Úvod do správy softwarových a digitálních aktiv

Spolu se vzrůstajícím tlakem na ochranu autorských práv se v podnikové sféře v posledních letech poměrně pevně etablovala správa počítačového softwaru. Poněkud komplikovanější je však situace při využívání digitálních položek drobnější povahy, zvláště takových, které jsou zdánlivě volně dostupné, jako jsou různé fotografie, multimediální soubory či dokumenty. Jejich ochrana je zejména v malých společnostech často významně zanedbávána. Tento článek souhrně představuje základní principy správy zmíněných typů aktiv.

Klíčovými termíny pro tento článek se zdají být softwarová a digitální aktiva. Vnímání těchto označení je však všeobecně velmi vágní,a ve velkém množství případů jsou zaměňovány. Definice těchto termínů obvykle vychází z platného právního rámce, v případě České republiky je to pak zejména §2 autorského zákona (zákon č. 121/2000 Sb.), na jehož základě jsou nejčastěji jako softwarová aktiva označovány počítačové programy a databáze, včetně přípravných a koncepčních materiálů a zdrojových kódů. Tato aktiva mají ve většině případů důležitou podpůrnou roli při realizaci obchodního záměru společnosti. Předmětem ochrany jsou však i další díla elektronické povahy, které ve společnostech nejčastěji hrají úlohu informační, propagační či komunikační, včetně děl textové, fotografické, audiovizuální či grafické povahy, často souhrnně označována názvem digitální aktiva  (van Niekerk, 2006).

Toto často opakované rozdělení na softwarová a digitální aktiva vytváří dojem, že pro jejich správu je nutné aplikovat řadu diametrálně rozličných postupů, což je zdůrazňováno i tím, že se různí autoři správě softwarových a digitálních aktiv věnují v samostatných publikacích [1] . Zajímavým protikladem k těmto přístupům je standard ISO/IEC 19770, který v aplikačním rámci Správy softwarových aktiv (častěji anglicky Software Asset Management, případně SAM) explicitně deklaruje použitelnost stejných základních principů pro správu softwaru spustitelného, který zahrnuje počítačové aplikace, operační systémy či ovladače, jakož i nespustitelného včetně grafických souborů, fotografií, audio a video nahrávek, souborů a dat.

Označíme- li tedy nehmotný majetek výše specifikované povahy termínem softwarové aktivum dle definice standardu ISO/IEC 19770-1, zbývá jen definovat, v kterém momentě se materiál aktivem pro společnost skutečně stává. Zde je rozhodujícím kritériem obvykle fyzická přítomnost na jakémkoliv druhu hardwaru, ať už v přímém vlastnictví společnosti, nebo využívaném prostřednictvím dohody se třetí stranu (hosting, cloudová řešení atd.) po odstranění souborů dočasn0 povahy (tmp, cache), které jsou využívány pro zrychlení a správnou činnost některých aplikací.

Softwarová aktiva jsou za všech okolností předmětem ochrany autorských práv. Pro pochopení důležitosti jejich správy je tedy nezbytná alespoň elementární znalost právních nařízení týkajících se této tématiky. Softwarová aktiva jsou oficiálně předmětem ochrany již od roku 1996, kdy byla přijata Smlouva o právu autorském Světové organizace duševního vlastnictví („WIPO Copyright treaty“), která explicitně určuje, že software (dle kontextu smlouvy odpovídá výše definovanému termínu softwarové aktivum) podléhá stejnému stupni ochrany jako literatura. Skutečná aplikace této dohody však vychází až z nařízení Evropské Komise 2001/29/EC (v ČR zákon č. 121/2000 Sb., také známý jako Autorský zákon), které zavádí nutnost zahrnout tuto smlouvu do právního systém členských zemí EU. Účinná vymahatelnost těchto práv je však definována až nařízením  2004/48/EC (v českém právním systému zákon č. 221/2006 Sb.).

Pro firemní praxi znamenal neméně významnou změnu v této oblasti Zákon o trestní odpovědnosti právnických osob (Zákon č. 418/2011 Sb.), který nahradil dosud platný princip ryze osobní odpovědnosti. Dle toho zákona jsou právnické osoby odpovědné za v zákoně vymezený okruh trestných činů, včetně porušování autorských práv, a práv souvisejících s autorským právem (§270 Trestního zákoníku). V praxi to znamená, že tato nová legislativa umožňuje uplatnit trestní odpovědnost za porušování autorských práv tam, kde je zjištěno, že firma nelegálně užívá softwarová či digitální aktiva, tedy materiál přímo padělaný či nelegálně získaný, nebo získaný legální cestou, ale užitý na ve větším množství, než umožňuje licenční ujednání. Tento trest může v extrémním případě vést až ke kompletnímu přerušení činnost společnosti. Čistě z pohledu managementu rizik je tedy nutné, aby společnost měla o softwarových aktivech podrobný přehled a dodržovala pravidla jejich využívání.

Softwarová aktiva jsou předmětem právní ochrany autorských práv, přístup ke správě jednotlivých produktů se však může lišit dle záměru jeho autora. Tento je vyjádřen prostřednictvím tzv. softwarová licence, závazného právního nástroje, který obecně obsahuje zejména specifikaci scénářů možného využití produktu, jeho distribuce a popisem práv a povinnosti vznikajícími mezi jednotlivými signatáři této smlouvy. Typické licenční ujednání umožňuje nabyvateli (organizaci) využívat přesně stanovený počet kopií softwarového aktiva po stanovenou dobu za podmínek specifikovaných v licence pro koncového uživatele (end-user license agreement = EULA).

Z hlediska správy softwarových aktiv je potom klíčové rozdělení na software volně šiřitelný a software komerční. Problematika licencí je samozřejmě výrazně komplexnější, různé softwarové produkty mohou být zdarma pro nekomerční použití, licence mohou obsahovat řadu výjimek, avšak pro společnost je v konečném důsledku jediným podstatným kritériem to, zda je za využití daného aktiva nutné zaplatit licenční poplatek, či je-li možné legální využití zdarma.

Správa softwarových aktiv, často označovaná pouze zkratkou SAM (z angl. Software asset management), zahrnuje procesy a postupy pro správu a optimalizaci využívání softwarových aktiv v organizaci. Tyto procesy umožňují organizaci zjistit, jaká softwarová aktiva jsou v rámci společnosti využívána, určit kompatibilnost jejich využití s platnými licenčními ujednáními a zároveň zajistit efektivní využití vlastněných softwarových aktiv. Postup SAM je standardizován dle ISO/IEC 19770, který průběh celého projektu rozděluje do 3 logických oddílů na základě probíhajících procesů.

Oddíl označovaný jako procesy organizačního managementu, vymezuje definice v oblasti zodpovědnosti za celou kampaň, stanovuje role a kompetence jednotlivých zaměstnanců a navrhuje organizační politiky a nařízení, jímž se celý projekt bude řídit. Tato fáze zahrnuje také samotné plánování všech aktivit, které budou muset být v rámci SAM vykonány, včetně stanovení rozpočtů a plánů. V případě, že projekt zahrnuje i správu autorského software, je v tomto stádiu nutné stanovit, zda bude společnost aplikovat přístup ryze defenzivní, jinými slovy, bude se zaměřovat na možnost jednoznačného prokázání oprávněnosti užití daného aktiva, či se důsledně zaměří na ochranu a vynucování autorských práv ve vztahu k ostatním uživatelům těchto materiálů.

Druhým oddílem jsou procesy, jejichž cílem je samotná správa softwarových aktiv (tzv. Core SAM processes). Základním problémem, který je v rámci této fáze řešen, je identifikace softwarových aktiv dle jejich typu a licence. Každý software by měl být popsán pomocí tzv. meta dat – série značek, které umožňují jeho snadnou identifikaci a sledování. Mezi nejdůležitější meta značky patří typ aktiva, jeho popis, lokace, v které se nachází, a odkaz na relevantní licenční ujednání a jeho trvání. Doplňujícími informaci mohou být informace o posledním spuštění daného software, jeho oprávněném uživateli či jeho funkci.

Tyto záznamy jsou později použity při kontrole plnění licenčních ujednání či hodnocení faktického využívání těchto aktiv, jakož i při dalších úlohách managementu software včetně přípravy rozpočtů, či plánování investic. Důležité je také shlukování produktů, jejich jednotlivých vývojových fází a aktualizací, nejčastější je v tomto případě primární řazení dle produktu a sekundární kde vydavatele. Identifikace nemusí být zaměřena na veškeré typy softwarových aktiv ve společnosti – často se v praxi omezuje jen na software spustitelný, zejména díky funkčním limitacím specializovaného SAM softwaru.

       V momentě kdy jsou shromážděna data o vlastněném a využívaném software, je možné zaměřit se na jeden z hlavních cílů SAM – ochranu duševního vlastnictví. Je nezbytné ověřit nejen množství a dobu užívání instalovaných softwarových aktiv, ale musí být dodrženy i podmínky užití definované v licenčních ujednáních. Tyto dokumenty bývají vytvářeny tak, aby dodavatele ochránili před co největším rámce právních rizik; jejich pochopení a správná interpretace tak často vyžaduje výraznou schopnost porozumění právním dokumentům. Tento argument bývá uváděn jako jeden z nejčastějších pro outsourcingové řešení správy softwarových aktiv.

Správa softwarových aktivit samozřejmě není jednorázovou činností, ale měla by být prováděna v pravidelných intervalech. Mimo schémata pravidelných kontrol je také nutné stanovit jasné postupy a pravidla pro instalaci nového softwaru, včetně aktualizací a opravných balíků, rozšíření softwaru stávajícího, a postupy pro ukončení využívání software nadále nevyhovujícího.

Správná aplikace zásad správy softwarových aktiv poskytuje přehled o skutečném stavu nakoupených a užívaných licencí a v případě nastavení správné evidence a důsledného plnění licenčních pravidel přináší řadu výhod zejména v následujících oblastech:

Management rizik

1. Riziko právních postihů při neoprávněném využití softwarových aktiv
2. Riziko poklesu kvality IT služeb v organizaci, případně jejich úplného přerušení v důsledku nemožnosti využívat nelegálně nabytých aktiv
3. Riziko poškození dobrého jména společnosti v souvislosti s porušováním autorských práv
4. Časová úspora v souvislosti s případným softwarovým auditem

Finanční perspektiva

1. Snížení přímých nákladů na software díky přehledu o využívání jednotlivých licencí a možnosti jejich realokace, případně neprodloužení či prodej (pokud je umožněn licenčním ujednáním) nepotřebných softwarových aktiv
2. Lepší vyjednávací pozice s dodavateli díky detailním znalostem o využívání SW ve společnosti a možnosti využití hromadných licencí a softwarových balíků
3. Přesnější předpovědi a tvorba rozpočtů na budoucí období v důsledku detailní znalosti současného stavu softwarových aktiv a z toho plynoucích akvizic
4. Úspora času při provádění auditů softwarového majetku

Exaktní vyhodnocení výše zmíněných přínosů před samotnou aplikací principů SAM je vždy poměrně komplikované, a závisí především na předchozím přístupu k řešení této problematiky. Není neobvyklé, že v absolutní rovině může z krátkodobého hlediska znamenat pouze výdaje. V případě malých společností jsou i často skloňované možnosti lepší vyjednávací pozice při nákupu nových softwarových aktiv poměrně zanedbatelné, vzhledem k malému množství licencí, které jsou předmětem poptávky. Největší výhodou tedy zůstává samotná eliminace rizik.

V situaci většiny společností nastávají 2 základní problémové situace – vlastnictví nedostatečného nebo nadbytečného množství softwarových licencí. Jako nadbytečná je vyhodnocena licence, jež je fakticky ve vlastnictví podniku, avšak nikdy nebyla nasazena. Úspory za nadbytečné softwarové licence ve společnosti jsou pak vyjádřeny jako součin množství vlastněných a nevyužitých licencí a ceny za jednu licenci . K faktické realizaci této úspory dochází většinou po uplynutí technické životnosti původního produktu.  Krom licencí ryze nadbytečných se v organizaci mohou vyskytovat i licence, které sice nasazeny byly, avšak nejsou nikým využívány. Tato možnost bývá spojena se softwarem spustitelným a obdobím, během něhož nebyl spuštěn. Softwarová licence je obvykle označena za nevyužívanou, a tedy zbytečnou, pokud nebyla použita po dobu jednoho roku. Úspora za nenasazený software je poté vyjádřena pomocí ceny a množství neaplikovaných licencí.  I v tomto případě je této úspory obvykle dosaženo až po uplynutí životnosti software. Nová licence již není zakoupena, a celkové výdaje na software tedy poklesnou. Potenciální náklady v případě zajištění licencí chybějících jsou výrazně vyšší.  Krom podílu ceny a počtu chybějících licencí, které samozřejmě musí být pořízeny, je třeba vzít v potaz, že dle platného právního řádu může být vymáháno i tzv. bezdůvodné obohacení , obvykle ve výši dvojnásobku pořizovací ceny.

Profesionální realizace SAM má samozřejmě také své souhrnné náklady (TC0), které zahrnují jak cenu speciálního SW pro SAM, tak náklady na samotnou realizaci, které zahrnují instalaci a konfiguraci software, a implementaci technik SAM. Jako dodatečné náklady poté mohou být započítány různá školení personálu, konzultace, technická podpora k danému produktu, případně dodatečné lidské zdroje nutné pro jeho dlouhodobou obsluhu.

Investice do správy softwarových aktiv, bývají často posuzovány ryze z nákladového hlediska (viz. TCO), neboť předběžné vyhodnocení příjmů bývá obtížné a nepřesné. Jako rozhodující faktor pro aplikace technik SAM je potom nejčastěji považováno hledisko managementu rizik. Získání přesných finančních výsledků z pohledu úspor je ve všech případech možné až po samotném provedení celého procesu. Mnozí autoři a společnosti zaměřující se na softwarové audity se proto v komunikaci s managementem uchylují k využití průměrných hodnot založených na vlastních historických datech, či na odhadech míry porušování autorských práv protipirátských organizací jako je BSA. Vzhledem k tomu, že v těchto případech je zřídkakdy známa metodika získávání či výpočtu takovýchto hodnot, a motivace zmíněných organizací pro jejich zveřejnění je přinejmenším diskutabilní, je praktická užitečnost takovýchto odhadů značně limitovaná.

 Správa softwarových aktiv je v současnosti jednou z nezbytných podmínek přežití podniku v podmínkách tržní ekonomiky. Rostoucí tlak na ochranu autorských práv zvyšuje důležitost stanovení metodického rámce, který v rámci podniku potvrdí oprávněnost nabytí a používání software, v kompletním smyslu toho termínu dle ISO 19770. V naprosté většině případů je relevantní odhad návratnosti takovéto investice před provedení samotného SAM auditu velmi komplikovaný. Je nutné podotknout, že finanční vyhodnocení této techniky se může i v případě velmi podobných podniků diametrálně lišit v závislosti na předchozímu přístupu ke správě software. Ačkoliv aplikace technik správy softwarových aktiv může z investičního hlediska představovat pouze další náklady, nelze podceňovat důležitost této techniky z hlediska managementu rizik.

Reference

ISO/IEC 19770-1. (2012). Information technology — Software asset management. ISO.

van Niekerk, A. (2006). The Strategic Management of Media Assets; A Methodological Approach. International Academy for Case Studies – Allied Academies International Conference. New Orleans, Louisiana: Allied Academies.