Proceso de Auditoría de Software: Cómo afrontar las revisiones de los principales fabricantes

Auditar es una actividad que está en el foco de multitud de fabricantes de software en los últimos años. Actualmente, son pocas las empresas que no hayan vivido un proceso de auditoría de software de Oracle, IBM, SAP, Microsoft, BMC Software, Software AG, VMware – Dell, Veritas o Micro Focus, entre otros.

De hecho, el proceso de auditoría de software se ha convertido en una tarea recurrente dentro de las organizaciones. Así, muchas se plantean disponer de un auditor informático, realizar una auditoría de sistemas o una auditoría interna informática preventiva. Resulta igualmente habitual acometer una auditoría de procesos como preparativo para la auditoría software que, inevitablemente, acabará llegando.

Anuncio del proceso de auditoría de software

Una característica esencial de un proceso de auditoría de software es la imprevisibilidad. No obstante, este tipo de procesos están habitualmente regulados por los acuerdos firmados entre el fabricante y sus clientes. Por consiguiente, podrán desencadenarse cuando el fabricante lo estime oportuno, siempre y cuando se satisfagan las cláusulas de dichos acuerdos.

Por supuesto, las necesidades de los clientes pasan a un segundo plano frente a la imposición del fabricante. Pero, ¿es realmente imprevisible la recepción de una notificación de inicio de una auditoría de sistemas de información?

En este sentido, hay un factor que suele ser definitivo: la disminución del volumen de negocio del fabricante en cuestión. Por tanto, los siguientes aspectos pueden desencadenar un proceso de auditoría de Microsoft, IBM, Oracle, SAP u otros fabricantes:

  • No haber previsión de adquirir nuevos productos o licencias.
  • Discontinuar la renovación de los servicios de mantenimiento.
  • No renovar algún contrato de soporte técnico.

Aún así, también resulta habitual que se produzca una auditoría por otros motivos. Estos obedecen casi siempre a un desequilibrio entre los ingresos que el fabricante percibe, y los ingresos extraordinarios que estima que puede recibir como consecuencia de una acción comercial agresiva en la forma de un proceso de auditoría de software.

Inicio del proceso de auditoría de software

Un día, sin previo aviso, se recibe una carta postal o un correo electrónico anticipando la llegada de dicha carta. En ella se notifica el inicio de una auditoría IT, e irá probablemente dirigida a la Dirección de Tecnologías de la Información. También suele dirigirse a la Dirección Financiera, la Dirección General o cualquier miembro del Comité de Dirección de la organización.

Así, es muy probable que la fecha de inicio no sea propicia para la empresa que va a ser auditada. Resulta habitual que se encuentre inmersa en algún proyecto de cambio o migración de la plataforma hardware o software. Es más, estos mismos cambios pueden haber provocado que se desencadene la propia auditoría TI.

auditoria-it

En cualquier caso, todos los recursos deberían estar centrados en dichos cambios o en dar servicio a la actividad habitual del negocio. Es decir, no cabe duda de que la auditoría supondrá un proceso disruptivo para la normal actividad de la empresa.

Respecto a la comunicación recibida como inicio del proceso de auditoría de software, puede tener, dependiendo del fabricante concreto, apariencia de una auditoría informática, de un proceso de optimización del software, de una auditoría de redes, de una oportunidad para entender mejor las capacidades de las licencias contratadas, o, simplemente, de una actividad prevista en los acuerdos suscritos con el fabricante.

Naturaleza del proceso de auditoría de software

Con relación al proceso de auditoría de software en sí, es habitual que la comunicación recibida no concrete aspectos esenciales. Estos comprenden el alcance de la auditoría, las fases de las que va a constar (que no son las mismas que las fases de la auditoría informática convencional), herramientas de auditoría informática empleadas, los documentos de auditoría que se van a manejar, objetivos de la auditoría… etc.

Así pues, es frecuente no disponer a priori de un programa de auditoría concreto o del software de auditoría. No es de extrañar que se pretendan exponer todas estas cuestiones en una reunión de inicio del proceso de auditoría.

De ese modo, mediante la mencionada reunión, se trasladará al cliente una sensación de obligatoriedad y urgencia por encima de cualquier otra consideración. El equipo auditor intentará que esa sensación esté presente durante toda la duración de las auditorías informáticas realizadas a empresas.

Otro aspecto determinante es si la auditoría de sistemas informáticos será desarrollada por un tercero o directamente por el fabricante. No es extraño que Oracle, Micro Focus o Software AG utilicen a una empresa especializada en este tipo de procesos. Igualmente, IBM o Microsoft se apoyan en empresas de servicios con áreas especializadas en la realización de auditorías de software.

software

Desarrollo del proceso de auditoría de software

Según se ha expuesto anteriormente, el fabricante intentará que las sensaciones de urgencia y obligatoriedad presidan todos los tipos de auditoría informática. En esta línea, pretenderá que se lleven a cabo en cada momento aquellas acciones que convengan a sus intereses. Por lo tanto, podrá plantear visitas, proponer revisiones y actuaciones in situ, recopilar diversa información… etc. Por supuesto, todo ello se solicitará en el momento que sus objetivos puedan verse reforzados.

Además, es probable que la interpretación inicial de los datos recopilados sea parcial y favorezca a la parte auditora. De esta manera, el cliente se ve forzado a demostrar la conformidad de su situación, en vez de ser el fabricante el que tenga que acreditar una supuesta falta de cumplimiento.

El proceso de auditoría de software estará continuamente acompañado por la dualidad consideraciones técnicas vs consideraciones legales. En función del perfil del interlocutor del cliente con el fabricante, este último incidirá en unos detalles u otros.

No en vano, hará hincapié en aquellos aspectos en los que el interlocutor muestre menos solidez, con la finalidad de situarle en una posición incómoda. En este punto, resulta muy útil disponer de un ejemplo de auditoría o de un informe de auditoría ejemplo.

Por lo anteriormente expuesto, es frecuente que el proceso de auditoría de software provoque situaciones de desencuentro dentro del cliente. El área jurídica, experta en los aspectos legales del negocio, pero normalmente ajena a las implicaciones de una auditoría de software, podría tener disparidad de criterios con el área técnica, y esta, a su vez, disentir con la Alta Dirección como consecuencia de los riesgos existentes y de no disponer de una auditoría informática ejemplo, entre otras situaciones.

Conclusión del proceso de auditoría de software

Cuando un fabricante inicia un proceso de auditoría de software, es prácticamente seguro que conozca las probabilidades existentes para reclamar con éxito una importante cantidad al cliente. Hay que ser conscientes de que este es precisamente el objetivo de los auditores.

Y esto no se produce por una mala fe de los clientes en relación con el uso del software. De hecho, ninguna empresa desea estar en situación de no conformidad para los productos que utiliza en su negocio.

Sencillamente, la falta de cumplimiento puede producirse porque el software esté diseñado para facilitar un uso incorrecto del mismo al permitir, entre otros, utilizar módulos o funcionalidades que no se han adquirido previamente. A esta circunstancia, hay que añadir la existencia de modelos comerciales complejos y variables, que dificultan el manejo del licenciamiento.

En este caso resultaría más práctico que solo funcionasen aquellos productos realmente adquiridos por cada cliente. Con esta finalidad bastaría, por ejemplo, con la existencia de un fichero de licencia que evitase la utilización de aquellas funcionalidades que no hayan sido expresamente contratadas.

Con estos antecedentes, una vez que el fabricante consiga la información buscada para el proceso, estará en la posición pretendida. Así podrá partir, en definitiva, de una situación favorable para que el cliente realice adquisiciones que no tenía previstas, o sobre las cuales no había mostrado interés para, de esta forma, mantener o incrementar el nivel de negocio.

auditoria

La aportación de Evergreen Compliance

Evergreen Compliance puede ayudar a su organización en cualquier fase de un proceso de auditoría de software. Tanto si prevé que pueda anunciarse en breve, como si ya se hubiera iniciado o si se ha recibido un informe con los resultados, podemos ayudarle.

En cada una de las fases de estos procesos, Evergreen Compliance consigue poner en valor los derechos del cliente frente al fabricante, reconduciendo la situación para controlar los tiempos, el contenido y las conclusiones finales. Contacte con nosotros ante cualquier duda que le pueda surgir.