Las 4 preguntas que te hace un auditor y que tu planilla de Excel no contesta

Una mesa de reunión con una sola silla ocupada frente a varias vacías, y sobre la madera una carpeta abierta iluminada por una luz cálida lateral

Las 4 preguntas que te hace un auditor y que tu planilla de Excel no contesta

Llega el día de la auditoría y abres la planilla que preparaste durante todo el año. Cursos asignados, cursos completados, una columna en verde y un total que da tranquilidad. La giras sobre la mesa esperando que el número hable por sí solo.

Pero quien vino a auditar casi no mira el total. Un porcentaje agregado le dice poco, porque su tarea no es confirmar que cumpliste, sino entender cómo lo sabes. Para eso hace preguntas concretas, una detrás de otra, sobre las personas que hay detrás de ese número. Son cuatro, y la planilla no contesta ninguna con la solidez que una auditoría necesita.

¿A quiénes tenías que capacitar?

La primera pregunta va al denominador: ¿este listado es toda tu organización o solo la parte que alguien cargó? Una planilla contiene a quienes se decidió incluir en algún momento, y esa decisión casi nunca coincide con la empresa de hoy. Quedan afuera quienes entraron después, las áreas menos visibles para seguridad, los contratistas con acceso, quienes cambiaron de rol.

Hay un matiz que lo complica todavía más: el universo no es único, depende de qué estés probando. Una norma que exige capacitación técnica define un universo acotado, por ejemplo el personal de sistemas y seguridad. Una política interna que todos deben leer y aceptar define otro, la empresa completa. Sobre una misma organización conviven varios denominadores según la obligación, y una planilla única casi nunca los distingue.

Por eso quien audita no acepta la lista como si fuera el universo. Pide que le demuestres cómo se define: de dónde sale, cada cuánto se revisa, qué pasa cuando entra alguien nuevo. Y ahí la planilla se queda sin respuesta, porque conoce su propia lista, no tu organización. Es el mismo mecanismo por el que tu porcentaje de cumplimiento puede marcar 100% capacitando a diez de doscientos: el número es exacto sobre el universo equivocado.

¿Desde cuándo está cubierta cada persona?

La segunda pregunta cambia de escala. No pregunta por el grupo, pregunta por el individuo: ¿desde qué fecha está formada cada persona de esta lista? Una planilla suele guardar un único período, el de la campaña anual, como si todos hubieran entrado el mismo día y siguieran ahí sin cambios.

La organización no funciona así. Alguien completó su formación en febrero y otra persona ingresó en septiembre. Una tercera cambió de área en mayo y hoy toca datos que su capacitación anterior no cubría. Quien audita quiere ver esa línea de tiempo por persona, no un rótulo de año pegado a todo el grupo. La planilla ofrece una foto tomada una vez; la pregunta exige una película que se actualiza sola a medida que la gente entra, sale y se mueve.

¿Esa formación sigue vigente hoy?

La tercera pregunta es la que más incomoda, porque toca algo que la planilla nunca registra: la formación caduca. Un curso completado hace catorce meses figura como hecho para siempre en la columna de completados, aunque su contenido ya no refleje las amenazas actuales ni las políticas vigentes.

Quien audita lo sabe y pregunta directo: ¿lo que esta persona aprendió sigue contando hoy? No alcanza con que alguna vez lo haya hecho. Es exactamente el cumplimiento que se cae en marzo sin que nadie lo note: la planilla sigue en verde mientras la cobertura real se vence en silencio. Contestar bien esta pregunta obliga a tratar cada formación con una fecha de inicio y una de caducidad, y a que el vencimiento vuelva a abrir la tarea en lugar de dejarla cerrada por costumbre.

¿Dónde está la evidencia de cada persona?

La cuarta pregunta es la que separa un informe de una prueba. Quien audita elige un nombre de la lista, uno cualquiera, y pide ver qué completó esa persona, cuándo y con qué constancia de que efectivamente lo hizo. Un porcentaje no sirve, porque un porcentaje es una conclusión, no una evidencia.

La escena es incómoda cuando la constancia hay que buscarla. Alguien abre la planilla, cruza con los correos del proveedor de formación, revisa una carpeta compartida y trata de reconstruir en minutos lo que debería haber estado guardado desde el principio. La evidencia vive a nivel de persona: quién, qué contenido, en qué fecha, con qué registro de lectura y aceptación. Una planilla puede sostener un total, pero rara vez sostiene ese detalle sin que alguien lo arme a mano, y una reconstrucción de último momento es justo lo que una auditoría no quiere ver. La respuesta sólida es la contraria: que la evidencia por usuario ya exista, guardada junto al programa y lista para exportar cuando alguien la pide, no armada a pedido.

La planilla contesta la pregunta que nadie te hace

Las cuatro preguntas comparten una raíz. La planilla está diseñada para responder cuánto, y quien audita pregunta de quiénes, desde cuándo, si sigue valiendo y muéstramelo por persona. Son dimensiones distintas, y ninguna se resuelve agregando columnas a un Excel: se resuelven cambiando de dónde sale el dato.

El cumplimiento de la concientización deja de ser frágil cuando se lee como un estado vivo y no como un documento anual. El universo se deriva del directorio que ya tienes en uso y se actualiza solo; cada formación arrastra su fecha y su vigencia; y la evidencia queda registrada por persona desde el primer día. Así lo entendemos en SMARTFENSE, como parte del riesgo humano que se mide sobre toda la organización, no sobre una muestra elegida a mano.

Si quieres ver el cumplimiento de tu programa contestando estas cuatro preguntas sobre tu universo real, puedes conocer la plataforma o escribirnos para una demo sobre tus propios datos.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario