Nace Nexure Advisory: una firma de consultoría boutique especializada en la gobernanza del riesgo contractual del software, que surge de la evolución natural de CSV Consulting -consultora fundada hace más de una década por Carlos Garmendia, Tania Martínez y Javier Garmendia- y que se integra, en este año, en el Grupo Acatia; conformando el mayor ecosistema de soluciones TechCompliance.
El cambio no es un rebranding cosmético. Es una transformación de identidad que refleja la madurez de un modelo de trabajo, la ampliación de su alcance internacional y la consolidación de una metodología propia -el SLR Framework (Software Licensing Risk Management Framework)- que permite a las organizaciones medir, cuantificar y gestionar de forma estructurada su exposición al riesgo contractual derivado del licenciamiento de software.
«El software se ha convertido en una de las áreas de mayor exposición regulatoria y contractual para las organizaciones. Con Nexure Advisory queremos reflejar mejor nuestra misión: ayudar a las empresas a gobernar ese riesgo de forma proactiva, integrando tecnología, legalidad y estrategia” asegura Carlos Garmendia, socio director de Nexure Advisory.
El nombre Nexure no es arbitrario. Hace referencia al concepto de nexo o conexión estructural y refleja con precisión la esencia del trabajo de la firma: integrar las distintas dimensiones del riesgo asociado al software -tecnológica, contractual, jurídica y operativa- en un sistema coherente de control y gobernanza.
El núcleo de esa propuesta es el SLR Framework, modelo metodológico propietario articulado en torno a tres indicadores cuantificables: el ECA (Exposición Contractual Ajustada), que mide el riesgo contractual específico de cada licencia; el SLRMI (Software Licensing Risk Maturity Index), que evalúa la madurez organizativa en la gestión del riesgo; y el IEC (Índice de Exposición Contractual), que integra ambos en una visión agregada del portfolio de software de la organización. Un modelo objetivo, trazable e independiente que convierte un riesgo tradicionalmente invisible en un indicador estratégico para la toma de decisiones.
El lanzamiento de Nexure Advisory no es ajeno al momento regulatorio. El Reglamento DORA (Reglamento (UE) 2022/2554, Digital Operational Resilience Act) impone a las entidades financieras y a sus proveedores TIC críticos obligaciones precisas sobre gestión del riesgo TIC, resiliencia operativa, control de terceros y planes de salida ante dependencias tecnológicas. Las Directrices EBA/GL/2019/02 y EBA/GL/2019/04 -sobre gestión de riesgos TIC y acuerdos de externalización, respectivamente- establecen además un estándar de gobierno tecnológico que opera como referencia ejemplar incluso para organizaciones no sujetas a supervisión financiera.
En este contexto, los contratos de software de los grandes fabricantes tecnológicos -SAP, Oracle, Microsoft y otros- han dejado de ser simples acuerdos comerciales para convertirse en instrumentos normativos privados que condicionan de forma determinante la continuidad operativa, la autonomía estratégica y la exposición económica de las organizaciones que los suscriben. La asimetría contractual característica de estos acuerdos, combinada con prácticas que la firma denomina marketing legal -modificaciones unilaterales de condiciones mediante remisiones a páginas web-, configura un escenario de riesgo que exige un enfoque jurídico, técnico y estratégico integrado.
«Nuestro objetivo es transformar el modelo tradicional de gestión del software. Durante años se ha tratado como un simple activo tecnológico, cuando en realidad es un activo con implicaciones contractuales y regulatorias críticas», señala Javier Garmendia, socio director responsable de proyectos y procesos.
La actividad de Nexure Advisory se articula en tres grandes líneas de práctica, concebidas como un sistema integrado de gobernanza del riesgo: por un lado, la consultoría de compliance software, consistente en el control del riesgo contractual asociado a las licencias y diseño de modelos de gestión basados en riesgos, alineados con los estándares DORA, EBA y ENS. En segundo lugar, las auditorías de compliance software y tests de penetración, que permiten a las organizaciones anticipar vulnerabilidades contractuales y técnicas antes de que sean los propios fabricantes quienes las activen mediante procesos de revisión promovidos por su iniciativa.
Por último, las soluciones tecnológicas para la automatización del control de contratos, que permiten la visibilidad continua sobre las obligaciones y riesgos derivados del uso del software, integrada en los ciclos PDCA de gestión de riesgos corporativos.
La transformación de CSV Consulting en Nexure Advisory coincide con su incorporación al Grupo Acatia, lo que refuerza la capacidad de la firma para abordar proyectos de mayor escala y ampliar su presencia en mercados internacionales. Esta integración es coherente con la vocación de Nexure Advisory de operar como consultora de referencia en entidades reguladas, grandes organizaciones y cualquier empresa que tenga en el software un componente crítico de su operación.