En resumen
Una auditoría que no encuentra nada puede significar dos cosas muy distintas: que no hay nada que encontrar, o que la auditoría no está diseñada para encontrar lo que existe.
Por qué importa
Una auditoría que siempre encuentra todo en orden no es evidencia de que todo está en orden. Es evidencia de que la auditoría no está buscando en los lugares correctos.
Una auditoría que no encuentra nada puede significar dos cosas muy distintas. La primera: que no hay nada que encontrar. La segunda: que la auditoría no está diseñada para encontrar lo que existe. En mi experiencia, la segunda es más frecuente de lo que la mayoría de las organizaciones está dispuesta a admitir.
El resultado limpio produce una sensación de seguridad que puede ser más peligrosa que no tener auditoría. Porque cierra la conversación. "Ya auditamos y todo está bien" es una frase que he escuchado en organizaciones que, meses después, descubrieron fraudes que llevaban años operando.
El problema del diseño de la auditoría
La mayoría de las auditorías están diseñadas para verificar el cumplimiento de procedimientos conocidos. Comprueban que los formularios están firmados, que los registros existen, que los controles declarados están en su lugar. Lo que no comprueban, por diseño, es si los procedimientos son los correctos, si los registros son auténticos o si los controles declarados funcionan en la práctica.
Una auditoría que solo verifica lo que el sistema dice que hace no puede encontrar lo que el sistema no sabe que está pasando. Es una tautología disfrazada de control.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
La auditoría adversarial
La auditoría adversarial parte de una premisa diferente: asume que algo está mal y busca encontrarlo. No verifica el cumplimiento de procedimientos. Busca anomalías, inconsistencias, patrones que no deberían existir. Es más incómoda, más costosa y más útil.
Las técnicas incluyen análisis de datos para detectar patrones estadísticos anómalos, entrevistas no estructuradas con personal operativo, observación directa sin aviso previo y comparación con benchmarks externos.
Cómo mejorar tus auditorías
- ▸Incluye siempre una hipótesis de fraude — ¿qué podría estar pasando que no estamos viendo?
- ▸Varía el alcance y el método — las auditorías predecibles producen resultados predecibles.
- ▸Usa análisis de datos para identificar anomalías antes de la auditoría de campo.
- ▸Entrevista a personas que no están en el proceso auditado — los observadores externos ven cosas que los participantes normalizan.
- ▸Trata el resultado limpio como una hipótesis, no como una conclusión.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.