Reaccionar adecuadamente ante la notificación de una carta de auditoría de Oracle, es imprescindible para evitar riesgos al mismo tiempo que se asegura el cumplimiento normativo y la protección de nuestra inversión en activos IT optimizando los costes.
Cuando una empresa recibe una notificación de carta de auditoría de Oracle, es crucial tener clara la idea de qué es realmente una auditoría, abordándola con una estrategia bien planificada y una comunicación interna cuidadosa y adaptada al lenguaje de cada interesado.
En este artículo, y a través de nuestra experiencia, se explorarán los pasos clave para gestionar internamente el anuncio de una auditoría de licencias de Oracle de manera efectiva.
Ser proactivos estableciendo un procedimiento de recepción de la Carta de Auditoría de Oracle
Desde que llega la carta de auditoría de Oracle, hay que asegurar el control de las comunicaciones y de la información que pueda salir de nuestra organización.
Ello se debe a que el correo de notificación de la auditoría de Oracle, puede ir además dirigida a cualquier persona o departamento dentro de la empresa. Es por ejemplo muy habitual que se remitan a directivos C-Level totalmente ajenos a estas cuestiones o incluso a personas que ya no trabajan en la organización. Es también muy habitual que se utilice por ejemplo LinkedIn (o fuentes similares) para afinar y encontrar al contacto idóneo tanto para notificar la auditoría de licencias de Oracle como para escalar.
En este sentido, una simple respuesta no controlada de acuse de recibo (por muy cortés o inocente que pudiera parecer) puede ser perjudicial al debilitar la posición de nuestra empresa y complicar la estrategia a futuro. No olvidemos que la cláusula contractual estándar de Oracle empieza con la frase “Previa advertencia por escrito con 45 días de antelación, Oracle podrá auditar su uso de los programas.”.
Para evitar consecuencias no deseadas, recomendamos establecer de manera proactiva un procedimiento claro de cómo reaccionar cuando se recibe la notificación del fabricante o del auditor: Simplemente con una instrucción interna –asegurándonos de que cualquier potencial receptor está al tanto y la entiende- de que en cuanto se reciba una notificación de auditoría o revisión de licenciamiento Oracle, se remita ésta al equipo designado al efecto, evitando así cualquier tipo de respuesta automática o no consensuada.
Comunicación adaptada y transparente
Es vital entender que hay que adaptar el lenguaje al “idioma” de nuestro interlocutor: No habla –ni piensa- de la misma manera un abogado del departamento legal que el Director IT.
Vale siempre la pena hacer un esfuerzo pedagógico extra que a posteriori nos va a resultar extraordinariamente útil para evitar malentendidos y ahorrarnos trabajo y complicaciones.
Explicar internamente de manera proactiva qué es realmente una auditoría de software Oracle y qué busca el fabricante con ello, puede ser un gran paso para empezar a alinear a todos los interesados y poder así entendernos para remar juntos en la misma dirección.
Hay que evitar a toda costa que, además del frente abierto con Oracle, se abra otro frente interno –cosa que ocurre con frecuencia- que pueda ejercer presión adicional sobre nosotros y dificultar la estrategia incrementando el riesgo que ya de por sí tiene una auditoría de licencias.
Es fundamental establecer una comunicación proactiva, adaptada y controlada dentro de la organización. Informar a todos los departamentos relevantes y a los principales interesados qué hacer en caso de recibir la carta de auditoría de Oracle por parte de GLAS o LMS, garantizará que podamos prepararnos adecuadamente e incrementar nuestras posibilidades de éxito.
Es además muy recomendable que internamente se comprenda que una auditoría no necesariamente implica la existencia de incumplimientos o irregularidades: Una buena comunicación ayudará a disipar el riesgo de confusión inicial y evitará que se generen rumores negativos o una sensación de desbandada porque todo el mundo quiera salvar su pellejo.
Creación de un equipo de gestión de la auditoría
Crear un equipo de gestión de la auditoría es un paso crucial para garantizar una respuesta organizada y coordinada.
Este equipo debe incluir representantes de diferentes áreas clave, como el departamento de TI, el equipo legal y el de compras. Es también habitual asesores externos, con experiencia y 100% independientes.
Definir responsabilidades específicas asegurará que la auditoría de Oracle se maneje eficientemente y se mantenga bajo control.
Revisión y preparación exhaustiva frente a la Carta de Auditoría de Oracle
Antes del inicio de la auditoría de licencias de Oracle, lo recomendable es llevar a cabo una revisión interna exhaustiva tratando, en la medida de lo posible, de replicar la metodología que emplea GLAS o LMS en sus “auditorías oficiales”.
No sirve de nada desarrollar nuestra propia metodología si después los resultados no van a coincidir con los del fabricante. Es imprescindible disponer de información realmente confiable ya que llegar a conclusiones equivocadas nos puede proporcionar una falsa sensación de seguridad que nos lleve a compartir con el equipo auditor de Oracle información sensible que comprometa seriamente nuestra posición.
Cualquier déficit o incumplimiento en el licenciamiento debe ser identificado y abordado antes de que la “auditoría oficial” comience. Si se encuentran irregularidades, es siempre mejor resolverlas internamente antes de que sean señaladas por los auditores, lo que podría resultar en consecuencias más graves.
Confidencialidad y control de la información
La información relacionada con la auditoría de licencias de software debe manejarse, tanto interna como externamente, con estricta confidencialidad y de manera controlada.
Solo las personas designadas dentro del equipo de gestión de la auditoría deben tener acceso a los detalles y gestionar las comunicaciones con el auditor de GLAS o LMS de Oracle.
La divulgación no controlada de la información inadecuada puede dinamitar nuestra estrategia y ocasionar importantes perjuicios a nuestra empresa.
Y es vital también entender que los tentáculos de Oracle son largos y pueden obtener información a través de vías alternativas o por motivos aparentemente inocuos.
Mejor prevenir que curar
Para evitar futuras sorpresas, de manera paralela a las cuestiones tratadas, es aconsejable implementar un programa de auto-auditorías y gestión de licencias que incluya políticas claras para la adquisición, documentación y seguimiento de las licencias de software Oracle así como procedimientos para las renovaciones, actualizaciones y eliminación de licencias no utilizadas.
Empezar aclarando las principales ideas erróneas sobre licenciamiento Oracle más frecuentes, que aún hoy nos encontramos en empresas, puede ser un buen primer paso para empezar.
Conclusión
Gestionar internamente el anuncio de una auditoría de licencias de Oracle con eficacia requiere una comunicación proactiva y transparente, un enfoque organizado, así como experiencia y preparación exhaustiva junto a grandes dosis de pedagogía y paciencia en muchas ocasiones.
La confidencialidad y control de la información y la experiencia son fundamentales para afrontar este tipo de procesos de auditoría de GLAS o LMS con buenas probabilidades de éxito, sin olvidar la necesidad de implantar un programa eficiente de gestión de activos IT a largo plazo que nos asegurará mantener el cumplimiento y exprimir el valor de las inversiones en tecnología.
En Evergreen Compliance trabajamos con nuestros clientes para aportarles experiencia, tranquilidad e información 100% confiable para que dispongan de previsibilidad y de las herramientas suficientes para afrontar con garantías los procesos de auditorías de licencias Oracle.
