La palabra auditoría da miedo. Todos hemos hecho cientos de exámenes desde el colegio, pero algo tiene la palabra auditoría que genera mucho más estrés que cualquier otra prueba.
Los que alguna vez hayan sido auditados saben que no es tan horrible como suena (incluso puede llegar a ser algo rutinario), pero quienes se enfrentan a una auditoría por primera vez acostumbran a tener infinidad de dudas sobre el “cómo será”: ¿se pueden preguntar cosas? ¿Qué van a mirar? ¿Interesa perder el tiempo para que auditen menos cosas? ¿Se puede consultar la norma/ley o apuntes durante la auditoría? ¿Se puede salir al baño? ¿Es obligatoria la corbata? ¿Y si me quedo en blanco? Algunas pueden parecer tonterías, pero seguro que más de uno agradecerá estas líneas si le llega el día de ser auditado.
¿Es un examen?
Si tuviera que dar una definición personal diría que “una auditoría es una reunión liderada por el auditor, más bien larga, con el fin de que entienda de la mejor forma posible cómo funciona nuestro sistema y recopile las evidencias necesarias para documentar sus hallazgos”.
Lo estricta que sea la auditoría, vendrá definido en gran parte por su propia naturaleza: no es lo mismo que te audite un proveedor, que hagas una auditoría interna, o que sea una auditoría externa de seguimiento. En cualquier caso, no lo veamos como un examen para reprocharnos lo que no hacemos bien.
Ya que decimos que la auditoría no es un examen, aclaremos que podremos tener la norma, ley o procedimientos con nosotros durante la auditoría (bastante recomendable) para consultarlos en cualquier momento, ya que nuestro trabajo como consultor o responsable de seguridad no consiste en memorizar, sino en demostrar el cumplimiento. Evidentemente es necesario conocer leyes, normas y procedimientos y sobre todo tener toda la información necesaria localizada, ya que si nosotros no somos capaces de encontrar la política o documento de seguridad, difícilmente un usuario de nuestro sistema pueda.
Es cierto que el informe dirá si llegamos a los niveles mínimos de cumplimiento, y que el número de no conformidades detectadas puede ser utilizado a modo de “nota del examen”, pero la mejor actitud es afrontarlo como una oportunidad para que alguien externo nos ayude a identificar nuestros puntos de mejora. Al fin y al cabo, la mayoría de las veces, el auditor es alguien a quien hemos contratado nosotros mismos, así que recordemos: el auditor no es el enemigo.
El ambiente y las formas
Como se ha mencionado anteriormente, el ambiente que mejor define una auditoría es el de una reunión de trabajo. El nivel de seriedad y formalismo vendrá dado por la forma de ser y la actitud que tomen las partes auditora y auditada, pero de forma general se pueden matizar asuntos, se puede preguntar, se pueden hacer pausas e incluso se puede expresar diferencia de opiniones sobre hallazgos detectados, pero siempre con el objetivo de la auditoría presente: proveer de toda la información necesaria al auditor.
Así pues, se intentarán evitar impuntualidades, interrupciones, llamadas de teléfono, excesivo personal que no tenga nada relevante que aportar a la auditoría y pueda generar “ruido”, esperas mientras se localiza a alguien que debe aportar alguna evidencia, discusiones continuas o cualquier otro elemento de distracción.
Y no, evidentemente no es obligatorio el uso de corbata para ser auditado, aunque posiblemente el auditor vea con buenos ojos que no le recibamos en chanclas y camisa hawaiana ;)
Las discrepancias o discusiones
En un mundo ideal las auditorías serían 100% objetivas, auditado y auditor tendrían los mismos conocimientos y criterios, las normas o leyes no serían ambiguas y no habría lugar posible para la discusión, pero desafortunadamente no es el caso.
Si no estamos de acuerdo con alguna afirmación o hallazgo deberemos decirlo de la mejor forma posible intentando mantener el buen ambiente. Es importante mantener la calma y no entrar en discusiones sin sentido: si tenemos razón, una vez tengamos el informe de auditoría podremos hacer una alegación, así que con manifestar nuestro punto de vista es suficiente.
Tengamos en cuenta que un hallazgo que durante la auditoría puede parecer una no conformidad, a la hora de contrastarlo con la norma/ley, y sobre todo al analizarlo en frio, puede quedarse en una observación, o ni si quiera constar en el informe, así que no nos ofusquemos si vemos al auditor tomar notas en su libreta.
Deberemos valorar también las posibles consecuencias de recibir una no conformidad, ya que aunque puede acarrear serias consecuencias (muy improbable si nuestro nivel de cumplimiento es bueno), lo más común es que simplemente se necesite un cambio en un procedimiento, o hacer alguna tarea: valoremos si merece la pena una discusión por no cambiar un procedimiento u otra cosa sencilla de nuestro sistema.
Recordemos: mantengamos la calma.
El informe y alegaciones
Es frecuente que previa a la elaboración del informe final se mantenga una reunión para poner en común cómo ha ido la auditoría y las no conformidades detectadas, de forma que se puedan concretar detalles pendientes o corregir malinterpretaciones. También existe la posibilidad de presentar un borrador del informe sobre el que se proponen las correcciones oportunas.
En cualquiera de los dos casos, tendremos una última oportunidad para rebatir esa no conformidad con la que no estamos de acuerdo, o presentar esa evidencia que no encontrábamos por los nervios del directo.
Finalmente, obtendremos el informe de auditoría sobre el cual podremos empezar a trabajar para subsanar los incumplimientos detectados, si los hay.
Discrepo ligeramente. “El auditor SI es el enemigo”.
Y a este enemigo lo único que puedes oponer es el trabajo bien hecho, el conocimiento de la norma y el hecho de que tú conoces la organización mucho mejor que él, y que recuerdas por que tomaste cada decisión.
Ademas estoy de acuerdo en que una no conformidad es sólo eso, No el fin del mundo, es más conviene que aparezca alguna, ya que si todo va perfecto, el auditor no se lo creerá, y buscara donde haga falta porque, no nos engañemos han de justificar su trabajo.
En fin te enfrentas a un señor que va a JUZGAR la calidad de tu trabajo, pero recuerda, él solo juzga, tú eres él que ha hecho el trabajo. (“Comete lo para desayunar”). Planifica tú las reuniones, pon el calendario, organízate, ten la documentación apunto y dale lo que te pida y más.
Si has sido capaz de gestionar un SGSI, puedes gestionar una auditoria.
Y Un último consejo, nunca le mientas.
Buenos aportes Tio Tonet, se nota que has pasado por más de una auditoría :)
Buenas.
Si se me permite hablar como auditor, nuestro trabajo es estudiar el sistema y comparar su seguridad con la configuración de seguridad que pide la ENS, la LOPD, el EJIS o cualquier normativa por el estilo. Y son normas complejas que hay que aplicar con la colaboración de los responsables.
No nos toca juzgar personalmente. Solo se estudia el sistema con ayuda de sus responsables y aplicamos las normas vigentes.
27001 es de risa, las hay peores como las de WebTrust.