Читать книгу Auditoría de seguridad informática. IFCT0109 - Ester Chicano Tejada - Страница 11

Además de las Normas Profesionales y el Código de Ética propuestos por ISACA, hay también un código deontológico que deben tener en cuenta todos los profesionales que quieran dedicarse a la actividad de auditoría informática.

Como ya se ha mencionado, el código deontológico está formado por una serie de principios morales elaborados que sirvan de guía a los auditores informáticos en el momento de ejercer su profesión, teniendo en cuenta una ética de la informática.

Principios del código deontológico de la auditoría

El código deontológico de la auditoría está formado por una serie de principios fundamentales, descritos a continuación.

Principio de beneficio del auditado

Las tareas del auditor deben estar enfocadas a maximizar el beneficio de sus clientes sin anteponer sus intereses personales. En caso de hacer prevalecer sus intereses antes de los clientes, se considerará una conducta no ética.

Además, el auditor también deberá evitar recomendar actuaciones que no sean necesarias o que impliquen algún tipo de riesgo sin justificación para el auditado.

Principio de calidad

El auditor debe ejercer sus tareas dentro de unos estándares de calidad de modo que, en caso de no disponer de medios adecuados para realizar sus actividades convenientemente, deberá negarse a realizarlas hasta que no se garantice un mínimo de condiciones técnicas.

Si el auditor, en el momento de elaborar el informe, considera que no tiene conocimientos técnicos suficientes, deberá remitirlo a otro técnico más cualificado para mejor calidad de la auditoría.

Principio de capacidad

El auditor informático debe estar plenamente capacitado para el ejercicio de su profesión y, para ello, debe actualizar sus conocimientos de forma periódica mediante actividades de formación continua.

Nota

El auditor debe planificar su formación para que sus conocimientos se actualicen de un modo acorde con la evolución de las tecnologías de la información.

Para conocer sus necesidades de formación, el auditor deberá ser consciente en todo momento de sus aptitudes y capacidades, conociendo también sus puntos débiles con el fin de cometer menos errores en el ejercicio de sus tareas.

Principio de cautela

Las recomendaciones del auditor siempre deben estar basadas en sus conocimientos y experiencias, manteniendo al auditado siempre informado de la evolución de las tecnologías de la información y de las actuaciones que se deben llevar a cabo.

Principio de comportamiento profesional

En el momento de realizar las tareas de su profesión, el auditor siempre deberá tener en cuenta las normas tanto explícitas como implícitas, teniendo sumo cuidado en la exposición de sus opiniones.

Además, debe tener seguridad en sus actuaciones y en la exposición de sus conocimientos técnicos, trasmitiendo una imagen de precisión y exactitud a sus auditados.

Principio de concentración en el trabajo

En momentos de alto volumen de trabajo, el auditor deberá evitar que el exceso de trabajo dificulte su capacidad de concentración y precisión en sus tareas.

Por ello, deberá realizar previsiones de posibles acumulaciones de trabajo y evaluar las consecuencias de no llevar a cabo sus tareas con la precisión y profesionalidad requerida para mantener unos estándares de calidad en la auditoría.

Nota

En momentos de alta carga de trabajo, el auditor nunca deberá realizar informes y emitir conclusiones partiendo de trabajos anteriores para ahorrar esfuerzos; no solo habrá una merma de la calidad, sino que también pueden obtenerse conclusiones erróneas y, por tanto, auditorías poco válidas.

Principio de confianza

El auditor deberá dar siempre sensación de confianza al auditado mediante la transparencia en sus actuaciones. Esta confianza entre auditor y auditado se confirmará resolviendo las posibles dudas que puedan surgir en ambas partes y utilizando un lenguaje llano que mejore la comprensión y comunicación de las tareas realizadas.

Principio de criterio propio

El auditor deberá actuar siempre con criterio propio e independencia, sin permitir que su criterio dependa de otros profesionales.

En caso de haber diferencia de criterios, el auditor deberá reflejarlo en el informe, justificando y motivando con claridad su criterio.

Principio de economía

El auditor deberá delimitar específicamente el alcance y los límites de la auditoría, evitando retrasos innecesarios que puedan llevar a costes extra y protegiendo siempre los derechos económicos de los auditados.

Principio de fortalecimiento y respeto de la profesión

Los auditores deberán cuidar y proteger el valor de su profesión, manteniendo unos precios acordes con su preparación.

Deberán evitar establecer precios demasiado reducidos para no caer en términos de competencia desleal y evitar confrontaciones con otros auditores, promoviendo en todo momento el respeto entre ellos.

Principio de integridad moral

Los auditores deberán desempeñar sus tareas con una actitud honesta, leal y diligente, evitando siempre participar en actividades que puedan perjudicar a terceras personas o al auditado.

Además, en ningún caso deberán aprovecharse de sus conocimientos para utilizarlos en contra del auditado.

Recuerde

La ética debe estar presente siempre en la actuación profesional de los auditores informáticos, protegiendo los derechos del auditado y evitando su perjuicio derivado de la aplicación de sus conocimientos técnicos.

Principio de legalidad

El auditor deberá promover la preservación de la legalidad a sus auditados, no consintiendo la eliminación de dispositivos de seguridad y ni de datos relevantes para la elaboración de la auditoría.

Principio de precisión

La actuación del auditor debe realizarse siempre con precisión, no emitiendo conclusiones ni informes hasta no estar completamente convencido de su correcta elaboración.

En el momento de la exposición de las conclusiones, el auditor actuará con carácter crítico e indicando con claridad cómo se ha llevado a cabo el análisis de los datos y los motivos que han llevado a sus conclusiones.

Principio de responsabilidad

El auditor debe asumir la responsabilidad de sus actuaciones, juicios y consejos y estará obligado a hacerse cargo de los posibles daños y perjuicios que haya podido causar alguna de sus actuaciones.

Nota

El hecho de obligar a asumir responsabilidades por parte del auditor le obliga a actuar con suma cautela y seguridad para evitar juicios y conclusiones erróneas que puedan llevar a consecuencias dañinas.

Principio de secreto profesional

El auditor deberá mantener siempre la confidencialidad de los datos de los auditados, manteniendo siempre una relación de confianza entre ellos. En ningún momento podrá difundir datos obtenidos en la realización de sus tareas a terceras personas.

Para mantener este secreto profesional, será necesaria la implantación de medidas de seguridad que garanticen la protección de la información obtenida en la auditoría.

Principio de veracidad

El auditor, en el ejercicio de su profesión, deberá asegurar en todo momento la veracidad de sus manifestaciones y opiniones, sin incumplir el secreto profesional y el respeto al auditado.

Principios del código deontológico de la auditoría

Principio del beneficio del auditado

Principio de calidad

Principio de capacidad

Principio de cautela

Principio de comportamiento profesional

Principio de concentración en el trabajo

Principio de confianza

Principio de criterio propio

Principio de economía

Principio de fortalecimiento y respeto de la profesión

Principio de integridad moral

Principio de legalidad

Principio de precisión

Principio de responsabilidad

Principio de secreto profesional

Principio de veracidad

Actividades

1. Aparte de ITACA, busque otros organismos internacionales que protejan la profesión de la auditoría informática.

2. ¿Por qué considera importante establecer unos principios éticos para los auditores informáticos? ¿Qué consecuencias podría acarrear su incumplimiento?

Aplicación práctica

En su empresa se están planteando la posibilidad de realizar una auditoría informática externa contratando personal ajeno que garantice la independencia de los análisis y resultados. El primer auditor candidato a ser contratado no ha delimitado los posibles objetivos y el alcance de la auditoría a realizar y les está ofreciendo las tareas de auditoría a unos precios demasiado reducidos en relación a los precios de mercado. ¿Contrataría a este auditor? ¿Por qué? ¿Incumple algún principio establecido dentro del Código Deontológico de la Auditoría Informática?

SOLUCIÓN

No es recomendable contratar a este auditor porque no cumple por completo con el Código Deontológico de la Auditoría informática.

En concreto, está incumpliendo los principios de economía (al no definir claramente el alcance de la auditoría) y de respeto y fortalecimiento de la profesión (al ofrecer precios demasiado reducidos respecto a los normales dentro del sector).

Siempre será más conveniente contratar a un auditor que cumpla perfectamente con los principios éticos y morales del código deontológico, que proporcione una garantía de calidad de la auditoría a realizar.