Auditoría Microsoft: en qué consiste y cómo afrontarla

Una auditoría Microsoft es un proceso complejo con escenarios variables, que requiere conocimientos técnicos, legales, regulatorios y de licencias. No en vano, Microsoft es uno de los fabricantes con mayor volumen de productos en uso a nivel global. Posiblemente es también el que más se prodiga en realizar auditorías, resultando especialmente importante vigilar el cumplimiento.

En primer lugar han de conocerse las condiciones de licenciamiento para cada producto instalado y/o en uso. Aquellas empresas que no hayan implantado medidas de control para el software estarán más expuestas a recibir fuertes penalizaciones.

En este contexto la experiencia es un grado. El hecho de contar con profesionales independientes y expertos en licenciamiento de Microsoft puede suponer una ventaja definitiva. De esta forma se minimizarán los riesgos financieros, operativos, jurídicos y reputacionales que implica una auditoría de software.

¿Conoce con claridad las condiciones de licenciamiento del software que utiliza su organización? ¿Se considera preparado para abordar una auditoría Microsoft o prevé estarlo próximamente? Los siguientes apartados describen en qué consiste una auditoría Microsoft y cómo afrontarla. Nuestro objetivo es que pueda defenderse con plenas garantías en cualquier proceso de auditoría Microsoft que reciba.

Fundamentos legales de una auditoría Microsoft

El acuerdo de licencia "Microsoft Business and Services Agreement" (MBSA), bajo la sección "Verifying compliance", prevé la facultad de Microsoft de revisar el uso que el cliente está haciendo de sus productos. Así mismo recoge la posibilidad de contratar a un auditor independiente para analizar dicho uso. Es importante considerar que la mayoría de acuerdos de licencia por volumen están sujetos a los términos del MBSA.

Por lo tanto, la facultad de auditar está prevista expresamente en los contratos. En virtud de ella Microsoft puede comprobar, por sí mismo o mediante un tercero (Deloitte, KPMG, PwC, etc.), el uso que el licenciatario (cliente) está haciendo del software propiedad del licenciante (Microsoft).

De esta forma verificará si este uso se realiza dentro del marco establecido por los términos de la licencia. Y es totalmente razonable que los titulares tengan derecho a evitar que se infrinjan los derechos de autor.

No obstante, también cabe preguntarse qué razón existe para que ciertos fabricantes no pongan medidas preventivas en sus programas. Esta carencia de medidas se agrava por la dificultad de gestionar activos intangibles como los derechos de uso del software.

En consecuencia resulta habitual que una auditoría Microsoft tenga más una finalidad comercial que de protección de derechos del autor. De hecho, Microsoft es una organización siempre sujeta a la presión del crecimiento anual de los volúmenes de ventas.

Motivos para recibir una auditoría Microsoft

Microsoft puede referir que las razones por las que se audita a un cliente responden únicamente al azar. También puede responsabilizar a sofisticados programas informáticos propiedad de Microsoft Irlanda. De todas formas, quien ha auditado para este fabricante es consciente de que la causa puede ser mucho más simple.

Así, existen formas de convertirse en un candidato serio a ser el objeto de una auditoría Microsoft. Por ejemplo, no pretender renovar o formalizar otro tipo de contrato por volumen al expirar el acuerdo de licencia. Microsoft, al igual que cualquier otro fabricante, no puede permitirse que se detenga la espiral de compras. Y ha descubierto que una auditoría software puede ser una buena manera de conseguirlo.

Sin embargo, el riesgo de que una empresa resulte nominada no acaba ahí. Si una compañía ha incrementado sensiblemente el número de empleados aumenta la probabilidad de recibir una auditoría Microsoft.

Sucede lo mismo si ha existido algún proceso de fusión o adquisición durante la vigencia del contrato. La auditoría suele ocurrir si no se notifica la voluntad de ampliar licencias, por ejemplo, mediante informes de true-up. Igualmente una empresa se situará en el centro del punto de mira si ha crecido su volumen de negocio.

Consecuencias de negarse a una auditoría Microsoft

A pesar de lo anterior, negarse a recibir una auditoría implica un incumplimiento de los términos contractuales del MBSA. En tal caso, Microsoft podría rescindir los contratos según el acuerdo de licencia de software. Además podría obligar al cliente a desinstalar el software, sin perjuicio de eventuales acciones legales por infringir su derecho de propiedad intelectual. Recordemos que cuando “compramos software” adquirimos un derecho de uso sobre algo que en realidad no nos pertenece.

Modalidades de auditoría Microsoft

En definitiva, existen tres modalidades diferentes de auditoría Microsoft, al margen de aquéllas que impulsa la BSA (Business Software Alliance):

Auto auditoría, la menos agresiva

Es la modalidad de revisión menos agresiva. En ella, la empresa auditada debe realizar un inventario completo de las licencias de software utilizadas. A continuación entregará los resultados a Microsoft para que proceda a compararlos con el historial de compras. Finalmente, Microsoft comunicará las discrepancias existentes entre las licencias compradas y las utilizadas.

Microsoft Software Asset Management Engagement (SAM Microsoft)

Es una modalidad de auditoría Microsoft proactiva. En ella, Microsoft propone un proyecto que los clientes pueden realizar de forma “voluntaria” a través de un partner. Viene a constituir una auditoría interna en la que el partner pone especialistas técnicos adisposición del cliente.

Así, estos especialistas recopilarán datos sobre el uso de los productos, que más tarde se interpretarán para cotejar este uso con los derechos realmente adquiridos.

Legal Contracts and Compliance Audit

Estas auditorías se realizan através de un tercero, como Deloitte, que actúa como auditor “independiente”. Este tercero, contratado por Microsoft, realiza la modalidad de revisión más gravosa y agresiva para el cliente.

En este supuesto, las empresas de auditoría recopilan datos de la infraestructura del cliente. Estos datos incluyen la configuración de hardware, el software instalado o los usuarios que utilizan dicho software. Se llega incluso a realizar inspecciones presenciales en las instalaciones de la empresa auditada.

El objetivo final es proporcionar a Microsoft un informe con los resultados de la verificación. Si se detectase un déficit entre el uso del software y los derechos adquiridos, el cliente debe abonar a Microsoft los costes asociados a la auditoría. Además deberá adquirir las licencias que constituyan el déficit detectado con una penalización del 25% sobre el precio de adquisición.

Fases de una auditoría Microsoft

Reunión inicial

Este tipo de procesos suele comenzar con una reunión de kick off. En ella, el equipo auditor presenta al cliente las distintas fases de la auditoría y los plazos. En este punto habrá variaciones en función de distintas circunstancias como la modalidad, productos, métricas, dimensión del cliente, etc.

Extracción de datos

A continuación, y según las instrucciones del auditor, la empresa auditada recopilará información diversa sobre su infraestructura. Esta información tendrá relación con el hardware y las aplicaciones de Microsoft instaladas en cada dispositivo. Asimismo se pedirán datos sobre los usuarios que acceden a los distintos dispositivos y aplicaciones.

De hecho la recogida de datos puede hacerse a través de varias metodologías. Entre éstas se incluyen, por ejemplo, la ejecución de scripts propiedad de la parte auditora o visitas presenciales. También puede entrar en juego algún software de inventario, SAM software u otro software de auditoría.

Todo ello se realiza en paralelo al análisis de los documentos de titularidad de las licencias. En éstos se fijan los derechos de uso existentes, que deberían coincidir con el uso real del software.

Análisis de información y elaboración del informe

Tras revisar la información recopilada, el auditor elaborará un informe preliminar en el que se confrontan los derechos adquiridos con el uso del software. Este informe se enviará al cliente, con un plazo para identificar errores o elementos sobre los que no esté conforme.

Tras resolver las cuestiones preliminares, el equipo auditor presentará el informe final frente al cliente y representantes de Microsoft. Una vez respondidas las cuestiones finales que se puedan presentar termina el papel del auditor. Entonces, y sobre la base del informe, se negocia la posible regularización entre el cliente y Microsoft en términos comerciales.

Cómo defenderse ante una auditoría Microsoft

El anuncio de una auditoría Microsoft implica la dedicación de recursos internos. Se hace imprescindible conocer en profundidad las condiciones de licenciamiento y profesionalizar las acciones frente al equipo auditor. Hay que considerar que, tal y como sucede con otros fabricantes, una auditoría Microsoft constituye una herramienta para facilitar ingresos.

En estos casos es aconsejable apoyarse en un equipo de expertos en la gestión de licencias de Microsoft. Los especialistas de EVERGREEN COMPLIANCE están a su disposición para colaborar en cualquier fase de una auditoría Microsoft, tanto desde el punto de vista técnico como legal. También podemos evaluar su escenario de licenciamiento en cualquier momento, planificando aquellas adecuaciones que sean precisas.