Desmitificando la Auditoría de Software

Así como sucede en las auditorías financieras, podemos utilizar las herramientas a nuestra disposición en beneficio de la empresa, siempre que se cuente con el proveedor de servicio y las herramientas correctas.

0

Sebastian Hasenauer, MBA – KAM Licensing Assurance

Hay que aceptarlo: tan solo escuchar la palabra “auditoría” eriza los pelos del cuerpo a varios profesionales.

Esto ocurre no porque estén realizando actividades ilícitas, sino por el temor de que se descubra algún error en el proceso del que, hasta el momento, no se tenía conocimiento y, por ende, enfrentar problemas con los que no se contaba. Además, en épocas de auditoría, se invierten, reiterativamente, largas horas en contestar preguntas, buscar información de sustento, bucear entre mails antiguos, entre otras actividades que no agregan valor y que son adicionadas a la carga laboral diaria.

Lo descrito previamente es válido para cualquier tipo de auditoría: financiera, procesos, cumplimiento, informática, seguridad, etc.; sea externa o interna. Las empresas que cotizan sus acciones en bolsa están tan acostumbradas a realizar auditorías financieras que estas forman parte integral de las actividades de contabilidad y finanzas, con el objetivo de cubrir el requisito y asegurarse de evitar sorpresas que puedan afectar el valor de las acciones en el mercado. Así también, se obtiene un provecho de éstas para contar con recomendaciones de buenas prácticas de sus auditores y consultores contratados proactivamente. Este proceso se encuentra tan arraigado que el mismo es manejado en su totalidad por el área de finanzas respectiva.

Por su parte, las auditorías de cumplimiento, procesos o software no son actividades que forman parte del día a día de la compañía y, por lo general, requieren información adicional de los colaboradores, la cual usualmente no se encuentra a la mano.

Es importante precisar que una auditoría no es un proceso diseñado para encontrar culpables, más bien todo lo contrario, es un proceso para solucionar ineficiencias y asegurar que las actividades del día a día se están realizando de acuerdo con los estándares determinados por una entidad tercera reguladora o por las políticas internas de la compañía. Además, es importante destacar que usualmente en los procesos de auditoría externa – sea fiscal, de licenciamiento, u otras – el auditor parte con la idea de que está realizando su trabajo para encontrar alguna deficiencia; una especie de detective en una escena del crimen. ¿Pero, y qué si no hubo crimen? ¿Cómo cambiamos la idea del auditor de que somos culpables hasta que se demuestre lo contrario?

Así como sucede en las auditorías financieras, podemos utilizar las herramientas a nuestra disposición en beneficio de la empresa, siempre que se cuente con el proveedor de servicio y las herramientas correctas.

Diversos estudios a empresas internacionales como Gartner, CIO Insight, CIO, entre otras, han descubierto que, en los intentos por estar correctamente licenciados, se tiende a sobre gastar entre un 30% y 37% en licenciamiento. ¿Cómo se evita este sobregasto entonces?

Realizando auto-auditorías internas proactivamente, donde se investigue con el fin de generar los diagnósticos necesarios y realizar las actividades correctivas para evitar cualquier tipo de sanción posterior. Para ello, las empresas tienen procesos estandarizados.

¿Y cómo se realiza la auditoría de software internamente?

Existen dos maneras: una manual, tediosa, inexacta e ineficiente; y otra, a través del proceso denominado Gestión de Activos de Software o SAM, por sus siglas en inglés, Software Asset Management.

El SAM en sí mismo no es una auditoría, es una metodología que integra los mejores procesos para administrar y optimizar los activos de TI de las empresas, teniendo como principales objetivos la protección de la inversión de los recursos, reducir el riesgo asociado a cada una de las etapas del ciclo de vida de los activos de Software, y aumentar la eficiencia operacional, para lo que se realiza el descubrimiento de manera sistematizada sobre los activos de software instalados por una compañía.

Seguidamente, esto se compara con lo contratado y se llega a un resultado. Si se realiza esta actividad de manera proactiva, se puede ordenar la casa antes de la visita del auditor de la autoridad encargada de velar por la propiedad intelectual o de la marca que viene en búsqueda del error involuntario, sobre todo considerando la complejidad y diversas de las políticas de licenciamiento de cada uno de los proveedores.

Es usual que las empresas de tecnología y fabricantes de software ofrezcan SAM gratuitos, sin embargo, nada resulta gratis. Si un proveedor ofrece el servicio sin costo, quiere decir que alguien lo está financiando y, por ende, su información podría ser divulgada con un tercero. La mejor forma de evitar esto y proteger su información es con un Contrato de Confidencialidad de la Información o NDA por sus siglas en inglés. Si el proveedor del servicio no está dispuesto a firmarlo, entonces no estamos hablando de un servicio gratuito o en beneficio de la compañía, más bien, se trata una auditoría externa disfrazada donde, finalmente, la marca buscará que se cubra cualquier diferencial entre licenciamiento e instalaciones detectado, dejando fuera de la conversación aquello para lo que contrató la licencia o, simplemente, no le está dando el uso adecuado.

Las razones más comunes para contratar los servicios de SAM incluyen eliminar costos innecesarios, administrar el cumplimiento o apoyar la selección, compra e implementación de una herramienta SAM. Sin embargo, un servicio SAM bien desarrollado y con buenos recursos puede convertirse, incluso, en una fuente abundante de datos e inteligencia que se puede aprovechar en una amplia gama de oportunidades de optimización y ahorro en el presupuesto de TI.

 

También podría gustarte

Comentarios

Cargando...