Ester Chicano Tejada - Auditoría de seguridad informática. IFCT0109

7 En el proceso de auditoría, el auditor debe respaldarse necesariamente con evidencias que confirmen sus hallazgos, resultados y conclusiones.

8 Las tareas de auditoría deben llevarse a cabo son sumo cuidado profesional, cumpliendo las normativas de auditoría aplicables. Nota: En la actualidad, ISACA cuenta con más de 95.000 miembros de más de 160 países, lo que apoya su seriedad y profesionalidad.

9 Durante la realización del informe, el auditor debe expresar con claridad los objetivos de la auditoría, su duración (de fecha a fecha) y las tareas realizadas en todo el proceso.

10 En el mismo informe, el auditor también deberá mencionar las observaciones necesarias para una mejor comprensión y las conclusiones obtenidas con las distintas tareas realizadas.

En la imagen siguiente, se observa una descripción básica de cada una de las normas que forman parte de la normativa profesional de la ISACA.

Como ya se ha mencionado, el Código de Ética de ISACA establece una serie de preceptos con el fin de guiar la conducta profesional de los miembros de la organización y de los poseedores de su certificación.

Más concretamente, este código de ética se define en siete lineamientos:

1 Apoyar la implementación y el cumplimiento de los estándares, procedimientos, normas y controles de los sistemas de información y de la tecnología de la empresa.

2 Ejecutar las tareas con objetividad, diligencia y rigor profesional, siguiendo los estándares marcados en la profesión.

3 Actuar en interés de las partes interesadas (empleadores, clientes, público en general, etc.) de un modo diligente, leal y honesto, sin contribuir en actividades ilícitas o incorrectas que puedan desacreditar la profesión o a la asociación.

4 Mantener la confidencialidad de la información que se obtenga en el desarrollo de la auditoría, salvo que sea exigida por una autoridad legal. La información no se podrá utilizar en beneficio propio ni cederla a terceros inapropiados.

5 Mantener la aptitud y capacidad en los campos relacionados con la auditoría y los sistemas de información mediante la realización de actividades que permitan actualizar y mejorar las habilidades, competencias y conocimientos necesarios.

6 Informar a las partes involucradas de los resultados obtenidos en el proceso de auditoría.

7 Apoyar la educación profesional de las partes interesadas (gerencia, clientes, etc.) para una mejor comprensión de las tareas de auditoría, de la gestión de los sistemas de información y de la tecnología de la organización.

Importante

El incumplimiento del Código de Ética de ISACA puede desembocar en una investigación de las actuaciones de la empresa por parte de ISACA e, incluso, en la adopción de medidas disciplinarias.

Además de las Normas Profesionales y el Código de Ética propuestos por ISACA, hay también un código deontológico que deben tener en cuenta todos los profesionales que quieran dedicarse a la actividad de auditoría informática.

Como ya se ha mencionado, el código deontológico está formado por una serie de principios morales elaborados que sirvan de guía a los auditores informáticos en el momento de ejercer su profesión, teniendo en cuenta una ética de la informática.

Principios del código deontológico de la auditoría

El código deontológico de la auditoría está formado por una serie de principios fundamentales, descritos a continuación.

Principio de beneficio del auditado

Las tareas del auditor deben estar enfocadas a maximizar el beneficio de sus clientes sin anteponer sus intereses personales. En caso de hacer prevalecer sus intereses antes de los clientes, se considerará una conducta no ética.

Además, el auditor también deberá evitar recomendar actuaciones que no sean necesarias o que impliquen algún tipo de riesgo sin justificación para el auditado.

Principio de calidad

El auditor debe ejercer sus tareas dentro de unos estándares de calidad de modo que, en caso de no disponer de medios adecuados para realizar sus actividades convenientemente, deberá negarse a realizarlas hasta que no se garantice un mínimo de condiciones técnicas.

Si el auditor, en el momento de elaborar el informe, considera que no tiene conocimientos técnicos suficientes, deberá remitirlo a otro técnico más cualificado para mejor calidad de la auditoría.

Principio de capacidad

El auditor informático debe estar plenamente capacitado para el ejercicio de su profesión y, para ello, debe actualizar sus conocimientos de forma periódica mediante actividades de formación continua.

Nota

El auditor debe planificar su formación para que sus conocimientos se actualicen de un modo acorde con la evolución de las tecnologías de la información.

Para conocer sus necesidades de formación, el auditor deberá ser consciente en todo momento de sus aptitudes y capacidades, conociendo también sus puntos débiles con el fin de cometer menos errores en el ejercicio de sus tareas.

Principio de cautela

Las recomendaciones del auditor siempre deben estar basadas en sus conocimientos y experiencias, manteniendo al auditado siempre informado de la evolución de las tecnologías de la información y de las actuaciones que se deben llevar a cabo.

Principio de comportamiento profesional

En el momento de realizar las tareas de su profesión, el auditor siempre deberá tener en cuenta las normas tanto explícitas como implícitas, teniendo sumo cuidado en la exposición de sus opiniones.

Además, debe tener seguridad en sus actuaciones y en la exposición de sus conocimientos técnicos, trasmitiendo una imagen de precisión y exactitud a sus auditados.

Principio de concentración en el trabajo

En momentos de alto volumen de trabajo, el auditor deberá evitar que el exceso de trabajo dificulte su capacidad de concentración y precisión en sus tareas.

Por ello, deberá realizar previsiones de posibles acumulaciones de trabajo y evaluar las consecuencias de no llevar a cabo sus tareas con la precisión y profesionalidad requerida para mantener unos estándares de calidad en la auditoría.

Nota

En momentos de alta carga de trabajo, el auditor nunca deberá realizar informes y emitir conclusiones partiendo de trabajos anteriores para ahorrar esfuerzos; no solo habrá una merma de la calidad, sino que también pueden obtenerse conclusiones erróneas y, por tanto, auditorías poco válidas.

Principio de confianza

El auditor deberá dar siempre sensación de confianza al auditado mediante la transparencia en sus actuaciones. Esta confianza entre auditor y auditado se confirmará resolviendo las posibles dudas que puedan surgir en ambas partes y utilizando un lenguaje llano que mejore la comprensión y comunicación de las tareas realizadas.

Principio de criterio propio

El auditor deberá actuar siempre con criterio propio e independencia, sin permitir que su criterio dependa de otros profesionales.