Cuando la solicitud de auditoría de software fue enviada por Adobe hace dos años, Margaret Smith (no es su nombre real) pensó que se trataba de negocios, como de costumbre. Como especialista en riesgo y cumplimiento de gobierno de una compañía Fortune 500, estaba acostumbrada a pasar por muchas auditorias cada año.

“Usualmente estas cosas comienzan amigablemente”, afirmó. “Nosotros recibimos una solicitud para una auditoría, y esto involucra cierta negociación. Ellos quieren hacer una auditoria en las instalaciones, o solicitar las identificaciones de empleados específicos. Pero esta vez vinieron con el bate en la mano. En dos semanas ya estaban amenazando con traer abogados”.

La firma de Smith, un fabricante de productos para consumidores, había obtenido licencia para al menos 55 productos Adobe en sus oficinas a nivel mundial. Ahora el fabricante de software estaba acusando a su firma de usar mucho más software del que le correspondía. Había mucho en juego. Adobe pudo haber impuesto penalidades además de las cuotas de las licencias no pagadas, pudo haberle cobrado a su firma el costo de la auditoría, y pudo pedirle pagos retroactivos partiendo de alguna fecha específica.

Pero Margaret no se dejó intimidar. Ella trabaja para una organización inmensa que administraba más de cuatro mil productos de software, y tenía un muy buen conocimiento de lo cumplidos que eran. Resulta que había un conflicto entre el lenguaje del contrato de la licencia que firmó la compañía y los documentos de soporte que Adobe consideraba como parte del contrato.

Al final, conciliaron. El fabricante de bienes para el consumidor accedió a controles adicionales sobre la forma en que se desplegaba el software y Adobe ya no tocó más el tema (y, sorprendentemente, se negó a comentar esta historia).

Pero pudo volverse mucho peor. Y resulta emblemático respecto a lo agresivos que se han vuelto los productores de software. Esa auditoría fue un factor clave para que su compañía decidiera implementar una solución de software para administración de activos de Snow Software, afirmó Smith. “Fue el ejemplo perfecto para apoyar mi teoría sobre cómo el primer paso para lograr el cumplimiento es entender con qué se está trabajando”.

Cuando se trata de auditorías, el omertá [código del silencio] es el que vale.

Si usted compra, ellos vendrán

No se trata de la posibilidad de que las licencias de software de su compañía pasen por auditorías. Se trata de cuándo, qué tan seguido y qué tan dolorosas serán las auditorías. Los riesgos son altos: Casi todos los clientes a los que contactamos solicitaron que no mencionáramos sus nombres en esta historia, para así evitar que sus empleadores fueran el blanco de auditorías futuras.

Las auditorías están en aumento y se están volviendo más costosas. De acuerdo a Gartner, el 68% de las empresas recibe una solicitud de auditoría cada año, un número que se ha incrementado firmemente desde el 2009. Las solicitudes más frecuentes vienen de los proveedores más usuales: Microsoft, Oracle, Adobe, IBM y SAP.

Una encuesta de Flexera, proveedor de administración de activos de software, reportó que el 44% de las empresas tuvieron que pagar costos de incumplimiento de 100 mil dólares o más, y el 20% ha pagado más de un millón de dólares -porcentajes que han subido a más del doble el año pasado.

Amy Konary de IDC estima que hasta un 25% del presupuesto de software de una organización se invertirá en lidiar con la complejidad de las licencias.

“Existen dos aspectos relacionados a esto, y ambos son difíciles de dominar”, afirmó Konary, vicepresidenta responsable de liderar los programas SaaS, Business Models y Mobile Enterprise Applications de IDC. “El primero es comprar de más. Cuánto software extra está comprando para mitigar los riesgos de estar incumpliendo. El segundo es comprar menos. Si le realizan una auditoría, encontrará que ha usado más software del que previó y terminará gastando más por incumplimiento. Es difícil dimensionar adecuadamente el ambiente de software por lo complejas que son las licencias”.

Más de una cuarta parte de todo el software instalado en las grandes empresas de Estados Unidos y Reino Unido es shelfware, con un costo colectivo de siete mil millones de dólares, según la investigación de 1E, una compañía de automatización del ciclo de vida del software. Añada a eso los costos ocultos de la interrupción del negocio para las auditorías que pueden durar 18 meses, y la cuenta final puede ser enorme.

En resumen, las empresas están dejando bastante dinero sobre la mesa -y los fabricantes de software están más que felices de llevarse todo lo que puedan.

Las auditorías son herramientas de ventas

Técnicamente, una auditoría de software es una manera de probar que usted ha instalado solo el software por el que pagó, o de que un fabricante pruebe que ha instalado o usado demasiado. Sin embargo, los procesos de auditorías con frecuencia terminan con un cliente firmando un cheque -así sea para pagar por un software mal instalado o para hacer un trato para un compromiso a largo plazo.

“Va a haber una venta al final de una auditoría”, afirmó Peter Turpin, vicepresidente de Snow Software. “Las auditorías son una manera de recolectar dinero por el software que ha instalado el cliente. Por lo tanto, tiene que pagar”.

Pero los principales fabricantes también usan la amenaza de una auditoría como medio para cerrar nuevos contratos, afirmó Craig Guarente, cofundador de Palisade Compliance, que ayuda a que las empresas manejen los problemas con las licencias de Oracle.

Por más de 15 años, Guarente fue el vicepresidente global de contratos y prácticas de negocio de Oracle. Él dijo que, por muchos años, el equipo de ventas de Oracle tuvo un mantra inspirado en “Glengarry Glen Ross” llamado “ABC: audit-bargain-close[ABC: auditar-negociar-cerrar]”.

“Usted le hace una auditoría a alguien, encuentra ciertos problemas, le genera algo de miedo y lanza un número grande al aire”, afirmó. “Después cierran el contrato relacionado a algo más que ellos quieren que usted compre. Excepto que, hoy en día, lo estoy llamando ‘audit bargain cloud [auditar negociar nube]’ -agregue un trato de nube y, de repente, todos los problemas de auditoría desaparecen”.

Oracle en particular ha sido acusada de realizar procedimientos agresivos para las licencias de software. Una encuesta de octubre del 2014 a clientes de Oracle realizada por Campaign for Clear Licensing concluyó que las relaciones de clientes con Oracle “son hostiles y llenas de una enraizada desconfianza”.

En octubre del 2015, la compañía de golosinas Mars Inc. estableció una demanda en contra de Oracle, acusando a la compañía de un “inalcanzable cumplimiento de sus licencias”, basándose en “falsas premisas”. La demanda fue retirada en diciembre; los términos de la negociación no fueron anunciados.

En una entrevista con el sitio de noticias inglés V3, el pasado febrero, Phil Pavitt, CIO global de Specsavers, criticó la metodología del tipo “pistola en la cabeza de Oracle para licencias de software.

(Oracle se negó a comentar)

Ciertamente, Oracle no es el único que usa las auditorías como herramientas de negociación. Otros clientes contactados para esta historia confirmaron presiones similares por parte de otros fabricantes.

Aunque, a largo plazo, este enfoque agresivo solo genera hostilidad, afirmó Konary de IDC. Si un representante de ventas está usando las auditorías como medio para incrementar las ventas, eso usualmente significa que tiene un mal representante de ventas, dijo. La presión de cumplir con las cuotas trimestrales también los empuja a ser más agresivos.

“A los administradores de ventas no les gustan las auditorías de software porque pueden destruir sus relaciones con los clientes”, afirmó. “Pero muchos de ellos tienen que llegar a ciertas cuotas de ventas. Hay un poco de desalineamiento”.

Nubes en el horizonte

Ya que más empresas se mueven hacia el software como servicio, esto debería simplificar, en teoría, cómo se administran y se otorgan las licencias de software. Pero, en el corto plazo, ocurre lo opuesto; operar en una nube híbrida y en un ambiente hace que todo sea más complicado. Por ejemplo, es muy fácil que TI genere nuevos servicios en la nube dependiendo de sus necesidades, sin considerar las implicancias de las licencias, afirmó Ed Rossi, vicepresidente de gestión de producto en Flexera.

“Cuando introduce la nube, también introduce mucha complejidad”, indicó. “Cuando más clientes la aprovechan, se colocan en una posición en donde utilizan más software del que les corresponde. Creo que por eso estamos viendo un crecimiento sostenido en las auditorías”.

Solo es suficiente moverse a la nube para que ocurra una auditoría, anotó Konary.

“Si toma un software y lo traslada a un ambiente de nube en su propio centro de datos, es muy probable que vaya a tener problemas de licencias”, afirmó Konary. “Es un ambiente tan dinámico que se vuelve mucho más difícil rastrear lo que usted realmente está usando y cumplir con los requerimientos de su licencia”.

Usar servicios de nube pública implica un reto menor en el campo de licencias, añadió. A no ser que los usuarios estén compartiendo contraseñas, es relativamente claro medir quién está usando qué.

Otra de los motivos por el que el incremento de la dependencia de la nube ha sido acompañado por un aumento en las auditorías: Las compañías que han ganado miles de millones del software on premises están tratando de sacar la mayor cantidad de ganancias posible mientras puedan, indicó Robin Purohit, presidente de grupo de Enterprise Solutions Organization de BMC.

“Vemos un alza en las auditorías de las grandes compañías de la industria”, señaló Purohit. “Éstas son las más vulnerables a la transición hacia el software como servicio. El crecimiento de sus licencias está en riesgo, así que están buscando mantener las ganancias de los clientes que tienen, mientras que estos construyen su portafolio de nube y SaaS”.

Sus herramientas, sus reglas

Muchos proveedores van a ofrecerle ayuda para descubrir sus problemas de cumplimiento con las licencias. No lo haga, aconseja Guarente de Palisade.

“Eso puede convertirse en lo que yo llamo ‘una auditoría encubierta’, afirmó. El proveedor ofrece ‘ayudar’ al cliente a encontrar sus problemas de cumplimiento, pero es realmente una auditoría disfrazada”.

El consultor indicó que un cliente estaba gastando casi 40 mil dólares anuales en contratos de mantenimiento y respaldo de Oracle y pidió a la compañía que le ayudara a encontrar una forma de reducir sus gastos. La firma accedió con gusto. Unos pocos meses después el cliente recibió una cuenta de más de un millón de dólares. Ahí fue cuando Palisade se involucró.

Frecuentemente, los proveedores requieren que los clientes usen herramientas específicas para rastrear su uso, pero no siempre hacen un buen trabajo informándoles sobre esto, resaltó el abogado Rob Scott, director de Scott & Scott, firma que se especializa en resolver disputas en temas de auditorías.

“Una de las historias de terror más grandes que vemos se relaciona a IBM y sus reglas de virtualización”, señaló Scott. “De acuerdo a IBM, usted solo puede desplegar el software de servidor virtual de esta compañía, si es que también despliega su herramienta propietaria de descubrimiento. La mayoría de clientes se entera de la existencia de esta herramienta en su primera auditoría”.

IBM después viene y dice que estos servidores virtuales tienen una licencia de subcapacidad, pero debido a que usted no desplegó la herramienta de descubrimiento, usted le debe la capacidad total, añadió Scott.

“He visto este problema representar cientos de millones de dólares en pagos de incumplimiento solo en nuestra base de clientes”, afirmó Scott. “Suena como algo esotérico, pero está ocurriendo en todo el mundo”.

Cuando fue contactada, una portavoz confirmó que la compañía si solicita que los clientes usen una herramienta gratuita de monitoreo para rastrear las “licencias de subcapacidad”. En un correo electrónico, la portavoz afirmó:”Nuestros contratos de software son bastante claros con respecto a los requerimientos necesarios para poder sacar provecho de las licencias de subcapacidad; esto ha sido parte de todos estos contratos por más de una década. Adicionalmente, nosotros nos contactamos con nuestros clientes proactivamente para asegurarnos de que estén familiarizados con las oportunidades y protocolos de las licencias de subcapacidad”.

¿Guardado dónde?

Una auditoría podría revelar también que usted está pagando por software que no usa. Pero no espere que los fabricantes de software le digan eso.

“No escucho muy a menudo que los proveedores se acerquen al cliente y le digan, ‘usted gastó demasiado dinero en nosotros'”, admitió Konary. Por otro lado, añadió, muchos proveedores no iniciarán una auditoría a no ser que estén bastante seguros de que los clientes tendrán que pagar algo por algún incumplimiento.

Konary afirmó que las empresas podrían estar comprando los tipos de licencias equivocados para sus usuarios -tal como una licencia para desarrollador cuando bastaría con una licencia self-serve que es menos costosa.

“Puede que tenga unos neumáticos mucho más costosos de los que realmente necesita. ¿Tiene la opción de hacerle un downgrade a eso? Bastante del que se descubre tiene que ser iniciado por el cliente”.

Aunque implementar herramientas de administración de activos de software puede ayudar, las empresas también necesitarán modificar los procesos orientados al cumplimiento y entrenar a las personas sobre cómo lidiar con la complejidad, añadió.

En la mayoría de casos, los fabricantes de software quieren seguir siendo buenos socios de sus empresas clientes. Pero también quieren ganar la mayor cantidad de dinero posible. Y eso puede llevar las alianzas a un punto de quiebre.

“Es realmente importante recordar que los fabricantes tienen el derecho a que se les pague por el software que sus clientes están consumiendo, sostuvo Turpin de Snow. “Su mejor defensa es un buen ataque. Equípese con las herramientas de administración necesarias para que, si no se encuentra en cumplimiento, sepa sobre esto y pueda hacer algo en sus propios términos”.

-Dan Tynan, InfoWorld (EE.UU)