Desmitificando la Auditoría de Software

por Sebastian Hasenauer, MBA – KAM Licensing Assurance



Hay que aceptarlo: tan solo escuchar la palabra “auditoría” eriza los pelos del cuerpo a varios profesionales. Esto ocurre no porque estén realizando actividades ilícitas, sino por el temor de que se descubra algún error en el proceso del que, hasta el momento, no se tenía conocimiento y, por ende, enfrentar problemas con los que no se contaba. Además, en épocas de auditoría, se invierten, reiterativamente, largas horas en contestar preguntas, buscar información de sustento, bucear entre mails antiguos, entre otras actividades que no agregan valor y que son adicionadas a la carga laboral diaria.

Lo descrito previamente es válido para cualquier tipo de auditoría: financiera, procesos, cumplimiento, informática, seguridad, etc.; sea externa o interna. Las empresas que cotizan sus acciones en bolsa están tan acostumbradas a realizar auditorías financieras que estas forman parte integral de las actividades de contabilidad y finanzas, con el objetivo de cubrir el requisito y asegurarse de evitar sorpresas que puedan afectar el valor de las acciones en el mercado. Así también, se obtiene un provecho de las mismas para contar con recomendaciones de buenas prácticas de sus auditores y consultores contratados proactivamente. Este proceso se encuentra tan arraigado que el mismo es manejado en su totalidad por el área de finanzas respectiva.

Por su parte, las auditorías de cumplimiento, procesos o software no son actividades que forman parte del día a día de la compañía y, por lo general, requieren información adicional de los colaboradores, la cual usualmente no se encuentra a la mano.
Es importante precisar que una auditoría no es un proceso diseñado para encontrar culpables, más bien todo lo contario, es un proceso para solucionar ineficiencias y asegurar que las actividades del día a día se están realizando de acuerdo con los estándares determinados por una entidad tercera reguladora o por las políticas internas de la compañía.

Además, es importante destacar que usualmente en los procesos de auditoría externa – sea fiscal, de licenciamiento, entre otras – el auditor parte con la idea de que está realizando su trabajo para encontrar alguna deficiencia; una especie de detective en una escena del crimen. ¿Pero, y qué si no hubo crimen? ¿Cómo cambiamos la idea del auditor de que somos culpables hasta que se demuestre lo contrario?

Así como sucede en las auditorías financieras, podemos utilizar las herramientas a nuestra disposición en beneficio de la empresa, siempre que se cuente con el proveedor de servicio y las herramientas correctas. Diversos estudios a empresas internacionales como Gartner, CIO Insight, CIO, entre otras, han descubierto que, en los intentos por estar correctamente licenciados, se tiende a sobre gastar entre un 30% y 37% en licenciamiento. ¿Cómo se evita este sobregasto entonces? Al realizar auto-auditorías internas proactivamente, se investiga internamente con el fin de generar los diagnósticos necesarios y realizar las actividades correctivas para evitar cualquier tipo de sanción posterior. Para ello, las empresas tienen procesos estandarizados. ¿Y cómo se realiza la auditoría de software internamente? Existen dos maneras: una manual, tediosa, inexacta e ineficiente; y otra, a través del proceso denominado Gestión de Activos de Software o SAM, por sus siglas en inglés, Software Asset Management.

El SAM en sí mismo no es una auditoría, es una metodología que integra los mejores procesos para administrar y optimizar los activos de TI de las empresas, teniendo como principales objetivos la protección de la inversión de los recursos, reducir el riesgo asociado a cada una de las etapas del ciclo de vida de los activos de Software, y aumentar la eficiencia operacional, para lo que se realiza el descubrimiento de manera sistematizada sobre los activos de software instalados por una compañía. Seguidamente, esto se compara con lo contratado y se llega a un resultado. Si se realiza esta actividad de manera proactiva, se puede ordenar la casa antes de la visita del auditor de la autoridad encargada de velar por la propiedad intelectual o de la marca que viene en búsqueda del error involuntario, sobre todo considerando la complejidad y diversas de las políticas de licenciamiento de cada uno de los proveedores.

Es usual que las empresas de tecnología y fabricantes de software ofrezcan SAM gratuitos, sin embargo, nada resulta gratis. Si un proveedor ofrece el servicio sin costo, quiere decir que alguien lo está financiando y, por ende, su información podría ser divulgada con un tercero. La mejor forma de evitar esto y proteger su información es con un Contrato de Confidencialidad de la Información o NDA por sus siglas en inglés. Si el proveedor del servicio no está dispuesto a firmarlo, entonces no estamos hablando de un servicio gratuito o en beneficio de la compañía, más bien, se trata una auditoría externa disfrazada donde, finalmente, la marca buscará que se cubra cualquier diferencial entre licenciamiento e instalaciones detectado, dejando fuera de la conversación aquello para lo que contrató la licencia o, simplemente, no le está dando el uso adecuado.



Al igual que en una auditoría financiera, es importante contar con un proveedor independiente que le pueda brindar recomendaciones de optimización sin conflicto de intereses y que tenga la experiencia necesaria para realizar recomendaciones de mejores prácticas. Elegir el proveedor correcto le dará la ventaja para que su auditoría de software le genere beneficios en lugar de miedo y dolores de cabeza.

Comentarios

Publicar un comentario

Entradas populares de este blog

¿Qué es el SAM y cómo funciona?

Imagen
"Cualquier organización o empresa requiere la gestión correcta del software que utiliza para llevar a cabo sus procedimientos. Para ejecutar este proceso encontramos una iniciativa conocida como Software Asset Management (SAM) por sus siglas en inglés, que se refiere a la gestión de activos de software, respecto a todos sus procesos y etapas, en sus fases de compra, implementación, utilización, mantenimiento e incluso la desinstalación del mismo."     Dimitri Largaespada. 12 años de experiencia en la Industria de Tecnología de la Información. ¿Qué es el SAM y cómo funciona?  El SAM está relacionado con el desarrollo de las Tecnologías de la Información, ya que es una estrategia que permite sacar mayor provecho de estos recursos y de lo que pueden ofrecer a nivel empresarial u organizacional, siempre buscando la optimización y mejoría de los servicios. Esta estrategia está considerada como una de las mejores prácticas al trabajar con las Tecnologías de la inform
Leer más

LICENCIAMIENTO SAP, recomendaciones sobre el uso indirecto de SAP

Imagen
Para muchos clientes es un tema difícil; el uso y los tipos de usuario están (claramente) definidos en los diversos documentos y anexos del contrato, pero no siempre el uso indirecto. debido a la falta de claridad y a la interpretación, los clientes de SAP no saben qué esperar en las auditorías de licencias y con la compra de nuevas licencias . El término “uso indirecto” o “acceso indirecto” de SAP es algo que está apareciendo más a menudo en auditorías de licencias. De acuerdo a la red internacional SUGEN (SAP User Group Executive Network), SAP no es lo suficientemente transparente sobre el uso indirecto de su software. Por lo tanto, SUGEN ha iniciado conversaciones con SAP para clarificar el uso indirecto. El propósito de esto es aumentar la transparencia, visibilidad y consistencia del uso indirecto de SAP e informar mejor a los clientes. Se están discutiendo distintos escenarios y el impacto del uso indirecto en los modelos de licencias existentes para que los clientes . ¿QU
Leer más

Impactos de reportar el licenciamiento SPLA manualmente

Imagen
Los proveedores de software que alquilan licencias Microsoft bajo el contrato SPLA adquieren el compromiso de reportar mensualmente el uso de las licencias a Microsoft a través de su SPLA Reseller, esto puede resultar ser una ardua tarea tomando en cuenta todas las variables a considerar para estar en cumplimiento. Muchos proveedores de software optan por destinar algún recurso calificado de su staff para este proceso mensual, que valga decir, resulta vital para el desarrollo del negocio. Esta decisión puede ser un costoso error de la administración y en esta entrada explicaremos los riesgos de administrar manualmente el licenciamiento SPLA incluyendo el reporte mensual. En ocasiones, algunos proveedores de software en especial cuando están iniciando el negocio, deciden llevar el control de licencias en una hoja de cálculo, pues al empezar con el negocio de SPLA no tienen una gran base de clientes y pareciera un proceso habitual sin mucha relevancia. Con el p
Leer más