La auditoría
interna es la realizada con recursos materiales y personas que pertenecen a la
empresa auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La auditoría interna existe por expresa decisión de la Empresa,
o sea, que puede optar por su disolución en cualquier momento.
Por otro
lado, la auditoría externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.
La auditoría
informática interna cuenta con algunas ventajas adicionales muy importantes
respecto de la auditoría externa, las cuales no son tan perceptibles como en
las auditorías convencionales. La auditoría interna tiene la ventaja de que
puede actuar periódicamente realizando Revisiones globales, como parte de su
Plan Anual y de su actividad normal. Los auditados conocen estos planes y se
habitúan a las Auditorías, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.
En una
empresa, los responsables de Informática escuchan, orientan e informan sobre
las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo
sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas
necesidades. La empresa necesita controlar su Informática y ésta necesita que
su propia gestión esté sometida a los mismos Procedimientos y estándares que el
resto de aquella. La conjunción de ambas necesidades cristaliza en la figura
del auditor interno informático.
En cuanto a
empresas se refiere, solamente las más grandes pueden poseer una Auditoría
propia y permanente, mientras que el resto acuden a las auditorías externas.
Puede ser que algún profesional informático sea trasladado desde su puesto de
trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la
propia Informática requiere de su propio grupo de Control Interno, con
implantación física en su estructura, puesto que si se ubicase dentro de la
estructura Informática ya no sería independiente. Hoy, ya existen varias
organizaciones Informáticas dentro de la misma empresa, y con diverso grado de
autonomía, que son coordinadas por órganos corporativos de Sistemas de
Información de las Empresas.
Una Empresa o
Institución que posee auditoría interna puede y debe en ocasiones contratar
servicios de auditoría externa. Las razones para hacerlo suelen ser:
- Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.
- Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
- Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.
- Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.
La auditoría
informática, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "político" ajeno a la propia estrategia y
política general de la empresa. La función auditora puede actuar de oficio, por
iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de
la dirección o cliente.