Microsoft Audit wiki

Microsoft Audits

¿Qué es una auditoría de Microsoft?

 Una Auditoría Microsoft es una comprobación general del correcto licenciamiento de las empresas. A pesar de que el nombre sugiere que Microsoft realiza las auditorías, éstas las lleva a cabo un tercero contratado por Microsoft. Los auditores externos se encargan de determinar si las empresas utilizan el software de Microsoft de forma adecuada y conforme a las directrices de Microsoft. Si el auditor descubre desajustes o un uso sospechoso del software, la empresa investigada podría tener que justificar y presentar pruebas de ese uso del software. Un uso de software que podría clasificarse como sospechoso o incorrecto implica un desajuste entre las licencias de software adquiridas y las licencias en uso cuando las segundas son mayores que las primeras. Por lo tanto, según las directrices de Microsoft, una empresa sólo puede utilizar la misma cantidad de licencias que la adquirida o menos. Cada Auditoría es diferente, ya que las empresas tienen diferentes infraestructuras de licencias. Por ello, no existe una definición clara de todos los procesos incluidos en una auditoría de Microsoft. Aunque los procedimientos varían, hay algunos pasos estándar divulgados por Microsoft y las empresas que han sido auditadas.

El proceso de la Auditoría Microsoft depende de su tipo (véase más abajo). El orden siguiente más general incluiría en primer lugar el envío de una carta oficial a la empresa informándole de la Auditoría y de su propósito. La empresa también puede programar una reunión con un representante de Microsoft sobre la auditoría y para expresar cualquier duda o preocupación. En esta reunión, los auditores también facilitan toda la información pertinente sobre el calendario de la auditoría, los procesos y los resultados previstos. El siguiente paso general es la recopilación de datos realizada por un auditor externo. Esta recopilación de datos puede incluir una visita in situ de los auditores en aras de una evaluación adecuada. Tras la recopilación de datos, los auditores presentan un informe que incluye las conclusiones de la auditoría, las posibles recomendaciones y el contexto pertinente. Estos informes suelen ser propensos a errores debido a la falta de conocimiento o comprensión en profundidad de los procesos internos de la empresa y las decisiones de concesión de licencias. En este punto, la empresa auditada puede abordar cualquier error de cálculo, interpretación u otros errores y proporcionar contexto o documentos legales adicionales. Una vez hecho esto, se presenta a Microsoft un informe final de auditoría. En la mayoría de los casos, Microsoft actúa desde la perspectiva de que la empresa cumple el contrato de licencia hasta que se demuestre lo contrario.

Tipos de auditorías de Microsoft

Existen tres tipos generales de auditorías de Microsoft. La más común es la autoauditoría, seguida del compromiso de gestión de activos de software (SAM). La Auditoría de Microsoft más estricta es la Auditoría de Contratos de Licencia y Cumplimiento (LCC).

La autoauditoría suele requerir que la empresa auditada recopile y presente a Microsoft los registros de compra y las claves de software del software en uso. El objetivo principal de este tipo de auditoría es que la empresa demuestre su conformidad con el contrato de licencia de Microsoft.

El SAM Engagement suele ser realizado por un tercero que lleva a cabo la auditoría. El coste del SAM Engagement suele estar cubierto al 100% por Microsoft. La empresa auditada suele recibir una recomendación sobre la correcta concesión de licencias para su software.

La Auditoría de Microsoft más estricta es la Auditoría de Contratos de Licencia y Cumplimiento (LCC). Esta auditoría se produce cuando una empresa ignora o rechaza la solicitud de Microsoft de realizar una autoauditoría o un compromiso SAM. Debido a su carácter obligatorio, la auditoría LCC es formal y puede dar lugar a acciones legales. Las auditorías LCC suelen dar lugar a ventas adicionales para Microsoft debido a la concesión de licencias inadecuadas por parte de las empresas auditadas. Este tipo de auditoría se asocia a menudo con la creación por parte de Microsoft de un caso legal contra la empresa auditada con el objetivo de recibir una compensación económica. Esto puede variar desde simples sanciones hasta un proceso judicial. Este último suele ser el peor de los casos. Una compensación más común es la venta de licencias adicionales mencionada anteriormente.

¿Por qué realiza Microsoft auditorías?

Microsoft puede realizar una Auditoría aleatoriamente y en cualquier momento. Si una empresa utiliza licencias de Microsoft, existe la posibilidad de que sea auditada en un momento u otro. Las auditorías son una comprobación periódica de Microsoft cuyo objetivo es establecer si una empresa utiliza legalmente su software. El objetivo principal de una auditoría de Microsoft es inspeccionar si el número de licencias de software coincide con las licencias con una prueba de compra. Además, durante una auditoría también se examinan las licencias de todo el software y de los usuarios/dispositivos.

Si Microsoft tiene alguna razón para creer que una empresa no está cumpliendo con el contrato de licencia y/o está utilizando software ilegalmente, lo más probable es que esa empresa sea auditada. Una auditoría puede desencadenarse por varios factores, como patrones inusuales de uso del software. Otra razón para una auditoría podría ser una reciente compra o renovación de software. En estos casos, una auditoría comprueba si se ha adquirido la cantidad correcta de software necesario. Las empresas que recientemente se han fusionado o han adquirido otra empresa también pueden enfrentarse a una auditoría de Microsoft para evitar la concesión de licencias insuficientes por confusión.

¿Qué comprueba el auditor durante una auditoría de Microsoft?

Los auditores externos son contratados por Microsoft para recopilar y proporcionar al fabricante de software los datos disponibles sobre el uso de software de la empresa investigada. Los auditores deben ser imparciales tanto con Microsoft como con la empresa auditada, por lo que la mayoría de las veces parten del punto de vista de que la empresa no está concediendo las licencias correctamente. En caso de ambigüedad o discrepancia, los auditores se inclinarán más hacia el lado de Microsoft. Tras investigar los datos y las pruebas de licencias, la empresa auditora presenta un informe final tanto a su empresa como a Microsoft. Sin embargo, esta no es la decisión final de Microsoft. En caso de que una empresa no esté de acuerdo con el informe del auditor, puede objetar la conclusión aportando cualquier contexto o documentación que falte.

¿Cómo prepararse para una auditoría de Microsoft?

Cuando se les notifica una próxima auditoría de Microsoft, las empresas suelen llevar a cabo una "auditoría" interna inicial contando el software en uso y recopilando las respectivas pruebas de compra. Las empresas también se preparan para las auditorías de Microsoft llevando un registro sistemático de sus documentos y pruebas de compra de software en una base de datos organizada. Tras recibir una carta sobre una auditoría entrante, también se aconseja a las empresas que cuenten todas las máquinas virtuales, servidores físicos y CAL de usuario/dispositivo.  Las grandes organizaciones realizan la Gestión de Activos de Software para asegurarse de que cumplen las normas de Microsoft.

¿En qué casos se puede suspender una auditoría de Microsoft?

Una de las razones más comunes para que una empresa suspenda una auditoría de Microsoft es la falta de conocimiento o comprensión adecuados del contrato de licencia. El contrato de licencia de una empresa puede depender del contexto. Dado que los auditores no conocen el contexto específico de cada empresa, no pueden tenerlo en cuenta durante la auditoría. Por lo tanto, las empresas que conceden licencias de su software en función de circunstancias adicionales, deben proporcionar los antecedentes y documentos respectivos que respalden sus decisiones en materia de licencias.

Otra razón por la que una empresa puede suspender su auditoría de Microsoft es un error en el cálculo. Los auditores suelen hacer uso de Excel para recopilar los datos necesarios para el cálculo de las licencias, sin embargo, pueden producirse errores en este proceso. Por esta razón, se aconseja a las empresas que evalúen de forma crítica los datos de los auditores y expresen cualquier desacuerdo o error de cálculo.

Además de los errores cometidos por los auditores, las empresas pueden ser responsables de datos de inventario erróneos. Tanto si es intencionado como si no, la desorganización de los datos de Active Directory puede llevar a los auditores a recopilar erróneamente los datos necesarios. Otros factores también podrían ser datos de inventario obsoletos, incompletos o de mala calidad. Los entornos de prueba y el desarrollo no contabilizado de los requisitos de software de la empresa también podrían tergiversar el uso real del software y, a su vez, los informes de los auditores. Por lo tanto, en caso de auditoría, las empresas suelen optar por realizar una "auditoría" interna de su base de datos de hardware y software para prepararla y organizarla para los auditores.

Una empresa que utilice un número de software superior al indicado en la prueba de compra tampoco superaría una Auditoría de Microsoft. Suponiendo que no se exploten las directrices de Microsoft y falte por accidente una prueba de compra (por ejemplo, una factura), la empresa tiene derecho a presentarla adicionalmente. Algunas pruebas de compra pueden ser las licencias de Software Assurance, la declaración de licencia de Microsoft, las licencias OEM o la factura. En caso de auditoría, no es necesario que las empresas presenten todos los tipos de pruebas de compra. Mientras exista un documento legal o una única prueba de compra que respalde el número de software utilizado, no hay motivo para que una empresa suspenda su Auditoría de Microsoft. Si se siguen todas las normas generales y las condiciones específicas establecidas en un contrato de licencia, se aprobará la auditoría.

¿Cuáles son las consecuencias de no superar una auditoría de Microsoft?

Si una empresa no cumple el contrato de licencia de Microsoft o no consigue demostrar que lo hace, puede sufrir ciertas consecuencias. Por ejemplo, la empresa recibiría una multa y/o sanciones. Si procede, Microsoft también podría emprender acciones legales contra la empresa por el uso ilegal de software. Además de pagar la multa o multas mencionadas, podría exigirse a la empresa que cumpliera el contrato de licencia de Microsoft adquiriendo las licencias de las que no existe prueba de compra. Las empresas que no han superado una auditoría de Microsoft también sufren daños en su reputación.