我国华中地区某省W商业银行总部,常年从事该银行全省范围金融服务网点的管理工作,并具备金融理财产品的研发和信贷业务的审批职能,聚集了大量高素质专业人才。随着银行系统信息化水平的提升,该商业银行不但完成了全省网点的信息化、网络化工程,还致力于网银业务的开发工作,独立或委托开发了多个网银软件,并承接了相关单位委托的多个金融业信息化项目。
由于涉足信息化工作较早,信息化水平较高,且银行系统对信息安全的要求严格,W银行总部多年来已通过直接或间接采购获得大量正版通用软件和数据库软件。与此同时,由于预算支持和承接的金融业信息化项目较多,每年通过项目购得的正版软件数量也在大幅度增长。据统计,近两年来,该商业银行总部用于信息化和软件购买方面的投入已经大大超过硬件投入,成为一项重要支出。
鉴于银行业自身的经营特点,当必要的信息化投入和软件采购成本随义务发展而逐年增加时,精明的银行领导决定成立专门部门对此项工作来管理。通过职能部门对采购投入做核算,从而评估各类信息化成果的综合效能,并提升各类软件的使用率。在了解了ISO/IEC 197701标准后,银行领导希望在W商业银行总部率先开展软件资产管理工作,待条件成熟时,在全省各分支机构铺开。
在实践中,W银行聘请了相对熟悉软件资产管理的专家协助开展此项工作。在前期摸底阶段,工作人员了解到该银行总部现有在职员工442人,终端计算机310台,服务器30台,已采购正版软件1161套,对软件使用有基本的内部管理制度,并已有专人管理。此外,银行内人员基本素质较高,对版权制度和正版软件使用具备初步的认知基础,这都将成为软件资产管理工作开展的有利条件。
但随着工作深入,有一类现象引起了工作人员注意。即该银行对软件许可使用方式理解存在一定误区,导致在多个信息化项目同步开发时存在同类软件采购的重叠,即软件冗余。究其原因,是在信息化项目的需求分析阶段,缺少对软件采购的比对审核机制,忽视了一台计算机安装一套合适软件即可并行多个信息化成果的合法、合规模式,盲目地认为软件跟着项目走,第一个项目需要杀毒软件,第二、第三个也同样需要,就造成了单一项目的软件采购合理,而全银行范围内部分同类软件库存过量的情况。
鉴于此,工作人员决定在建立软件资产生命周期管理体系时,将软件采购的审核程序列为重点,杜绝因计划不善,控制不周造成的采购过量,即软件冗余情况发生。
①考虑到实施软件资产管理工作的重要性,在召开软件清查工作筹备会议时,W银行总经理亲自任命总部办公室主任李某担任软件资产经理,负责此次软件资产管理的全部工作,并首先执行软件清查,掌握W银行总部每台机器所安装软件的实际情况。
②经统计,银行总部内每台计算机的硬件明细均已由办公室登记备案,待查硬件设备为340台计算机,包括台式机和笔记本电脑在内的310台终端机和30台服务器。鉴于银行数据安全的特殊性,李某与IT部门协商,决定采用收发问卷、抽样手工统计,结合财务对账的方式执行清查。
③据了解,在银行总部340台计算机中,涉密等级较低的120台能够适用于执行手工统计,剩余的涉密等级较高的220台只能采用收发问卷的方式执行清查。因此,李某从软件资产管理组中选派5名职工,分两组做相关操作。其中,甲组3名操作员负责对120台非涉密机做手工统计,乙组2名操作员专门收发问卷。
软件资产经理李某根据掌握情况,以言简意赅、清楚明了、信息采集点明确的原则,设计出一套调查问卷,包括所使用计算机中安装的软件类型、名称、版本号、是否自主安装、载体是否归还等信息,并让员工基本采用勾选的方式完成了填写。
此外,在问卷发放之前,李某已与各部门负责人沟通过,确保了员工填写问卷的真实性和客观性。员工填写时遇到疑问,对应的操作员及时提供了咨询服务和技术支持。
问卷和抽样手工统计(参考实例一)的信息采集工作完成之后,甲组和乙组操作员分别把各自数据用统一的模板整理出了清查统计表,主要包含硬件设备编号、各软件名称、版本号、序列号、发行商等信息。
软件资产经理李某在整合两组数据时发现,虽然清查方法不一样,但两组数据出入不大,基本如实反映了总部的软件使用情况。
李某在财务部和IT部的配合下进行了比对,发现W银行总部某杀毒软件的登记采购为场地许可协议,清查硬件设备时发现全部计算机均装有此软件,但该银行还因某信息化项目购入同类杀毒软件彩包100套,均未启用,造成大量冗余。某财会软件的登记采购量为300套,清查硬件后发现仅有220台终端机有安装记录,并且在库房中有80套未启封的闲置软件,说明该软件也存在严重的过量采购问题。
从另一个角度来看,W银行总部过度采购的冗余软件虽暂时得以妥善保管,未发生流失现象,但也存在着随时有可能被员工擅自挪用的风险。
通过以上清查工作,专家组在开展软件资产管理摸底工作时提出的资金核查和软件审核漏洞问题彻底显现出来。因为该银行每年的财务预算和信息化项目需求分析都没有对软件的需求情况做排重,造成了许可证仍有效的同类软件大量闲置、冗余。
据此,软件资产经理李某在起草、发布《W商业银行软件资产管理规范》时,着重强调了软件排重和资金审核机制的重要性,并在财务部、办公室等部门的配合下,起草、发布了《W商业银行软件资产采购和资金审批管理细则》,进一步规范了日常采购软件与信息化项目采购软件以及多个信息化项目间采购软件的排重程序,理顺了软件采购资金审批机制。
一个预算年度过后,W银行不仅在软件安装、使用、归还、升级等实务管理方面呈现出了井然有序的面貌,通过严格的资金审批和软件排重程序,还节约了近40万元的采购支出,整体工作取得了积极成效。此后,W银行领导决定将此前专门组建的信息化部门改组为信息化和软件资产管理部,李某兼任该部门负责人,保障在未来的发展中把软件资产管理政策有计划地落到实处。
1.为何有的项目需要的软件,在实践中却不需购买依据著作权制度和软件授权许可的一般性规定,正版软件只要在授权有效期内和厂商规定的使用次数内安装在某台计算机上,即可视为该机器运行软件合法、合规,无盗版之嫌。因此,如果某台计算机早已安装了某款正版商用软件,而它又同为未来某一信息化项目的终端机,则在该信息化项目进行需求分析时,就应明确不再为这台计算机配置同样的正版软件,否则就会造成重复购置和资金浪费。举例来说,W银行为了能够更好的保证办公自动化平台运行,为全部计算机配置了专业安全软件,紧接着网银结算工作平台要上线,而该平台也需要同样的安全软件。那么只要所涉及的计算机已安装了为办公自动化平台服务的安全软件,就没有必要再为其额外购置和安装同类软件了。所以,应树立“软件跟着机器走”的理念,摆脱“软件跟着项目走”的认识误区。
2.软件采购资金审核制度是否只是对财务程序进行规范W商业银行的实际能告诉我们,对于软件采购的资金审批制度绝不仅是对财务程序进行简单规范,其实质还应包括对软件库存和使用情况的审核比对。软件不同于实物产品,其价值以授权许可形态体现,不论光盘等载体是不是真的存在,只要许可证在有效期内,其生命周期就未完结。故在日常零散采购和年度集中采购时,应最大限度地考虑已有软件的授权期限和库存情况,这样才可以制定最为合理的采购需求。同样,在多个信息化项目同步开发时,也应考虑各自的软件采购计划是不是真的存在重复和交叉,只要存在交集,就不应盲目采购。因此,软件采购资金审核制度的核心应当是实现程序严谨和按需采购的有机结合。
3.为何采取发放问卷结合抽样人工统计的方法执行软件清查工作金融保险类企业,在终端机与服务器中存储有大量客户信息等商业,对信息安全要求极为严格,即使在同一局域网内或信息化平台内,也对各终端机设有不同权限。在这样的情况下,软件清查工作就应第一先考虑信息安全。如此,使用工具软件做全面普查的可行性明显不强,而面对众多的机器数量和不同的信息安全要求,做全面的手工统计也不现实。所以,对于军工等相关涉密机构和金融保险类安全等级较高的企业而言,建议在开展软件资产管理工作初期采取发放问卷为主,辅以抽样选取安全等级低的终端机进行手工统计的办法来进行软件清查工作,进而在不危及信息安全的前提下,相对全面地了解企业安装、使用软件的基本情况,以及员工使用软件的习惯。