Académique Documents
Professionnel Documents
Culture Documents
Capitulo 7.
7.1. Introduccin
Hay que resaltar el hecho de que los principios morales, en contraposicin con los preceptos normativos materiales, deben ser asumidos individual y colectivamente como propios y en forma voluntaria. Junto con las normas ticas inmateriales, coexisten otras positivas que regulan, en forma coactiva, los deberes y derechos de los ciudadanos integrados en cada colectividad.
Ingeniera de Sistemas X Ciclo - 2005
7.1. Introduccin
El Cdigo Deontolgico es entendido como el conjunto de preceptos que establecen los deberes exigibles a aquellos profesionales que ejercen una determinada actividad. Estos cdigos tienen como finalidad la de incidir en sus comportamientos profesionales estimulando a que estos se ajusten a determinados principios morales que deben servirles de gua.
Ingeniera de Sistemas X Ciclo - 2005
7.1. Introduccin
Los cdigos deontolgicos deben ser elaborados por los propios profesionales en el marco de los colegios, asociaciones o agrupaciones que los representen, y asumidos en forma generalizada como forma de autoregulacin tica de su actividad. Existe un innumerable conjunto de preceptos incluidos en normas materiales provenientes del Derecho Constitucional, Civil, laboral, Mercantil, etc.
4
7.1. Introduccin
Los cdigos deontolgicos restringen su mbito subjetivo a determinados grupos de personas, los profesionales de reas concretas, y acotan sus mbitos temticos a sus especficos campos de actividad. Para los auditores, el cdigo pretende eliminar el error de creer que sus actividades debe valorarse nicamente en funcin de unos mnimos estndares tcnicos de calidad y fiabilidad obviando los condicionantes ticos que , en caso de conflicto con condicionantes tcnicos o de cualquier otra ndole, deben ser considerados como prevalentes.
Ingeniera de Sistemas X Ciclo - 2005
Los principios deontolgicos aplicables a los auditores deben necesariamente estar en consonancia con los del resto de profesionales y especialmente con los de aquellos cuya actividad presente mayores concomitancias con la auditora. Se pueden indicar como bsicos los siguientes:
En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en el que la precariedad de medios puestos a su disposicin impidan o dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. 10
El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin personal pudiera provocar el incumplimiento parcial o total de la misma. Conviene indicar que en los casos de producirse, por el contrario, una subestimacin de su capacidad de su capacidad profesional, esta circunstancia podra afectar negativamente en la confianza del auditado sobre el resultado final de la auditora.
11
A efectos de garantizar, en la medida de lo posible, la pertinencia de sus conocimientos, el auditor deber procurar que stos evolucionen, al unsono con el desarrollo de las tecnologas de la informacin, en una forma dinmica. Es deseable que se fortalezca la certificacin profesional de la aptitud de los auditores para realizar unos trabajos de ndole tan compleja. Esta certificacin que deber tener a plazo de validez acorde con la evolucin de las nuevas tecnologas de la informacin de la informacin, debera estar validada y garantizada por la metodologa empleada para acreditar dicha especializacin.
12
13
7.2.5 PRI CIPIO DE COMPORTAMIE TO PROFESIO AL. El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios.
Ingeniera de Sistemas X Ciclo - 2005
14
15
16
18
La defensa a ultranza del propio criterio no es bice para respetar las crticas adversas de terceros, aunque el auditor debe evitar que, si una vez analizadas contina discrepando de las mismas, stas pueden seguir influyendo en su trabajo, ya que la libertad de criterio impone al auditor la obligacin de tica de actuar en todo momento. 19
Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos en que llegue al convencimiento de que la actividad que se solicita, presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora. De igual forma cuando el auditor observe que, de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la continuidad de sus servicios en funcin de las razones y causas que considere puedan justificar dicho proceder.
Ingeniera de Sistemas X Ciclo - 2005
20
7.2.9
Principio de discrecin El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria
7.2.10 Principio de Economa El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados. En las recomendaciones y conclusiones realizadas en base a su trabajo deber as mismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados.
Ingeniera de Sistemas X Ciclo - 2005
21
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.11 Principio De Formacin Continuada
Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. 7.2.12 Principio De Fortalecimiento y Respeto De La Profesin
La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. El auditor como integrante de un grupo profesional beber promover el respeto mutuo y la no confrontacin entre compaeros. En sus relaciones profesionales beber exigir as mismo una reciprocidad en el comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando as se le soliciten.
Ingeniera de Sistemas X Ciclo - 2005
22
7.2.13
Principio de Independencia
Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Esta independencia implica as mismo el rechazo de criterios con los que no este plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que considere pertinentes evitando incluir en el mismo aquellos otros que segn su entender pudieran producir perjuicios al auditado, aunque este as se lo solicite. 23
7.2.14
Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, como sobre las conclusiones a las que a llegado. Es importante asimismo que la informacin transmitida al auditado ponga de manifiesto una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben estar reidas con los principios de suficiencia informativa y de veracidad evitando recrear los aspectos negativos o los errores humanos detectados que deben quedar reflejados con un cierto tacto profesional.
Ingeniera de Sistemas X Ciclo - 2005
24
7.2.15 Principio de Integridad Moral Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas. 7.2.16 Principio de Legalidad La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo
Ingeniera de Sistemas X Ciclo - 2005
25
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.17 Principio de Libre Competencia: La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. 7.2.18 Principio de no Discriminacin: El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.
26
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.19 Principio de no Injerencia: El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Deber igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en competencia desleal con profesionales relacionados con ella de otras reas del conocimiento. 7.2.20 Principio de Precisin: Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario.
27
7.2.20 Principio de Precisin: En la exposicin de sus conclusiones deber ser suficientemente critico, no eludiendo poner de manifiesto aquellos aspectos concretos que considere puedan tener una incidencia en la calidad y fiabilidad de la auditoria. Es exigible asimismo del auditor que indique como evaluado nicamente aquello que directamente, o por medio de sus colaboradores, haya comprobado u observado de forma exhaustiva. 7.2.21 Principio de Publicidad Adecuada: La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios.
28
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.22 Principio de Responsabilidad El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuacin profesional. La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o perjuicios que pudieran derivarse de una actuacin negligente o culposa.
29
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.23 Principio de Secreto Profesional: La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. Este principio obliga primero a no difundir a terceras personas ningn dato que haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente. Establecimiento de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la informacin documentada, obtenida a lo largo de la auditoria, va a quedar almacenada en entornos o soportes que impidan la accesibilidad a la misma por terceras personas no autorizadas.
30
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.24 Principio de Servicio Publico: La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. Deber poner de manifiesto sus opciones personales cuando entren en contradiccin con la tica social que el auditado pueda presumir que esta implcitamente aceptada por el auditor. Exige una continua elevacin del arte de la ciencia en el campo de la auditoria informtica. 7.2.25 Principio de veracidad: El Auditor en sus comunicaciones con el auditado debera tener siempre presente la obligacion de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccion, y secreto profesional.
31
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 7.2.25 Principio de Veracidad: El principio de veracidad no debe, sin embargo, considerarse como constreido a expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidad como para ser considerado como veraz mientras no se aporten datos o pruebas que demuestren lo contrario. La aplicacin de este principio exige al auditor, en el marco de su obligacin de informar al auditado sobre el trabajo realizado, comunique a este ultimo sus conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la fundamentacin de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligacin de informar verazmente.
32
33
La ISACF (Fundacin de Control y Auditoria de Sistema de Informacin) propone el siguiente Cdigo de tica Profesional para orientar a la conducta profesional. Los Auditores Certificados de Sistema de Informacin debern: 1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorias de sistemas de informacin. Cumplir con las Normas de Auditoria de Sistemas de Informacin, segn las adopte la ISACF. Actuar en inters de sus empleadores, accionistas, clientes y publico en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilcitas o incorrectas. Mantener la confidencialidad de la informacin obtenida en el curso de sus deberes.
Ingeniera de Sistemas X Ciclo - 2005
2. 3.
4.
34
Cap. 7. Deontologa del Auditor Informtico y Cdigos ticos 1. Cumplir con sus deberes en forma independiente y objetiva y evitar toda actividad que comprometa o parezca comprometer su independencia. Mantener su capacidad en los campos relacionados con la auditoria y los sistemas de informacin mediante la participacin en actividades de capacitacin profesional. Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y recomendaciones. Informar a las partes involucradas del resultado de las tareas de auditoria que se hayan realizado. Apoyar la entrega de conocimientos a la gerencia, clientes y al publico en general para mejorar su comprensin de la auditoria y los sistemas de informacin. Mantener altos estndares de conducta y carcter tanto en las actividades profesionales como en las privadas.
2.
3.
4. 5.
6.
35
The British Computer Society por su parte establece un Cdigo de Conducta cuyos principios es esquematizan a continuacin: Conducta Profesional. Integridad Profesional. Inters Publico. Fidelidad. Competencia Tcnica. Imparcialidad.
Ingeniera de Sistemas X Ciclo - 2005
36
37
38
LOPD
Esta Ley espaola, afecta a las empresa independientemente del tamao o actividad, pudiendo ser sancionado con cantidades millonarias La Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD), impone diversas obligaciones a todas las empresas y profesionales posean bases de datos con datos de carcter personal.
Ingeniera de Sistemas X Ciclo - 2005
39
La LOPD le obliga a adoptar medidas tcnicas y organizativas que se debern reflejar en el Documento de Seguridad de su empresa, e incluir sus ficheros en el registro de APD. Si la empresa dispone de datos de personas (nombre, telfono, direccin...) para pedidos, facturas, nminas, etc. en su gestion de:
Clientes Proveedores Empleados Contabilidad Etc.
LOPD
Las principales obligaciones son tres: 1.Notificar ante la Agencia de Proteccin de Datos todos los ficheros que contengan datos de carcter personal (personal, clientes, proveedores, asociados, etc). 2.Adecuar la actividad de la empresa a las obligaciones establecidas para recabar, tratar y comunicar datos de carcter personal. 3.Elaborar el Documento de Seguridad obligatorio (Real Decreto 994/1999).
Ingeniera de Sistemas X Ciclo - 2005
41
LOPD
La labor jurdica de adecuar una empresa a la LOPD no slo sirve para cumplir con la ley, sino para garantizar la seguridad jurdica, la confidencialidad y la integridad de la informacin, y de este modo, preservar el honor, la intimidad personal y familiar as como el pleno ejercicio de los derechos personales. A cuanto pueden ascender las sanciones por incumplir esta normativa? Hasta 600.000 , por una falta grave, como por ejemplo: Mantener los ficheros , locales, programas o equipos que contengan datos de carcter personal sin las debidas condiciones de seguridad, que por va reglamentaria se determinen.
Ingeniera de Sistemas X Ciclo - 2005
42
43
LSSI-CE
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico. Aprobada por el Congreso espaol el 27 de junio de 2002 y publicada en el BOE de 12 de julio de 2002.
BOE: Boletin Oficial del Estado - Espaa Ingeniera de Sistemas X Ciclo - 2005
44
45
LSSI-CE
El objeto de estas normas es regular CUALQUIER tipo de actividad que se realice a travs de la Red de redes. El concepto material en torno al que gira su mbito de aplicacin se denomina "servicios de la sociedad de la informacin" y, como veremos seguidamente, ah no cabe slo el, ya fallido, comercio electrnico. De esta forma, todo el que preste un "servicio de la sociedad de la informacin" se convierte automticamente en prestador de servicios de la sociedad de la informacin y, consecuentemente, cae dentro del mbito de aplicacin de la Ley.
Ingeniera de Sistemas X Ciclo - 2005
46
47
48
7.5.- CONCLUSIONES
El auditor informtico debe ser plenamente consciente de que su comportamiento profesional presenta dos factores, ntimamente ligadas, que configuran el rgimen de su responsabilidad frente a terceros. La primera corresponde a la aplicacin de sus conocimientos tcnicos con la finalidad de determinar las condiciones de seguridad, fiabilidad y calidad de los medios, elementos o productos que conforman el sistema informtico auditado. La segunda debe poner de manifiesto la aplicacin de los fundamentos humansticos que como persona y como profesional le son ticamente exigibles. En los casos de producirse algn conflicto entre ambas facetas, la ponderacin de los derechos deber dar primaca a los valores morales sobre los materiales.
Ingeniera de Sistemas X Ciclo - 2005
49
GRACIAS
50