Auditoría de seguridad informática. IFCT0109. Ester Chicano Tejada
alt="image"/>
Importante
El incumplimiento del Código de Ética de ISACA puede desembocar en una investigación de las actuaciones de la empresa por parte de ISACA e, incluso, en la adopción de medidas disciplinarias.
2.3. Código deontológico de la auditoría
Además de las Normas Profesionales y el Código de Ética propuestos por ISACA, hay también un código deontológico que deben tener en cuenta todos los profesionales que quieran dedicarse a la actividad de auditoría informática.
Como ya se ha mencionado, el código deontológico está formado por una serie de principios morales elaborados que sirvan de guía a los auditores informáticos en el momento de ejercer su profesión, teniendo en cuenta una ética de la informática.
Principios del código deontológico de la auditoría
El código deontológico de la auditoría está formado por una serie de principios fundamentales, descritos a continuación.
Principio de beneficio del auditado
Las tareas del auditor deben estar enfocadas a maximizar el beneficio de sus clientes sin anteponer sus intereses personales. En caso de hacer prevalecer sus intereses antes de los clientes, se considerará una conducta no ética.
Además, el auditor también deberá evitar recomendar actuaciones que no sean necesarias o que impliquen algún tipo de riesgo sin justificación para el auditado.
Principio de calidad
El auditor debe ejercer sus tareas dentro de unos estándares de calidad de modo que, en caso de no disponer de medios adecuados para realizar sus actividades convenientemente, deberá negarse a realizarlas hasta que no se garantice un mínimo de condiciones técnicas.
Si el auditor, en el momento de elaborar el informe, considera que no tiene conocimientos técnicos suficientes, deberá remitirlo a otro técnico más cualificado para mejor calidad de la auditoría.
Principio de capacidad
El auditor informático debe estar plenamente capacitado para el ejercicio de su profesión y, para ello, debe actualizar sus conocimientos de forma periódica mediante actividades de formación continua.
Nota
El auditor debe planificar su formación para que sus conocimientos se actualicen de un modo acorde con la evolución de las tecnologías de la información.
Para conocer sus necesidades de formación, el auditor deberá ser consciente en todo momento de sus aptitudes y capacidades, conociendo también sus puntos débiles con el fin de cometer menos errores en el ejercicio de sus tareas.
Principio de cautela
Las recomendaciones del auditor siempre deben estar basadas en sus conocimientos y experiencias, manteniendo al auditado siempre informado de la evolución de las tecnologías de la información y de las actuaciones que se deben llevar a cabo.
Principio de comportamiento profesional
En el momento de realizar las tareas de su profesión, el auditor siempre deberá tener en cuenta las normas tanto explícitas como implícitas, teniendo sumo cuidado en la exposición de sus opiniones.
Además, debe tener seguridad en sus actuaciones y en la exposición de sus conocimientos técnicos, trasmitiendo una imagen de precisión y exactitud a sus auditados.
Principio de concentración en el trabajo
En momentos de alto volumen de trabajo, el auditor deberá evitar que el exceso de trabajo dificulte su capacidad de concentración y precisión en sus tareas.
Por ello, deberá realizar previsiones de posibles acumulaciones de trabajo y evaluar las consecuencias de no llevar a cabo sus tareas con la precisión y profesionalidad requerida para mantener unos estándares de calidad en la auditoría.
Nota
En momentos de alta carga de trabajo, el auditor nunca deberá realizar informes y emitir conclusiones partiendo de trabajos anteriores para ahorrar esfuerzos; no solo habrá una merma de la calidad, sino que también pueden obtenerse conclusiones erróneas y, por tanto, auditorías poco válidas.
Principio de confianza
El auditor deberá dar siempre sensación de confianza al auditado mediante la transparencia en sus actuaciones. Esta confianza entre auditor y auditado se confirmará resolviendo las posibles dudas que puedan surgir en ambas partes y utilizando un lenguaje llano que mejore la comprensión y comunicación de las tareas realizadas.
Principio de criterio propio
El auditor deberá actuar siempre con criterio propio e independencia, sin permitir que su criterio dependa de otros profesionales.
En caso de haber diferencia de criterios, el auditor deberá reflejarlo en el informe, justificando y motivando con claridad su criterio.
Principio de economía
El auditor deberá delimitar específicamente el alcance y los límites de la auditoría, evitando retrasos innecesarios que puedan llevar a costes extra y protegiendo siempre los derechos económicos de los auditados.
Principio de fortalecimiento y respeto de la profesión
Los auditores deberán cuidar y proteger el valor de su profesión, manteniendo unos precios acordes con su preparación.
Deberán evitar establecer precios demasiado reducidos para no caer en términos de competencia desleal y evitar confrontaciones con otros auditores, promoviendo en todo momento el respeto entre ellos.
Principio de integridad moral
Los auditores deberán desempeñar sus tareas con una actitud honesta, leal y diligente, evitando siempre participar en actividades que puedan perjudicar a terceras personas o al auditado.
Además, en ningún caso deberán aprovecharse de sus conocimientos para utilizarlos en contra del auditado.
Recuerde
La ética debe estar presente siempre en la actuación profesional de los auditores informáticos, protegiendo los derechos del auditado y evitando su perjuicio derivado de la aplicación de sus conocimientos técnicos.
Principio de legalidad
El auditor deberá promover la preservación de la legalidad a sus auditados, no consintiendo la eliminación de dispositivos de seguridad y ni de datos relevantes para la elaboración de la auditoría.
Principio de precisión
La actuación del auditor debe realizarse siempre con precisión, no emitiendo conclusiones ni informes hasta no estar completamente convencido de su correcta elaboración.
En el momento de la exposición de las conclusiones, el auditor actuará con carácter crítico e indicando con claridad cómo se ha llevado a cabo el análisis de los datos y los motivos