Hola,
He recibido en el correo dos consultas prácticamente similares. Ambas están relacionadas con la inquietud que tienen estas dos personas sobre el trabajo del auditoría, y concretamente sobre cuál es el enfoque más adecuado para un informe de auditoría, y qué cosas son evitables para tratar de realizar trabajos útiles y relevantes.
Este es un tema que siempre he tenido claro, aunque como no podía ser de otro modo, admito opiniones contrarias y tantas críticas como esitméis oportuno. Honestamente, pienso que este tipo de cosas son las que distinguen un trabajo profesional de una chapuza, aunque como he comentado, son apreciaciones personales.
Un informe de auditoría no suele valer para nada cuando …
- – El autor o autores desconocen el negocio. No se puede opinar de lo que no se conoce. Este punto no admite mucha más discusión.
- – El autor o autores no elaboran, cuando es procedente, un mapa de procesos que englobe el universo qué se está auditando, cuál es el alcance y cuál es el objetivo. Otro síntoma más de que no se conoce un ápice el negocio analizado.
- – El autor o autores no han presentado, con carácter previo a la auditoría, un plan sobre qué se va a hacer, cómo y qué recursos harán falta para completar los trabajos. Las auditorías hay que planificarlas, y si no se planifican, sólo puede ser síntoma de desorden y de hacer las cosas al vuelo y sin pensarlas.
- – El autor o autores no orientan su trabajo a riesgos. Dedicar el trabajo de auditoría a descubrir debilidades sin pararse a pensar cuál es el riesgo que comportan es síntoma de desconocer lo que se tiene entre manos. El resultado es un informe muy útil para el técnico de sistemas, pero inútil para los gestores.
- – El autor o autores sólo hablan de aspectos técnicos. Las debilidades son muchas veces de índole técnica, pero las hay también procedimentales. Un informe donde todos los aspectos de mejora son técnicos es síntoma de que el autor o autores no conocen el negocio, y es síntoma de que quien ha realizado el informe no se ha tomado la molestia de entender que los sistemas son una parte del negocio y no su alma mater.
- – El autor o autores centran su trabajo exclusivamente en la plataforma. Un parche sin poner en un sistema puede ser relevante, pero es mucho más relevante en muchas ocasiones analizar qué cosas se pueden hacer en un sistema sin recurrir a explotar vulnerabilidades técnicas. Por ejemplo, es mucho más crítico que un usuario de diseño pueda consultar datos reales de producción por no ir enmascardos que el sistema esté expuesto a un DoS por no tener un parche puesto.
- – El autor o autores abusan del lenguage técnico. Un informe de auditoría hay que dirigirlo a los gestores del área implicada y preferiblemente, a los responsables del negocio, ya que ellos son los que deben encarrilar acciones para remediar las debilidades halladas. Un informe con mucho lenguage técnico no es comprensible por los gestores de un negocio, y por lo tanto, es inútil.
- – Opinión de auditoría inconsistente o inexistente. Un informe que no condense en dos o tres páginas un resumen de los riesgos relevantes y lo que significa la exposición a los mismos para el negocio no aporta valor alguno.
- – El autor o autores dedican gran parte del informe a riesgos irrelevantes. Es obvio, un informe en el que el 90% de las páginas está repleto de debilidades poco significativas, no vale absolutamente de nada. Sólo interesan los riesgos relevantes. El resto es paja para vender el informe. Un razonamiento análogo se puede aplicar a espectaculares Power Point de cientos de diapositivas, donde sólo unas pocas son relevantes.
- – El autor o autores no expresan de una manera concisa, y para cada debilidad, un título descriptivo y comprensible, un resumen de la problemática, un pequeño detalle de los hallazgos, la traducción en términos de riesgo y cuáles son las acciones recomendadas para subsanar los problemas.
- – El autor o autores no dialogan con los responsables para consensuar responsables y fechas de resolución. Un informe tiene que servir para medir si las cosas se resuelven o no, por lo que un informe que no tiene fechas ni responsables concretos de resolución, pactados con el negocio, no sólo es síntoma de que el autor no comprende lo que es la gestión de riesgos, sino que es absolutamente inútil para los dueños del negocio.
- – El autor o autores no han entrevistado a los responsables de las áreas analizadas. Un informe de auditoría verdadero requiere saber de mano de los que conocen los sistemas y los procesos cuáles son las fuentes de riesgo y cuáles son los elementos críticos a analizar. Si no se han producido esas entrevistas, a duras penas ese informe reflejará las necesidades de quien lo patrocina.
- – El autor o autores no discuten las debilidades de manera previa a la emisión del informe. No hay peor cualidad que ir sobrado por la vida, y emitir informes que no se han discutido con los auditados. Además de representar una mala praxis profesional, esto sólo conduce a emitir recomendaciones que, como no se han consensuado, en su gran mayoría serán difíciles de aplicar o imposibles de implantar. Además, en caso de haber cometido algún error, este pasará al informe y por tanto, dejaremos una imagen profesional lamentable.
- – El autor o autores no presentan a la dirección del área implicada los hallazgos. Los resultados hay que explicarlos, y hay que explicarlos en persona. No hay razones para no hacerlo, salvo que las distancias sean extremas y por tanto, haya que incurrir en costes elevados. Esconderse en un agujero a la hora de presentar resultados no es el camino.
- – El autor o autores no establecen un canal para apoyar al área auditada tras emitir el informe. Si después no hay soporte, apaga y vámonos. Cuanto más cerca del cliente, mejor. Teléfono y correo son lo mínimo exigido, caminar junto al cliente presencialmente es recomendable.
- – El autor o autores no hacen un seguimiento de las recomendaciones. ¿De qué vale emitir un informe si luego no nos preocupamos de si las cosas se han resuelto o no?
Mario, Chelo, espero que hayáis encontrado útil la entrada.
Un saludo :)
Muy buen artículo. Muchas gracias
Estoy totalmente de acuerdo. Si me lo permites, añadiría dos circunstancias que pueden ayudar. Se deducen de tu artículo, pero creo que merece la pena señalarlas explícitamente, porque corresponden a errores que se cometen con frecuencia:
> El auditor debe considerar el tamaño y condicionantes del área auditada a la hora de formular las recomendaciones, y no tratar de aplicar una receta universal (el conocido «one-size-fits-all»).
Cuando, por ejemplo, una recomendación requiere duplicar el personal de un área auditada, es casi seguro que esa recomendación no se va a implantar. En su lugar, es más probable que la dirección acepte el riesgo directamente, sin ni siquiera intentar aplicar algún control para mitigarlo.
> El área auditada debe ver en el proceso de auditoría una ayuda para la mejora, y no una forma de crítica a su trabajo. Esto es un juego a dos, que requiere una actitud positiva del auditado, pero también un cierto modo de hacer las cosas por parte del auditor.
Algunos auditores vienen directamente en plan Torquemada, con tonsura y hábito dominico incluidos :-), y eso complica las cosas. Por otro lado, hay algunos auditados que enfocan la auditoría como un episodio de Perry Mason, lo cual tampoco ayuda.
Saludos
Manu
Gracias Sergi, te debo una !!
Hola Manu,
Me alegra verte de nuevo :)
Excelente matiz el que haces, especialmente el de “one-size-fits-all”. No había caído en listarla, pero merece un puesto relevante en el «hall of fame» de cosas a evitar.
Es un problema estrechamente relacionado con el desconocimiento del negocio que se audita, y estrechísimamente relacionado con el «método churrera», que consiste en repetir una y otra vez lo mismo, con la única idea de generar informes que justifiquen actividad, sin pararse a pensar que lo que espera el patrocinador es valor añadido.
El impacto sobre las recomendaciones es brutal. He visto recomendaciones donde se pretende corregir un problema técnico, y donde la recomendación se queda en «instale usted tal pache porque si no los malos le van a dar cera», y donde el auditor, absolutamente desconocedor de lo que tiene entre manos, ha recomendado parchear un servicio sin pararse a informar a los receptores del informe sobre las gravísimas consecuencias de parar una máquina, parchearla y volver a ponerla en producción sin haber hecho un análisis (y eso tiene que estar en el informe de auditoría) del impacto que la parálisis produce. Estas recomendaciones suelen emanar de personas que, tal y como decía, sólo ven las máquinas, y no ven los procesos de negocio, que es lo que realmente importa.
No quiero ni parar a pensar lo que significan las recomendaciones donde se palpa que no se sabe ni cómo funciona la empresa. Hablo de estas recomendaciones del tipo «problema crítico, permite ejecución de código remoto, le van a dar por todos lados», pero que sin embargo, se aplican a un servidor aislado, en un segmento controlado y no expuesto a tráfico anónimo. ¿Pero qué me está Usted contando de criticidad? ¿Usted se ha molestado en enterarse cómo funciona el negocio? Evidentemente, NO.
A estas personas por más que les expliques, ni caso. Es mucho más crítico perder clientela, operaciones y/o reputación por que se te vaya al garete un sistema crítico al parchear, que exponerse a una potencial denegación de servicio (un riesgo que debe mitigarse, pero que se puede atenuar de setecientas maneras distintas). Es por esto que una recomendación que no vaya alineada con el riesgo para el negocio, ni es recomendación ni es nada.
Es el viejo problema de «yo recomiendo el parche, y me lavo las manos», y es probablemente uno de los peores escenarios que se puede presentar: que desestimen una recomendación por no estar suficientemente valorado el riesgo para el negocio es un palo y de los duros.
Sobre los modos de actuación del auditor, totalmente de acuerdo: este es un mundo donde la mano izquierda, la actitud cooperativa, el saber estar, el tener un mínimo don de palabra que transmita seguridad y profesionalidad, saber escribir recomendaciones y sobre todo, saber dirigirse con respeto y accesibilidad a la gente es esencial: la orientación al cliente lo es todo. Estamos para ayudarlos, no para crearles problemas. El que no sea capaz de seguir estas pautas, debería pensar en dedicarse a otra cosa.
Un saludo y espero que estés bien :D
Saludos,
Para quien quiera ampliar algo la información, existe la norma ISO 19011 que establece la guía de auditoría para sistemas de gestión. Es lo utilizado para auditar ISO 9001, ISO 14000 o la misma ISO 27001.
Cómo criterios y metodología de trabajo, esta norma está bastante bien, aunque el problema es que utilizamos la palabra auditoría para todo y hay diferentes tipos de auditoría y no en todas esta norma puede encajar.
En cualquier caso, además de la excelente aportación realizada por Sergio, esta norma puede ayudar en cuanto que define:
– Principios que rigen el proceso de auditoría
– Gestión de un programa de auditoría: definición de objetivos, elaboración del programa de auditoría, registros
– Actividades de auditoría: reunión inicial, revisión de la documentación, auditoría in situ, elaboración del informe de auditoría
En la url http://www.ls.eso.org/lasilla/quality/PDF/biblioteca%20-virtual-%20auditorias.pdf tenéis un documento completo respecto al contenido de la norma.
Hola Javier,
Gracias por la aportación. Está muy bien ese documento que enlazas. Aunque enfocado a Calidad y Medio Ambiente, siempre se pueden extraer conclusiones interesantes como las que comentas.
Un saludo, y espero que te vayan bien las cosas :)
necesito saber que es una recomendación y una opinion en lo referente a audiroria??
gracias
Luis,
Una recomendación es una acción concreta de auditoría, a bajo nivel, que persigue mitigar un riesgo o conjunto de riesgos determinado. Por ejemplo, «Implementar un factor de doble autenticación en la aplicación de XXXX» (con la idea de mitigar, por ejemplo, el riesgo de que alguien que tiene un usuario y contraseña que no son suyos acceda a la aplicación)
La opinión es a alto nivel, y resume la totalidad de recomendaciones. Suele ser un texto que narra lo más relevante, y donde finalmente se opina si el elemento auditado es satisfactorio o no, aplicando para ello un baremo donde se clasifican por relevancia las incidencias detectadas.
Un saludo,