Algunos de los principales fabricantes de software han venido utilizando las auditorías como herramientas para impulsar la acción comercial. En numerosas ocasiones estos procesos son el mecanismo empleado para que los clientes adquieran productos que no habían previsto.
En la práctica, las auditorías pueden llevarse a cabo por los propios equipos internos de los fabricantes de software. Éste puede ser el caso de Oracle, SAP o IBM. También pueden realizarse por firmas auditoras supuestamente independientes (Deloitte, KPMG, PwC, etc.) o por partners autorizados para auditar. Este último es el caso de Seven Eighths para Oracle, aunque también audite para Autodesk o Micro Focus entre otros.
Este artículo no entrará a profundizar en las acciones de la Software Alliance (BSA o, anteriormente, Business Software Alliance). Debido a sus características particulares como agrupación de diversos fabricantes de software, debería ser objeto de un análisis diferenciado.
De hecho, en el mercado resulta muy habitual utilizar la facultad de auditar contemplada en los contratos. Según ésta los titulares de los derechos se reservan la posibilidad de verificar el uso de sus tipos de software. El fin último es instar a los clientes a sentarse en una mesa de negociación. Así pues, deberá regularizarse una supuesta situación de desajuste entre los derechos de uso adquiridos y el software utilizado.
Objetivo de los procesos de auditoría para los fabricantes de software
Las negociaciones son más fructíferas para los fabricantes de software cuando ponen sobre la mesa elementos favorables a sus intereses. Centrarán por tanto esfuerzos en presentar un informe adverso que describirá con frecuencia un escenario desde una perspectiva parcial. Su contenido no tiene por qué corresponderse necesariamente con la realidad, al aglutinar muchos elementos interpretativos.
De esta forma, lo que no se hubiera podido conseguir previamente mediante la vía comercial, puede lograrse más fácilmente a través de posibles evidencias de algún supuesto incumplimiento de los términos del contrato de licencia.
Así, es perfectamente razonable que los fabricantes de software escruten la utilización que se hace de sus productos. Resulta lógico revisar los límites del derecho de uso del software, que constituyen en definitiva el objeto de la licencia. No obstante, este lícito propósito se ve a menudo contaminado por evidentes intereses comerciales y de estrategia del fabricante.
Como se comentaba anteriormente, para llevar a cabo esta tarea los fabricantes de software se sirven en ocasiones de terceros. Sin embargo, no en todos los supuestos se prevé contractualmente esta posibilidad.
Por ejemplo, fabricantes como Microsoft e IBM sí prevén en sus contratos la posibilidad de emplear a un tercero independiente. Otros como Oracle no prevén este extremo, aunque cuentan en la práctica con los llamados JPE (Joint Partner Engagement) Partners, siendo Seven Eighths su principal referencia.
La figura del auditor independiente para IBM
IBM ha solido utilizar a Deloitte o KPMG para llevar a cabo las auditorías de manera “independiente”. Hay que hacer notar que en paralelo estas compañías trabajan estrechamente con el fabricante en diferentes dominios. Este hecho incluye desde alianzas para desplegar diversas tecnologías hasta proyectos estratégicos basados en Cloud.
Por consiguiente, podría cuestionarse la independencia real de estas firmas, que además podrían estar incumpliendo los requisitos elementales de transparencia.
A pesar de esto, IBM sí prevé en su Acuerdo Internacional Passport Advantage la posibilidad de que un tercero independiente pueda intervenir en los procesos de revisión del hardware y software. De este modo, en la sección “Verificación” se recoge lo siguiente:
Previa notificación con antelación suficiente, IBM podrá verificar el cumplimiento por parte del Cliente de los Términos de Passport Advantage en todas las Ubicaciones y para todos los entornos en los que el Cliente utilice, con cualquier finalidad, los PE sujetos a los Términos de Passport Advantage.
Dicha verificación se realizará de manera que se minimice la interferencia en la operativa de negocio del Cliente y podrá llevarse a cabo en las instalaciones del Cliente durante el horario normal de trabajo. IBM puede utilizar un auditor independiente para ayudar en la verificación, siempre que IBM tenga suscrito con dicho auditor un acuerdo de confidencialidad.
Este clausulado afectará a todo el software comercial. Algunos ejemplos de este software comercial son ERP, programas de facturación, programas de contabilidad o de gestión de inventarios.
El papel del auditor externo para Microsoft
En el caso de Microsoft pueden distinguirse tres modalidades diferentes de auditoría, que van desde la autodeclarativa hasta la presencial. Para llevar a cabo sus auditorías suele emplear una mezcla de recursos internos y externos. Si bien Deloitte se ha hecho cargo de diversas revisiones, PwC ha sido elegida para auditar a algunos partners.
Así, en el Microsoft Business and Services Agreement (MBSA) se prevé expresamente la posibilidad de que intervenga un tercero independiente. Esto se contempla concretamente en la sección “Derecho a verificar el cumplimiento”, donde puede leerse:
Microsoft tiene derecho, por su cuenta y cargo, a verificar el cumplimiento de los términos de licencia de los Productos. El Cliente deberá proporcionar oportunamente a los auditores independientes, cualquier información que estos soliciten y que Microsoft retenga para fines de verificación, incluyendo el acceso a los sistemas que ejecutan los Productos y prueba de licencia de los Productos que el Cliente hospede, sublicencie o distribuya a terceras partes. El Cliente se compromete a completar el proceso de autoauditoría de Microsoft que Microsoft pueda solicitarle como alternativa a una auditoría realizada por un tercero.
Al igual que sucede con otros fabricantes de software, estarán implicadas todas las aplicaciones informáticas y el software de aplicación. De esta manera habrá que considerar tanto el software de gestión como el software de sistema, además del desarrollo de aplicaciones web, el desarrollo de apps o el desarrollo de aplicaciones multiplataforma.
Por esto mismo, es clave que cada administrador de sistemas y desarrollador web o persona que participe en el desarrollo de software tenga una visión clara del licenciamiento. Esto es extensible al personal de empresas de informática y empresas de consultoría involucrado en el desarrollo de aplicaciones.
Oracle: fabricantes de software que no prevén contractualmente un auditor externo
Entre los distintos fabricantes de software con campañas de auditoría, Oracle constituye un caso peculiar. No en vano, se sirve para auditar del mencionado JPE Partner aunque no esté prevista está posibilidad en el contrato. En cualquier caso, no se podría afirmar que se trate de un auditor independiente en sentido estricto.
En concreto, la facultad de auditar para los productos de Oracle se articula en el OLSA (Oracle License and Services Agreement) o el OMA (Oracle Master Agreement), donde se incluye este apartado:
Previa advertencia por escrito con 45 días de antelación, Oracle podrá auditar su uso de los programas. Vd. acuerda cooperar con la auditoria de Oracle y facilitar una asistencia razonable así como acceso a información.
Vd. acuerda satisfacer en un plazo de 30 días a contar de la notificación por escrito cualesquiera tarifas aplicables a su utilización de los programas en exceso de los derechos concedidos bajo la licencia adquirida.
Si Vd. no atendiera dicho pago, Oracle podrá resolver su soporte técnico, licencias y/o este acuerdo. Vd. conviene en que la auditoría Oracle que se realice, no será responsable de cualesquiera costes incurridos por Vd. al cooperar en la auditoría.
En esta cláusula se regula el marco en el que debe desenvolverse cada auditoría Oracle. En ella no se describe la posibilidad de que un tercero pueda llevar a cabo este tipo de revisiones. Y no existen por defecto más condicionantes que deban considerarse desde la perspectiva de la gestión de licencias.
Por tanto, se trata posiblemente del caso en el que las líneas que supuestamente deben separar el ámbito estricto del cumplimiento, por un lado, y el del simple interés comercial o estratégico de los fabricantes de software, por otro, parecen más difuminadas.
Otros fabricantes de software
Tanto SAP (particularmente en cuanto al software ERP o sistema ERP) como Autodesk se caracterizan por tener una fuerte actividad auditora entre los demás fabricantes de software. No obstante, cada uno de ellos tiene sus particularidades, y entre los mismos cabe destacar también a: BMC Software, Dell – VMware, Micro Focus, Software AG, TIBCO, McAfee o Veritas.
En definitiva, una auditoría puede convertirse en un proceso poco controlado y con considerables riesgos potenciales. Estos riesgos pueden darse a varios niveles, incluyendo el legal, financiero o reputacional.
Habitualmente supone un proceso disruptivo que consume gran cantidad de tiempo y recursos, los cuales podrían estar dedicándose al negocio. Es recomendable apoyarse siempre en especialistas independientes en licenciamiento, cuyos intereses estén totalmente alineados con los del cliente. En este ámbito, puede ponerse en contacto con total confidencialidad con el equipo de Evergreen Compliance, en cualquier fase de la auditoría en la que se encuentre.
