Seria a auditoria o carrasco fiscalizador da segurança da informação ou está mais para um amigo?