Grip op software: van toxic naar strategische asset

 
10 oktober 2014

Tekst Marco Gianotten en Ton Arrachart

Een steeds groter deel van het IT-budget gaat op aan softwarelicenties en tegelijkertijd verliezen grote organisaties het overzicht over wat ze aan licenties en versies in huis hebben. Softwareleveranciers draaien de duimschroeven steviger aan: wanneer ze non-compliance vermoeden, volgt een audit. Boetes kunnen oplopen tot tientallen miljoenen euro’s. De hoogste tijd dus om serieus werk te maken van Software Asset Management (SAM). Daarmee voorkom je niet alleen boetes, maar versterk je ook de continuïteit van de business door sterk verouderde software gericht te vervangen.

Bij middelgrote en grote ondernemingen gaat volgens analisten inmiddels een kwart van het IT-budget op aan licenties en fees voor onderhoud. In het kielzog daarvan volgen hoge kosten voor beheer, upgrades en correctief onderhoud. Er blijft steeds minder budget over voor nieuwe initiatieven zoals nieuwbouw en innovatie – in menig bedrijf is dat teruggelopen tot minder dan 20 procent van het IT-budget.

Dat een groter deel van de totale uitgaven aan IT opgaat aan licenties, ligt niet alleen aan hogere tarieven voor onderhoud, maar is vooral te wijten (of te danken) aan meer transparantie. Wanneer door de inzet van slimme en geautomatiseerde tools bij self-audits steeds meer bekend wordt over welke software precies wordt gebruikt, ‘stijgt’ in de regel de hoeveelheid gelicenseerde software. Ook een migratie naar Office 365 levert een betrouwbaarder beeld op van het aantal gebruikers en het daadwerkelijk softwaregebruik. Maar meer transparantie en een hoger kostenaandeel leiden ook tot vragen: onder meer naar de toevoegde waarde van upgrades, doorgevoerd door softwareleveranciers. Upgrades naar een nieuwe versie bevatten lang niet altijd functionaliteit waar de business ook echt wat aan heeft. En soms is de leercurve voor gebruikers zo lang, dat de waarde van een nieuwe release negatief is. Gaat een secretaresse sneller werken nadat ze de nieuwste versie van Word heeft gekregen?

Ook op een ander vlak stijgen de totale kosten voor software: bedrijven geven steeds meer uit aan beheertools, zodat een beter inzicht kan worden verkregen met behulp van systemen in plaats van IT-medewerkers.

Zijn boetes het nieuwe verdienmodel?

Aan de andere kant is te zien dat grote beursgenoteerde softwareleveranciers de duimschroeven aandraaien bij hun bestaande klanten. Zij claimen maximaal hun rechten. Veel softwareleveranciers zijn sterk gericht op het creëren en vergroten van aandeelhouderswaarde. Met een omvangrijke installed base hebben ze belang bij omzetgroei, linksom of rechtsom. Wanneer de groei in nieuwe licenties tegenvalt (bijvoorbeeld omdat klanten in economisch zwaar weer terecht zijn gekomen) zal er meer verdiend moeten worden aan de installed base. Bovenop de licentiekosten is een jaarlijkse maintenance fee (voor onderhoud en upgrades) van rond de 20 procent van de licentiekosten inmiddels gebruikelijk. In theorie heb je dan na vijf jaar – via deze maintenance fees – dubbel betaald voor je licenties.

Software is een asset, waar ontwikkelaars tijd en geld in investeren. Het is dus begrijpelijk dat softwareleveranciers hun intellectueel eigendom willen beschermen, zodat het verdienmodel op basis van zowel licenties als onderhoudscontracten overeind blijft. Het wordt anders, wanneer grote softwareleveranciers zoals SAP en Oracle intellectual property als een middel gaan beschouwen om een derde, additionele omzetstroom te genereren bovenop de normale sales, door stelselmatig hun klanten te auditen op non-compliancy. Ze doen dat inmiddels niet zonder succes: deze derde geldstroom, de compliance-omzet als gevolg van het uitdelen van boetes, neemt bij  softwarebedrijven het sterkst toe. Naheffingen bij non-compliance lijken de nieuwe profit centers.

Business-impact van versiemanagement

De klant gaat inderdaad niet altijd vrijuit. Veel afnemers van software hebben hun assets niet goed in kaart gebracht. Veel CIO’s slepen een complex IT-landschap mee dat soms drie tot vier decennia oud is. Weinig bedrijven beschikken over een centrale bron waarin alle aangekochte software en het gebruik daarvan wordt vastgelegd. Software asset management is niet alleen nodig om compliant te kunnen zijn, maar ook om de risico’s te managen die ontstaan door versieverschillen, end-of-life systemen en software uit vervlogen tijden. Software zit in de hele productiecyclus: van ontwerp tot productie en testen tot onderhoud. Software is gonna eat the world, waardoor de risico’s van te sterk verouderde software toenemen. Dit levert het Black Swan-effect op: gebeurtenissen met een grote impact op de business die zeldzaam en  onvoorspelbaar lijken, maar in retroperspectief niet zo onwaarschijnlijk waren.

SAM en Airbus

Dat een gebrekkig software asset management enorme schade kan opleveren, is duidelijk geworden bij de ontwikkeling van de Airbus A380*. Bij het Frans-Duitse Airbus waren de Duitsers verantwoordelijk voor het ontwikkelen van de complete bekabeling van het nieuwe toestel. De Duitsers gebruikten een oude versie uit 1980 van het door de Fransen ontwikkelde Catia CAD-systeem, de Fransen gebruikten bij de ontwikkeling van het vliegtuig de laatste upgrade. Het gevolg: de 530 km aan ontwikkelde bekabeling bleek niet te passen. Impact: twee jaar vertraging en 6 miljard dollar aan extra kosten. Uiteraard kregen de Duitsers een upgrade naar de laatste versie, maar daarna volgde een totale reorganisatie van Airbus zodat bij de ontwikkeling van de Airbus A350 niet opnieuw dezelfde blunder zou worden begaan.

*Zie Businessweek: http://buswk.co/1oxh7rf

Kleine lettertjes

De risico’s van onzorgvuldig software asset management gaan verder dan stagnerende of zelfs falende business processen. Zes grote Nederlandse bedrijven kregen door Oracle een gezamenlijke boete van 120 miljoen euro opgelegd, omdat ze gebruik maakten van een private cloud van T-Systems. Elk afzonderlijk bedrijf had al licentie fees betaald, maar Oracle stond resource pooling niet toe. Volgens het licentiemodel moest betaald worden per fysieke processor, ongeacht of een core op die processor wel of niet gebruikt werd. Wanneer het aantal cores toeneemt door pooling in een cloud omgeving, dan moet voor elke core worden betaald, zo was de strekking. Het aantal hosts, het aantal CPU’s op de host, het aantal cores op een processor en de core factor bepalen samen het aantal licenties. Software asset management behelst dus ook het in kaart hebben van de impact van de kleine lettertjes in licentievoorwaarden.

Boetes als déjà vu

Bedrijven worden steeds vaker geconfronteerd met steeds hogere boetes voor non-compliant gebruik van software. Die boetes waren enkele jaren geleden lager; nu is dat opgelopen naar boetes tussen 25 en 150 procent van de jaarlijkse licentieprijs. Vaak gaan bedrijven naar aanleiding van een opgelegde boete het gesprek aan. Soms wordt na onderhandelen het bedrag verlaagd – dat wordt dan gepercipieerd als een korting. Het is niet ongebruikelijk dat een opgelegde boete intern wordt uitgesmeerd over andere kostenposten en doorbelast door de centrale IT-afdeling aan de interne afnemers. Het eindresultaat is dat er nog steeds moet worden betaald en als er verder niets verandert, komt de boete het jaar daarop gewoon terug. De compliancy audits, meestal uitgevoerd door externe partijen zoals KPMG of PwC, komen hierdoor in een kwaad daglicht te staan. Deze ‘onafhankelijke derden’ hebben overigens ook een verdienmodel: zij kunnen als ze hun werk grondig doen, extra omzet genereren voor de softwareleverancier.

Beursgenoteerde softwareleveranciers claimen maximaal hun rechten

Third-party maintenance in opkomst

Veel CIO’s zien software als een noodzakelijk kwaad; daar tegenover staat de leverancier, die het product heeft ontwikkeld, waarop IP berust en waar hij goed aan wil verdienen. Het gevolg van deze benadering is dat zowel voorwaarden als voorkomende problemen sterk gejuridiseerd worden. Gelijktijdig willen veel CIO’s uit de lock-in voor licentiekosten en onderhoud van enterprise software zien te komen. Alleen zo kan meer geld worden vrijgemaakt voor die gebieden waar wel voldoende wordt geïnnoveerd door de aanbieders, zoals mobiele applicaties, SaaS, PaaS, BI, Big Data en open source. CIO’s beseffen steeds beter dat ze naast rationalisatie (minder systemen en software) ook kunnen besparen op onderhoud door over te stappen naar externe dienstverleners zoals Rimini Street en Spinnaker. Dat de overstap naar third-party maintenance een bedreiging is voor grote software providers als SAP en Oracle, blijkt uit de kortingen die ze bieden bij de verlenging van onderhoudscontracten wanneer hun klanten een concreet voorstel hebben van een andere provider. Maar ook wanneer je als CIO compliancy management en software asset management uitbesteedt, blijft het jouw probleem: vanuit het perspectief van Plan Do Check Act besteed je alleen de Do uit. De Check blijft je eigen verantwoordelijkheid.

Licentiemodel obstakel voor IT-transformatie?

Bedrijven die de stap zetten naar virtualisatie en cloud computing, komen voor nieuwe uitdagingen te staan. De stap van client-server naar client-cloud impliceert dat bedrijven en overheden afscheid nemen van hun oude IT-landschap met bijbehorende licenties. Op dat moment vervalt de mogelijkheid om bijvoorbeeld langer door te werken met bestaande softwareversies (dus zonder steeds te investeren in de nieuwste versies en licenties). Cloud based software wordt gewoon op afstand geupgraded, of je dat nu wel of niet wil. Los van de vraag of het pay-as-you-go model uiteindelijk een kostenvoordeel oplevert, kunnen bij hybride cloud modellen, waarbij bedrijven zowel met on premise licenties als met SaaS-oplossingen werken, interne problemen ontstaan in compatibiliteit. Een voorbeeld. De marketingafdeling heeft goed nieuws: er is een nieuwe, flitsende website gelanceerd. Nieuwsgierige medewerkers gaan meteen naar het web en krijgen een pop-up die aangeeft dat een upgrade naar een nieuwe versie van Internet Explorer vereist is. Iedereen accepteert deze upgrade, maar helaas met als eindresultaat dat het webbased financiële systeem, dat nog niet op de nieuwste versie functioneert, onbeschikbaar wordt.

Naheffingen bij non-compliance lijken de nieuwe profit centers

Klanten die gebruiker worden

Door de trend richting cloud based en/of hybride oplossingen worden organisaties gedwongen om de ontwikkeling van hun on premise systemen hetzelfde vernieuwingstempo te laten volgen als de cloud applicaties. Het kan ook voorkomen dat je niet uit strategische overwegingen migreert naar Windows 7, maar dat de keuze afgedwongen wordt omdat toeleveranciers die beslissing nemen. Het traditionele licentiemodel maakt bovendien een tijdbom van het Internet of Things (IoT). Aan de vooravond daarvan moeten fundamentele keuzes worden gemaakt die verstrekkende gevolgen voor de toekomstige kosten kunnen hebben. Nieuwe op IoT-gebaseerde verdienmodellen van de business kunnen straks een molensteen worden, want bedrijven gaan van licenties voor (interne) gebruikers naar licenties voor sensors en apparaten. Een vergelijkbare situatie deed zich voor bij een gemeente, die vanuit kostenoverwegingen SAP-modules wilde integreren in selfservicevoorzieningen voor burgers. Toen er 200.000 nieuwe ‘eindgebruikers’ bij kwamen, bleef dit niet onopgemerkt bij de softwareleverancier, die bovendien met terugwerkende kracht naar deze verandering keek. Ook kiezen voor open source – als oplossing om af te raken van het verouderde licentiemodel – ligt niet voor de hand. De licentiekosten verdwijnen wellicht gedeeltelijk, maar daar komen andere kosten voor terug op het vlak van compatibiliteit, consultancy, support en ontwikkeling. Bedrijven die overstappen op open source, maken het duurder voor de bedrijven die bij de traditionele leveranciers blijven afnemen. De softwareleveranciers zien hun klantenbestand slinken, de base aan vaste klanten wordt kleiner terwijl ze hun omzet stabiel zullen willen houden.

Software asset management nieuwe stijl

Een eerste conclusie is dat software een toxic asset wordt wanneer je het niet goed managet. Het nadeel van software asset management oude stijl is dat het alleen defensief van karakter is; je brengt in kaart welke software je gebruikt om claims, boetes en naheffingen te vermijden. Software asset management gaat dus veel verder dan het aankopen van tooling: a fool with a tool is still a fool. Voor besluitvorming en sturing moet je ook weten hoe vaak software wordt gebruikt, wat de ouderdom is en wat de rol en het belang is voor de business en binnen de ketens. Zonder die kennis kan je niet rationaliseren en blijf je defensief acteren wanneer er weer een claim komt van een softwareleverancier. Bedrijven vrezen echter dat, wanneer ze alles goed in kaart brengen en transparantie in het gebruik gaan realiseren, hun kosten voor softwarelicenties zullen stijgen. Met software asset management kan je als CIO dus niet gemakkelijk scoren. Om grip te krijgen op de kosten en proactief het gebruik van te oude, overbodige en gedupliceerde software aan banden te leggen, zullen CIO’s het heft in handen moeten nemen. Om onaangename verrassingen te voorkomen moet software asset management een integraal onderdeel gaan uitmaken van sourcing beslissingen. Software is niet meer sec een verzameling pakketten en geschreven programma’s, maar wordt het fundament en bestaansrecht van een moderne onderneming. 

Best practices

Boete betalen onder voorwaarde van opruimactie. Een top-4 gemeente heeft een claim van Oracle na onderhandeling weten terug te brengen tot 20 procent van het oorspronkelijke bedrag: echter nog steeds een onvoorziene miljoenenpost. Gewoonlijk wordt zo’n bedrag door de gemeente omgeslagen over de ruim twintig diensten. De economische prikkel om de non-compliance aan te pakken wordt daarmee sterk gereduceerd: ieder heeft maar een beetje pijn. De centrale gemeentelijke IT-organisatie wilde actief het onnodig gebruik van licenties aanpakken en is een project gestart. Er is met Oracle afgesproken dat de boete werd betaald en dat binnen één jaar het aantal gebruikte licenties met 25 procent zou worden gereduceerd. Dit doel is behaald.

Softwareleverancier aansprakelijk stellen voor bedrijfscontinuïteit tijdens audit. Microsoft voerde bij een grote onderneming via een IT auditor geautomatiseerde audits uit op de test-, acceptatie- en productieomgevingen. Daarbij ontstonden zware verstoringen op de bedrijfskritieke Exchange-omgevingen die onacceptabel waren voor de CIO. Dit was niet uit te leggen aan de business en het topmanagement. Vanaf dat moment is er voor gekozen om softwareleveranciers te laten tekenen voor aansprakelijkheid voordat ze hun scripts laten draaien; eventuele schade wordt verhaald op basis van verloren productie-uren.

System integrators moeten license compliancy statements tekenen. Bij een aanbesteding voor de nieuwbouw van een web-based kernsysteem door een multinational, is de winnaar onvolledig geweest in de beschrijving van de benodigde software en welke licenties de klant aan derden zou moeten gaan betalen na oplevering van het project. De licenties voor een internet applicatie server waren niet meegenomen, ondanks het feit dat in de aanbesteding de term web-based system was gebruikt door de klant. De meerkosten waren bijna een half miljoen euro. Sindsdien moeten system integrators door ondertekening van een license compliancy statement aangeven dat ze een volledige aanbieding doen met inbegrip van alle benodigde licenties van derden. Meerkosten aan derden worden zo  voorkomen en er ontstaat een level playing field bij biedingen.

Denk out of the box. Baggeraar Van Oord heeft op vrijwel alle schepen servers staan waar Oracle op draait. Het gaat om stand alone versies omdat het cloud model bij gebrek aan betaalbare connectiviteit op zee niet zo goed werkt. Er zijn op ieder schip maar weinig gebruikers; toch wilde Van Oord graag een enterprise licentie. Bij de stand alone servers moet met Oracle worden afgerekend op processor power. Er was dus wat voor te zeggen om die zo licht mogelijk te maken, maar Van Oord wilde uiteraard niet te veel downtime. Samen met Oracle werd een creatieve oplossing gevonden: Van Oord werd zelf Oracle reseller en kon daarmee het licentiemodel op de schepen verwisselen voor een royalty model.

Van bewust onbekwaam naar bewust bekwaam

Compliancy is geen doel op zich, maar een resultaat van inspanningen op twee vlakken: je hebt zelf je zaakjes op orde en ook de relatie met je leverancier is goed. Het gaat dus om asset management en vendor management. Goed asset management is een kwestie van weten wat je in huis hebt, hoe en door wie het gebruikt wordt en wanneer licenties aflopen. Dat proces begint bij procurement. Als de business een licentie koopt, moet je als CIO kiezen: sta je oogluikend toe dat er misbruik van wordt gemaakt? Veel bedrijven zijn bewust onbekwaam: ze weten dat de registratie tekort schiet. Als je weet wat je in huis hebt, kan je er op sturen. Pre-assessments kunnen hierbij helpen. Daarbij zou het goed zijn als softwareleveranciers hun tools beschikbaar stellen aan de afnemers. Als ze dat niet willen, zit er dan toch een extra verdienmodel achter? Zorgvuldig software asset management heeft ook te maken met change management. Daarbij wordt vaak alleen gekeken naar de technische impact van changes, en niet naar niet-technische zaken zoals de financiële en compliancy impact. Medewerkers kijken gek op als je de business vraagt naar decharge na afronding van een project: een statement of work waaruit blijkt dat na afloop van een project de zaak netjes op orde is, zodat er geen claims volgen vanuit leveranciers wegens  aangetroffen restsporen van software.

Als je weet wat je in huis hebt, kun je er ook op sturen

Software Asset Management

Vernieuw het vendor management

Wanneer je in overleg treedt in plaats van afwacht totdat het fout gaat, zijn vaak flexibele en tijdelijke oplossingen mogelijk. Wanneer je zelf op een probleem stuit, kan je proactief naar de vendor toe stappen, ook om bijvoorbeeld voorgenomen plannen kenbaar te maken. Voor de vendor heeft dat gedrag een voordeel: hij wint er commerciële kansen mee, en je geeft het signaal af dat je compliant wil zijn. Daarmee maak je het minder aantrekkelijk voor een vendor om een dure compliancy audit uit te voeren. Stop dat geld in de relatie en in een betere  prijs/prestatieverhouding! Verbreed de blik en kijk niet alleen naar kosten, maar ook naar de impact en de rol van software binnen een digitaliserende onderneming. Software Defined anything, ofwel SDx, is de trend dat steeds meer door software wordt georganiseerd: virtuele datacenters, netwerken en het deployen van applicaties met DevOps. Door de betekenis van deze trend goed in kaart te brengen ontstaat een beter beeld van de totale impact van het aannemen van bijvoorbeeld 500 nieuwe medewerkers. Dat leidt bijvoorbeeld niet alleen tot 500 nieuwe  mailboxen, maar ook tot 500 nieuwe cloud licenties.

Rationaliseer en investeer in de relatie

Andere oplossingen liggen in rationalisatie van het softwarelandschap. Bij Van Oord wordt bijvoorbeeld geschrapt in het aantal beschikbare AutoCad-versies. Er komt meer nadruk op de toegevoegde waarde van software: in welke mate draagt het bij aan omzetrealisatie? Bij veel bedrijven zijn de kosten van kleinere of oudere pakketten niet inzichtelijk en worden baten evenmin toegerekend. De individuele IT-gebruiker zal die rekensom niet maken voor zijn eigen IT-wensen, het vergt dus regie vanuit IT zelf. Op het moment dat je als afnemer transparant bent, kan je wellicht ook op een eerlijker behandeling van je suppliers rekenen. Op het moment dat je dat zelf niet bent, is er geen evenwichtige relatie en loop je de kans dat een leverancier optimaal gebruik maakt van de licentievoorwaarden. Het gesprek aangaan over licentievoorwaarden is niet zinvol, maar je kunt wel het gesprek aangaan over je behoeften en het afrekenmodel, dus de toepassing van licentievoorwaarden. Leg je vraag bij de leverancier neer.

Ton Arrachart is CIO van Van Oord en bestuurslid bij het CIO Platform, waar hij verantwoordelijk is voor de portefeuille leveranciers.