Bueno, no tiene que ser tan malo; adem\u00e1s de dar conformidad a las normas ISO 27001<\/a> y BS 25999-2<\/a>, las auditor\u00edas internas pueden ser bastante \u00fatiles para sus dem\u00e1s temas comerciales (est\u00e9n, o no, relacionados con la seguridad de la informaci\u00f3n o la continuidad del negocio).<\/p>\n El punto con las auditor\u00edas internas es que descubran problemas que de otra forma permanecer\u00edan ocultos y, por consiguiente, perjudicar\u00edan el negocio. Seamos realistas, cometer errores es humano; por lo tanto, es imposible tener un sistema sin fallas; aunque s\u00ed es posible tener un sistema que se mejore a s\u00ed mismo y que aprenda de sus errores. Las auditor\u00edas internas son una parte crucial de ese tipo de sistemas.<\/p>\n Existen unos pocos pasos para realizar una auditor\u00eda interna:<\/p>\n a) Emplear un auditor interno a tiempo completo: esto s\u00f3lo es posible en organizaciones grandes que podr\u00edan tener suficiente trabajo para esta persona (algunos tipos de organizaciones, por ejemplo los bancos, est\u00e1n obligados por ley a tener estos puestos).<\/p>\n b) Emplear auditores internos a tiempo parcial: esta es la situaci\u00f3n m\u00e1s com\u00fan, las organizaciones utilizan a sus propios empleados para realizar auditor\u00edas internas al mismo tiempo que cumplen sus funciones laborales habituales. Una cuesti\u00f3n importante a tener en cuenta: para evitar el conflicto de intereses (los auditores no pueden auditar su propio trabajo), debe haber al menos dos auditores internos para que uno pueda auditar el trabajo habitual del otro.<\/p>\n c) Emplear auditores internos fuera de la organizaci\u00f3n: aunque esta persona no sea empleada de la organizaci\u00f3n, tambi\u00e9n se la considera auditor interno porque la auditor\u00eda es realizada por la misma organizaci\u00f3n, siguiendo sus propias reglas. Generalmente, esto lo hace una persona experimentada en este campo (consultor independiente, etc.).<\/p>\n Sin embargo, por mi experiencia como auditor, la triste verdad es que la mayor\u00eda de las organizaciones realiza auditor\u00edas internas solamente para cumplir con la entidad de certificaci\u00f3n. El resultado que se obtiene de este tipo de auditor\u00edas internas son algunos incumplimientos que no llegan a los problemas reales de los sistemas de gesti\u00f3n de seguridad de la informaci\u00f3n (SGSI) o de gesti\u00f3n de la continuidad del negocio (SGCN). Esto es una p\u00e9rdida de tiempo; si las empresas hubieran invertido tiempo de sus auditores internos para realizar estos trabajos, habr\u00edan obtenido algunos beneficios.<\/p>\n Pero, entonces, \u00bfcu\u00e1l es el enfoque correcto sobre las auditor\u00edas internas? Estas son algunas ideas:<\/p>\n Por el lado positivo, como auditor de certificaci\u00f3n he visto a algunas organizaciones realizar auditor\u00edas internas correctamente. Aunque sus empleados se sintieron un poco inc\u00f3modos porque alguien controlaba sus actividades, enseguida vieron los beneficios de este enfoque: los problemas salieron a la luz y fueron resueltos bastante r\u00e1pido.<\/p>\n\n