Es bien sabido que en demasiadas ocasiones se denomina, sea en el ámbito que sea, a los consultores/auditores como “vendedores de humo”. Como integrantes del colectivo, y en nuestra humilde opinión, nada más alejado de la realidad.
Es cierto que la profesión de consultor/auditor realiza un trabajo intangible, es decir, que se distingue completamente de otros negocios tradicionales en los que por ejemplo se intercambian bienes tangibles. Además, es un servicio que depende directamente del profesional que lo ejecute, por lo que en ningún caso nos parece justo generalizar.
Desde nuestro punto de vista, en este tipo de servicios son fundamentales la calidad del servicio que se presta y la confianza transmitida a nuestros clientes.
En el primero de los puntos, una de las principales dificultades que nos encontramos los profesionales de este sector es dar verdadero valor al trabajo que se realiza. Esto se puede obtener mediante tres factores fundamentales:
- Formalidad, presencia y excelencia: El trabajo debe ejecutarse de forma planificada, en los plazos definidos y restar el mínimo tiempo posible al cliente. Además, los entregables deben ser excelentes y adaptados a su destinatario.
- Adaptación al cliente: Es evidente que, en la mayoría de los casos, los consultores/auditores trabajan en relación con lo establecido con normas y estándares de referencia, no obstante, no todos los clientes son iguales (tamaño, recursos, necesidades, etc.). Un buen trabajo debe estar adecuado a las necesidades del cliente. Las políticas, procesos y procedimientos propuestos deben de estar adaptados a sus capacidades, a sus procesos actuales, etc. Esto se traduce a que siempre existen diversas maneras de aplicar un control o procedimiento, se debe encontrar la que mejor encaje.
- Valor añadido: A pesar de que en algunas ocasiones se contratan trabajos de consultoría/auditoría con el fin de mejorar los procesos y políticas de la compañía, en la mayoría de los casos estos servicios se prestan únicamente para el cumplimiento de regulaciones legales, normativas o exigencias de terceras partes que requieren certificaciones o evidencias de cumplimiento. En todos los casos, una de las principales funciones del consultor/auditor es aportar valor, y no solo asesorar respecto a cómo cumplir los requisitos, sino a cómo mediante el cumplimiento se pueden optimizar los procesos de la compañía.
Una de las mejores maneras de ofrecer calidad al trabajo es predicar con el ejemplo, en este sentido es importante destacar que del mismo modo que ayudamos a nuestros clientes a cumplir con regulaciones, normativas o leyes, nosotros mismos nos sometemos a las mismas en el desempeño de nuestro trabajo, esto nos lleva al segundo de los requisitos principales que mencionamos anteriormente.
Para transmitir confianza, es fundamental tener rigor y adaptarse a los estándares de excelencia. Por ello, son muchas las definiciones de requisitos y prácticas en el mundo de consultoría/auditoría dedicados a regular su propia actividad. Concretamente, los organismos de certificación ISO, que no sólo se dedican al desarrollo de estándares con finalidades aplicables a las compañías (seguridad, gestión de servicio, medio ambiente, calidad, etc.), se han encargado de definir otros dedicados a regular su propia actividad y la de terceros que participan en procesos de auditoría, implantación y validación. Estas son las metodologías que cualquier prestador de servicios de consultoría/auditoría debería aplicar para garantizar la excelencia del trabajo realizado.
Para dar una vista de la confianza de servicio nos gustaría hablar de un estándar bien conocido en nuestro sector, pero puede que no tanto en el lado del cliente. Hacemos referencia a la norma UNE-EN ISO 19011:2018, que define las Directrices para la auditoría de los sistemas de gestión. Esta norma, recientemente actualizada, es la que rige la actuación y comportamiento de los auditores de norma ISO en los procesos de auditoría.
Sin ánimo de entrar en excesivo detalle de su contenido, nos gustaría hablar de los denominados “Principios de auditoría”, que serían el equivalente del código deontológico de otras profesiones, como por ejemplo las relacionadas con sanidad. A pesar de que el documento se refiere principalmente a la actividad de auditoría, creemos que estos principios serían aplicables de igual modo a los procesos de consultoría. Pasamos a detallarlos a continuación:
- Integridad (Fundamento de la profesionalidad):
- Desempeñar el trabajo con honestidad, diligencia y responsabilidad.
- Observar y cumplir todos los requerimientos legales aplicables.
- Demostrar su competencia durante la realización de sus tareas.
- Imparcialidad y ecuanimidad.
- Imparcialidad (Informar con veracidad y exactitud):
- Todo entregable (planes, informes, hallazgos) deben reflejar con veracidad y exactitud las situaciones, desviaciones o recomendaciones identificadas. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
- Debido cuidado profesional (Aplicación de diligencia y juicio):
- En todo caso se debe proceder con el cuidado necesario, dependiendo de la importancia de las tareas que se desempeñen y la confianza que deposita el cliente y cualquier otra parte interesada. Se deben realizar juicios, valoraciones y recomendaciones razonadas, en cualquier caso.
- Confidencialidad (Seguridad de la información):
- Se debe manejar con la máxima discreción el uso y protección de la información adquirida en el desarrollo del proyecto. Nunca se usará inapropiadamente en beneficio del consultor/auditor o del prestador de servicios al que representa, o para perjudicar el interés legítimo del cliente.
- Independencia (Imparcialidad y objetividad de las conclusiones/recomendaciones):
- Los consultores/auditores deberían ser independientes de la actividad que se audita siempre que sea posible (este es un requisito básico de auditoría, y que normalmente imposibilita que el mismo personal que haga auditoría cuando sea el encargado de hacer consultoría, en el caso que ambos servicios sean prestados por el mismo proveedor). Esto se define para evitar la posibilidad de que exista un conflicto de intereses, así como mantener siempre la objetividad, basando los criterios y recomendaciones en las evidencias identificadas.
- Enfoque basado en la evidencia (método racional para alcanzar conclusiones fiables y reproducibles):
- Siempre que se alcance una conclusión, que pueda derivar en una desviación (auditoría) o recomendación (consultoría), deberá ser verificable. Adicionalmente se define que, como las revisiones o auditorías se realizan en un tiempo limitado y con recursos finitos, se deberán aplicar métodos de muestreo definidos que garanticen que se dispone de un nivel suficiente de confianza que permita definir la desviación o recomendación.
Como ha quedado patente, existen directivas definidas respecto a las pautas de comportamiento y trato de los consultores/auditores con los clientes, y esto es algo que debería aplicarse en todos y cada uno de los proyectos relacionados que se emprendan.
Desgraciadamente, como se ha comentado con anterioridad, su aplicación en la ejecución de proyectos de consultoría/auditoría dependen directamente del proveedor de servicios y en última instancia del profesional que los realice. Para garantizar un servicio adecuado, es importante tener en cuenta el prestigio de la compañía prestadora de servicios y las capacidades del personal asignado a su desarrollo.
Sin más, agradecemos enormemente vuestra atención y aprovechamos para recordaros que podéis contar con los profesionales de A2Secure para cualquier proyecto de consultoría/auditoría relacionado con seguridad de la información.
Autor: David Cutanda