Entre las muchas cualidades que un Auditor de Sistemas debe de poseer para mantener una calidad aceptable ante diversos estándares de auditoría es la independencia. El Auditor de Sistemas debe de ser y percibirse como un profesional independiente, que emitirá su opinión sobre las áreas que audite sin ninguna influencia.

El Auditor de Sistemas logra demostrar independencia desde el momento en que es colocado en un esquema organizativo y no tiene ningún vínculo que lo haga depender en alguna manera, por ejemplo, a través del pago de sus honorarios, o por tener una línea de reporte directo con las áreas que audita. Para ser concretos, un Auditor de Sistemas no puede depender de la Gerencia de Tecnologías de la Información, dado que no podría auditar objetivamente a su jefe y compañeros de trabajo. Si hablamos de Auditoría Interna, en el contexto de una organización grande, el Auditor de Sistemas aparecerá en el organigrama de Auditoría Interna, que, a su vez, no deberá tener ninguna dependencia de ninguna unidad organizativa de la empresa. Lo más frecuente es que la Unidad de Auditoría Interna reporte a un Auditor Corporativo o General, que a su vez reporta directamente a un Comité de Auditoría. Esto crea una estructura de auditoría paralela a la estructura organizativa que “de forma independiente” ayuda a la alta dirección a realizar verificaciones de áreas o procesos clave para el cumplimiento de objetivos.

El Auditor de Sistemas debe de seguir este principio de independencia y actuar de manera tal que las áreas auditadas no puedan “influenciar” las decisiones que toma. Es decir, el Auditor de Sistemas debe hacer valer su independencia en todo momento y no permitir que ningún tipo de influencia, interna o externa, afecte las decisiones que toma sobre su trabajo. Entre las influencias externas podemos dar como ejemplo, los proveedores del área de las Tecnologías de la Información. En general, los proveedores buscarán utilizar cualquier medio que este a su alcance para lograr concretar una oportunidad de negocio. Esto puede incluir seguir la estrategia de “invitar” al Auditor de Sistemas a eventos que promueven sus productos, para demostrar al Gerente de TI que el producto es avalado por el Auditor de Sistemas. Este es un comportamiento no ético de parte del vendedor, pero que dependerá de que el Auditor de Sistemas acepté las invitaciones que le hagan. La mejor conducta que puede seguir un Auditor de Sistemas es no aceptar invitaciones de ningún tipo de proveedores de Tecnologías de la Información. Las necesidades de capacitación del Auditor de Sistemas deben de ser cubiertas por fuentes que mantengan su independencia y que sean formales. Si se necesitan de cursos, estos deben de ser impartidos por entidades especializadas en capacitación, que no dependan de los proveedores, o por accesos a la documentación formal que la empresa ha adquirido. Todos estos recursos deberán de estar consignados en el presupuesto anual de operación del área de Auditoría de Sistemas. Estos mecanismos permitirán que el Auditor de Sistemas no se vea influenciado en sus decisiones por ninguna entidad.

De alguna manera, este principio de independencia implica que el Auditor de Sistemas trabajará con recursos independientes, que ningún auditado tendrá influencia sobre si el Auditor de Sistemas puede o no tener acceso a un recurso, ni mucho menos especificar los resultados del trabajo del Auditor de Sistemas. Es claro que los informes de auditoría serán firmados por el Auditor de Sistemas, por lo que al final, es el único responsable de su trabajo. El principio de independencia le ayuda a asegurar que nadie influencia el contenido de sus informes y de que son únicamente el resultado de su trabajo en el proceso de Auditoría.