¿Qué significa una auditoría informática para empresas y qué deberías saber antes de afrontar una?

¿Es conocedor de las implicaciones que puede tener una auditoría de licenciamiento en su organización? ¿Qué es necesario conocer desde el momento en el que un fabricante envía una carta de notificación de un proceso de auditoría? Como empresa especializada en la gestión de cualquier auditoría informática de los principales fabricantes, desde Evergreen Compliance nos proponemos profundizar en las anteriores cuestiones. Nuestra meta es brindarle la información que necesite para abordar cualquier acción que emprenda un fabricante en torno a la revisión del licenciamiento. ¡Esperamos que le resulte de utilidad!

“Buenos días, ¿nos pueden ayudar con una auditoría informática?” (sic)

Detrás de esta pregunta, que nuestro equipo de especialistas recibe por parte de empresas de cualquier tamaño y sector interesándose por nuestros servicios, solemos encontrarnos con un concepto bastante alejado de la realidad sobre qué supone y cómo se desarrolla una auditoría formal de licencias de software.

Como punto de partida, es importante recalcar que los fabricantes no consideran prioritario divulgar entre sus clientes un mensaje claro en relación a sus políticas de licenciamiento o de auditoría, procurando desenvolverse en un escenario confuso para provocar un desequilibrio en su beneficio y en detrimento de los intereses de sus propios clientes.

De esta forma, no es extraño que nominalmente oculten este tipo de acciones tras eufemismos como “campaña de license review”, “verificación” o “acciones de revisión”, bajo los cuales los clientes desconocen si realmente van a ser objeto de una auditoría informática formal en el sentido contractual del término o si, por el contrario, va a llevarse a cabo alguna acción más amistosa encaminada a optimizar la gestión de sus activos de software o incluso a reforzar sus servicios con una auditoría informática o una auditoría de sistemas.

La falta de claridad queda aún más patente cuando este tipo de acciones son llevadas a cabo por terceros o por departamentos dependientes de Ventas (y no de las áreas de Compliance), o si se lee la redacción de algunas notificaciones en las que se da a entender que el cliente ha tenido la fortuna de resultar seleccionado para colaborar en un proceso que poco tiene que ver a priori con una auditoría en su sentido literal.

¿Cuáles son los fundamentos que habilitan la puesta en marcha de una auditoría?

Una auditoría no es más que una facultad contractual que se atribuye el fabricante de verificar si el uso de sus productos es conforme a los términos de la licencia.

A lo largo de nuestra experiencia gestionando auditorías, hemos encontrado fabricantes que no han previsto esta posibilidad en sus contratos debido habitualmente a la antigüedad de éstos, si bien es cierto que actualmente en la práctica totalidad de los acuerdos se suele contemplar esta circunstancia.

Asimismo, es frecuente abordar escenarios en los que en el contrato se prevé expresamente que un tercero puede realizar la revisión utilizando software de auditoría informática y un auditor informático propio y, en cambio, se dan otros casos en los que nada se menciona al respecto, aunque sea una práctica habitual externalizar este tipo de servicio.

No obstante, lo que resulta más difícil de encontrar son contratos en los que se especifique la metodología concreta a emplear, aunque sí suele establecerse alguna limitación somera como restringir a lo razonable la colaboración del cliente durante el proceso o ceñir los trabajos al horario laboral estándar.

A partir del análisis de estos elementos, podríamos plantearnos las siguientes cuestiones:

• ¿Puede un proceso que no es una auditoría en el sentido formal del término desplegar los mismos efectos de ésta?
• ¿Hasta qué punto estamos obligados a participar en procesos que no están previstos expresamente en los contratos, y que supondrán inevitablemente una dedicación de recursos internos?
• ¿Tenemos que colaborar con un tercero cuando esta posibilidad no esté contemplada en los acuerdos?
• ¿Hemos de ceder a las peticiones del fabricante en lo relativo a la ejecución de scripts, software auditoría informática específico u otras herramientas en nuestros sistemas cuando no se haya previsto una metodología?

La realidad que esconde una “auditoría informática” para su empresa

Las auditorías se están convirtiendo en un acontecimiento cada vez más frecuente, que acaban ocupando a gran parte del personal de IT durante meses, cuando lo ideal sería dedicar este tiempo y recursos a cualquier otra actividad en provecho del negocio.

Y es que una auditoría debería constituir un mecanismo para verificar que se esté haciendo un uso correcto de los derechos de uso que hayan sido adquiridos para utilizar las funcionalidades de determinados programas. Este concepto de auditoría es, por supuesto, totalmente legítimo y comprensible.

No obstante, las auditorías distan mucho de esta orientación, ya que actúan a modo de herramientas comerciales de apoyo a acciones agresivas de venta. Un proceso de auditoría concluye habitualmente con una negociación cuyo objetivo es estrictamente recaudatorio, ya sea amparándose en la existencia de software inadecuadamente instalado o utilizado en demasía, o por otros motivos de índole jurídica que faciliten la formalización de algún tipo de acuerdo de venta o suscripción.

De hecho, muchos fabricantes querrán ofrecerle ayuda “desinteresada” para analizar cualquier problemática que surja en torno a los sistemas de información que alojan sus programas informáticos, siendo la recomendación completamente clara en este punto: es más que probable que esta propuesta se trate de una auditoría informática encubierta para cuya consecución se empleen técnicas expeditivas con un afán claramente recaudatorio, y que pueden llegar a poner a cualquier cliente en una posición delicada.

¿Es habitual recibir una “auditoría informática”?

Si una organización adquiere licencias de determinados fabricantes, no ha de preguntarse si va a ser auditado o no, sino cuándo lo va a ser y, sobre todo, con qué frecuencia y severidad, hecho que dependerá de la viabilidad o facilidad de obtención de beneficios que prevean los propios fabricantes. Por consiguiente, la práctica totalidad de empresas recibirá una o varias auditorías en el transcurso del tiempo, por lo que no es una situación excepcional ni mucho menos, ni significa necesariamente que una empresa esté haciendo un uso incorrecto de sus licencias.

En estos casos, a diferencia de lo que ocurre con las acciones comerciales convencionales, el cliente se ve en una situación de desventaja respecto al fabricante al haber conseguido éste situar sobre su cabeza una espada de Damocles cargada de riesgos financieros, técnicos, jurídicos o reputacionales.

Una de las maniobras más habituales es tratar de abrir un frente interno dentro de la propia organización del cliente, acudiendo a superiores o a departamentos inicialmente no involucrados en el proceso para transmitir un mensaje de preocupación, cuando no un relato bastante parcial e interesado de la situación.

A ello se añade el hecho de que estos procesos suelen ser bastante disruptivos y que el cliente puede verse trabajando y destinando recursos propios para beneficio del fabricante en una dinámica absolutamente descompensada, en el que ambas partes forman parte de un complejo mecanismo bien engrasado y perfectamente concebido por el fabricante para conseguir el mayor rédito.

La finalidad última consistirá en que el cliente adquiera un producto que no quiere o necesita, o cambie a una tecnología determinada como Cloud, concentrando sobre la persona que toma decisiones la mayor presión posible para conseguir una venta dentro de los plazos que estipule el fabricante en función de sus objetivos fijados como parte de su año fiscal.

¿Qué pasa si existe un exceso de licencias contratadas o mantenidas?

Una auditoría puede también revelar que se esté facturando el uso o mantenimiento de determinado software que realmente no se utiliza, pero los fabricantes se basan en determinadas políticas y condiciones contractuales para impedir cualquier rebaja en las cantidades contratadas.

Del mismo modo, los clientes podrían haber adquirido una modalidad de licencias no adecuadas para sus usuarios, o contratando determinadas funcionalidades innecesarias, aunque las vías para cambiar las licencias o hacer downgrades no suelen resultar triviales en absoluto.

Habida cuenta de la creciente complejidad de las condiciones de licenciamiento y de las funcionalidades de las diversas familias de productos, mantener el equilibrio perfecto se ha convertido en una ardua tarea, no debiendo perder de vista la posibilidad de haber estimado una cantidad inicial de licencias inferior a las necesarias, utilizar funcionalidades no contratadas o estar aplicando configuraciones inadecuadas en los sistemas de información.

Por consiguiente, ¿qué ha de tener en cuenta en el caso de afrontar una “auditoría informática”?

En incontables ocasiones, detrás del anuncio de una auditoría informática cuyo mero propósito consista en optimizar la infraestructura de IT de una compañía, se oculta una acción de mayor calado orientada a la obtención de beneficios, la mayoría de veces en contra de las necesidades reales de los propios clientes.

En este contexto, resulta de especial trascendencia conocer con detalle el marco contractual en el que ha de desenvolverse la revisión, siendo recomendable contar con la colaboración de especialistas en la materia.

¿Está inmerso en una auditoría informática? Puede contactar con el equipo de EVERGREEN COMPLIANCE de manera totalmente confidencial y sin compromiso, independientemente del momento en el que se encuentre de una auditoría, ya haya acabado de recibir la carta de notificación, si se encuentra en una fase avanzada o si, sencillamente, desea conocer su posición efectiva de licenciamiento previendo cualquier próxima acción auditora.

Somos expertos en licenciamiento y absolutamente independientes de cualquier fabricante o editor de software.