7.2 Principios Deontológico aplicables a los auditores informáticos

Referencia: Auditoría informática. Un enfoque práctico.
Piattini, M. Editorial Alfaomega.
Capítulo 7 Deontología del Auditor Informático y Códigos
Éticos.
deontología.
(Del gr. δέον, -οντος, el deber, y -logía).
1. f. Ciencia o tratado de los deberes.
Real Academia Española
7.1 Introducción
Los colectivos de profesionales elaboran sus propios códigos de ética para
establecer sanciones que pueden aplicarse a sus agremiados en caso de
incumplimiento de alguno de sus preceptos.
7.2
Principios
Deontológico
aplicables
a
los
auditores
informáticos
7.2.1 Principio de beneficio del auditado
El auditor debe brindar recomendaciones que permitan mejorar el rendimiento de
los medios informáticos de la empresa auditada. Tales recomendaciones no deben
violentar la ley.
No debe anteponer sus propios intereses: la recomendación de marcas y
productos debe ser hecha sin pretender beneficios propios.
No debe recomendar cambios costosos injustificados o sin base formal.
Si el auditado desea encomendar el trabajo a otro auditor, éste deberá contar con
los informes del trabajo previo.
7.2.2 Principio de Calidad
El auditor actúa “a su leal saber y entender”
Si no hay elementos para sustentar una opinión, debe expresarlo.
El auditor puede pedir opinión a otros profesionales.
7.2.3 Principio de capacidad
El auditor debe estar capacitado para su labor; debe estar al día en cuanto a
conocimientos técnicos.
Es importante fortalecer la certificación profesional.
7.2.4 Principio de cautela
El auditor no debe recomendar algo a futuro basado simplemente en su intuición
acerca de cómo va a evolucionar la tecnología.
7.2.5 Principio de comportamiento profesional
El auditor debe transmitir sus juicios y opiniones sin hacer exageraciones y sin
atemorizar a su cliente.
Debe tener claridad acerca de sus carencias. Si pide apoyo a profesionales
externos, ha de hacerlo explícito en su informe. Las conclusiones propias deben
estar marcadas como tales, para distinguirlas de las otras que haya obtenido de su
consulta a profesionales.
Debe respetar la política empresarial de su cliente.
7.2.6 Principio de concentración en el trabajo.
El auditor debe evitar que un exceso de trabajo supere sus posibilidades de
concentración y precisión.
No debería tomar trozos de texto de informes previos para dar conclusiones de
trabajo.
7.2.7 Principio de confianza.
Transparencia en el trabajo.
Debe tomar las indicaciones del auditado como válidas a menos que tenga
evidencia de lo contrario.
Resolver las dudas que tenga el auditado. Establecer un diálogo sobre cualquier
aspecto que pueda ser conflictivo.
Debe poner sus resultados en un lenguaje que permita ser leído por el auditado.
Puede solicitar la presencia de algún trabajador de su cliente para expresarle
cuestiones específicas o bien, para brindarle explicaciones con un mayor nivel
técnico.
7.2.8 Principio de criterio propio.
El auditor debe elegir la ejecución de la auditoría con su propio criterio. No debería
permitir que haya influencia de otras personas, especialmente para ir en una
dirección diferente a la que él elija como la mejor para su cliente.
En algunos casos, podrá establecer una discusión (pudiendo llegar a ser una
pelea) si encuentra solicitudes de acciones de evaluación que no correspondan a
la pregunta que da lugar a la auditoría. Esto es, puede negarse a llevar a cabo
alguna actividad que se le pida, si considera que eso no contribuye al trabajo para
el cual fue contratado.
También puede elegir renunciar a su cargo si se percata de que sus opiniones no
son puestas en práctica por el auditado.
7.2.9 Principio de discreción
La discreción de cualquier dato, por elemental que parezca, es uno de los
principios fundamentales de la auditoría.
Aun cuando haya transcurrido mucho tiempo del evento, debe abstenerse de dar a
conocer información de los trabajos que haya realizado.
7.2.10 Principio de economía
El auditor debe cuidar el presupuesto de su cliente. Debe evitar gastos
innecesarios.
No debería retener los resultados de la auditoría ni retrasar los eventos propios de
la misma. El alcance de la auditoría debe estar claro y preciso desde el inicio del
proyecto.
No deberían ocurrir ampliaciones del trabajo en marcha, especialmente si no están
vinculados con la auditoría. Tampoco debería entrar en discusiones o hacer
comentarios o visitas que no se justifiquen en la auditoría.
7.2.11 Principio de formación continuada
La formación del auditor sigue todo el tiempo, de acuerdo con los cambios
tecnológicos.
7.2.12 Principio de fortalecimiento y respeto de la profesión
El cobro de servicios que significa el valor del trabajo del auditor, no debería estar
por abajo del esfuerzo de cualquier auditor, ni debería ser abusivo.
Si los honorarios son muy bajos, el auditor compite deslealmente con otros; por
otro lado, si son exageradamente altos, hace que la profesión se desacredite.
Al ser integrante de un grupo profesional, debe promover el respeto mutuo y
debería evitar la confrontación con un par. También está obligado a denunciar
comportamientos indebidos.
Tiene que establecer comunicación con sus colegas, llegando a trabajar
colaborativamente sin problemas.
7.2.13 Principio de independencia.
El auditor ha de tener autonomía en su trabajo. Es la garantía de que los intereses
del auditado se asumen con objetividad. Puede rechazar criterios con los que no
esté de acuerdo.
En su informe, tiene el derecho y la obligación de escribir todo lo que le parezca
pertinente y sus recomendaciones tienen que estar encaminadas al bien del
auditado, buscando evitar perjuicios al mismo, aun cuando reciba solicitudes en
esa dirección.
Evitará establecer nexos que limiten su proceder.
Sin embargo, el auditado puede o no tomar en cuenta las recomendaciones.
7.2.14 Principio de información suficiente
El informe de auditoría debe contener toda la información necesaria y suficiente
que sea pertinente para resolver las preguntas iniciales que constituyen el objetivo
de la auditoría.
Debe informar el auditor a su cliente todo aquello que pueda ser útil, dejando a un
lado la autopromoción o la recomendación de conocidos. El volumen del informe
no tendría que ser extenso.
Ha de garantizar la exactitud de sus observaciones. El auditor debe ser
responsable de lo que escribe y debe evitar anécdotas insustanciales. Debe
explicar la metodología y basarse en ella para emitir sus juicios. No hay reserva en
esto.
7.2.15 Principio de integridad moral.
El auditor debe ser honesto, leal y diligente en el desempeño de su misión, a
ajustarse a las normas morales, de justicia y probidad y a evitar participar
voluntariamente o no, en cualesquiera actos de corrupción personal o de terceras
personas.
El auditor no deberá, bajo ninguna circunstancia, aprovechar los conocimientos
adquiridos durante la auditoría para utilizarlos en contra del auditado o de terceras
personas relacionadas con el mismo
7.2.16 Principio de legalidad.
El auditor no debe emplear sus conocimientos para asesorar en el incumplimiento
de la ley.
No debe colaborar en la eliminación de códigos de seguridad de sistemas para
obtener información de terceros.
Tampoco podrá intervenir líneas telefónicas ni comprometer la producción.
7.2.17 Principio de libre competencia.
El comportamiento del auditor debe permitir la existencia de otros auditores. Un
auditor no debe realizar prácticas parasitarias o desleales.
7.2.18 Principio de no discriminación.
Sin prejuicios. El auditor debe relacionarse con otras personas en un trato de
igualdad.
7.2.19 Principio de no injerencia.
El auditor no debería dar opiniones denigrantes de otros pares. Tampoco debería
expresar su desacuerdo con los métodos de otro par. Si lo hace, tendría que ser
en un proceso en el cual los resultados del otro auditor tengan relación con el
objetivo de la auditoría que esté realizando.
7.2.20 Principio de precisión
La conclusión debe ser emitida solamente cuando el auditor esté convencido de la
viabilidad de sus propuestas.
En las conclusiones, debe ser crítico y ha de hacer notar los eventos que pudieran
haber afectado la calidad y fiabilidad de la auditoría. No deben quedar
ambigüedades por el hecho de evadir la respuesta.
Debe hacer notar las partes que fueron evaluadas exhaustivamente y las que
hayan sido parcialmente abordadas, o bien, que hayan sido trabajadas por
terceros.
7.2.21 Principio de publicidad adecuada.
La oferta de servicios debe ser publicitada en su justa dimensión, sin ofrecer
objetivos engañosos.
7.2.22 Principio de responsabilidad
El auditor es absolutamente responsable de la auditoría y del contenido de su
informe.
Un error en el proceso puede causar daños a su cliente. Es importante contar con
un seguro de responsabilidad civil que pueda cubrir esos daños.
Se debe establecer un tope máximo de responsabilidad.
7.2.23 Principio de secreto profesional
Éste es un principio común en todas las profesiones, pero para el auditor es
especialmente importante. Solamente puede revelar información si se le requiere a
nivel legal.
El secreto profesional se extiende a todos los integrantes del equipo del auditor.
Son responsables solidarios con el auditor.
La información de la auditoría debería quedar almacenada en soporte del
auditado, quien podrá liberarla para otros profesionales que él elija.
Si se llegara a usar alguna información disgregada para cuestiones de difusión
científica, ha de ser en forma de que no se pueda asociar esa información con el
auditado.
7.2.24 Principio de servicio público.
Si en su actividad el auditor encuentra un virus que pudiera dañar a los otros
equipos del auditado, debe hacerlo saber oportunamente. Debe hacer lo que esté
a su alcance para evitar que algo así pudiera extenderse fuera del ámbito que
audita, siempre cuidando los intereses de su cliente.
7.2.25 Principio de veracidad
Además de las conclusiones que puedan ser sustentadas con certeza, el auditor
debe exponer hechos que, con cierto nivel de subjetividad, puedan darse por
válidos con una probabilidad muy alta, siempre que no haya evidencia en sentido
contrario.
7.5 Cuestiones de repaso.
1. Principios deontológico aplicables a los auditores informativos.
2. Principio de calidad
3. Principio de criterio propio
4. ¿Qué significa el principio de economía?
5. Importancia de la formación continua del auditor informático
6. Grado de independencia del auditor informático
7. ¿Qué es el principio de legalidad?
8. Responsabilidad del auditor informático.
9. ¿A qué obliga el secreto profesional?
10. Facetas que configuran el régimen de responsabilidad frente a terceros.