere Lizenzmanager:

2 Konzernlizenzmanager, Gesellschaftslizenzmanager zu verteilen. Die nachfolgend aufgeführten Rollen-(namen) spiegeln die aktuelle Praxis der Personen und Unternehmen wider, die an diesem Dokument mitgewirkt haben. Ziele des Lizenzmanagements: Ziel des Lizenzmanagements ist es, Software Assets und Lizenzen effizient und effektiv, rechtssicher und zum maximalen Nutzen des Unternehmens/Konzerns zu verwalten. Ziel ist es daher auch, sicherzustellen, dass innerhalb des anwendenden Unternehmens die Software im Rahmen der eingeräumten Nutzungsrechte verwendet wird ( Compliance ). Rechtliche Rahmenbedingungen Die Aufgabenerfüllung des Lizenzmanagements muss die rechtlichen Rahmenbedingungen achten. Im Strategischen/operativen Lizenzmanagement sind insbesondere datenschutzrechtliche und mitbestimmungsrechtliche Regelungen zu beachten. Im Auditfall ist zudem sicherzustellen, dass Geschäfts- und Betriebsgeheimnisse des Anwenderunternehmens gewahrt werden. Verantwortlichkeiten: Die Verantwortung für die Einhaltung der eingeräumten Nutzungsrechte liegt bei der Geschäftsführung. Hierzu dient auch das Lizenzmanagement. Einzelne Aufgaben des Lizenzmanagements können auf Dritte (im wesentlichen Mitarbeiter des Unternehmens) delegiert werden. Ein Unternehmen kann entscheiden, ob es hierfür eine hauptamtliche oder nebenamtliche Organisation wählt. Die Entscheidung hängt im Wesentlichen davon ab, wie groß und wie komplex das entsprechende Unternehmen ist. Je nach dem sind auch Mischformen denkbar, beispielsweise können in einer größeren Organisation in der Zentrale einer oder mehrere hauptamtliche Lizenzmanager arbeiten, die an den verteilten Standorten durch nebenamtliche Mitarbeiter unterstützt werden. Zu den Aufgabenbereichen eines Lizenzmanagers gehören typischerweise: Einführung, Betrieb und kontinuierliche Weiterentwicklung des Lizenzmanagementsystems, Dokumentation des Lizenzmanagementsystems Unterstützung und Beratung der Geschäftsführung in sämtlichen relevanten Fragen des Lizenzmanagements, Erstellung von Berichten Erstellen und Weiterleitung von Informationen an Mitarbeiter Durchführen von Schulungen Ggfs. Steuerung und Zusammenarbeit mit dezentralen (ggfs. nebenamtlichen) Lizenzmanagern

3 Der Lizenzmanager hat im Wesentlichen eine Prozessverantwortung. Definitionen: - Softwareinventarliste: Enthält alle Softwareprodukte (Lizenzen) die für das Unternehmen beschafft wurden - Softwarewarenkorb: Enthält die freigegebenen Softwareprodukte, aus der Projekte und Fachbereiche Software bestellen/anfordern können Begriff Verantwortung innerhalb der Prozesse Tätigkeiten Kernrollen des Lizenzmanagements Service Owner Verantwortliche Rolle für die ganzheitliche Steuerung des Lizenzmanagements der vereinbarten Service Level. Im Regelfall handelt es sich bei dem Serviceowner um eine Führungskraft. Lizenzmanager/ Prozessmanager Hat die Prozessverantwortung zur Steuerung und Verwaltung der Unternehmenslizenzen. Verantwortet den Lizenzmanagement-Prozess Verantwortlich für die Schnittstelle zu allen notwenigen Prozessen, betrieblichen und externen Ansprechpartnern. Hat die Verantwortung für die Beschaffung, Weiterentwicklung und das Zusammenspiel für alle im Prozess vorhandenen Werkzeuge Ist Verantwortlich für die Erstellung der unterstützt die Sicherstellung der Compliance auf Service bzw. Systemebene Macht die Vorgaben für den Lizenzmanagementprozess Kontrolliert den Prozess Der Serviceowner unterstützt die Sicherstellung der Compliance auf der Serviceebene. Implementiert Neuerungen und Veränderungen am Lizenzmanagementprozess. Berät die Anforderer/Projektleiter in Lizenzfragen. Planung und Steuerung für lizenzrelevante Themen kundenübergreifend Vertritt Lizenzmanagement in allen relevanten Gremien, berichtet an zuständige Führungsfunktionen und nach außen Koordiniert die Lizenzadministratoren,

4 Deutsch Software-/ Lizenzeinkäufer Procurement Manager Lizenzadministrator/ Softwarelicenselibrarian Lizenzbilanz entweder auf Konzern- oder Gesellschaftsebene. Verantwortet die kontinuierliche Weiterentwicklung des Prozesses Ist der Experte für den Einkauf von Softwarelizenzen, Verantwortet die ordnungsgemäße Abwicklung des Einkaufsprozesses Ist für den Vertragsabschluss verantwortlich Verantwortet die kaufmännischen und die lizenzrechtlichen Informationen die sich aus den Verträgen ergeben. Das Lizenzmanagement liefert bei Über- oder Unterdeckung bzw. Feststellung von Fehlmaßnahmen Handlungsempfehlungen an das Management. Laufende Marktbeobachtung zu Lizenzmanagement-Themen Unterstützt bei Lizenzverhandlungen Führt Kontrollen und Audits intern wie extern durch Optimiert die Software- und Lizenzbestände Veröffentlicht Informationsschreiben, Regeln, Policies und Arbeitsanweisungen. Beantwortet Fragen zur Software- und Lizenznutzung Stellt Informationen zum Thema Lizenzmanagement für die interne Kommunikation bereit hält den Kontakt zu den Herstellern Verhandelt die Verträge; je nach interner Vollmachts- und Unterschriftenrichtlinie unterzeichnet er die Verträge bzw. unterstützt den hierfür Berechtigen Pflegt die Lieferantenbeziehungen und berät das Lizenzmanagement und die Projektleiter bei der Beschaffung von Lizenzen. Mitarbeit bei Lizenzaudits Wählt den kostengünstigsten Anbieter und verhandelt die Konditionen für das Unternehmen aus Verwaltung der Lizenznachweise. Sammelt die Lizenzscheine, Lizenzschlüssel und Lizenzmedien. Ggfs. gibt er Medien an eine

5 Verantwortet den Wareneingang (Lizenznachweise, Rechnungen, Lieferscheine, Lizenzkeys, Medien) Die Weitergabe der Lizenzmedien und Unterlagen Pflege des Bestandes und der Stammdaten zentrale Archivierungsstelle weiter Führt Lizenzprüfungen durch und überwacht die Einhaltung der Nutzungsrechte. Überprüft die korrekte Lizenzierung von Software-Installationen und leitet Maßnahmen gegen Über- und Unterlizenzierung ein, nach Rücksprache mit dem Lizenzmanager Löst ggfs. Beschaffungen aus, gibt Lizenzen frei oder reserviert diese Nimmt die Einzelzuweisung von Lizenzen vor (z.b. Named-User) Pflegt den Softwarekatalog mit allen entsprechenden Metriken und legt die Software mit Footprint an. Prüft Mengengerüste, Lizenzmodelle/ Lizenzmetrik (z.b. Upgrade/Downgrade Möglichkeiten) Unterstützt bei Software-Audits Berichtet dem Lizenzmanager Erstellt Berichte und setzt Reporting- Anforderungen um Produktverantwortlicher (PV) Trägt die technische Verantwortung für den korrekten Einsatz der Lizenzprodukte in der IT- Umgebung. Verantwortet die regelmäßige Überprüfung nach neuen Versionsständen der Produkte (Produktlebenszyklus) Verantwortet die Mittteilung von Produktänderungen im Produktlifecycle, Überwachung der Software- / versionsübergreifend Überwachung der Lizenzmodelle am Markt Unterstützt bei Software-Audits Führt Lizenzprüfungen durch und überwacht die Einhaltung der Nutzungsrechte. Überprüft die korrekte Lizenzierung vor geplanten Software-Installationen Löst ggfs. Beschaffungen aus, gibt Lizenzen frei oder reserviert diese Informiert zur Verwaltung von Named-User- Lizenzen Nimmt an Release-Meetings teil, bewertet Produktanforderungen der Anforderer/Kunden Pflegt die Software-Identifikation/ Footprint (mit

6 Die Produktverantwortlichen sind Ansprechpartner für die Fachbereiche sowie für den Lizenzmanager zu allen Fragen bezüglich des Produkteinsatzes. Der PV ist für eine ordnungsgemäße Dokumentation der Lizenzzu- und abgänge bezogen auf den Einsatz der Software (Verknüpfung Device zur Lizenz) Verantwortet die Einleitung von Maßnahmen gegen Über- und Unterlizenzierung Verantwortet die sachgemäße Zuordnung der Lizenzmetriken zu den vorhandenen Lizenzen Verantwortet ggfs das Lagermanagement für seine Produkte Unterstützung Inventory-Verwalter, SW- Paketierer, Produkt Manager/Release Manager). Lagermanagement: Definiert Schwellwerte für das Softwarelager und überprüft diese regelmäßig Bewertet neue Anforderungen an Produkte und Produktversionen, führt diese ein und betreut deren Verwaltung und Nutzung (Ansprechpartner) Installations- und Konfigurationsanleitungen erstellen und evtl. die Paketierung beauftragen Begleitet Test und Freigaben zur Betriebsaufnahme Steuert den Einsatz von Lizenzen bei Veränderungen an seinen Systemen (Neuinstallation, Umzug, Verschrottung) Deutsch Zentraler Verwalter der IT- Vermögenswerte IT-Asset Manager Verantwortlich für das IT-Asset Management, kümmert sich um den Lebenszyklus der IT- Ressourcen von der Beschaffung, Inventarverwaltung bis hin zur Entsorgung. Steuert den Assetprozess Stützt sich im Regelfall auf eine Configuration Management Database (CMDB). Serviceprovider/Outsourcer (falls die IT outgesourct ist) Unterstützt bei Bedarf den PV bei technischen Fragestellungen Liefert ggfs. die technischen Assetmanagement Daten Gibt Empfehlungen für mögliche Software Standardisierung/Optimierungen. Verskriptet, installiert und deinstalliert Software Produkte nach Anweisung des Produktverantwortlichen Unterstütz bei Software-Audit liefert ggfs. aktuelle Installationsdaten (z. B. Serverinstallationen)

7 Rollen, die im Auditfall im Unternehmen benötigt werden bzw. empfohlen werden Deutsch Softwarehersteller oder sein Vertreter, der ein Audit durchführen will External Entity Verantwortet den Auditprozess auf Seiten des Audit durchführenden Unternehmens (Herstellers oder Beauftragter des Herstellers) Verantwortet die Kommunikation zwischen Hersteller und dem zu auditierenden Unternehmen. Benennung eines zentralen Ansprechpartners beim Softwarehersteller bzw. beim Auditor Vertragsgrundlage des Audits darstellen Umfang des Audits definieren (Produktliste, Zeitrahmen, Ressourcen, etc) IT-Leiter Service Delivery Manager Verantwortet die Erbringung sämtlicher IT- Servicekomponenten oder Teilen davon Ist der Ansprechpartner für Eingriffe in die produktiven IT-Prozesse Führt die Kommunikation und Schnittstellenfunktion zwischen dem Fachbereich und dem Anforderer (Kunde) durch Deutsch Rechtsabteilung Legal Counsel Ist verantwortlich für die Prüfung von Vertragstexten (Softwarekaufvertrag, Vereinbarung über die Durchführung eines Audits) und Schriftverkehr mit dem Auditor Kümmert sich um die juristischen Aspekte des Audits und der zugrunde liegenden Verträge Unterstützung im Hinblick auf juristische Aspekte, insbesondere auch im Hinblick auf einzunehmende Positionierungen und/oder zu äußernde Rahmenbedingungen/Vorbehalte Prüft die Rechtmäßigkeit eines Audits IT-Audit Manager * Rolle wird häufig durch Lizenzmanager besetzt Je nach Größe der Organisation und Anzahl der parallel laufenden Audits Verantwortet den konkreten Auditfall Verantwortet den Zeitplan Verantwortung für die interne und externe Kommunikation Verantwortet die Durchführung des Audits bei Einhaltung der gesetzlichen und durch die Auditvereinbarung getroffenen Regelungen Definiert die Rahmenbedingungen durch Abschluss einer Auditvereinbarung Erstellung Zeitplan Laufendes Berichtswesen über etwaige Findings Anfertigung von Sitzungs- und Gesprächsprotokollen Stellt Zugang zu den im Audit vereinbarten System sicher Stellt die in der Auditvereinbarung definierten Informationen zur Verfügung

8 Deutsch IT- Sicherheitsverant wortlicher CISO (Chief Information Security Officer) Information Security Manager Verantwortet Richtlienen und Prozesse die die IT-Sicherheit betreffen (z.b. Funktionsfähigkeit von IT-Systemen, Know How Schutz, technischer Datenschutz, etc.) Prüft ob der Audit gegen Security Policies verstößt Veto- bzw. Vorschlagsrecht hinsichtlich des Auditsscopes, hinsichtlich sicherheitsrelevanter Systeme Veto- bzw. Vorschlagsrecht hinsichtlich des Einsatzes von Prüfroutinen (z.b. Script) Arbeitet im Auditteam mit Datenschutzbeauftragter Einhalten datenschutzrechtlicher Vorgaben (z. B. Bundesdatenschutzgesetz, bereichsspezifischer Datenschutz, interne Datenschutz-Policies) Kümmert sich um die datenschutzrechtlichen Aspekte des Audits und der zugrunde liegenden Verträge Unterstützung im Hinblick auf datenschutzrechtliche Aspekte, insbesondere auch im Hinblick Rahmenbedingungen/Vorbehalte Prüft die Rechtmäßigkeit eines Audits unter datenschutzrechtlichen Aspekten Begleitet ggfs. Audit, um ggfs. bei Abweichungen vom vereinbarten Auditverfahren, die möglicherweise gegen datenschutzrechtliche Regelungen verstoßen, einzugreifen Der Bundesverband Materialwirtschaft, Einkauf und Logistik e.v. (BME) bedankt sich bei den Teilnehmern des 2009 initiierten BME-Arbeitskreises Lizenzmanagement, die an diesem Dokument mitgewirkt haben: Beata Menzel (Allianz Managed Operations & Services SE), Holger Stark- Elborg (Alte Leipziger Lebensversicherung ag), Jan Pförtsch (Alte Leipziger Lebensversicherung ag), Elke Stieler (Deutsche Lufthansa AG), Andreas Becker (Finanz Informatik GmbH & Co KG), Bernhard Loesch (KfW-Bankengruppe), Dr. Dirk-Volker Stucken (Sika Services AG), Christoph Eich (Deutsche Welle), Michael Kalte (Hessischer Rundfunk), Christian Kupka (Union IT Services GmbH), Michael Rump (ivv GmbH), Michael Bonk (Voith GmbH), Michael Gröhn (BWI Systeme GmbH), Joseph Dirmeyer (Continental Automotive GmbH), Sandra Häusler (ATLAS ELEKTRONIK GmbH), Karsten Rödiger (Generali Deutschland Informatik Services GmbH), Tim Pautzke (Portigon AG), Rolf Notthoff (RWE IT GmbH) und Oliver Wagner (Tognum AG). Moderation: RA Sebastian Schröder (Bundesverband Materialwirtschaft, Einkauf und Logistik e.v.)