Cómo afrontar una auditoría de software

diciembre 9, 2019 |
Auditorías Software

Éste es un momento que parece que nunca va a llegar, más aún si se han gestionado las licencias con cautela. Suele resultar más sorprendente si jamás se han vulnerado las condiciones de licenciamiento de ningún programa, al menos de manera consciente, y además se tienen excelentes relaciones tanto con los fabricantes de software como con sus partners.

Esta situación es la más frecuente entre nuestros clientes. De este modo, es habitual que las empresas sean totalmente respetuosas con los acuerdos de licenciamiento, y que conozcan el software que han desplegado. El problema radica precisamente en aquellas particularidades del licenciamiento de cuya existencia no se es consciente.

Así, afrontar un proceso de auditoría de software no es responsabilidad exclusiva del Área de IT. El Área Jurídica tiene habitualmente una implicación relevante en estos procesos, ya que su base son los derechos de uso contractualmente adquiridos. El Áreas Financiera, e incluso Dirección General, también pueden verse involucradas en ocasiones por las penalizaciones económicas que en muchos casos acarrean.

Lo primero que ha de tenerse claro es que una auditoría de software no es nada raro, ni implica no tener perfectamente controlados los departamentos de IT. No obstante, hay factores que no son tan visibles ni evidentes en el día a día, que afectan gravemente al estado de compliance:

  • Es imposible controlar los despliegues que, consciente o inconscientemente, se hayan producido por parte de cualquier persona del equipo.
  • Si se tiene únicamente en cuenta la perspectiva tecnológica, y no los derechos adquiridos, es muy posible que se esté incurriendo en errores graves con importantes consecuencias económicas.
  • La utilidad y uso que se esté haciendo del software en relación con la verdadera necesidad que nuestra compañía demanda.

Una vez que se tiene el anuncio de la auditoría sobre la mesa, es muy importante contar con el asesoramiento de una empresa especialista en estos procesos, afrontándola tanto desde el punto de vista técnico como jurídico asociado al fabricante en cuestión.

No todas las auditorías son iguales. Por este motivo, la defensa ante fabricantes de software es un servicio muy especializado, ya que además de tener que tener expertos para los distintos fabricantes y productos, es necesario que la empresa que preste este servicio sea completamente independiente de cualquier fabricante y sus partners.

Desde Evergreen llevamos años ofreciendo este servicio y nuestra independencia y confidencialidad avalan nuestros resultados. Así, nuestras primeras recomendaciones ante un proceso de auditoría son las siguientes:

  1. Afrontar el proceso con total normalidad, no temiendo absolutamente nada, pero sin ignorar el anuncio de inicio del proceso, ya que una vez que éste ha sido recibido, el proceso deberá llevarse a cabo según lo pactado en el contrato.
  2. Ponerse en contacto con las áreas implicadas, incluyendo al menos el Área Jurídico y de IT.
  3. Recopilar toda la información contractual referente al proceso.
  4. Actualizar el uso real que se está haciendo del software.
  5. Cotejar los resultados del punto 3 y 4 para hacerse una primera idea de las posibles desviaciones.
  6. Ser muy práctico y no conformarse únicamente con los resultados de una herramienta SAM. Estas herramientas pueden ser útiles pero no suficientes, ya que es necesario conocer además la realidad desde el punto de vista del fabricante. Se trata, en definitiva, de tener el control del proceso y evitar riesgos financieros innecesarios.
  7. Recurrir a especialistas que puedan hacer un análisis de la realidad del estado del licenciamiento del fabricante en cuestión. Como se ha señalado anteriormente, los especialistas tendrán que abordar el proceso desde un punto de vista técnico y jurídico, y llevarlo a cabo con la misma óptica que cada uno de los fabricantes.
  8. Las personas implicadas en el proceso tienen que ser las justas y necesarias. Un proceso de auditoría suele durar meses por lo que, en la medida de lo posible, deberá evitarse que sea un elemento disruptivo en el día a día.
  9. Entregar la información estrictamente necesaria en tiempo y forma, de manera que no altere el trabajo diario y que en todo momento estén controlados los datos de salida y entrada.
  10. Prever los escenarios desfavorables que el equipo auditor pueda planear en beneficio propio.

Evergreen Compliance acompaña y da soporte en cada uno de los puntos detallados anteriormente. Empezando desde el inicio de la auditoría, o en cualquier momento en el que ésta se encuentre, realizaremos un análisis de cumplimiento completo, técnico y jurídico, que permita plasmar la realidad que verá el fabricante como consecuencia del proceso. Nuestro trabajo concluye con el cierre de la auditoría, persiguiendo los siguientes objetivos:

  • Conseguir un nivel de compliance con el menor impacto económico posible.
  • Acompañar y gestionar todo lo relacionado con el proceso de auditoría para minimizar la carga en el trabajo diario de nuestros clientes.
  • Establecer los mecanismos para la reducción del coste en futuras adquisiciones y renovaciones del soporte y mantenimiento de los productos.

¿Compartimos?

También te puede interesar