Cómo abordar una auditoría de licenciamiento de software en su empresa

Jul 30, 2023 | Auditorías de software

ACTUALIZADO. ¿Cómo hemos de acometer una auditoría de licenciamiento en nuestra empresa? Desde Evergreen Compliance exponemos cómo abordar su gestión para que sus intereses no se vean perjudicados por los fabricantes y sus intereses comerciales en las revisiones de licencias de software.

Los activos de software se han convertido en piezas esenciales para que una empresa pueda mejorar sus procesos de negocio y obtener una ventaja competitiva para reforzar su posicionamiento en el mercado: La gestión efectiva de los activos de software, se ha convertido por tanto en una parte importante del control del mismo negocio, por lo que en este artículo aportaremos algunas claves para minimizar el impacto de este tipo de procesos que, en la mayoría de ocasiones, no son más que acciones comerciales agresivas destinadas a obligarnos a comprar lo que ni queremos ni necesitamos:

Tabla de contenidos

¿En qué consiste exactamente una auditoría de licenciamiento?

Una auditoría de licenciamiento no es más que una facultad contractual que tiene reconocida el fabricante para verificar que la instalación y uso de sus programas, cumple con los términos de la licencia.

Pero lo cierto es que los fabricantes se sirven de este derecho reconocido contractualmente para convertir las auditorías en herramientas comerciales con las que forzar al cliente a sentarse en una mesa de negociación en caso de descubrirse alguna situación de incumplimiento. Para ello se aprovechan de cláusulas y métricas ambiguas que les benefician, así como de un equipo de auditores totalmente profesionalizado y enfocado en la obtención de objetivos.

En frente, se encuentran los clientes, que están centrados en sacar adelante su propio negocio y no disponen de los recursos necesarios para gestionar estos complejos procesos: es por tanto crítico asegurarse un equilibrio frente al fabricante y contar con experiencia y conocimiento 100% especializado e independiente.

Algunas opciones antes de una auditoría de licencias de software

Desde el punto de vista contractual los fabricantes suelen establecer por defecto el derecho a auditar el uso de sus productos en sus acuerdos, ante lo cual el cliente puede optar por alguna de las siguientes opciones para reforzar su posición de manera proactiva:

No suscribir el acuerdo y buscar otro proveedor que ofrezca un producto de similares características pero con condiciones de uso más claras, o que incorporen mecanismos que impidan realizar un sobre-despliegue o utilizar funcionalidades que no hayan sido contratadas. Esta opción es poco realista la mayor parte de las veces.
Negociar con el fabricante la modulación de la capacidad para auditar, con una definición clara de los derechos y obligaciones de cada una de las partes. Esto ofrece previsibilidad. Además puede ser muy útil para el cliente negociar con el fabricante cómo se debe determinar el uso real de sus productos en determinadas situaciones que pueden plantear riesgo (ej. escenarios de virtualización).
Prevenir antes que curar y prepararse para recibir con garantías una auditoría de licencias ya que la pregunta no es si me auditarán sino cuándo: contar con experiencia y disponer de los conocimientos necesarios para entender el escenario previo y simular una auditoría con la misma metodología que la del fabricante para evitar sorpresas desagradables a la hora de la verdad, es imprescindible. (Ej. Oracle, IBM, Microsoft, Adobe, etc.)

La pregunta no es si me auditarán sino cuándo

Si su empresa utiliza software comercial, tarde o temprano algún fabricante querrá verificar si el uso que se hace de sus productos cumple con los términos de la licencia. Es cuestión de tiempo.

Por ello es imprescindible vigilar la salud de la situación de cumplimiento y la mejor manera es auto-aditarse con la misma perspectiva y metodología que la que emplean los fabricantes en sus auditorías de licencias «oficiales»: solo así se puede anticipar resultados, corregir desviaciones y adecuar el uso a lo contratado.

Para evitar los riesgos (legales, financieros, reputacionales, etc.) asociados a incumplimientos de licencia, es crítico disponer de esta información antes de recibir una auditoría del fabricante: datos en los que se pueda confiar.

Ha de hacerse especial hincapié en la situación de vulnerabilidad en la que habitualmente se encuentran las empresas, ya no solo por la existencia de políticas de licenciamiento o por las técnicas comerciales agresivas de las auditorías, sino por lo complejo que puede ser saber qué va a considerar el fabricante que está desplegado o en uso.

Hay que ser conscientes, y trasladar internamente en nuestra organización, de la certeza de recibir una auditoría de software y del riesgo que se corre si no se aplican medidas encaminadas a asegurar el cumplimiento.

¿Y cómo puede garantizarse el cumplimiento contractual?

La pregunta adecuada que hay que hacerse es ¿Cómo garantizar el cumplimiento contractual tal y como lo entiende el fabricante que me va a auditar?

Es crítico tener aquí una visión radicalmente práctica: de nada sirve tener una metodología interna propia que me diga que estoy cumpliendo si después llega el fabricante y al aplicar la suya, o los datos que considera relevantes, nos notifica un resultado diferente. Un ejemplo de esto, lo hemos visto recientemente en los incumplimientos por uso de versiones antiguas de productos Adobe aunque se haya adquirido la licencia.

Por un lado, es imprescindible analizar los contratos para disponer de un buen conocimiento de los derechos de uso adquiridos por mi organización: estos derechos de uso van a dibujar el marco dentro del cual puedo utilizar el software o, mejor dicho, como entienda el fabricante que estoy usando su software debe encuadrarse dentro de los derechos de uso.

Esto tiene especial relevancia, por ejemplo, en el ámbito de las herramientas SAM: no son una varita mágica y el hecho de que se disponga de una ni nos garantiza tener la misma visión que tendría el fabricante en un supuesto de auditoría de software ni nos asegura el pleno cumplimiento.

Si confrontamos los derechos de uso al uso del software, obtenemos la posición efectiva de licenciamiento (ELP).

Para empezar, puede ser una gran idea ir aclarando las principales ideas erróneas sobre licenciamiento Oracle que nos hemos ido encontrando hasta ahora y que nos consta que han costado muchos millones a muchas empresas.

Entonces, ¿Cómo se puede sobrevivir a una auditoría de licenciamiento?

Habida cuenta de lo comentado anteriormente es recomendable prepararse, en la medida que resulte factible, con anterioridad a la recepción de una posible carta de anuncio de auditoría. Es conveniente acometer las tareas previas con la misma visión que empleará el fabricante, disponiendo de información especializada y contrastada para evitar problemas de índole interpretativo o vacíos que pudiera aprovechar el equipo auditor en beneficio propio y en contra de nuestros intereses.

En cualquier caso, y a pesar de que cada situación sea diferente, para poder gestionar de manera eficaz un proceso de auditoría de licenciamiento es necesario considerar los siguientes pasos:

Mantener la calma

A pesar de que las auditorías de licenciamiento pueden ser procesos tremendamente disruptivos, es imprescindible mantener la calma sabiendo que:

Suelen obedecer a una acción comercial del fabricante y es irrelevante que se tenga una buena relación con él.
Es frecuente que se dilaten bastante en el tiempo, lo cual no es necesariamente malo.
Es probable que intenten puentear, escalar o conseguir información a través de otras personas a lo largo de la organización, por lo que hay que estar preparado.
Es posibilidad de reorientar la situación en cualquier fase y escenario de una auditoría.

Crear un grupo de trabajo

Para facilitar la gestión de la auditoría, es recomendable:

Definir un equipo ad-hoc especializado y establecer un plan de funcionamiento interno. Este equipo se deberá componer en función de las particularidades de cada organización y las áreas que se vean afectadas dentro de la misma (ej. IT, legal, compras, etc.).
Nombrar un interlocutor formal que canalice la información con el fabricante durante el proceso.
Controlar cualquier información de nuestra organización que pueda salir y llegar al fabricante.

Preparar el terreno

De cara a asegurarnos las mejores condiciones para el desarrollo de la auditoría, minimizando los riesgos en la medida de lo posible, es aconsejable:

Negociar y delimitar con el fabricante el alcance de la auditoría: todo aquello que no esté expresamente previsto en la cláusula contractual de la auditoría debe convenirse para que se alcancen los objetivos de la misma del modo más conveniente para todas las partes. Es un aspecto fundamental.
Anticipar los resultados de la auditoría, antes del inicio de la misma, utilizando la misma metodología que el fabricante de modo que se puedan corregir posibles desviaciones y dejar un escenario óptimo para poder enviar información sin riesgos.

Gestionar la auditoría

Una vez preparado el terreno es conveniente afianzar la estrategia incluyendo aspectos como:

Ceñirse estrictamente a las obligaciones que nos aplican y no entregar más información que la estrictamente necesaria: es siempre mejor dar de menos y que el fabricante nos lo reclame a equivocarnos por exceso.
Requerir la firma de acuerdos de confidencialidad y responsabilidad.
Anticiparse a los escenarios desfavorables que el auditor pueda detectar para preparar nuestra defensa: es fundamental conocer nuestras debilidades.

Conclusiones

Tarde o temprano su empresa se enfrentará con una auditoría de licenciamiento. Es cuestión de tiempo.

A pesar de que estos procesos pueden ser tremendamente disruptivos y plantear riesgos financieros -entre otros- importantes para nuestra organización, es posible afrontarlos con garantías contando con información confiable que nos aporte previsibilidad y tranquilidad.

Evergreen Compliance cuenta con ex auditores de los principales fabricantes de software, así como de las Big Four, que permite aportar un conocimiento y valor únicos en el mercado y 100% independientes: sabemos qué buscan los fabricantes, cómo lo buscan, dónde y para qué.

Y a nuestros clientes, esto les encanta.

Si su compañía esta afrontando un proceso de auditoría de licencias, nosotros podemos ayudarle.

Contacte hoy mismo con nuestros profesionales para orientar su situación independientemente del momento de la auditoría en que se encuentre, y conviértase en nuestro próximo caso de éxito.

También te puede interesar:

Oracle Audit Triggers: Tendencias en 2024

Dic 31, 2023 | Auditorías de software, Oracle

Conocer los Oracle Audit Triggers y saber qué puede desencadenar una auditoría de licenciamiento en nuestra empresa, es el primer paso para prepararse de forma efectiva. Desde hace varios meses, y con relación a las auditorías de licencias de Oracle, estamos...

Oracle Enterprise Edition Options Licensing

Dic 18, 2023 | Auditorías de software

En este artículo, exploraremos el Oracle Enterprise Edition Options Licensing, proporcionando información relevante para que las empresas puedan evitar exposiciones financieras y legales innecesarias derivadas de escenarios de incumplimiento. Instalación por defecto...

Defensa en Auditoría de Autodesk: 6 tips imprescindibles

Nov 10, 2023 | Auditorías de software, Autodesk

Autodesk se caracteriza por ser uno de los fabricantes más agresivos a la hora de llevar a cabo acciones de compliance contra sus clientes: disponer de una buena estrategia de defensa en auditoría de Autodesk va a marcar la diferencia. Si Autodesk ha contactado con su...