Una auditoria de seguretat no és un moment puntual ni una prova de darrera hora. S’assembla molt més a entrenar-se per córrer una marató. No pel dia de la cursa, sinó per tot el que passa abans.
En una marató ningú decideix la vigília que correrà 42 quilòmetres. No s’entrena només l’última setmana, ni es confia que la motivació ho arregli tot. El cos, senzillament, no funciona així. Amb les auditories passa exactament el mateix. És igual com sàpigues bé explicar les coses o el convençut que estiguis que “això ja ho fem bé”. Si no hi ha entrenament previ, es nota. I quan arriba l?auditor, es nota molt.
Per això, en marcs com NIS2, ISO 27001, ENS o auditories regulatòries, el resultat no es decideix a la reunió amb l’auditor. Es decideix als mesos —i moltes vegades als anys— anteriors, com treballa l’organització quan no hi ha ningú observant.
1. Auditar no és explicar una història, és demostrar una realitat
Un altre error molt habitual és pensar que una auditoria consisteix a explicar què es fa. En realitat, una auditoria no valida discursos, valida fets.
L’auditor no escolta promeses ni bones intencions. Ve a comprovar que el que està escrit es compleix, que el que es compleix deixa rastre i que aquest rastre es pot seguir sense esforç. Documents, registres i persones acaben formant una mateixa conversa. Quan un dels elements no encaixa, el sistema perd credibilitat.
Per això, el problema gairebé mai és la manca de controls, sinó la distància entre allò que s’ha documentat i allò que realment passa. Quan una organització treballa coherentment, l’evidència apareix sola. Quan no, cal sortir a buscar-la de pressa, i això sempre deixa alguna pista.
2. Les evidències no neixen per a l’auditoria
Hi ha alguna cosa que els auditors detecten amb molta facilitat: les evidències creades “per complir”. Registres recents, documents perfectes però sense ús real, controls que no han deixat rastre fins que algú els va demanar.
En canvi, les auditories que es viuen amb menys tensió són aquelles en què hi ha evidències abans que arribi l’auditor, perquè formen part del dia a dia. No estan desades a una carpeta especial ni depenen d’una persona concreta. Són on han d’estar, vinculades a processos reals i generades amb continuïtat.
Quan això passa, l’auditoria deixa de ser una amenaça i es converteix gairebé en una confirmació. En aquest punt, eines com ithikios marquen la diferència, no perquè creïn evidències artificials, sinó perquè ajuden a organitzar-les, relacionar-les i fer-les visibles quan toca demostrar que el sistema funciona.
3. Les persones també formen part de l’evidència
De vegades s’oblida que una auditoria no es fa només sobre documents. Es fa sobre persones i sistemes que han dissenyat. Els auditors pregunten, observen i escolten. No busquen respostes de memòria ni frases apreses, sinó coherència. Que cada persona sàpiga què hi aplica, què fa i per què ho fa així. Aquesta naturalitat no s?aconsegueix amb una xerrada d?última hora. Apareix quan la seguretat està integrada en la manera habitual de treballar.
Quan la documentació s’ha creat només per complir, les persones no s’hi reconeixen. I en una conversa informal, això es percep en segons.
4. Auditar no és enfrontar-se, és col·laborar
L’actitud durant l’auditoria importa més del que se sol creure. Els auditors no són policies ni jutges. Són professionals que fan la seva feina i que, com qualsevol, reaccionen millor quan se’ls tracta amb respecte, claredat i honestedat.
Respondre de manera directa, no amagar problemes i no perdre temps en explicacions innecessàries genera confiança. I quan hi ha confiança, l?auditoria flueix millor. Fins i tot hi ha un espai legítim —sovint molt valuós— on l’auditor pot explicar per què alguna cosa no funciona o per què una pràctica és sòlida. No és consultoria, però sí aprenentatge. I això només passa quan la relació és col·laborativa.
5. Triar bé amb qui t’audites també forma part del camí
Preparar una auditoria no s’acaba dins de l’organització. Escollir l’organisme certificador adequat també forma part del procés. El preu és important, però no ho és tot. L’experiència de l’auditor, el coneixement del sector, l’idioma o la flexibilitat poden marcar la diferència entre una auditoria que aporta valor i una altra que només consumeix energia.
Una mala elecció pot sortir barata a la factura i molt cara en temps, frustració i oportunitats perdudes.
6. Al final, l’auditoria és només el reflex del treball previ
Superar una auditoria NIS2, ISO 27001 o ENS no consisteix a estrènyer les dents unes setmanes abans. És el resultat natural de treballar bé durant molt de temps. Com en una marató, no es tracta de córrer fort al final, sinó d?haver entrenat prou per arribar amb garanties.
Quan la feina prèvia està feta, les evidències existeixen, les persones saben el que fan i l’actitud és oberta, l’auditoria deixa de ser un examen. Es converteix en allò que hauria de ser: la validació serena d’un sistema que ja funciona. I quan les evidències estan vives, ordenades i connectades, el camí es fa molt més suportable.
“L’auditoria no mesura com reacciones quan t’observen. Mesura com treballes quan ningú no ho fa.”
