Auditoría Microsoft: en qué consiste y cómo afrontarla

Una auditoría Microsoft es un proceso complejo con escenarios variables y que requiere conocimientos técnicos, legales, regulatorios y de licencias. De hecho, Microsoft es uno de los fabricantes con mayor volumen de productos desplegados en las organizaciones a nivel global. Además, es posiblemente el fabricante que más se prodiga en la realización de auditorías, resultando especialmente importante vigilar el cumplimiento.

Por tanto, se antoja necesario conocer las condiciones de licenciamiento que apliquen para cada producto instalado y/o en uso. Aquellas empresas que no hayan implantado medidas de control para el software estarán más expuestas a recibir fuertes penalizaciones.

En este sentido, la experiencia es un grado, y el hecho de contar con profesionales independientes y expertos en licenciamiento de Microsoft puede suponer una ventaja definitiva para minimizar los riesgos financieros, operativos, jurídicos y reputacionales que implica una auditoría de software.

¿Conoce con claridad las condiciones de licenciamiento del software que utiliza su organización? ¿Se considera preparado para abordar una auditoría Microsoft o prevé estarlo próximamente? Los siguientes apartados describen en qué consiste una auditoría Microsoft y cómo afrontarla. Nuestro objetivo es que pueda defenderse con plenas garantías en cualquier proceso de auditoría Microsoft que reciba.

Fundamentos legales de una auditoría Microsoft

En el acuerdo de licencia “Microsoft Business and Services Agreement” (MBSA), y bajo la sección “Verifying compliance”, se prevé la facultad de Microsoft de verificar el uso que el cliente está haciendo de sus productos. También se recoge la posibilidad de contratar a un auditor independiente para analizar dicho uso. Ha de considerarse que la mayoría de acuerdos de licencia por volumen están sujetos a los términos del MBSA.

Por tanto, la facultad de auditar está prevista expresamente en los contratos. En virtud de esta, Microsoft puede revisar, por sí mismo o a través de un tercero (Deloitte, KPMG, PwC, etc.), el uso que el licenciatario (cliente) está haciendo del software propiedad del licenciante (Microsoft).

De este modo, comprobará si dicha utilización se realiza dentro del marco establecido por los términos de la licencia. Y es ciertamente razonable que los titulares tengan derecho a evitar que se infrinjan los derechos de autor.

No obstante, también podríamos preguntarnos qué razón existe para que ciertos fabricantes no pongan medidas proactivas/preventivas en sus programas. Este hecho se agrava teniendo en cuenta la dificultad de gestionar activos intangibles como los derechos de uso del software.

En este sentido, resulta habitual que una auditoría Microsoft tenga más una finalidad comercial que de protección de derechos del autor. No en vano, Microsoft es una organización sujeta permanentemente a la presión del crecimiento anual de los volúmenes de ventas.

microsoft

Motivos para recibir una auditoría Microsoft

Microsoft puede sugerir que las razones por las que un cliente es elegido para ser auditado responden únicamente al azar. También puede hacer alusión al empleo de sofisticados programas informáticos propiedad de Microsoft Irlanda. Aún así, quien ha auditado para este fabricante es consciente de que la causa puede ser mucho más simple.

Así, existen formas de convertirse en un candidato serio a ser el objeto de una auditoría Microsoft. Por ejemplo, y al tiempo del vencimiento del acuerdo de licencia, no tener intención de renovar o formalizar otro tipo de contrato por volumen. Microsoft, al igual que cualquier otro fabricante, no puede permitirse que se detenga la espiral de compras. Y ha descubierto que una auditoría software puede ser una buena manera de conseguirlo.

Pero el riesgo de ser nominado no acaba ahí. El hecho de que una compañía haya tenido un incremento significativo en el número de empleados aumenta la probabilidad de recibir una auditoría Microsoft. También lo hace si ha existido algún proceso de fusión o adquisición durante la vigencia del contrato, sin que se haya manifestado la necesidad de adquirir licencias, por ejemplo, en los informes de true-up. Igualmente, una empresa se situará en el centro del punto de mira si ha crecido su volumen de negocio.

A pesar de esto, negarse a ser auditado implica un incumplimiento de los términos contractuales previstos en el MBSA. En tal caso, Microsoft podría rescindir los contratos (vgr. acuerdo de licencia de software). Además, estaría en disposición de obligar al cliente a desinstalar el software, sin perjuicio de eventuales acciones legales por infringir su derecho de propiedad intelectual. Recordemos que cuando “compramos software” únicamente adquirimos un derecho de uso sobre algo que en realidad no nos pertenece.

Modalidades de auditoría Microsoft

Existen tres modalidades diferentes de auditoría Microsoft, dejando al margen aquellas impulsadas por la BSA (Business Software Alliance):

Auto auditoría, la menos agresiva

Es la modalidad de revisión menos agresiva. En ella, la empresa auditada debe realizar un inventario completo de las licencias de software utilizadas. Posteriormente, entregará los resultados a Microsoft de forma que se proceda a su cotejo con el historial de compras. Finalmente, se oficializará si existen discrepancias entre las licencias compradas y las utilizadas.

Microsoft Software Asset Management Engagement (SAM Microsoft)

Es una modalidad de auditoría Microsoft proactiva. En ella, Microsoft propone un proyecto que los clientes pueden realizar de forma “voluntaria” a través de un partner. Viene a constituir una auditoría interna en la que el partner pone especialistas técnicos a disposición del cliente.

En definitiva, estos especialistas recopilarán datos sobre el uso de los productos, que más tarde serán interpretados para cotejar dicho uso con los derechos realmente adquiridos.

licencia microsoft

Legal Contracts and Compliance Audit

Estas auditorías se realizan a través de un tercero, como Deloitte, que actúa como auditor “independiente”. Este tercero, contratado por Microsoft, realiza la modalidad de revisión más gravosa y agresiva para el cliente.

En este supuesto, las empresas de auditoría recopilan datos de la infraestructura del cliente. Estos datos incluyen la configuración de hardware, el software instalado o los usuarios que utilizan dicho software. Se llega incluso a realizar inspecciones presenciales en las instalaciones de la empresa auditada.

El objetivo final es proporcionar a Microsoft un informe con los resultados de la verificación. Si se detectarse un déficit entre el uso del software y los derechos adquiridos, el cliente debe abonar a Microsoft los costes asociados a la auditoría además de adquirir las licencias que constituyan el déficit detectado con una penalización del 25% sobre el precio de adquisición.

Fases de una auditoría Microsoft

Este tipo de procesos suele iniciarse con una reunión de kick off. En ella, el equipo auditor presenta al cliente las distintas fases de la auditoría y los plazos. No obstante, pueden existir variaciones dependiendo de distintas circunstancias como la modalidad, productos, métricas, dimensión del cliente… etc.

A continuación, y conforme a las instrucciones del auditor, la empresa auditada recopilará información diversa sobre su infraestructura. Esta información será relativa al hardware, a las aplicaciones de Microsoft instaladas en cada dispositivo y a los usuarios que acceden a los distintos dispositivos y aplicaciones.

De hecho, la recopilación de datos puede hacerse a través de distintas metodologías. Entre estas se incluyen, por ejemplo, la ejecución de distintos scripts propiedad de la parte auditora o visitas presenciales. También puede entrar en juego algún software de inventario, SAM software u otro software de auditoría.

Todo ello se realiza en paralelo al análisis de la documentación relativa a la titularidad de las licencias. En ella se establecen los derechos de uso existentes, que deben coincidir idealmente con el uso real del software.

Una vez revisada toda la información recopilada, el auditor elaborará un informe preliminar en el que se confrontan los derechos adquiridos con el uso del software. Este informe se remitirá al cliente, otorgándole un plazo para identificar errores o elementos sobre los que no esté conforme.

Tras resolver las cuestiones preliminares, el equipo auditor presentará el informe final frente al cliente y representantes de Microsoft. Una vez respondidas las cuestiones que se puedan presentar termina el papel del auditor. Entonces, y sobre la base del informe, se negocia la posible regularización entre el cliente y Microsoft en términos comerciales.

licenciamiento microsoft

Cómo defenderse ante una auditoría Microsoft

El anuncio de una auditoría Microsoft implica, inevitablemente, la dedicación de recursos internos para su seguimiento. Se hace imprescindible conocer en profundidad las condiciones de licenciamiento y profesionalizar las acciones frente al equipo auditor. Hay que ser conscientes de que, como sucede con otros fabricantes, una auditoría Microsoft constituye un vehículo para generar ingresos.

En cualquier caso, es aconsejable apoyarse en un equipo de expertos en la gestión de licencias de Microsoft. Los especialistas de EVERGREEN COMPLIANCE están a su disposición para colaborar en cualquier fase de una auditoría Microsoft, tanto desde el punto de vista técnico como legal. También podemos evaluar su escenario de licenciamiento en cualquier momento, planificando aquellas adecuaciones que pudieran ser precisas.