EMEA (+34) 916 355 482

Auditoría de Oracle

Ago 23, 2023 | Auditorías de software

ACTUALIZADO. La auditoría de Oracle es un proceso que encierra riesgos financieros potencialmente devastadores para cualquier presupuesto.

Mientras el cliente gestiona lo que sabe que tiene, el auditor de Oracle analiza lo que el cliente no sabe que tiene: y es precisamente este matiz lo que explica que el departamento de Oracle encargado de las auditorías detecte «supuestas» situaciones de incumplimiento en la mayoría de casos aún cuando los clientes creían tener la certeza de estar perfectamente licenciados (incluso contando con Herramientas SAM).

Y el incumplimiento en licenciamiento, o la asunción de ideas erróneas, puede traducirse rápidamente en facturas de millones de Euros que, además de tener que pagarse, también deben explicarse a nuestra Dirección.

En Evergreen Compliance somos ex-auditores del fabricante: sabemos qué buscan los auditores de Oracle y sabemos cómo controlar estos procesos para proteger a nuestros clientes mitigando sus riesgos.

En el siguiente artículo, tratamos de aportar luz al tema de las auditorías de Oracle analizando qué son, en qué consisten y qué puede desencadenarlas.

Qué es una Auditoría de Oracle

Oracle, al igual que los demás fabricantes, se reserva en sus contratos la facultad de verificar que el uso que el cliente está haciendo de sus productos de software cumple con los términos de la licencia.

Para ello se sirve de un departamento propio, independiente del área comercial, llamado LMS (License Management Services) y dependiente de GLAS (Global Licensing and Advisory Services).

La cláusula contractual de auditoría va a ser la que defina el proceso y establezca los derechos y obligaciones aplicables a cada una de las partes: Es por tanto imprescindible saber qué versión de cláusula de auditoría aplica en cada caso ya que dependiendo de la versión del contrato (OLSA, OMA, etc.), pueden existir variaciones relevantes.

Así, si bien existen una serie de elementos en todas las versiones que suelen repetirse como:

  • La facultad de Oracle de auditar el uso de sus productos previa advertencia por escrito con 45 días de antelación.
  • La obligación del cliente a facilitar una asistencia razonable así como acceso a la información.
  • La obligación del cliente, en un plazo de de 30 días desde su notificación por escrito, a satisfacer las tarifas aplicables por el uso que haya hecho del software excediendo los derechos concedidos por la licencia.

Lo cierto es que también la cláusula contractual genérica de auditoría también incurría en algunas omisiones significativas como:

  • No definía «auditar el uso» del software y por tanto no se sabe qué acción concreta permite determinar que el plazo visto de los 45 días se cumple.
  • No establecía una metodología concreta de auditoría más allá de la «asistencia razonable» y dar acceso a la información.

Pero este último punto se ha visto alterado en las últimas versiones del Oracle Master Agreement (OMA) donde Oracle ha añadido una nueva obligación para el cliente inexistente hasta ese momento y que le perjudica al debilitar seriamente su posición en una auditoría de software: la obligación a ejecutar las herramientas facilitadas por Oracle y remitir los resultados de su ejecución. Boom!

Fases de una Auditoría de Oracle

Aunque las fases de la auditoría no estén expresamente definidas ni desarrolladas en el contrato, en la práctica la Auditoría de Oracle sigue el siguiente proceso:

Notificación

Como hemos visto, es un elemento que tiene relevancia contractual («Previa advertencia por escrito con 45 días de antelación…«) y supone la señal de partida para iniciar los preparativos que nos permitan afrontar la auditoría con garantías.

Suele consistir en el envío de un correo electrónico en el que se adjunta una notificación en pdf titulada «Revisión de utilización de programas Oracle» con los siguientes puntos:

  • Presentación de Oracle EMEA – License Management Services (LMS)
  • Intención de LMS de iniciar una «revisión» para verificar el cumplimiento de los términos y condiciones de los Acuerdos de Licencia
  • Enumeración de las fases del proceso estándar de la revisión de licencias
  • Confidencialidad aplicable al proceso
  • Contacto del consultor de LMS encargado del proceso
  • Firma del responsable de LMS

Kick Off

El consultor encargado del proceso propone una reunión de kick off con el cliente para definir objetivos y conseguir compromisos en los plazos de cumplimiento de hitos y entrega de información. Algunos de los pasos de esta fase son:

  • Explicación de fases
  • Determinación del alcance de la auditoría
  • Calendario de actividades enumerando las diferentes tareas (ej. acceso al GLAS Web Portal, entrega del OSW o subir salidas de scripts), responsable (LMS o cliente) y fecha.

Investigación

La finalidad es que Oracle conozca el entorno IT del cliente a través del análisis de los datos que éste le proporcione sobre su configuración hardware y software. Lo que incluye:

  • Recopilación de información:
    • Responder el cuestionario del GLAS Web Portal
    • Descargar el excel Oracle Server Worksheet (OSW) y completarlo
    • Descargar del Portal el script Collection Tool y ejecutarlo:
      • En caso de virtualización, Oracle va a requerir información adicional como pantallazos la ejecución de comandos o scripts (ej. VMware Inventory Center, PowerCLI)
      • En caso de existir entornos cloud (ej. AWS, Azure, OCI), se solicitan pantallazos adicionales
  • Preguntas de seguimiento adicionales
  • Análisis y validación de los datos recibidos

Reporting

Oracle va a enviar un fichero de resultados preliminares par que el cliente haga las alegaciones que considere. Una vez resueltas dichas alegaciones, o si no se plantea ninguna una vez concluido el plazo, Oracle remite un informe final con las conclusiones sobre la situación de cumplimiento y los detalles de despliegue y/o uso de sus productos.

Solución

Si en la auditoría Oracle ha encontrado situaciones de incumplimiento, su notificación por escrito también tiene relevancia contractual: “Vd. acuerda satisfacer en un plazo de 30 días a contar de la notificación por escrito cualesquiera tarifas aplicables a su utilización de los programas en exceso de los derechos concedidos bajo la licencia adquirida”.

En la práctica, el consultor de LMS emplaza al cliente a que contacte con el comercial para llevar a cabo la regulación que sea necesaria, lo que desemboca en una negociación para la adquisición de productos a cambio del cierre de la auditoría.

Principales desencadenantes de una Auditoría de Oracle

Las auditorías de Oracle no son aleatorias. Su equipo auditor trata de concentrar los esfuerzos en aquellas empresas en las que haya más probabilidades de obtener beneficios. Por este motivo, hay determinados factores que pueden desencadenar la notificación del inicio de un proceso de auditoría:

  1. Un comercial de Oracle puede activar una auditoría en LMS para conseguir que se detecte una supuesta situación de incumplimiento que le permita utilizarla como herramienta comercial agresiva para forzar al cliente a sentarse en una mesa de negociación para la adquisición de productos que en la mayoría de las veces ni quiere ni necesita.
  2. Un ejemplo de esto pueden ser los supuestos de certificación de un ULA (Unlimited License Agreement) cuando el comercial de Oracle quiere forzar una renovación o la firma de un nuevo contrato. Descarga aquí nuestro White Paper de ULA.
  3. Existencia de métricas antiguas (ej. Concurrent Devides, Named User Single Server, etc.)
  4. Auditorías previas (a partir de 2-3 años) cerradas con déficit.
  5. Uso de tecnologías de virtualización como VMware (particularmente a partir de la versión 6 de vSphere), Hyper-V u otras no catalogadas como “hard partitioning” por parte de Oracle.
  6. Formalización de fusiones o adquisiciones de compañías recientemente.
  7. Incremento en el número de empleados o aumento significativo de beneficios o parque tecnológico de una entidad.
  8. Cancelación o reducción de contratos de mantenimiento. Las tasas de soporte y las suscripciones son fundamentales en el negocio de Oracle, y cualquier merma en las mismas puede facilitar el inicio de una auditoría, para la cual se ha de estar preparado.
  9. Cambios o actualizaciones de hardware, principalmente en aquellos productos licenciados en base a la métrica ​Procesador. En este punto ha de considerarse especialmente la instalación de equipos Exadata.
  10. Inconsistencia en la adquisición de licencias complementarias, como puede ser el suministro de opciones de bases de datos incompatibles con las ediciones instaladas.
  11. No haber sido objeto de una auditoría últimamente, ya que es habitual que los ciclos de auditoría se repitan en periodos de entre 3 y 5 años para un mismo cliente.

Conclusión

Una Auditoría de Oracle puede ser un proceso demoledoramente disruptivo que desemboque en reclamaciones financieras por supuestas situaciones de incumplimiento en las que quizá no haya ni reparado.

Y en licenciamiento, incumplimiento significa muchas veces encontrarse sobre la mesa con reclamaciones a partir de varios cientos de miles de Euro. Este artículo o éste (sobre la Oracle Partitioning Policy) puede dar una idea de ello.

En Evergreen Compliance somos ex auditores de Oracle, podemos ayudarle en cualquier fase de la auditoría y sabemos qué busca el fabricante, cómo dónde y por qué. Y esto a nuestros clientes les encanta.

Conozca nuestros servicios, contacte con nosotros sin ningún compromiso y total confidencialidad, y conviértase en nuestro próximo caso de éxito.

También te puede interesar:

Oracle Audit Triggers: Tendencias en 2023

Oracle Audit Triggers: Tendencias en 2023

Sep 11, 2023 |

Conocer los Oracle Audit Triggers y saber qué puede desencadenar una auditoría de licenciamiento en nuestra empresa, es el primer paso para prepararse de forma efectiva. Desde hace varios meses, y con relación a las auditorías de licencias de Oracle, estamos...