Un auditor pide pruebas de que las revisiones de accesos se realizan cada trimestre. ¿Qué le proporcionas?
Respuesta breve
Los auditores comprueban evidencias, no intenciones: muestra la política de revisión de accesos, los registros fechados de cada revisión con la firma de un aprobador y la confirmación de que los accesos señalados se revocaron y verificaron. Una confirmación verbal no prueba nada reproducible, una promesa de empezar el próximo trimestre demuestra que el control no operó durante el periodo auditado, y un organigrama describe líneas jerárquicas, no decisiones de acceso. Solo los artefactos fechados y atribuibles demuestran que el control operó según lo diseñado durante todo el periodo.
Los auditores no puntúan las buenas intenciones. Comprueban si un control operó según lo diseñado durante todo el periodo examinado, y lo único que lo demuestra es una evidencia que puedas señalar, fechar y atribuir a una persona.
Qué significa realmente "evidencia"
Para una revisión de accesos trimestral, un auditor espera una cadena de artefactos: la política que establece que las revisiones se hacen cada trimestre y quién es responsable; un registro fechado de cada revisión (un ticket, un informe firmado, una exportación de tu herramienta IGA); la firma de un aprobador que muestre que un responsable nombrado confirmó el acceso de cada usuario; y la prueba del seguimiento — que cualquier acceso señalado para eliminación se revocó realmente y que la revocación se verificó. En conjunto, esto demuestra que el control se activó cuatro veces, lo ejecutaron las personas correctas y cambió la realidad.
Por qué fallan las respuestas incorrectas
La confirmación verbal es inverificable e irrepetible; un auditor no puede comprobarla y no lleva fecha ni responsable. Prometer empezar el próximo trimestre es una admisión directa de que el control no operó durante el periodo auditado, lo cual es un hallazgo, no una evidencia. El organigrama describe líneas jerárquicas, no quién revisó los accesos ni qué decidió: responde a una pregunta completamente distinta.
El criterio que se evalúa
El entrevistador quiere ver que piensas como el auditado, no como el auditor: anticipas la solicitud y conservas los artefactos como un subproducto de ejecutar el control, en lugar de reconstruirlos a última hora. Una buena respuesta también distingue el diseño (la revisión existe y está bien definida) de la eficacia operativa (realmente se ejecutó cada trimestre), porque los auditores comprueban ambas cosas. Por último, los mejores candidatos mencionan el muestreo: un auditor elegirá usuarios o trimestres concretos y te pedirá que produzcas el rastro, así que la evidencia debe ser completa y recuperable, no una sola captura de pantalla. Tratar la evidencia como una salida continua del proceso —y no como un entregable de última hora— es la marca de un profesional de GRC maduro.
Posibles preguntas de seguimiento
- ¿Cómo muestrearías las revisiones para demostrar que el control operó cada trimestre y no solo una vez?
- ¿Qué evidencia prueba que los accesos marcados para eliminación se revocaron realmente y siguieron revocados?
- ¿Cómo gestionas un trimestre en el que se omitió por completo una revisión?