La Auditoria interna es la realizada con recursos materiales y personas que pertenecen a
la empresa auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La Auditoria interna existe por expresa decisión de la Empresa, o sea,
que puede optar por su disolución en cualquier momento.
Por otro lado, la Auditoria externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.
La Auditoria informática interna cuenta con algunas ventajas adicionales muy
importantes respecto de la Auditoria externa, las cuales no son tan perceptibles como en
las Auditorias convencionales. La Auditoria interna tiene la ventaja de que puede actuar
periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su
actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias,
especialmente cuando las consecuencias de las Recomendaciones habidas benefician su
trabajo.
En una empresa, los responsables de Informática escuchan, orientan e informan sobre
las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto,
Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La
empresa necesita controlar su Informática y ésta necesita que su propia gestión esté
sometida a los mismos Procedimientos y estándares que el resto de aquella. La
conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.
En cuanto a empresas se refiere, solamente las más grandes pueden poseer una
Auditoria propia y permanente, mientras que el resto acuden a las Auditorias externas.
Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a
la Auditoria Interna de la empresa cuando ésta existe. Finalmente, la propia Informática
requiere de su propio grupo de Control Interno, con implantación física en su estructura,
puesto que si se ubicase dentro de la estructura Informática ya no sería independiente.
Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con
diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas
de Información de las Empresas.
Una Empresa o Institución que posee Auditoria interna puede y debe en ocasiones
contratar servicios de Auditoria externa. Las razones para hacerlo suelen ser:
• Necesidad de auditar una materia de gran especialización, para la cual los
servicios propios no están suficientemente capacitados.
• Contrastar algún Informe interno con el que resulte del externo, en aquellos
supuestos de emisión interna de graves recomendaciones que chocan con la
opinión generalizada de la propia empresa.
• Servir como mecanismo protector de posibles Auditorias informáticas externas
decretadas por la misma empresa.
Aunque la Auditoria interna sea independiente del Departamento de Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen Auditorias
externas como para tener una visión desde afuera de la empresa.
La Auditoria informática, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de
la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano,
o a instancias de parte, esto es, por encargo de la dirección o cliente.