Yazılım Lisans Yönetimi

Yazılım lisans yönetimi nedir?

Yazılım Lisans Yönetimi, kurumlardaki yazılım yaşam döngüsünde lisans varlıklarının maliyetlerinin ve kullanımlarının optimize edilmesini sağlayan bir yönetim sürecidir. Yazılım lisans yönetimi; yazılım maliyetlerinin azaltılması, operasyonel süreçlerin optimize edilmesi, yetkisiz yazılım kurulumlara engel olunması ve lisanslarla yazılım kurulumlarının sözleşmeler çerçevesinde uyumlu olmasını amaçlar.

Yazılım lisans yönetiminde şirketlerin riskleri nelerdir?

Kurum varlıklarında lisans varlıklarının önemli bir yeri bulunmaktadır. Lisans varlıklarının yanlış yönetilmesi sözleşme ve uyum riski, finansal risk, bilgi güvenliği riski, operasyonel risk ve bilgi teknolojilerinde yönetsel riskler gibi birçok riske neden olabilir. Yeni teknolojilerin büyük bir hızla gelişmesiyle lisanslama kurallarındaki değişiklikler ve lisans sözleşmelerindeki karmaşık yapılar nedeniyle oluşabilecek sözleşme ve uyum riskleri, yazılım üreticisi firmaların (Microsoft, SAP, IBM, Oracle, Autodesk, vb.) lisans denetimleriyle artış göstermektedir. Uyum risklerinden dolayı oluşacak cezai yaptırımların doğuracağı finansal kayıplarla beraber kurumlarda yanlış teknolojilerin seçilmesi ve yanlış lisanslandırma metotlarının kullanımıyla kurumun mali kayıpları artacaktır. Kurumdaki kişiler tarafından yetkisiz yüklemelerin yapılması, lisanssız ürünlerin kullanımı bilgi güvenliği açıklarına neden olmaktadır.  Yazılım lisans yönetim sürecinin iyi bir şekilde oturtulmaması operasyonel süreçlerde ve bilgi teknolojilerinin yönetiminde zayıflıklara neden olmaktadır.

Yazılım lisans yönetiminde iç denetimin rolü

Uluslararası İç Denetçiler Enstitüsü (IIA) tarafından yayınlanan iç denetim standartlarına göre İç Denetim Yöneticisi, iç denetim faaliyetini, faaliyetin kuruma değer katmasını sağlayacak etkili bir tarzda yönetmek zorundadır. İç denetim faaliyeti tarafsız ve uygun güvence sağladığında kuruma (ve paydaşlara) değer katar ve yönetişim, risk yönetimi ve kontrol süreçlerinin etkililiği ve verimliliğine katkıda bulunur.

Kurumlarda; iç denetimin yazılım lisans yönetimindeki süreçlerindeki kontrolleri, yazılım lisans yönetimdeki eksikliklerden doğacak risklerin azaltılması için gereklidir. Optimize bir yazılım lisans yönetimi iç denetim fonksiyonlarına bu risklerin doğru yönetildiği konusunda güvence vermekle beraber kurum değerlerinin maksimize edilmesini sağlayacaktır. İç denetim fonksiyonları, yazılım yaşam döngüsünde gerekli kontrollerin varlığından emin olarak ve düzenli lisans gözden geçirme çalışmalarını takip ederek yazılım varlık yönetiminde kurum farkındalığını arttırabilir.  Kurum içerisindeki bağımsız rolüyle iç denetim düzenli lisans gözden geçirmelerin sonuçlarını takip ederek risk yönetim ve iç kontrol süreçlerinin yeterliliğini gözlemleyerek görülen yönetim eksiklikleri için önerilerde bulunarak gerekli düzenlemelerin yapıldığını takip etmelidir.

İç denetim, yazılım lisans yönetimi süreci yeterli olgunluk seviyesinde olmadığı durumlarda öncelikle kurumda mevcut yazılım lisanslarını gösteren bir değerlendirme çalışması yapılmasını önererek süreci standardize etmelidir. Değerlendirme çalışmaları, envanter araçlarının kurulumuyla mevcut kurulum ve lisans bilgilerinin karşılaştırılmasıyla gerçekleştirilebilir. Ayrıca kurum tarafından yazılım lisans yönetimi için danışmanlık hizmetleri tedarik edilebilir. Çalışmanın sonuçlarına göre, lisans açıklıkları, fazlalıkları ve ileriki dönemde yapılacak yazılım kurulumları göz önünde bulundurularak aksiyon planları oluşturulmalıdır. İç denetim bu çalışmayla beraber süreci optimize bir hale getirebilmek için yazılım lisans yönetim sürecinde eksik gördüğü iç kontrolleri tespit etmelidir. Bu iç kontroller öncelikle yetkisiz kurulumların yapılması engellemeli, gerçekleştirilecek kurulum ve değişikliklerin prosedürel bir süreçten geçmesini sağlamalıdır. Aynı zamanda yazılım tedarikçilerinin seçimlerinde ve yazılım yatırımlarındaki kontrolleriyle iç denetim tedarikçi yönetiminin doğru ve güvenli bir şekilde yönetildiğinden emin olmalıdır. Bu şekilde yazılım lisansları aktif bir şekilde yönetilerek iş hedefleriyle uyumlu hale gelecek ve kurumların gereksiz yazılım maliyetlerinden kaçınmasına yardımcı olacaktır.