La auditoría interna y la falsa seguridad
“Principios de auditoría. La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes, y para permitir a los auditores, que trabajan independientemente, alcanzar conclusiones similares en circunstancias similares”. ISO19011:2018. Directrices para la auditoría de los sistemas de gestión.
El principio de Integridad que es el fundamento de la profesionalidad establece que los auditores y las personas que gestionan un programa de auditoría deberían emprender las actividades de auditoría sólo si son competentes para hacerlo. Esto no es simplemente conocer el Código PBIP o tener un curso de Auditor del Código PBIP o ser auditor de la norma ISO 9001, conocer las medidas y procedimientos de seguridad, conocer sobre la legislación que rige la seguridad privada, entre otras, pero en especial debe saber sobre la gestión de riesgos de seguridad, para que pueda cumplir con el principio del Enfoque basado en riesgos que considera los riesgos y oportunidades.
También establece que deberían desempeñar su trabajo de forma ética, con honestidad y responsabilidad. El no reportar incumplimientos detectados al plan de protección y más aún, al Código PBIP, le hace un mal a la organización pues esas falencias pueden ser explotadas por la amenaza.
El incumplimiento del principio de Presentación Imparcial que es la obligación de informar con veracidad y exactitud se da cuando no se reportan esos hallazgos detectados, y las conclusiones e informes de la auditoría no reflejan con veracidad y exactitud la situación real del estado de la seguridad del buque o de la instalación portuaria, generando falsa seguridad.
El incumplimiento del debido cuidado profesional que es la aplicación de diligencia y juicio al auditar se da cuando el auditor no procede de acuerdo con la importancia de la tarea que desempeña y la confianza depositada en ellos, que es la de verificar que el plan de protección siga siendo eficaz para dar tratamiento a las amenazas valoradas, es decir el no verificar la efectividad de los controles, no detectar falencias en las medidas de seguridad como el incumplimiento de las tareas y responsabilidades del personal de protección, el no detectar o no reportar fallas en las medidas para controlar el acceso de personas y vehículos, el no verificar el funcionamiento adecuado del sistema de vídeo vigilancia, escáneres, sistemas de alarmas, iluminación, etc.
El auditor interno al ser parte de la organización puede incumplir fácilmente el principio de Independencia que es la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría.
En conclusión, cualquier auditoria de seguridad y en especial una auditoria de protección marítima del Código PBIP al plan de protección del buque o de la instalación portuaria, genera una falsa seguridad el incumplimiento de los principios de auditoría porque al no identificar o no reportar las falencias de la seguridad y concluir que el plan de protección es eficaz para dar tratamiento a las amenazas valoradas, se corre el riesgo de que las amenazas aprovechen esas brechas en la seguridad para llevar a cabo sus actividades criminales.