Dejan Kosutic Si esta es la primera vez que se cruza con la idea de un auditor interno, probablemente se encuentre desconcertado: ¿para qué necesito otro control? ¿Quién lo va a pagar? ¿A quién debo emplear para que lo realice? Es una real pérdida de tiempo…
Bueno, no tiene que ser tan malo; además de dar conformidad a las normas ISO 27001 y BS 25999-2, las auditorías internas pueden ser bastante útiles para sus demás temas comerciales (estén, o no, relacionados con la seguridad de la información o la continuidad del negocio).
El punto con las auditorías internas es que descubran problemas que de otra forma permanecerían ocultos y, por consiguiente, perjudicarían el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque sí es posible tener un sistema que se mejore a sí mismo y que aprenda de sus errores. Las auditorías internas son una parte crucial de ese tipo de sistemas.
Existen unos pocos pasos para realizar una auditoría interna:
a) Emplear un auditor interno a tiempo completo: esto sólo es posible en organizaciones grandes que podrían tener suficiente trabajo para esta persona (algunos tipos de organizaciones, por ejemplo los bancos, están obligados por ley a tener estos puestos).
b) Emplear auditores internos a tiempo parcial: esta es la situación más común, las organizaciones utilizan a sus propios empleados para realizar auditorías internas al mismo tiempo que cumplen sus funciones laborales habituales. Una cuestión importante a tener en cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo habitual del otro.
c) Emplear auditores internos fuera de la organización: aunque esta persona no sea empleada de la organización, también se la considera auditor interno porque la auditoría es realizada por la misma organización, siguiendo sus propias reglas. Generalmente, esto lo hace una persona experimentada en este campo (consultor independiente, etc.).
Sin embargo, por mi experiencia como auditor, la triste verdad es que la mayoría de las organizaciones realiza auditorías internas solamente para cumplir con la entidad de certificación. El resultado que se obtiene de este tipo de auditorías internas son algunos incumplimientos que no llegan a los problemas reales de los sistemas de gestión de seguridad de la información (SGSI) o de gestión de la continuidad del negocio (SGCN). Esto es una pérdida de tiempo; si las empresas hubieran invertido tiempo de sus auditores internos para realizar estos trabajos, habrían obtenido algunos beneficios.
Pero, entonces, ¿cuál es el enfoque correcto sobre las auditorías internas? Estas son algunas ideas:
- La gerencia debe ver la auditoría interna como una de las mejores herramientas para mejorar el sistema, no sólo como un medio para obtener la certificación.
- Los auditores internos deben estar capacitados: esto significa que deben tener experiencia en seguridad de la información, en tecnología de la información y en técnicas de auditoría. No significa que el auditor debe ser un experto en esas áreas.
- La auditoría interna debe ser realizada en forma positiva: el objetivo debería ser mejorar el sistema, no culpar a los empleados por sus errores.
Por el lado positivo, como auditor de certificación he visto a algunas organizaciones realizar auditorías internas correctamente. Aunque sus empleados se sintieron un poco incómodos porque alguien controlaba sus actividades, enseguida vieron los beneficios de este enfoque: los problemas salieron a la luz y fueron resueltos bastante rápido.
Aprenda a realizar una auditoría interna de forma gratuita con ISO 27001 Internal Auditor Online Course.
