Qué preguntas hacer al auditor tecnológico antes de firmar

Una auditoría tecnológica cuesta entre 3.000 y 8.000 € en una PYME y entre 10.000 y 25.000 € en empresas medianas. Es una inversión que vale lo que vale el dossier resultante, no lo que vale el discurso de venta. Estas son las diez preguntas que conviene hacer al auditor antes de firmar el contrato. Cada pregunta tiene un propósito distinto y la respuesta filtra mucho.

1. ¿Cuántas horas reales dedicas al proyecto?

Qué buscas con la pregunta. Cuantificar la profundidad del trabajo. Una auditoría seria de PYME requiere entre 40 y 80 horas de un consultor con experiencia. Por debajo de 30, no da tiempo a entrar en detalle. Por encima de 100, es probable que sea sobreingenierización o que el auditor esté inflando el alcance.

Buena respuesta. Un número concreto entre 40 y 100, con desglose por fases (entrevistas, análisis, redacción, presentación). Algo del estilo "calculamos 60 horas: 10 de entrevistas, 30 de análisis técnico, 15 de redacción y 5 de presentación".

Mala respuesta. "Las que hagan falta" o "depende del caso". También es mala respuesta una cifra muy baja sin justificación: si te dicen 20 horas por 3.000 €, están vendiéndote un informe genérico, no una auditoría.

2. ¿Qué accesos vas a necesitar y para qué?

Qué buscas. Saber si la auditoría va a entrar al sistema de verdad o se va a quedar en lo que se ve desde fuera. Una auditoría real necesita accesos a panel de hosting, repositorios de código, paneles de las herramientas críticas, logs históricos y entrevistas con el equipo técnico (si lo hay).

Buena respuesta. Lista detallada de accesos con justificación. "Necesito acceso de lectura al panel de Vercel y Cloudflare para revisar configuraciones, al repositorio de código para análisis estático, al panel de Stripe para revisar el módulo de pagos, una sesión de 1h con el freelance que mantiene el sistema."

Mala respuesta. "Con la web pública me vale para empezar" o "no hace falta entrar a nada por seguridad". Si no entran al sistema, no están auditando, están haciendo una revisión externa.

3. ¿Puedes enseñarme una auditoría que hayas entregado antes?

Qué buscas. Ver el formato real del entregable, no el ejemplo de marketing. Una auditoría anonimizada (datos del cliente borrados pero estructura íntegra) es la mejor muestra de qué vas a recibir.

Buena respuesta. "Sí, te paso un dossier completo de un proyecto similar al tuyo, con los datos del cliente borrados. Verás el formato, la profundidad y los entregables." Si te enseñan un dossier serio (varios documentos numerados, no un PDF único), buena señal.

Mala respuesta. "No puedo por confidencialidad" sin más detalle. Confidencialidad no impide compartir un ejemplo anonimizado. Si rechazan enseñar nada, o no tienen entregables que mostrar, o no quieren que veas la calidad antes de firmar.

4. ¿Qué entregables específicos vas a producir?

Qué buscas. Detalle del dossier final, no solo "el informe". Una auditoría seria entrega entre 6 y 10 documentos independientes con propósito distinto: diagrama de arquitectura, inventario, mapa de riesgos, análisis de costes, plan de acción, resumen ejecutivo, etc.

Buena respuesta. Lista numerada con cada entregable, qué contiene y para qué sirve. "Entregable 1: diagrama de arquitectura actual con dependencias e integraciones, sirve para que cualquier técnico futuro entienda el sistema sin tener que reconstruirlo. Entregable 2..."

Mala respuesta. "Un informe completo con conclusiones y recomendaciones." Eso es un PDF, no un dossier. Si no diferencian entre piezas, no las van a entregar diferenciadas.

5. ¿Qué te diferencia de una revisión gratuita de un proveedor de hosting?

Qué buscas. Que el auditor sepa explicar la diferencia. Si la respuesta es "lo mismo pero más caro", malo. Si la respuesta es "una revisión gratuita la hace alguien con incentivo a venderte algo después; nosotros cobramos por adelantado, no tenemos producto que venderte y el alcance cubre toda tu pila tecnológica, no solo lo que el proveedor sabe vender", buena.

Buena respuesta. Argumentación que mencione independencia de incentivos, profundidad de análisis, alcance amplio y dossier estructurado.

Mala respuesta. "Nosotros somos profesionales certificados" o "tenemos más experiencia". Eso no diferencia. Cualquiera puede decirlo.

6. ¿Qué pasa si después de la auditoría no quiero implementar nada?

Qué buscas. Confirmar que el dossier es tuyo y vale por sí mismo, sin necesidad de contratar nada más. Si la auditoría está pensada como gancho comercial para el siguiente paso, te conviene saberlo.

Buena respuesta. "El dossier es tuyo, lo puedes usar como quieras, contratar a otra empresa para implementarlo, hacerlo internamente o dejarlo en un cajón. Si después decides que sí quieres acompañamiento para ejecutar, tenemos asesoría continua, pero es independiente y opcional."

Mala respuesta. Cualquier presión para enlazar la auditoría con un proyecto posterior obligatorio. O frases del estilo "el verdadero valor está en la implementación, la auditoría es solo el primer paso". El verdadero valor de una auditoría es ella misma; si no, está mal vendida.

7. ¿Vas a hablar con mi equipo o solo conmigo?

Qué buscas. Que el auditor entienda que las realidades técnicas las conoce el equipo operativo, no solo la dirección. Una auditoría que se hace solo con quien firma se pierde la mitad del problema.

Buena respuesta. "Voy a hacer entrevistas separadas con dirección, con quien lleve la tecnología (interna o externa), con responsables de los procesos críticos y, si tienes ecommerce o plataforma con tráfico, con quien gestione el día a día. Cada conversación 30-45 minutos."

Mala respuesta. "Con que me cuentes tú la situación general, ya tengo bastante." No, no tienes bastante. La situación que cuenta dirección y la que cuenta operaciones suelen tener diferencias del 40-60% en cuanto a problemas relevantes.

8. ¿Cómo presentas los resultados?

Qué buscas. Saber si hay sesión de presentación o solo te envían el PDF. La sesión es donde se discuten prioridades, se ajusta el plan y se aclaran cosas. Sin sesión, mucho de lo descubierto se pierde.

Buena respuesta. "Hago una sesión de 1-1,5 horas, presencial si estás en zona o videollamada si no, donde presento el dossier, contextualizo los hallazgos importantes, discutimos prioridades y resolvemos dudas. Idealmente con dirección y técnico (o quien lleve tecnología) en la misma reunión."

Mala respuesta. "Te envío el dossier por email y cualquier duda me preguntas." Esa es la peor manera de cerrar una auditoría. La probabilidad de que el dossier acabe sin leerse es muy alta cuando no hay reunión.

9. ¿Qué pasa si surge algo grave durante la auditoría?

Qué buscas. Saber cómo se maneja un hallazgo crítico que no puede esperar al informe final. Por ejemplo: una vulnerabilidad de seguridad seria, una base de datos sin cifrar, credenciales expuestas en código público.

Buena respuesta. "Si encuentro algo crítico, te aviso el mismo día con un correo o llamada urgente, te explico el riesgo y la acción mínima inmediata. Sin esperar al informe final. Lo documento en el dossier después, pero no es razonable dejarlo enterrado en un PDF si requiere acción urgente."

Mala respuesta. "Lo incluyo en el informe final." Si descubren algo crítico el segundo día, esperar a la entrega final cuatro semanas después es negligencia.

10. ¿Quién va a hacer la auditoría exactamente?

Qué buscas. Saber el perfil real de la persona que va a entrar a tus sistemas. En auditoría, la diferencia entre que la haga un consultor sénior con experiencia o un junior aprendiendo es enorme.

Buena respuesta. Nombre concreto, perfil, años de experiencia, otros proyectos similares (sin necesidad de revelar clientes confidenciales) y disponibilidad. "La hago yo, X años de experiencia con PYMEs como la tuya, he hecho 30+ auditorías similares. Si quieres una llamada de 15 minutos antes para que conozcas mi forma de trabajar, sin compromiso, perfecto."

Mala respuesta. "Nuestro equipo se encarga" sin más detalle, o un vendedor comercial que dice "ya te asignaremos al consultor más adecuado cuando arranquemos". Pide nombre, pídele perfil. Si no te lo dan antes de firmar, asume que la asignación va a ser cualquiera disponible.

Cómo usar las respuestas

Ninguna pregunta sola es decisiva. La señal está en el patrón de las diez. Un auditor que responde con detalle a 8 o más es una buena señal. Si responde con vaguedad a 5 o más, busca otro. Si responde mal a la pregunta 1 (horas reales) o a la 4 (entregables), no merece la pena seguir: esos dos son los que más correlacionan con la calidad final.

Hacer estas preguntas también filtra al auditor en otra dirección: las respuestas largas y específicas indican que sabe de qué habla y que ha pensado el proceso. Las respuestas cortas y genéricas suelen indicar lo contrario.