ACTUALIZADO. ¿Conoce qué es una auditoría de licenciamiento de software? ¿y qué implicaciones puede tener en su organización?
¿Sabe cómo se debe reaccionar desde el momento en el que un fabricante envía una carta de notificación de un proceso de auditoría?
En Evergreen Compliance, somos antiguos auditores de los fabricantes y Big Four: Sabemos qué buscan, cómo y dónde.
Y también sabemos que en la mayoría de los casos una auditoría de licenciamiento de software no es más que una acción comercial agresiva que tiene como propósito detectar una supuesta situación de incumplimiento del cliente para forzarle a sentarse en una mesa de negociación y obligarle a comprar productos de software que -en la mayoría de los casos- ni quiere ni necesita.
A partir de nuestra experiencia en ambos lados del tablero, antes con el fabricante y hoy del lado del cliente, nos proponemos aportar en este artículo un poco de luz sobre unos procesos que no siempre son lo transparentes que debieran por sus implicaciones y facilitar algunas medidas que pueden servir para afrontar con mayores garantías la auditoría de licenciamiento de software.
“Buenos días, ha sido seleccionado para nuestra campaña de revisión”
Detrás de este tipo de presentación aparentemente inocua, y que en ocasiones puede parecer que el cliente ha sido agraciado en algún sorteo, se esconde la voluntad de un fabricante (Oracle, IBM, Microsoft, Adobe, etc.) de ejercer su facultad contractual de verificar que el uso que el cliente está haciendo de sus productos de software cumple con los términos de la licencia. Dicho de otro modo, nos están notificando una auditoría de licenciamiento de software: un proceso potencialmente muy disruptivo y que encierra riesgos financieros (además de legales y reputacionales) de los que hay que ocuparse y preocuparse.
Como punto de partida, es importante destacar que muchos fabricantes no consideran prioritario ser transparentes ni con relación a la aplicación de sus políticas de licenciamiento ni en lo relativo a sus prácticas de auditoría de licencias de software: les interesa -y por eso lo potencian- desenvolverse en un escenario de indefinición e imprevisibilidad en que el cliente no sepa realmente qué implicaciones tiene el proceso y generando un desequilibrio patente entre las partes donde el fabricante lleva todas las de ganar.
Por ello, no es extraño que nominalmente oculten este tipo de acciones tras eufemismos como:
- “campaña de license review”
- “verificación”
- “acciones de revisión”
- incluso «revisión global de la configuración de su arquitectura de sistemas«
Lo cual confunde a muchos clientes -cada vez menos- que realmente desconocen si van a ser objeto de una auditoría de licenciamiento formal en el sentido contractual del término o si, por el contrario, va a llevarse a cabo alguna acción más amistosa encaminada a ayudarles optimizar la gestión de sus activos de software.
En qué se basan los fabricantes para llevar a cabo una auditoría de licenciamiento de software
Una auditoría no es más que una facultad contractual que se atribuye el fabricante de verificar si el uso de sus productos cumple con los términos de la licencia: hay por tanto que localizar la cláusula de auditoría (normalmente se encuentra en el contrato marco) que aplica al software que estemos usando: un ejemplo de cláusula de auditoría -en este caso de Oracle- podemos encontrarla en el último párrafo de la Sección O de este contrato.
Hay que tener en cuenta además que, sin perjuicio de lo que se establezca en el contrato, es posible que incluso dentro de productos de un mismo fabricante, a unos les aplique una cláusula de auditoría distinta de la de otros.
A lo largo de nuestra experiencia gestionando auditorías, hemos encontrado fabricantes que no han previsto esta posibilidad en sus contratos debido habitualmente a la antigüedad de éstos, si bien es cierto que actualmente en la práctica totalidad de los acuerdos se suele contemplar esta circunstancia.
Asimismo, es frecuente abordar escenarios en los que en el contrato se prevé expresamente la posibilidad de que un tercero puede realizar la auditoría y, en cambio, se dan otros casos en los que nada se menciona al respecto, aunque sea una práctica habitual externalizar este tipo de servicio.
No obstante, lo que resulta más difícil de encontrar son contratos en los que se especifique la metodología concreta a emplear, aunque sí suele establecerse alguna limitación somera como restringir a lo razonable la colaboración del cliente durante el proceso o ceñir los trabajos al horario laboral estándar.
Qué cuestiones hay que plantearse en este punto
A partir del análisis de estos elementos, el cliente debe plantearse las siguientes cuestiones que pueden serle de ayuda tanto para protegerse en una auditoría de licenciamiento de software como para desenmascaras otras acciones que, sin serlo realmente, quieren hacerse pasar por una con fines comerciales:
- ¿Puede un proceso que no es una auditoría en el sentido formal del término desplegar los mismos efectos de ésta?
- ¿Hasta qué punto estamos obligados a participar en procesos que no están previstos expresamente en los contratos, y que supondrán inevitablemente una dedicación de recursos internos?
- ¿Tenemos que colaborar con un tercero cuando esta posibilidad no esté contemplada en los acuerdos?
- ¿Hemos de ceder a las peticiones del fabricante en lo relativo a la ejecución de scripts, software auditoría informática específico u otras herramientas en nuestros sistemas cuando no se haya previsto una metodología?
La realidad que esconde una auditoría de licenciamiento de software
Las auditorías se están convirtiendo en un acontecimiento cada vez más frecuente que acaban, además de impactar en otros departamentos, pueden ser particularmente disruptivas para la actividad del equipo de IT que, en lugar de trabajar para su negocio y clientes, tienen que dedicar ese tiempo al fabricante.
Si bien una auditoría debe concebirse como un mecanismo para verificar que está haciendo un uso autorizado del software sin alterar las operaciones de negocio del cliente, lo cierto es que el hecho de que muchas veces se conciban como herramientas de apoyo a acciones comerciales agresivas, hace no solo que se desvirtúe su esencia sino que generen una gran presión en el seno de las empresas que deben destinar una gran cantidad de esfuerzo, tiempo y recursos para gestionarlas.
Asimismo, es también habitual que muchos fabricantes le ofrezcan su ayuda supuestamente desinteresada para para determinar la cantidad de licencias que se usan o necesitan (ej. certificación de ULA de Oracle): es necesario saber que los fabricantes pueden servirse de estas acciones como si fueran «auditorías encubiertas» para obtener información que después puedan utilizar contra los intereses del cliente, por lo que hay que extremar las precauciones.
¿Es habitual recibir una auditoría de licenciamiento de software?
Si se adquieren licencias de software de ciertos fabricantes, la pregunta correcta que hay que hacerse no es si me van a auditar sino cuándo: la práctica totalidad de empresas recibirá una o varias auditorías en los próximos 3 años, por lo que ni es una situación excepcional ni significa necesariamente que use esté haciendo un uso incorrecto de las licencias.
Y la razón de esto, es precisamente que los fabricantes utilizan muchas veces su facultad contractual para auditar como una herramienta comercial agresiva para forzar que los clientes compren sus productos por las buenas o por las malas: de hecho es habitual que el número e intensidad de las auditorías de licencias de software crezcan curiosamente en periodos de crisis o cuando los fabricantes necesitan llegar a ciertos números.
Para ello, los fabricantes han «profesionalizado» totalmente sus procesos de auditoría y emplean tácticas destinadas a consolidar su posición de superioridad frente a la del cliente y a ejercer la máxima presión sobre la persona que finalmente tiene que tomar las decisiones: en este sentido, es por ejemplo, habitual recibir correos del auditor un viernes por la tarde o antes de vacaciones así como abrir varios frentes internos en las organizaciones escalando o acudiendo a departamentos inicialmente no involucrados en el proceso para transmitir mensajes de preocupación o reclamar información.
¿Qué pasa si existe un exceso de licencias contratadas o mantenidas?
En primer lugar, hay que tener en mente que si el fabricante detecta en una auditoría de licenciamiento de software un déficit, éste no se va a poder compensar con ningún superávit de licencias existente: los fabricantes únicamente se van a centrar en la necesidad de cubrir el «supuesto» déficit detectado y en imponer sanciones adicionales en concepto de «compensación» por el tiempo que el cliente ha usado el software sin licencia.
Un fabricante siempre va a decir que si existe un superávit de licencias o servicios contratados por el cliente con el uso real de lo que necesita, va a ser su problema y no el suyo: la cuestión es que a los fabricantes no les gusta que se pague menos, por lo que nunca van a poner fácil hacer optimizaciones en este sentido.
Como hemos visto, una auditoría puede también revelar que se está pagando por software que no se está usando ni se necesita. Para evitar una disminución en sus cifras de negocio, es habitual que los fabricantes establezcan políticas para impedir -o al menos poner las máximas trabas posibles- cualquier rebaja en las cantidades contratadas: un ejemplo paradigmático, que no es el único, son las políticas de repricing de Oracle para los supuestos en que el cliente les solicita dejar de pagar por las licencias que ni usa ni necesita.
Conclusión
Detrás de un anuncio de auditoría de licenciamiento de software, se oculta siempre una acción de mayor calado orientada a la obtención de beneficios para el fabricante, con independencia de las necesidades reales del cliente.
En este contexto, y como primer paso para poder afrontar la auditoría con garantías, es esencial conocer el marco contractual que aplica y disponer de información realmente confiable: Una herramienta SAM puede no ser suficiente (de hecho nunca lo es por sí sola).
¿Ha recibido una carta notificando una auditoría de licenciamiento o revisión?, ¿Tiene sospechas de que puede llegar pronto?
Contacte hoy mismo con plena garantía de confidencialidad con uno de nuestros expertos y conviértase en nuestro próximo caso de éxito: somos ex auditores de los fabricantes y Big Four, y 100% independientes de ellos.
