Lizenzcenter Artikelserie - Gutes SAM was ist das eigentlich?

#6 SAM Risk Management - was soll das sein?


Contract Risk Management – Unterstützung des Lizenzmanagements in Zeiten von SaaS und Cloud


Was ist ein Contract Risk Management?
Und was unterscheidet ein Contract Risk Management von einem SAM Risk Management?

Ein Contract Risk Management ist in unseren neuen Zeiten von SaaS, IaaS, PaaS und Cloud eine sehr relevante Faktor des SAM Risk Managements, aber seine Aufgaben gehen weit über den Bereich des eigentlichen Lizenzmanagements hinaus. Es ist als Teil des gesamtheitlichen Asset Risk Managements entsprechend ISO 19770-1 und 55001.

Das SAM Risk Management wird zukünftig seine Aufgabe ohne ein funktionsfähiges Contract Risk Management, in dem alle Stakeholder und Risk Owner eingebunden sind, nicht mehr erfüllen können.

Das Contract Risk Management übernimmt die Aufgabe Risikoparameter aus der Nutzung von  SaaS-, Cloud-, Miet- und Subscriptions-Verträgen zu erfassen, in Hinsicht auf ihre Auswirkungen zu bewerten und die Risk Owner beim Überwachen der sich aus den Verträgen ergebenden Risiken zu unterstützen.

Es geht also nicht (nur) darum, Daten zu erfassen, sondern diese in Hinsicht auf mögliche Auswirkungen und Schadensfolgen zu bewerten.

Ein Contract Risk Monitoring muß die Problematik kompensieren, dass solche Risikoparameter in den klassischen Lizenzmanagement- und Vertragsmanagement Tools nicht erfasst und schon gar nicht in Hinsicht auf die resultierenden Risiken bewertet werden.

Und es muss die Problematik adressieren, das ein großer Teil der tangierten Software Nutzungsverträge und deren Inhalte dem Lizenzmanagement gar nicht bekannt sind und häufig auch nicht bekannt sein sollen (z.B. aus Gründen der internen Vertraulichkeit).

Wie also soll eine SAM Organisation und das SAM Risk Management diese Aufgabe überhaupt lösen?
Wie soll ein traditionelles Lizenzmanagement Risiken in Verträgen evaluieren, deren Inhalte es gar nicht kennen soll, laut der Meinung der Stakeholder?

Mehr noch, das traditionelle Lizenzmanagement hat weder die technischen Mittel, noch die Kompetenz, noch Zugang zu den benötigten Daten.

Aber die vorhandenen und neu entstehenden Risiken sind ebenso real wie massiv, da die großen Lizenzgeber gezielt auf genau diese Situation hinarbeiten. Die Lizenzgeber gehen sicher davon aus, daß die Unternehmen weder über die notwendige Transparenz verfügen, noch über die Kapazitäten, um diese Risiken erkennen und abzuwehren zu können.
Die Antwortet lautet Contract Risk Management!

Das Contract Risk Management versteht sich hierbei als eine Kombination von

  • systematischer und zielgerichteter Datenerhebung von Risikoparametern am Ort des Entstehens
  • einer zentralen Daten Auswertung für das SAM Risk Management, verbunden mit
  • der Verantwortung für die Datenerhebung beim lokal verantwortlichen Risk Owner, und
  • der gezielten Verwendung der Rolle des Risk Owners, so wie in den ISO Normen beschrieben.


Das Contract Risk Management muss die relevanten Risiko Parameter unter den Gesichtspunkten

  • resultierende Gefährdungs- und Erpressungspotentiale
  • Laufzeiten und Wirksamwerden und
  • mögliche  Schadenspotentiale und Auswirkungen.

erheben und bewerten.

Es hat die Risiken in einer Bewertungsmethodik zu erfassen und sie entsprechend der ermittelten Risiken für jeden einzelnen erfassten Vertrag zu klassifizieren.

Es hat die Verantwortlichkeiten und die Nutzungen aus dem Vertragsumfeld zu dokumentieren. Es muß die Auswirkungen und mögliche operative und kaufmännische Schäden bewerten und einordnen.

Es hat die systematische, regional und funktional unbeschränkte Auswertung der erfassten Risikodaten auf Basis eines schematisierten und standardisierten Verfahrens in einer zentralen Reporting Anwendung zu ermöglichen. Und diese Risikodaten müssen nicht nur dem SAM Risk Management sondern auch anderen Bereichen der IT wie BCM und ITSec zur Verfügung stehen.

Die Funktion des SAM Risk Management als Rolle erhält über das Contract Risk Management diejenigen Daten, die es zur Umsetzung seiner Aufgabe benötigt. Daten, um relevanten Risiken aus den Nutzungsverträgen zu beurteilen und um ein rechtzeitiges Erkennen und eine Abwehr möglicher Schadenspotentiale zu ermöglichen. Dies auch zu Einsatzumgebungen  und Produkten, die nicht im Fokus der SAM Organisation liegen.

So ergänzt das Contract Risk Management die Arbeit der SAM Organisation und von BCM und ITSec durch qualifizierte Daten zur Herstellung einer gesamtheitlichen Risikobetrachtung.

Das Produkt Contract Risk Management der Lizenzcenter ermöglicht dies schon heute.
Sie wollen mehr dazu wissen?

Ganz einfach – kommen sie auf uns zu und wir zeigen ihnen wie das mit dem Contract Risk Management funktioniert.

Lizenzcenter – Ihr Berater für effektives Software Lizenz- und Asset-Management
Untere Brendelstr. 11 – 61348 Bad Homburg - Telefon 06172-918614