Auditoría interna vs externa

En esta entrada no voy a plantear la eterna discusión relativa a si la auditoría de sistemas de sistemas de información debe ser interna o externa (o ambas). Ya que he tenido la suerte de haber vivido casi todos los roles posibles intentaré plantear, bajo mi experiencia, algunos aspectos clave según cada caso. Las distintas modalidades que he podido experimentar en materia de auditoría de sistemas de información son:

  • auditor interno
  • auditor externo integrado en departamento de auditoría interna
  • auditor externo
  • auditado por auditor externo
  • La única que me falta es ser auditado por un auditor interno. Doble nivel de auditoría interna?, esto existe? lo más parecido diría que es "Asuntos Internos" :-)

De este cúmulo de vivencias me gustaría remarcar los siguientes aspectos:

Planificación/Ámbito

Sin duda este es uno de los aspectos que más valoro en cuanto que uno mismo decide qué, cuándo y porqué auditar. A excepción del auditor interno, me temo que los auditores externos tienen ya establecido que área, departamento, infraestructura, etc. deben auditar. En definitiva, poco margen de maniobra queda ya que la demanda viene dada por el cliente. Por otro lado, la planificación, y consecuentemente el presupuesto, también está medianamente pactado por lo que pocas desviaciones en tiempo/coste pueden haber. Yo soy partidario de que las auditorías deben durar lo que tengan que durar, por tanto, no establezco ninguna fecha límite (exacta e inamovible) para su finalización.

Metodología/criterios

Al igual que en el punto anterior, un auditor interno pone en práctica el tipo de auditoría que mejor considera utilizando para ello aquellas metodologías, herramientas, pautas, etc. que cree mejor. Como auditor externo, he tenido que utilizar metodologías propietarias y altamente complejas (a la vez que desactualizadas), pasando, en el peor de los casos, por tener que improvisar y definir controles sobre la marcha. Otra ventaja es que como auditor interno puedes profundizar muchísimo en tu propio negocio y llegar a un detalle que difícilmente un auditor externo podrá llegar (tanto por conocimiento como por dedicación).

Transparencia/aceptabilidad auditado

Por lo general un auditor externo "impone" más, este hecho comporta que el auditado no sea todo lo transparente que debería ser, ya sea por "miedo" o por falta de confianza (hay mucho de psicología detrás de un auditor, es complicado "lidiar" con interlocutores que no salen del "si", "no", "a veces", "no lo se", "depende", ........ no obstante este tema más divertido lo aplazo para otra entrada). También hay que remarcar que como auditor externo no puedes elegir a tus "víctimas", por lo general los nombres ya vienen impuestos y acostumbran a ser roles de cierta responsabilidad que ya saben que cuento deben contar y cual no (no obstante, son fáciles de pillar al solicitar evidencias). En el caso opuesto, un auditor interno tiene bastante más libertad para escoger cual es la persona indicada para entrevistar (normalmente usuarios comunes). Por otro lado también me gustaría matizar que los auditados son mucho más transparentes y francos con uno que va en el mismo barco que con un extraño.

Independencia

Para ser sincero, la modalidad en la que se percibe una mayor independencia y en la que las valoraciones/conclusiones no están sujetas a ruidos o interferencias de fondo (que cada cual interprete lo que quiera) es la de auditoría interna. Tanto como auditor interno como auditor externo integrado en un departamento de auditoría interna he notado con diferencia que los resultados de la auditoría son mucho más acordes a la realidad y se caracterizan por poca, por no decir ninguna, sesión de maquillaje previa.

Credibilidad

Como no podía ser de otra manera este es el punto crucial de la entrada, desde siempre se aplica aquello de que las cosas se hacen o se corrigen cuando alguien de fuera así lo manifiesta. En cambio todo lo que diga el de dentro no sirve para mucho ............. Obviamente no hace falta que defienda mi postura no ??? Al igual que antes dejo para otra entrada alguna reflexión sobre lo que se puede hacer para que la auditoría interna tenga una posición aún más digna y respetable.

Y ahora hasta el lunes que mañana cojo el AVE muy muy temprano para auditar uno de nuestros centros en Madrid .............

Saludos,

CITA DEL DÍA: "La seguridad ni se crea ni se destruye, sólo evoluciona"

No hay comentarios: