IBM IASP & CVA: Keine Audits gegen dauerhafte Transparenz

Als Alternative zur klassischen Audit-Praxis bietet IBM mittlerweile zwei Programme an, die Auditfreiheit versprechen: Das IBM Authorized SAM Provider Program (IASP) und das Client Value Acceleration Program (CVA). Beide Ansätze versprechen Audit-Befreiung durch proaktive Compliance-Nachweise, bringen jedoch spezifische Vor- und Nachteile mit sich, die Entscheidungsträger sorgfältig abwägen sollten.

IBM hat die traditionelle Audit-Praxis durch zwei kooperative Programme ergänzt. IASP funktioniert über von IBM autorisierte Drittanbieter, die als Software Asset Management Provider fungieren und gemeinsam mit dem Kunden regelmäßige Compliance-Berichte erstellen. CVA erweitert den IASP-Ansatz mit zusätzlichen Dashboard-Funktionalitäten. Beide Programme zielen darauf ab, die Compliance-Überwachung von einem reaktiven zu einem proaktiven Prozess zu transformieren. Unternehmen können dabei auch nur Teile ihrer IT-Umgebung in diese Programme einbringen, während nicht inkludierte Bereiche weiterhin der klassischen Audit-Berechtigung unterliegen.

Das IBM Authorized SAM Provider Program wurde 2019 eingeführt und zielt darauf ab, Software Asset Management zu verbessern sowie Audit- und Compliance-Risiken zu reduzieren. Das Programm funktioniert über einen von (aktuell) vier IBM-autorisierten SAM-Providern, die eine kontinuierliche, in Zyklen stattfindende, Überwachung der IBM Software-Assets implementieren. Diese Provider evaluieren die IBM-Softwarenutzung, identifizieren potenzielle Compliance-Probleme und bieten Empfehlungen zur Behebung von Lizenzlücken. Solange diese Berichte fristgerecht eingereicht werden und ein autorisierter Provider engagiert bleibt, entfällt für den Kunden das Risiko überraschender Audit-Ankündigungen. Die Teilnahme erfolgt ausschließlich auf Einladung von IBM, interessierte Unternehmen können jedoch eine Aufnahme beantragen.

Das Client Value Acceleration Program (CVA) positioniert sich als Nachfolger von IASP mit einem erweiterten Ansatz zu Softwarelizenz-Transparenz, Budgetierung und Compliance. Anders als IASP, erhalten Teilnehmer Zugang zu speziellen Dashboards, die eine detaillierte Übersicht über die Lizenznutzung bieten sollen und ausschließlich in Kombination mit dem CVA-Programm verfügbar sind.

Beide Programme erweisen sich als besonders relevant für Unternehmen, die Sub-Capacity-Lizenzierung nutzen. Diese Lizenzierungsform ermöglicht es, den Bedarf an Lizenzen basierend auf den virtuellen Maschinen, statt auf der gesamten physischen Serverkapazität zu berechnen, was erhebliche Lizenz- und Kosteneinsparungen ermöglichen kann, jedoch das IBM-Lizenzmanagement deutlich komplexer macht. Die korrekte Konfiguration und Überwachung virtueller Umgebungen erfordert kontinuierliche Expertise und entsprechende Kontrollen. Im Gegensatz zu Mainframe-Software, wo bereits reguläre Reportingpflichten bestehen und der zusätzliche Nutzen entsprechend begrenzt ist, birgt die Sub-Capacity-Lizenzierung bei Open Systems IBM-Software besonders hohe Compliance-Risiken mit potenziell kostspieligen Nachzahlungen.

Beide Programme werden von IBM selbst kostenlos angeboten, sind jedoch mit Kosten für den obligatorischen SAM-Provider verbunden. Diese Kosten variieren je nach gewähltem Leistungsumfang und sollten von Entscheidern bei der Kalkulation berücksichtigt werden. Dies steht im Kontrast zu klassischen Audits, bei denen IBM die Kosten für den Prüfer trägt. Die Programme erschließen ihr Kostenvermeidungspotenzial primär in Umgebungen mit substanziellen Unterlizenzierungsrisiken, wo die privilegierten Nachkaufkonditionen signifikante Einsparungen gegenüber den bei Audit-Findings üblichen Listenpreisen ermöglichen.

Der entscheidende finanzielle Vorteil beider Programme liegt in der Behandlung von Compliance-Abweichungen. Werden bei der initialen Baseline-Erstellung oder in späteren Berichten Unterlizenzierungen identifiziert, können diese zu vereinbarten Nachkaufkonditionen aus bestehenden Bündelverträgen ausgeglichen werden. Dies unterscheidet sich erheblich von klassischen Audit-Findings, bei denen üblicherweise Listenpreise zur Anwendung kommen. Allerdings ist zu beachten, dass viele Konfigurationsprobleme oder technische Unstimmigkeiten, die sich oft unkompliziert klären und beheben ließen, im Rahmen der Programme umgehend an IBM gemeldet werden müssen.

Ein oft unterschätzter Aspekt beider Programme liegt in der internen Wahrnehmung von Compliance-Abweichungen. Kosten, die durch Findings in IASP oder CVA entstehen, können im Unternehmen anders bewertet werden als klassische Audit-Ergebnisse. Die proaktive Teilnahme an einem Compliance-Programm wird möglicherweise als verantwortungsvolles Risikomanagement interpretiert, während Audit-Findings oft als organisatorisches Versäumnis wahrgenommen werden. Diese Wahrnehmungsunterschiede können bei der internen Budgetierung und Rechtfertigung von Lizenzausgaben relevant werden.

Die Struktur beider Programme könnte Fragen zur Objektivität der Compliance-Überwachung aufwerfen. Da IBM die autorisierten SAM Provider ausgewählt hat und diese sowohl bei Audits als auch bei den alternativen Programmen tätig sind, könnten Interessenskonflikte entstehen. Diese doppelte Rolle könnte als problematisch wahrgenommen werden, auch wenn IBM und die Provider naturgemäß eine klare Trennung der verschiedenen Rollen betonen. Unternehmen sollten die Empfehlungen ihrer SAM-Provider stets auch selbst bewerten und gegebenenfalls unabhängige Zweitmeinungen einholen.

Ein fundamentaler Aspekt betrifft die Haftungsverteilung. Trotz der Einbindung spezialisierter SAM-Provider bleibt die vollständige Lizenzverantwortung beim Kunden. Während der Provider unterstützend tätig ist, trägt das Unternehmen weiterhin das volle Risiko für Compliance-Verstöße und deren finanzielle Konsequenzen.

Die Programme erfordern eine direkte Informationsübermittlung an IBM, was die Planungssicherheit verbessern kann, beispielsweise bei der Erstellung von Active Use Reports (Nachweise aktiver Nutzung z.B. bei Produktabbau oder Enterprise-Lizenzen). Diese erhöhte Transparenz kann jedoch ebenso in strategischen Überlegungen eine Rolle spielen. Wenn Unternehmen beispielsweise mittelfristige Optimierungsziele für bestimmte IBM-Produkte planen, verschafft die kontinuierliche Einsicht in die tatsächliche Nutzung  IBM ein hohes Maß an Transparenz, das man einem Provider möglicherweise nicht zugestehen möchte. Dies kann beispielsweise die Verhandlungsposition für Folgeverträge schwächen, wenn der Provider detaillierte Nutzungsdaten heranziehen kann.

Beide Programme bieten monatliche Kündigungsmöglichkeiten, wodurch Unternehmen nicht langfristig gebunden sind. Nach einem Ausstieg gelten jedoch wieder die standardmäßigen Audit-Bestimmungen von IBM. Die Möglichkeit, nur ausgewählte Bereiche der IT-Landschaft in die Programme einzubringen, ermöglicht es Unternehmen, strategisch vorzugehen und spezifische Bereiche gezielt zu adressieren.

Für Unternehmen mit etablierten SAM-Prozessen und klarer Übersicht über ihre IBM-Lizenznutzung gewähren die beschriebenen Programme IBM ein hohes Maß an Transparenz, ohne dabei einen nennenswerten Mehrwert beim Kunden zu generieren. Organisationen, die ihre Software-Portfolios professionell verwalten und eine transparente Lizenznutzung nachweisen können, haben in klassischen Audits oft wenig zu befürchten. 

Viele der benannten Vorteile der IBM-Programme basieren auf bewährten SAM-Praktiken, die sich auch ohne die spezifischen IBM-Programmstrukturen realisieren lassen. Ein erfahrener, unabhängiger SAM-Provider kann dieselben Optimierungen und Compliance-Sicherungen implementieren, ohne dass Unternehmen umfassende Transparenz gegenüber IBM gewähren müssen.

IASP und CVA bieten durchaus praktische Vorteile, insbesondere für Unternehmen mit komplexen Sub-Capacity-Umgebungen oder begrenzter interner SAM-Expertise. Die Programme können Planungssicherheit schaffen und bei Compliance-Abweichungen finanzielle Vorteile durch privilegierte Nachkaufkonditionen bieten.

Entscheidend ist jedoch das Verständnis der zugrundeliegenden Austauschbeziehung: Unternehmen tauschen Autonomie gegen Compliance-Sicherheit. Während die IBM-autorisierten Provider möglicherweise in einem Spannungsfeld zwischen Kundeninteressen und Herstellervorgaben agieren, ermöglicht die Zusammenarbeit mit einem unabhängigen SAM-Provider eine ausschließlich kundenorientierte Interessenausrichtung ohne etwaige Abhängigkeiten vom Softwarehersteller.

Die Entscheidung hängt letztendlich von der individuellen Risikobereitschaft, der Komplexität der IBM-Landschaft und der vorhandenen SAM-Kompetenz ab.