Referencia: Auditoría informática. Un enfoque práctico. Piattini, M. Editorial Alfaomega. Capítulo 7 Deontología del Auditor Informático y Códigos Éticos. deontología. (Del gr. δέον, -οντος, el deber, y -logía). 1. f. Ciencia o tratado de los deberes. Real Academia Española 7.1 Introducción Los colectivos de profesionales elaboran sus propios códigos de ética para establecer sanciones que pueden aplicarse a sus agremiados en caso de incumplimiento de alguno de sus preceptos. 7.2 Principios Deontológico aplicables a los auditores informáticos 7.2.1 Principio de beneficio del auditado El auditor debe brindar recomendaciones que permitan mejorar el rendimiento de los medios informáticos de la empresa auditada. Tales recomendaciones no deben violentar la ley. No debe anteponer sus propios intereses: la recomendación de marcas y productos debe ser hecha sin pretender beneficios propios. No debe recomendar cambios costosos injustificados o sin base formal. Si el auditado desea encomendar el trabajo a otro auditor, éste deberá contar con los informes del trabajo previo. 7.2.2 Principio de Calidad El auditor actúa “a su leal saber y entender” Si no hay elementos para sustentar una opinión, debe expresarlo. El auditor puede pedir opinión a otros profesionales. 7.2.3 Principio de capacidad El auditor debe estar capacitado para su labor; debe estar al día en cuanto a conocimientos técnicos. Es importante fortalecer la certificación profesional. 7.2.4 Principio de cautela El auditor no debe recomendar algo a futuro basado simplemente en su intuición acerca de cómo va a evolucionar la tecnología. 7.2.5 Principio de comportamiento profesional El auditor debe transmitir sus juicios y opiniones sin hacer exageraciones y sin atemorizar a su cliente. Debe tener claridad acerca de sus carencias. Si pide apoyo a profesionales externos, ha de hacerlo explícito en su informe. Las conclusiones propias deben estar marcadas como tales, para distinguirlas de las otras que haya obtenido de su consulta a profesionales. Debe respetar la política empresarial de su cliente. 7.2.6 Principio de concentración en el trabajo. El auditor debe evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión. No debería tomar trozos de texto de informes previos para dar conclusiones de trabajo. 7.2.7 Principio de confianza. Transparencia en el trabajo. Debe tomar las indicaciones del auditado como válidas a menos que tenga evidencia de lo contrario. Resolver las dudas que tenga el auditado. Establecer un diálogo sobre cualquier aspecto que pueda ser conflictivo. Debe poner sus resultados en un lenguaje que permita ser leído por el auditado. Puede solicitar la presencia de algún trabajador de su cliente para expresarle cuestiones específicas o bien, para brindarle explicaciones con un mayor nivel técnico. 7.2.8 Principio de criterio propio. El auditor debe elegir la ejecución de la auditoría con su propio criterio. No debería permitir que haya influencia de otras personas, especialmente para ir en una dirección diferente a la que él elija como la mejor para su cliente. En algunos casos, podrá establecer una discusión (pudiendo llegar a ser una pelea) si encuentra solicitudes de acciones de evaluación que no correspondan a la pregunta que da lugar a la auditoría. Esto es, puede negarse a llevar a cabo alguna actividad que se le pida, si considera que eso no contribuye al trabajo para el cual fue contratado. También puede elegir renunciar a su cargo si se percata de que sus opiniones no son puestas en práctica por el auditado. 7.2.9 Principio de discreción La discreción de cualquier dato, por elemental que parezca, es uno de los principios fundamentales de la auditoría. Aun cuando haya transcurrido mucho tiempo del evento, debe abstenerse de dar a conocer información de los trabajos que haya realizado. 7.2.10 Principio de economía El auditor debe cuidar el presupuesto de su cliente. Debe evitar gastos innecesarios. No debería retener los resultados de la auditoría ni retrasar los eventos propios de la misma. El alcance de la auditoría debe estar claro y preciso desde el inicio del proyecto. No deberían ocurrir ampliaciones del trabajo en marcha, especialmente si no están vinculados con la auditoría. Tampoco debería entrar en discusiones o hacer comentarios o visitas que no se justifiquen en la auditoría. 7.2.11 Principio de formación continuada La formación del auditor sigue todo el tiempo, de acuerdo con los cambios tecnológicos. 7.2.12 Principio de fortalecimiento y respeto de la profesión El cobro de servicios que significa el valor del trabajo del auditor, no debería estar por abajo del esfuerzo de cualquier auditor, ni debería ser abusivo. Si los honorarios son muy bajos, el auditor compite deslealmente con otros; por otro lado, si son exageradamente altos, hace que la profesión se desacredite. Al ser integrante de un grupo profesional, debe promover el respeto mutuo y debería evitar la confrontación con un par. También está obligado a denunciar comportamientos indebidos. Tiene que establecer comunicación con sus colegas, llegando a trabajar colaborativamente sin problemas. 7.2.13 Principio de independencia. El auditor ha de tener autonomía en su trabajo. Es la garantía de que los intereses del auditado se asumen con objetividad. Puede rechazar criterios con los que no esté de acuerdo. En su informe, tiene el derecho y la obligación de escribir todo lo que le parezca pertinente y sus recomendaciones tienen que estar encaminadas al bien del auditado, buscando evitar perjuicios al mismo, aun cuando reciba solicitudes en esa dirección. Evitará establecer nexos que limiten su proceder. Sin embargo, el auditado puede o no tomar en cuenta las recomendaciones. 7.2.14 Principio de información suficiente El informe de auditoría debe contener toda la información necesaria y suficiente que sea pertinente para resolver las preguntas iniciales que constituyen el objetivo de la auditoría. Debe informar el auditor a su cliente todo aquello que pueda ser útil, dejando a un lado la autopromoción o la recomendación de conocidos. El volumen del informe no tendría que ser extenso. Ha de garantizar la exactitud de sus observaciones. El auditor debe ser responsable de lo que escribe y debe evitar anécdotas insustanciales. Debe explicar la metodología y basarse en ella para emitir sus juicios. No hay reserva en esto. 7.2.15 Principio de integridad moral. El auditor debe ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad y a evitar participar voluntariamente o no, en cualesquiera actos de corrupción personal o de terceras personas. El auditor no deberá, bajo ninguna circunstancia, aprovechar los conocimientos adquiridos durante la auditoría para utilizarlos en contra del auditado o de terceras personas relacionadas con el mismo 7.2.16 Principio de legalidad. El auditor no debe emplear sus conocimientos para asesorar en el incumplimiento de la ley. No debe colaborar en la eliminación de códigos de seguridad de sistemas para obtener información de terceros. Tampoco podrá intervenir líneas telefónicas ni comprometer la producción. 7.2.17 Principio de libre competencia. El comportamiento del auditor debe permitir la existencia de otros auditores. Un auditor no debe realizar prácticas parasitarias o desleales. 7.2.18 Principio de no discriminación. Sin prejuicios. El auditor debe relacionarse con otras personas en un trato de igualdad. 7.2.19 Principio de no injerencia. El auditor no debería dar opiniones denigrantes de otros pares. Tampoco debería expresar su desacuerdo con los métodos de otro par. Si lo hace, tendría que ser en un proceso en el cual los resultados del otro auditor tengan relación con el objetivo de la auditoría que esté realizando. 7.2.20 Principio de precisión La conclusión debe ser emitida solamente cuando el auditor esté convencido de la viabilidad de sus propuestas. En las conclusiones, debe ser crítico y ha de hacer notar los eventos que pudieran haber afectado la calidad y fiabilidad de la auditoría. No deben quedar ambigüedades por el hecho de evadir la respuesta. Debe hacer notar las partes que fueron evaluadas exhaustivamente y las que hayan sido parcialmente abordadas, o bien, que hayan sido trabajadas por terceros. 7.2.21 Principio de publicidad adecuada. La oferta de servicios debe ser publicitada en su justa dimensión, sin ofrecer objetivos engañosos. 7.2.22 Principio de responsabilidad El auditor es absolutamente responsable de la auditoría y del contenido de su informe. Un error en el proceso puede causar daños a su cliente. Es importante contar con un seguro de responsabilidad civil que pueda cubrir esos daños. Se debe establecer un tope máximo de responsabilidad. 7.2.23 Principio de secreto profesional Éste es un principio común en todas las profesiones, pero para el auditor es especialmente importante. Solamente puede revelar información si se le requiere a nivel legal. El secreto profesional se extiende a todos los integrantes del equipo del auditor. Son responsables solidarios con el auditor. La información de la auditoría debería quedar almacenada en soporte del auditado, quien podrá liberarla para otros profesionales que él elija. Si se llegara a usar alguna información disgregada para cuestiones de difusión científica, ha de ser en forma de que no se pueda asociar esa información con el auditado. 7.2.24 Principio de servicio público. Si en su actividad el auditor encuentra un virus que pudiera dañar a los otros equipos del auditado, debe hacerlo saber oportunamente. Debe hacer lo que esté a su alcance para evitar que algo así pudiera extenderse fuera del ámbito que audita, siempre cuidando los intereses de su cliente. 7.2.25 Principio de veracidad Además de las conclusiones que puedan ser sustentadas con certeza, el auditor debe exponer hechos que, con cierto nivel de subjetividad, puedan darse por válidos con una probabilidad muy alta, siempre que no haya evidencia en sentido contrario. 7.5 Cuestiones de repaso. 1. Principios deontológico aplicables a los auditores informativos. 2. Principio de calidad 3. Principio de criterio propio 4. ¿Qué significa el principio de economía? 5. Importancia de la formación continua del auditor informático 6. Grado de independencia del auditor informático 7. ¿Qué es el principio de legalidad? 8. Responsabilidad del auditor informático. 9. ¿A qué obliga el secreto profesional? 10. Facetas que configuran el régimen de responsabilidad frente a terceros.