1.) Que es la Explotacin Informtica, de que se ocupa y diga sus divisiones.

La Explotacin Informtica se ocupa de producir resultados informticos de todo

tipo: listados impresos, ficheros soportados magnticamente para otros
informticos, ordenes automatizadas para lanzar o modificar procesos industriales,
etc. La explotacin informtica se puede considerar como una fabrica con ciertas
peculiaridades que la distinguen de las reales. Para realizar la Explotacin
Informtica se dispone de una materia prima, los Datos, que es necesario
transformar, y que se someten previamente a controles de integridad y calidad. La
transformacin se realiza por medio del Proceso informtico, el cual est
gobernado por programas. Obtenido el producto final, los resultados son
sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al
usuario.
Auditar Explotacin consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotacin Informtica se divide en tres grandes reas:
Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el
cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la
correcta transmisin de datos entre entornos diferentes. Se verificar que los
controles de integridad y calidad de datos se realizan de acuerdo a Norma.
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo,
verificando su cumplimiento y su calidad de interlocutor nico. Debern realizarse
muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Se
inquirir sobre la anticipacin de contactos con Desarrollo para la planificacin a
medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria. Bsicamente,
la explotacin Informtica ejecuta procesos por cadenas o lotes sucesivos (Batch*),
o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones de Teleproceso
estn permanentemente activas y la funcin de Explotacin se limita a vigilar y
recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de
Explotacin. En muchos Centros de Proceso de Datos, ste rgano recibe el nombre
de Centro de Control de Batch. Este grupo determina el xito de la explotacin, en
cuanto que es uno de los factores ms importantes en el mantenimiento de la
produccin.
*Batch y Tiempo Real:
Las Aplicaciones que son Batch son Aplicaciones que cargan mucha informacin
durante el da y durante la noche se corre un proceso enorme que lo que hace es
relacionar toda la informacin, calcular cosas y obtener como salida, por ejemplo,
reportes. O sea, recolecta informacin durante el da, pero todava no procesa
nada. Es solamente un tema de "Data Entry" que recolecta informacin, corre el
proceso Batch (por lotes), y calcula todo lo necesario para arrancar al da siguiente.
Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber
ingresado la informacin correspondiente, inmediatamente procesan y devuelven
un resultado. Son Sistemas que tienen que responder en Tiempo Real.
Operacin. Salas de Ordenadores:
 Se intentarn analizar las relaciones personales y la coherencia de cargos y salarios,
as como la equidad en la asignacin de turnos de trabajo. Se verificar la existencia
de un responsable de Sala en cada turno de trabajo. Se analizar el grado de
automatizacin de comandos, se verificara la existencia y grado de uso de los
Manuales de Operacin. Se analizar no solo la existencia de planes de formacin,
sino el cumplimiento de los mismos y el tiempo transcurrido para cada Operador
desde el ltimo Curso recibido. Se estudiarn los montajes diarios y por horas de
cintas o cartuchos, as como los tiempos transcurridos entre la peticin de montaje
por parte del Sistema hasta el montaje real. Se verificarn las lneas de papel
impresas diarias y por horas, as como la manipulacin de papel que comportan.
Centro de Control de Red y Centro de Diagnosis:
El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin.
Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estando
muy relacionado con la organizacin de Software de Comunicaciones de Tcnicas
de Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin
entre ambos. Se verificar la existencia de un punto focal nico, desde el cual sean
perceptibles todos las lneas asociadas al Sistema. El Centro de Diagnosis es el ente
en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas
o incidencias, tanto de Software como de Hardware. El Centro de Diagnosis est
especialmente indicado para informticos grandes y con usuarios dispersos en un
amplio territorio. Es uno de los elementos que ms contribuyen a configurar la
imagen de la Informtica de la empresa. Debe ser auditada desde esta perspectiva,
desde la sensibilidad del usuario sobre el servicio que se le dispone. No basta con
comprobar la eficiencia tcnica del Centro, es necesario analizarlo
simultneamente en el mbito de Usuario.

2.) Que se evala en la Auditoria de Aplicaciones.

Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el
anlisis de cuatro consideraciones:
Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se
asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el
fcil mantenimiento de las mismas.
Control Interno de las Aplicaciones: se debern revisar las mismas fases que
presuntamente han debido seguir el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin. [Importante para Aplicaciones largas,
complejas y caras]
Definicin Lgica de la Aplicacin. [se analizar que se han observado los
postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad
que persigue el proyecto]
Desarrollo Tcnico de la Aplicacin. [Se verificar que ste es ordenado y correcto.
Las herramientas tcnicas utilizadas en los diversos programas debern ser
compatibles]
Diseo de Programas. [debern poseer la mxima sencillez, modularidad y
economa de recursos]
Mtodos de Pruebas. [Se realizarn de acuerdo a las Normas de la Instalacin. Se
utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales]
 Documentacin. [Cumplir la Normativa establecida en la Instalacin, tanto la de
Desarrollo como la de entrega de Aplicaciones a Explotacin]
Equipo de Programacin. [Deben fijarse las tareas de anlisis puro, de
programacin y las intermedias. En Aplicaciones complejas se produciran
variaciones en la composicin del grupo, pero estos debern estar previstos]
Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada,
deber considerarse fracasada si no sirve a los intereses del usuario que la solicit.
La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que
evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.
Control de Procesos y Ejecuciones de Programas Crticos: El auditor no debe
descartar la posibilidad de que se est ejecutando un mdulo que no se
corresponde con el programa fuente que desarroll, codific y prob el rea de
Desarrollo de Aplicaciones. Se ha de comprobar la correspondencia biunvoca y
exclusiva entre el programa codificado y su compilacin. Si los programas fuente y
los programa mdulo no coincidieran podran provocar, desde errores de bulto que
produciran graves y altos costes de mantenimiento, hasta fraudes, pasando por
acciones de sabotaje, espionaje industrial-informativo, etc. Por ende, hay normas
muy rgidas en cuanto a las Libreras de programas; aquellos programas fuente que
hayan sido dados por bueno por Desarrollo, son entregados a Explotacin con el fin
de que ste:
Copie el programa fuente en la Librera de Fuentes de Explotacin, a la que nadie
ms tiene acceso
Compile y monte ese programa, depositndolo en la Librera de Mdulos de
Explotacin, a la que nadie ms tiene acceso.
Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos,
etc. en el lugar que se le indique. Cualquier cambio exigir pasar nuevamente por el
punto 1.
Como este sistema para auditar y dar el alta a una nueva Aplicacin es bastante
ardua y compleja, hoy (algunas empresas lo usarn, otras no) se utiliza un sistema
llamado U.A.T (User Acceptance Test). Este consiste en que el futuro usuario de esta
Aplicacin use la Aplicacin como si la estuviera usando en Produccin para que
detecte o se denoten por s solos los errores de la misma. Estos defectos que se
encuentran se van corrigiendo a medida que se va haciendo el U.A.T. Una vez que
se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto est bien"). Todo
este testeo, auditora lo tiene que controlar, tiene que evaluar que el testeo sea
correcto, que exista un plan de testeo, que est involucrado tanto el cliente como el
desarrollador y que estos defectos se corrijan. Auditora tiene que corroborar que
el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por todo.

3.) De los distintos tipos de evaluaciones, que puede considerar la Auditora de

Redes segn su clasificacin.
Para el informtico y para el auditor informtico, el entramado conceptual que
constituyen las Redes Nodales, Lneas, Concentradores, Multiplexores, Redes
Locales, etc. no son sino el soporte fsico-lgico del Tiempo Real. El auditor tropieza
con la dificultad tcnica del entorno, pues ha de analizar situaciones y hechos
alejados entre s, y est condicionado a la participacin del monopolio telefnico
que presta el soporte. Como en otros casos, la auditora de este sector requiere un
equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes
Locales (no hay que olvidarse que en entornos geogrficos reducidos, algunas
empresas optan por el uso interno de Redes Locales, diseadas y cableadas con
recursos propios).
El auditor de Comunicaciones deber inquirir sobre los ndices de utilizacin de
las lneas contratadas con informacin abundante sobre tiempos de desuso. Deber
proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la
desactualizacin de esta documentacin significara una grave debilidad. La
inexistencia de datos sobre la cuantas lneas existen, cmo son y donde estn
instaladas, supondra que se bordea la Inoperatividad Informtica. Sin embargo, las
debilidades ms frecuentes o importantes se encuentran en las disfunciones
organizativas. La contratacin e instalacin de lneas va asociada a la instalacin de
los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas
actividades deben estar muy coordinadas y a ser posible, dependientes de una sola
organizacin.
Fsica o lgica?
Cuando se considera la proteccin de la informacin y de los dispositivos de red, las
auditoras pueden clasificarse en revisiones de seguridad fsica y lgica. Por un lado,
la revisin de seguridad fsica est orientada en conocer y evaluar los mecanismos
de proteccin del hardware y del cableado, mientras que las revisiones lgicas
tienen como propsito verificar y evaluar las medidas de proteccin sobre la
informacin y los procesos.
En este sentido, la auditora de seguridad fsica en redes puede considerar la
revisin de las conexiones y su apego a normas de cableado estructurado
establecidas por organismos como ANSI o ISO, as como medidas que protegen
tanto el cableado como los dispositivos de red, incluso controles aplicados sobre los
cuartos de servidores (sites). En tanto, las evaluaciones lgicas consideran
mecanismos de control de acceso a la red, privilegios de cuentas con autorizacin
para conexiones o los protocolos utilizados, por mencionar algunos ejemplos.
Interna o externa?
Tambin, con base en la configuracin de la red, la auditora puede considerar
revisiones de red interna y externa. Las revisiones externas son aqullas que se
llevan a cabo desde fuera del permetro y pueden incluir la evaluacin de
configuraciones, revisin de reglas en firewalls, configuracin de IDS/IPS y listas de
control de acceso en routers, entre otras actividades.
La red interna, en cambio, puede considerar la revisin de la configuracin de
segmentos de red, protocolos utilizados, servicios desactualizados o topologas
empleadas.
Red cableada o inalmbrica?
Adems, tambin es posible clasificar la revisin en funcin del tipo de red a
evaluar, por ejemplo si se trata de una revisin de red cableada o inalmbrica. Si se
trata de redes inalmbricas, se deber evaluar la conveniencia de los protocolos de
cifrado utilizados para las comunicaciones entre los puntos de acceso y los
dispositivos que se conectan a la red, as como el uso de llaves de cifrado extensas y
complejas, que reduzcan la probabilidad de xito de ataques de fuerza bruta o de
diccionario.
 En este sentido, tambin es importante llevar a cabo comprobaciones sobre la
vulnerabilidad de los dispositivos, relacionada con ataques comunes a redes
inalmbricas, por ejemplo, suplantacin de puntos de acceso o denegacin de
servicio (DoS). Ya hemos visto por qu es importante este punto, si consideramos el
peligro de la mala gestin del Wi-Fi en empresas.
Revisiones tcnicas o de cumplimiento?
Otro tipo de auditoras estn relacionadas con las personas que llevan a cabo las
revisiones y su especializacin en el tema, por lo tanto se pueden llevar a cabo
revisiones tcnicas y de cumplimiento. Las revisiones tcnicas deben comprender
conocimientos de los protocolos y dispositivos utilizados, de manera que las
debilidades puedan ser identificadas y posteriormente corregidas. Para esto, es
importante aplicar la perspectiva ofensiva, en la cual se simulan ataques, claro est,
siempre con la autorizacin debida y en ambientes controlados (incluyen
evaluaciones de vulnerabilidades o pruebas de penetracin).
Las revisiones de cumplimiento o gestin permiten conocer el estado de apego en
las prcticas que se llevan a cabo en las organizaciones relacionadas con la
proteccin de las redes, en comparacin con lo que establecen documentos
especializados, como pueden ser estndares de seguridad, marcos de referencia o
requisitos que deban ser cumplidos.
Finalmente, el propsito de las auditoras es la proteccin
Hemos enlistado, de manera general, este conjunto de enfoques que pueden ser
utilizados para llevar a cabo auditoras de redes corporativas, pero es importante
mencionar que el objetivo de cada uno de ellos es el mismo: brindar informacin
sobre el estado de las medidas de seguridad aplicadas, para identificar fallas,
evaluarlas y posteriormente corregirlas.
Por ltimo, tambin resaltamos que no debe aplicarse una visin parcial de las
auditoras, ya que en la actualidad las distintas amenazas obligan a tener una
perspectiva general de los problemas. De esta manera, es posible considerar los
distintos enfoques y sobre todo los elementos involucrados, ya que ningn sistema
se encuentra aislado -desde dispositivos de red, equipos de cmputo, dispositivos
mviles o cualquier otro que pueda conectarse a una red.
Y esto, sin los anlisis pertinentes, podra aumentar la gama de vulnerabilidades.

4.) Hable de Auditora de Sistemas.

Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas
sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado
que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se
auditen por separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en
primer lugar que los Sistemas estn actualizados con las ltimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las
versiones de los Sistemas Operativos permite descubrir las posibles
incompatibilidades entre otros productos de Software Bsico adquiridos por la
instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros
variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han
sido facturados aparte de la propia computadora. Esto, por razones econmicas y
por razones de comprobacin de que la computadora podra funcionar sin el
producto adquirido por el cliente. En cuanto al Software desarrollado por el
personal informtico de la empresa, el auditor debe verificar que ste no agreda ni
condiciona al Sistema. Igualmente, debe considerar el esfuerzo realizado en
trminos de costes, por si hubiera alternativas ms econmicas.
Software de Teleproceso (Tiempo Real):
No se incluye en Software Bsico por su especialidad e importancia. Las
consideraciones anteriores son vlidas para ste tambin.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la
evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto.
Las acciones de tunning deben diferenciarse de los controles habituales que realiza
el personal de Tcnica de Sistemas. El tunning posee una naturaleza ms revisora,
establecindose previamente planes y programas de actuacin segn los sntomas
observados. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general
del Sistema
De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso
sus acciones son repetitivas y estn planificados y organizados de
antemano.
El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as
como sus resultados. Deber analizar los modelos de carga utilizados y los niveles e
ndices de confianza de las observaciones.
Optimizacin de los Sistemas y Subsistemas:
Tcnica de Sistemas debe realizar acciones permanentes de optimizacin como
consecuencia de la realizacin de tunnings preprogramados o especficos. El
auditor verificar que las acciones de optimizacin* fueron efectivas y no
comprometieron la Operatividad de los Sistemas ni el plan crtico de produccin
diaria de Explotacin.

Optimizacin:
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene
nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando,
la Aplicacin se va poniendo cada vez ms lenta; porque todas las referencias a
tablas es cada vez ms grande, la informacin que est moviendo es cada vez
mayor, entonces la Aplicacin se tiende a poner lenta. Lo que se tiene que hacer es
un anlisis de performance, para luego optimizarla, mejorar el rendimiento de
dicha Aplicacin.

Administracin de Base de Datos:

El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha convertido en
una actividad muy compleja y sofisticada, por lo general desarrollada en el mbito
de Tcnica de Sistemas, y de acuerdo con las reas de Desarrollo y usuarios de la
empresa. Al conocer el diseo y arquitectura de stas por parte de Sistemas, se les
 encomienda tambin su administracin. Los auditores de Sistemas han observado
algunas disfunciones derivadas de la relativamente escasa experiencia que Tcnica
de Sistemas tiene sobre la problemtica general de los usuarios de Bases de Datos.
La administracin tendra que estar a cargo de Explotacin. El auditor de Base de
Datos debera asegurarse que Explotacin conoce suficientemente las que son
accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas de
salvaguarda existentes, que competen igualmente a Explotacin. Revisar
finalmente la integridad y consistencia de los datos, as como la ausencia de
redundancias entre ellos.

Investigacin y Desarrollo:
Como empresas que utilizan y necesitan de informticas desarrolladas, saben que
sus propios efectivos estn desarrollando Aplicaciones y utilidades que, concebidas
inicialmente para su uso interno, pueden ser susceptibles de adquisicin por otras
empresas, haciendo competencia a las Compaas del ramo. La auditora
informtica deber cuidar de que la actividad de Investigacin y Desarrollo no
interfiera ni dificulte las tareas fundamentales internas.
<La propia existencia de aplicativos para la obtencin de estadsticas desarrollados
por los tcnicos de Sistemas de la empresa auditada, y su calidad, proporcionan al
auditor experto una visin bastante exacta de la eficiencia y estado de desarrollo de
los Sistemas>

5.) Describa Auditora de Seguridad Informtica.

La computadora es un instrumento que estructura gran cantidad de informacin, la
cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal
utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir
robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad
computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el
momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro
factor que hay que considerar: el llamado virus de las computadoras, el cual, aunque
tiene diferentes intenciones, se encuentra principalmente para paquetes que son
copiados sin autorizacin (piratas) y borra toda la informacin que se tiene en un
disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias piratas
o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del virus. El uso inadecuado de la computadora comienza desde la
utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de
programas para fines de comercializacin sin reportar los derechos de autor hasta el
acceso por va telefnica a bases de datos a fin de modificar la informacin con
propsitos fraudulentos.
La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad
lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de
datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de
los datos, procesos y programas, as como la del ordenado y autorizado acceso de los
usuarios a la informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el
acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el
acceso a informacin confidencial. Dichos paquetes han sido populares desde hace
muchos aos en el mundo de las computadoras grandes, y los principales
proveedores ponen a disposicin de clientes algunos de estos paquetes.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que lo
que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos
a archivos, accesos a directorios, que usuario lo hizo, si tena o no tena permiso, si no
tena permiso porque fall, entrada de usuarios a cada uno de los servidores, fecha y
hora, accesos con password equivocada, cambios de password, etc. La Aplicacin lo
puede graficar, tirar en nmeros, puede hacer reportes, etc.
La seguridad informtica se la puede dividir como rea General y como rea
Especifica (seguridad de Explotacin, seguridad de las Aplicaciones, etc.). As, se
podrn efectuar auditoras de la Seguridad Global de una Instalacin Informtica
Seguridad General- y auditoras de la Seguridad de un rea informtica determinada
Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos, se
han ido originando acciones para mejorar la Seguridad Informtica a nivel fsico. Los
accesos y conexiones indebidos a travs de las Redes de Comunicaciones, han
acelerado el desarrollo de productos de Seguridad lgica y la utilizacin de
sofisticados medios criptogrficos.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes(incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos,
tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
La decisin de abordar una Auditora Informtica de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que
est sometida. Se elaboran matrices de riesgo, en donde se consideran los factores
de las Amenazas a las que est sometida una instalacin y los Impactos que
aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan
en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalan las
probabilidades de ocurrencia de los elementos de la matriz.
Ejemplo:
Amenaza
Impacto
Error Incendio Sabotaje ------
1: Improbable
Destruccin 2: Probable
- 1 1
de Hardware 3: Certeza
Borrado de -: Despreciable
3 1 1
Informacin

El cuadro muestra que si por error codificamos un parmetro que ordene el borrado de
un fichero, ste se borrar con certeza.
Juan Carlos:
Principios deontolgicos del Auditor
Rol del auditor

Cleber:
Personal Involucrado
Saberes del auditor

Braulio:
Tcnicas y herramientas del auditor de sistemas

Miguel:
Recursos Humanos y perfiles de los Auditores Informticos

PRINCIPIOS DEONTOLGICOS DEL AUDITOR

Deontologa. Definicin.

Es el tratado de los DEBERES determinados por la tica que, en definitiva, fija

ntimamente nuestras obligaciones en relacin con la bondad o malicia de las acciones
libremente ejecutadas. De la anterior definicin se infiere que la DEONTOLOGA
PROFESIONAL es la moralidad del trabajo profesional intrnsecamente considerado.

A continuacin se especifican a manera de caractersticas cada uno de los principios

propios del auditor informtico.

1. Principio de Beneficio del auditado.

Aqu se refiere al hecho de que se debe de obtener el mximo beneficio con el
equipo con que se cuenta, adems de que el auditor debe ser ajeno a la
empresa y sus integrantes adems de que no debe de salir beneficiado con la
auditoria.

2. Principio de calidad.
El auditor debe brindar un trabajo de calidad con las herramientas que tiene,
pues tiene la libertad de utilizar todo lo que cra necesario y con las condiciones
tcnicas adecuadas.

3. Principio de capacidad.
El auditor debe de ser capaz de realizar su tarea, adems de estar consciente de
sus capacidades y aptitudes.

4. Principio de cautela.
Debe de ser cuidadoso a la hora de expresarse para no inducir a gastos o
acciones innecesarias.
 5. Principio de comportamiento profesional.
Exige estar consciente de sus virtudes y deficiencias, adems de que debe saber
pedir ayuda y dar el crdito a quien lo merezca y as mismo debe de respetar la
poltica y puntos de vista de la empresa que audita.

6. Principio de concentracin en el trabajo.

Involucra poner nfasis y dedicar tiempo a cada tarea, no copy-paste.

7. Principio de confianza.
El auditor debe ser confiable, tanto de hechos y palabra.

8. Principio de criterio propio.

El auditor NO debe dejarse influir por las opiniones o instrucciones de otros,
debe de actuar segn su propia opinin.

9. Principio de discrecin.
Debe de ser reservado tanto en hechos y palabras, no hablar de ms.

10. Principio de economa.

No debe inducir a gastos innecesarios.

11. Principio de capacitacin contina.

Est obligado a seguirse preparando dentro de su rubro.

12. Principio de fortalecimiento y respeto a su profesin.

Debe de cuidar el valor de sus trabajos y conclusiones.

13. Principio de Independencia.

Debe de ser autnomo, autosuficiente y no depender de otros para realizar su
tarea.

14. Principio de informacin suficiente.

El auditor debe de brindar informacin suficiente, clara y precisa en sus
resultados.

15. Principio de Integridad Moral.

El auditor debe de ser integro y evitar participar en actos de corrupcin
personal y a terceros.

Principios Deontolgicos Aplicables a los Auditores Informticos

Deben necesariamente estar en consonancia con los del resto de profesionales y

especialmente con los de aquellos cuya actividad presente mayores relaciones con la
de la auditora, razn por la cual, en equivalencia con los principios deontolgicos
adoptados por diferentes colegios y asociaciones profesionales y sin nimo de
exhaustividad, se pueden indicar como bsicos, en un orden meramente alfabtico, los
siguientes:
1. Principio de beneficio del auditado
2. Principio de calidad
3. Principio de capacidad
4. Principio de cautela
5. Principio de comportamiento profesional
6. Principio de concentracin en el trabajo
7. Principio de confianza
8. Principio de criterio propio
9. Principio de discrecin
10. Principio de economa
11. Principio de formacin continuada
12. Principio de fortalecimiento y respeto de la profesin
13. Principio de independencia
14. Principio de informacin suficiente
15. Principio de integridad moral
16. Principio de legalidad
17. Principio de libre competencia
18. Principio de no discriminacin
19. Principio de no injerencia
20. Principio de precisin
21. Principio de publicidad adecuada
22. Principio de responsabilidad
23. Principio de secreto profesional
24. Principio de servicio pblico
25. Principio de veracidad

1. Principio de beneficio del auditado

El auditor deber ver cmo se puede conseguir la mxima eficacia y rentabilidad de los
medios informticos de la empresa auditada, estando obligado a presentar
recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones
ms idneas segn los problemas detectados en el sistema informtico de esta ltima,
siempre y cuando las soluciones que se adopten no violen la ley ni los principios ticos
de las normas deontolgicas.

En ningn caso est justificado que realice su trabajo el prisma del propio beneficio. Al
contrario, su actividad debe estar en todo momento orientada a lograr el mximo
provecho de su cliente.

Cualquier actitud que anteponga intereses personales del auditor a los del auditado
deber considerarse como no tica, ya que limitar necesariamente la aptitud del
primero para prestar al segundo toda la ayuda que, por su capacitacin, puede y debe
aportarle.

Para garantizar tanto el beneficio del auditado como la necesaria independencia del
auditor, este ltimo deber evitar estar ligado en cualquier forma, a intereses de
determinadas marcas, productos o equipos compatibles con los de su cliente, debiendo
eludir hacer comparaciones, entre el sistema o equipos del auditado con los de otros
fabricantes, cuando las mismas slo se realicen con la intencin de influir en las
decisiones de su cliente y provocar un cambio hacia esos otros sistemas o productos
bien por intereses econmicos particulares del auditor o bien por el mayor
conocimiento que tenga de ellos o desee tener.

La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis
con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas
intrnsecas. A partir de la adquisicin de dicho conocimiento, y con el grado de
independencia indicado anteriormente, estar en condiciones de indicar, si lo
considerase pertinente en forma globalizada o en forma particularizada, las ventajas y
desventajas que el sistema ofrece respecto a otros sistemas o marcas, debiendo
obtener de dicha comparacin una serie de conclusiones que permitan mejorar la
calidad y prestaciones del sistema auditado.

nicamente en los casos en que el auditor dedujese la imposibilidad de que el sistema

pudiera acomodarse a las exigencias propias de su cometido o considerase
excesivamente onerosos los cambios a introducir para obtener una suficiente fiabilidad
a corto y medio plazo, ste podra proponer un cambio cualitativamente significativo
de determinados elementos o del propio sistema informtico globalmente
contemplado.

Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los
requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la
que ha sido diseado, determinando en cada caso su adaptabilidad, fiabilidad,
limitaciones, posibles mejoras y costes de las mismas, con objeto de presentar al
auditado una serie de opciones de actuacin en funcin de dichos parmetros a fin de
que ste pueda valorar las relaciones coste-eficacia-calidad-adaptabilidad de las
diferentes opciones, facilitndole un abanico de posibilidades de establecer una
poltica a corto, medio y largo plazo acorde con sus recursos y necesidades reales.

El auditor deber lgicamente abstenerse de recomendar actuaciones

innecesariamente onerosas, dainas o que generen riesgos injustificados para el
auditado, e igualmente de proponer modificaciones carentes de base cientfica
contrastada, insuficientemente probada, o de imprevisible futuro.

Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos

deberan poder tener acceso a los informes de los trabajos anteriormente realizados
sobre el sistema del auditado siempre y cuando con ello no se vulnerasen derechos de
terceros protegidos con el secreto profesional que el auditor debe en todo momento
guardar.

2. Principio de calidad

El auditor deber prestar sus servicios en base a las posibilidades de la ciencia y medios
a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas
condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos
en que la precariedad de los medios puestos a su disposicin impidan o dificulten
seriamente la realizacin de la auditora, deber negarse a realizarla hasta que se le
garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus
servicios o dictmenes.

Cuando durante la ejecucin de la auditora, el auditor considerase conveniente

recabar el informe de otros tcnicos ms cualificados sobre algn aspecto o incidencia
que superase su capacitacin profesional para analizarlo en idneas condiciones,
deber remitir el mismo a un especialista en la materia o recabar su dictamen para
reforzar la calidad y fiabilidad global de la auditora.

3. Principio de capacidad

El auditor debe estar plenamente capacitado para la realizacin de la auditora

encomendada, mxime teniendo encuentra que, en la mayora de los casos, dada su
especializacin, a los auditados en algunos casos les puede ser extremadamente difcil
verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.

Hay que tener muy presente que el auditor, al igual que otros profesionales (mdicos,
abogados, educadores, etc.), puede incidir en la toma de decisiones de la mayora de
sus clientes con un elevado grado de autonoma, dada la dificultad prctica de los
mismos de contrastar su capacidad profesional y el desequilibrio de conocimientos
tcnicos existentes entre el auditor y los auditados.

Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su
capacidad y aptitud para desarrollar la auditora evitando que una sobreestimacin
personal pudiera provocar el incumplimiento parcial o total de la misma, aun en los
casos en que dicho incumplimiento no pueda ser detectado por las personas que le
contraten dadas sus carencias cognitivas tcnicas al respecto.

Conviene indicar que en los casos de producirse, por el contrario, una subestimacin
de su capacidad profesional, esto podra incidir negativamente en la confianza del
auditado sobre el resultado final de la auditora, dejndole una impresin de
inseguridad sobre las propuestas o decisiones a adoptar.

A efectos de garantizar, en lo posible, la pertinencia de sus conocimientos, el auditor

deber procurar que stos evolucionen, al unsono con el desarrollo de las tecnologas
de la informacin, en una forma dinmica, evitando la estaticidad tcnico-intelectual
que, en este campo de la ciencia, origina una drstica reduccin de las garantas de
seguridad y una obsolescencia de mtodos y tcnicas que pueden inhabilitarle para el
ejercicio de su profesin.

Es deseable que se fortalezca la certificacin profesional de la aptitud de los auditores

para realizar unos trabajos de ndole tan compleja. Esta certificacin que deber tener
un plazo de validez acorde con la evolucin de las nuevas tecnologas de la
informacin, debera estar avalada y garantizada por la metodologa empleada para
acreditar dicha especializacin, la independencia de las entidades certificadoras, y la
solvencia profesional, objetivamente contrastada, de los rganos, necesariamente
colegiados, que en las mismas se creen con la finalidad de apreciar la formacin y
cualificacin profesional de los solicitantes de la misma.

4. Principio de cautela

El auditor debe en todo momento ser consciente de que sus recomendaciones deben
estar basadas en la experiencia contrastada que se le supone tiene adquirida, evitando
que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro
fundamentados en simples intuiciones sobre la posible evolucin de las nuevas
tecnologas de la informacin.

Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas
tecnologas de la informacin e informar al auditado de su previsible evolucin, no es
menos cierto que debe evitar la tentacin de creer que, gracias a sus conocimientos,
puede aventurar, con un casi absoluto grado de certeza, los futuros avances
tecnolgicos y transmitir, como medio de demostrar su cualificada especializacin,
dichas previsiones como hechos incontestables incitando al auditado a iniciar ilusorios
e insuficientemente garantizados proyectos de futuro.

El auditor debe actuar con humildad, evitando dar la impresin de estar al corriente de
una informacin privilegiada sobre el estado real de la evolucin de las nuevas
tecnologas y ponderar las dudas que le surjan en el transcurso de la auditora a fin de
poner de manifiesto las diferentes posibles lneas de actuacin en funcin de
previsiones reales y porcentajes de riesgo calculados de las mismas, debidamente
fundamentadas.

5. Principio de comportamiento profesional

El auditor, tanto en sus relaciones con el auditado como con terreras personas, deber
en todo momento actuar conforme a las normas, implcitas o explcitas, de dignidad de
la profesin y de correccin en el trato personal.

Para ello deber moderar la exposicin de sus juicios u opiniones evitando caer en
exageraciones o atemorizaciones innecesarias procurando, en todo momento,
transmitir una imagen de precisin y exactitud en sus comentarios que avalen su
comportamiento profesional e infundan una mayor seguridad y confianza a sus
clientes.

El comportamiento profesional exige del auditor una seguridad en sus conocimientos

tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no
solicitadas por l, de profesionales de otras reas, en temas relacionados o que puedan
incidir en el resultado de la auditora y, cuando precisase del asesoramiento de otros
expertos, acudir a ellos, dejando en dicho supuesto constancia de esa circunstancia y
reflejando en forma diferenciada, en sus informes y dictmenes, las opiniones y
conclusiones propias y las emitidas por los mismos.
El auditor debe asimismo guardar un escrupuloso respeto por la poltica empresarial
del auditado, aunque sta difiera ostensiblemente de las del resto del sector en las que
desarrolla su actividad, evitar comentarios extemporneos sobre la misma en tanto no
estn relacionados o afecten al objeto de la auditora y analizar pormenorizadamente
las innovaciones concretas puestas en marcha por el auditado a fin de determinar sus
especficas ventajas y riesgos, eludiendo evaluarlas nicamente de acuerdo a los
estndares medios del resto de empresas de su sector.

Igualmente debe evitar realizar actos que simulen aplicaciones de tratamientos

ficticios, encubran comportamientos no profesionales o den publicidad a metodologas
propias o ajenas insuficientemente contrastadas y garantizadas.

6. Principio de concentracin en el trabajo

En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus
posibilidades de concentracin y precisin en cada una de las tareas a l
encomendadas, ya que la saturacin y dispersin de trabajos suele a menudo, si no
est debidamente controlada, provocar la conclusin de los mismos sin las debidas
garantas de seguridad.

A este efecto, el auditor deber sopesar las posibles consecuencias de una

acumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no
tenga tiempo de realizar con las debidas garantas de calidad, debiendo rechazar o
posponer los que en dichas circunstancias se le ofrezcan.

Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en la

reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos
previos en otros posteriores elaborados como colofn de nuevas auditoras.

Por el contrario, s es admisible el que, una vez analizados en profundidad los aspectos
a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten las
mismas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya que
este modo de actuar permite detectar posibles omisiones en el estudio, completar los
trabajos sobre el objeto de la auditora incompletamente ejecutados y cubrir las
imprevisiones detectadas por medio de esta comparacin.

Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor

parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas
con una completa atencin durante la ejecucin de la auditora sin injerencias o
desatenciones originadas por prestaciones ajenas a la misma.

7. Principio de confianza

El auditor deber facilitar e incrementar la confianza del auditado en base a una

actuacin de transparencia en su actividad profesional sin alardes cientfico-tcnicos
que, por su incomprensin, puedan restar credibilidad a los resultados obtenidos y a
las directrices aconsejadas de actuacin.

Este principio requiere asimismo, por parte del auditor, el mantener una confianza en
las indicaciones del auditado aceptndolas sin reservas como vlidas, a no ser que
observe datos que las contradigan y previa confirmacin personal de la inequvoca
veracidad de los mismos.

Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin de
dilogo sin ambigedades que permita aclarar las dudas que, a lo largo de la auditora,
pudieran surgir sobre cualesquiera aspectos que pudieran resultar conflictivos, todo
ello con la garanta del secreto profesional que debe regir en su relacin.

El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al

nivel de comprensin del auditado, descendiendo y detallando cuanto haga falta en su
explicacin debiendo solicitar, cuando lo considere necesario, la presencia de alguno
de los colaboradores de confianza de su cliente que pudiera apreciar determinados
aspectos tcnicos cuando precise informarle sobre cuestiones de una especial
complejidad cientfica.

8. Principio de criterio propio

El auditor durante la ejecucin de la auditora deber actuar con criterio propio y no

permitir que ste subordinado al de otros profesionales, aun de reconocido prestigio,
que no coincidan con el mismo.

En los casos en que aprecie divergencias de criterio con dichos profesionales sobre
aspectos puntuales de su trabajo, deber reflejar dichas divergencias dejando
plenamente de manifiesto su propio criterio e indicando, cuando aqul est sustentado
en metodologas o experiencias que difieran de las corrientes profesionales
mayoritariamente asumidas, dicha circunstancia.

La defensa a ultranza del propio criterio no impide respetar las crticas adversas de
terceros, aunque el auditor debe evitar que, si una vez analizadas contina discrepando
de las mismas, stas puedan seguir influyendo en su trabajo, ya que la libertad de
criterio impone al auditor la obligacin tica de actuar en todo momento en la forma
que l considere personalmente ms beneficiosa para el auditado, aun cuando terceras
personas le inciten a desarrollar lneas diferentes de actuacin.

Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos en
que llegue al convencimiento de que la actividad que se le solicita, presuntamente para
evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora, en
cuyo caso deber negarse a prestar su asistencia poniendo de manifiesto el porqu de
dicha negativa.

De igual forma cuando el auditor observe que, de forma reiterada, el auditado se

niega, sin justificacin alguna, a adoptar sus propuestas, deber plantearse la
continuidad de sus servicios en funcin de las razones y causas que considere puedan
justificar dicho proceder.

9. Principio de discrecin

El auditor deber en todo momento mantener una cierta discrecin en la divulgacin

de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la
ejecucin de la auditora.

Este cuidado deber extremarse cuando la divulgacin de dichos datos pudiera afectar
a derechos relacionados con la intimidad o profesionalidad de las personas concernidas
por los mismos o a intereses empresariales, y mantenerse tanto durante la realizacin
de la auditora como tras su finalizacin.

10. Principio de economa

El auditor deber proteger, en la medida de sus conocimientos, los derechos

econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su
actividad.

En cumplimiento de este principio deber procurar evitar dilaciones innecesarias en la

realizacin de la auditora. Esta economa de tiempos permitir al auditado reducir los
plazos de actuacin tendentes a solventar los problemas detectados o a la adecuacin
a los nuevos mtodos propuestos aportando un determinado valor aadido al trabajo
del auditor.

De igual forma, el auditor deber tener en cuenta la economa de medios materiales o

humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en
reducciones de gastos no justificados.

Conviene, en virtud de este principio, delimitar en la forma ms concreta posible ab

initio el alcance y lmites de la auditora a efectos de evitar tener que realizar estudios
sobre aspectos colaterales no significativos, que detraen tiempo y medios para su
anlisis, y emitir informes sobre temas circunstanciales o ajenos a la finalidad
perseguida.

El auditor deber rechazar las ampliaciones del trabajo en marcha, aun a peticin del
auditado, sobre asuntos no directamente relacionados con la auditora, dejando que de
ellos se encarguen los profesionales ad hoc, y evitar entrar en discusiones,
comentarios, visitas de cortesas, etc. que no estn justificadas con la ejecucin de la
misma.

En las recomendaciones y conclusiones realizadas en base a su trabajo deber

asimismo eludir, incitar o proponer actuaciones que puedan generar gastos
innecesarios o desproporcionados.
11. Principio de formacin continuada

Este principio, ntimamente ligado al Principio de capacidad y vinculado a la continua

evolucin de las tecnologas de la informacin y las metodologas relacionadas con las
mismas, impone a los auditores el deber y la responsabilidad de mantener una
permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las
necesidades de la demanda y a las exigencias de la competencia de la oferta.

La progresiva especializacin de sus clientes exige asimismo de los auditores, para

poder mantener el grado de confianza que se precisa para dejar en sus manos el
anlisis de las prestaciones de los sistemas informticos, un continuo plan de
formacin personal que implique un seguimiento del desarrollo y oportunidades de las
nuevas tecnologas de la informacin para poder incorporar dichas innovaciones, una
vez consolidadas, a los sistemas de sus clientes, evitando de esta forma su
obsolescencia.

12. Principio de fortalecimiento y respeto de la profesin

La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores

informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la
actividad desarrollada por los mismos y un comportamiento acorde con los requisitos
exigibles para el idneo cumplimiento de la finalidad de las auditoras.

En consonancia con el principio de defensa de la profesin de los auditores, stos

debern cuidar del reconocimiento del valor de su trabajo y de la correcta valoracin
de la importancia de los resultados obtenidos con el mismo.

En cuanto a la remuneracin por su actividad profesional sta debera estar acorde con
la preparacin del auditor y con el valor aadido que aporta al auditado con su trabajo,
siendo rechazable el establecimiento de acuerdos que impliquen remuneraciones
manifiestamente desproporcionadas tanto por insuficientes como por abusivas, ya que
a largo plazo, ambas redundan en un debilitamiento del reconocimiento y aprecio de la
profesin.

El auditor deber, por tanto, en prestigio de su profesin, evitar competir deslealmente

con sus compaeros rebajando sus precios a lmites impropios del trabajo a realizar
con la finalidad de eliminar competidores y reducir la competencia profesional, e
igualmente evitar abusar de su especializacin para imponer una remuneracin como
contrapartida a su actividad profesional que manifiestamente exceda del valor objetivo
de su trabajo.

Como integrante de un grupo profesional, deber promover el respeto mutuo y la no

confrontacin entre compaeros. Este respeto no est reido, sin embargo, con la
denuncia de comportamientos indebidos, parasitarios o dolosos en los casos en que
stos le hayan quedado patentes, ya que estas denuncias deben contemplarse en el
marco de la defensa de la propia profesin como forma de elevar su reconocimiento.
En sus relaciones profesionales deber exigir asimismo una reciprocidad en el
comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y
mutuo apoyo cuando as se lo soliciten. Este mutuo apoyo no debe entenderse en
ningn caso como contraprestacin gratuita de asesoramiento, sino como cauce de
colaboracin en temas puntuales que precisen de una cierta especializacin o
contrastacin de opiniones.

13. Principio de independencia

Este principio, muy relacionado con el Principio de criterio propio, obliga al auditor,
tanto si acta como profesional externo o con dependencia laboral respecto a la
empresa en la que deba realizar la auditora informtica, a exigir una total autonoma e
independencia en su trabajo, condicin sta imprescindible para permitirle actuar
libremente segn su leal saber y entender.

La independencia del auditor constituye, en su esencia, la garanta de que los intereses

del auditado sern asumidos con objetividad; en consecuencia el correcto ejercicio
profesional de los auditores es antagnico con la realizacin de su actividad bajo
cualesquiera condiciones que no permitan garantizarla.

Esta independencia implica asimismo el rechazo de criterios con los que no est
plenamente de acuerdo, debiendo reflejar en su informe final tan slo aquellos que
considere pertinentes, evitando incluir en el mismo aquellos otros con los que disienta
aunque sea impelido a ello.

El auditor igualmente deber preservar su derecho y obligacin de decir y poner de

manifiesto todo aquello que segn su ciencia y conciencia considere necesario, y
abstenerse de adoptar mtodos o recomendar lneas de actuacin que, segn su
entender, pudieran producir perjuicios al auditado, aunque ste as se lo solicite.

A efectos de salvaguardar su independencia funcional, deber eludir establecer

dependencias con firmas que la limiten a fin de evitar que, aun subjetivamente, pueda
producirse una reduccin de su libertad de actuacin profesional.

Conviene, sin embargo, diferenciar esta independencia en su trabajo de la exigencia de

utilizar el resultado del mismo, lo que obviamente entra en el campo competencial de
la potestad de actuacin del auditado, el cual puede seguir o ignorar, por las razones
que estime convenientes, sus informes, recomendaciones, orientaciones o consejos sin
que ello suponga merma alguna en la independencia del auditor.

14. Principio de informacin suficiente

Este principio de primordial inters para el auditado, obliga al auditor a ser plenamente
consciente de su obligacin de aportar, en forma pormenorizadamente clara, precisa e
inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos
relacionados con la auditora que puedan tener algn inters para l, como sobre las
conclusiones a las que ha llegado, e igualmente informarle sobre la actividad
desarrollada durante la misma que ha servido de base para llegar a dichas
conclusiones.

Dicha informacin deber estar constituida por aquella que el auditor considere
conveniente o beneficiosa para los intereses o seguridad de su cliente y estar en
consonancia con la utilidad que pueda tener, en el presente o en el futuro, para el
mismo. Junto a dicha informacin deber asimismo facilitar cualquier otra que le sea
requerida por el auditado, aunque la considere intranscendente o poco significativa,
siempre y cuando sta tenga una relacin directa y no meramente circunstancial con el
objeto de la auditora y no afecte a datos nominativos cuyo deber de secreto le sea
exigible.

En dichas informaciones deber evitar aportar datos intrascendentes para su cliente

(datos que slo afecten a su propia imagen comercial o profesional del auditor
-autopropaganda-, datos comerciales no pertinentes, etc.), que slo persigan
incrementar el volumen del informe o justificar la ausencia de determinadas
precisiones de singular importancia mediante la aportacin de otras de menor inters y
de ms fcil elaboracin para el auditor.

El auditor deber asimismo comprometerse con sus conclusiones, debiendo indicar en

ellas los defectos observados en el sistema informtico, las lneas de actuacin que
recomienda y las dudas que respecto a las mismas se le plantean, indicando en este
ltimo caso si la causa excepcional que las produce se deriva de una insuficiencia de
datos sobre el propio sistema, de una falta de conocimientos tcnicos del propio
auditor que le impide decidirse, con una mnima garanta de fiabilidad, sobre la
conveniencia de inclinarse preferentemente por alguna de ellas, o de una
incertidumbre sobre posibles evoluciones a medio o largo plazo de los avances
tecnolgicos.

Ciertamente el auditor debe ser consciente de que la explicitacin de sus dudas

afectar a la confianza del auditado, pero en cualquier caso es preferible transmitir una
informacin veraz, entendida sta como la que es exigible a todo buen profesional en
el ejercicio de su actividad a tenor de sus conocimientos, que trasmitir, como opinin
experta, una informacin de la que no pueda garantizar personalmente su exactitud.

Es importante asimismo que la informacin trasmitida al auditado ponga de manifiesto

una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben
estar reidas con los principios de suficiencia informativa y de veracidad, evitando
recrear los aspectos negativos o los errores humanos detectados que deben quedar
reflejados con un cierto tacto profesional.

El auditor debe evitar hacer recaer la totalidad de inadaptaciones del sistema sobre
algunos elementos singulares (personales o materiales), ignorando aquellos otros que
pudieran tener incidencia en los fallos o anomalas detectadas, por simple comodidad
en la elaboracin de sus informes, y huir del secretismo en cuanto a la explicitacin de
los mtodos utilizados siendo inadmisible que se aproveche para ello de la buena fe del
auditado.

La labor informativa del auditor deber, por tanto, estar basada en la suficiencia,
autonoma y mximo aprovechamiento de la misma por parte de su cliente, debiendo
indicar junto a sus juicios de valor, la metodologa que le ha llevado a establecerlos
para, de esta forma, facilitar el que, en futuras auditoras, puedan aprovecharse los
conocimientos extrados de la as realizada, eludiendo monopolios y dependencias
generadas por oscurantismo en la transmisin de la informacin.

15. Principio de integridad moral

Este principio, inherentemente ligado a la dignidad de persona, obliga al auditor a ser

honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas
morales, de justicia y probidad, y a evitar participar, voluntaria o inconscientemente, en
cualesquiera actos de corrupcin personal o de terceras personas.

El auditor no deber, bajo ninguna circunstancia, aprovechar los conocimientos

adquiridos durante la auditora para utilizarlos en contra del auditado o de terceras
personas relacionadas con el mismo.

Durante la realizacin de la auditora, el auditor deber emplear la mxima diligencia,

dedicacin y precisin, utilizando para ello todo su saber y entender.

16. Principio de legalidad

En todo momento el auditor deber evitar utilizar sus conocimientos para facilitar, a los
auditados o a terceras personas, la contravencin de la legalidad vigente.

En ningn caso consentir ni colaborar en la desactivacin o eliminacin de

dispositivos de seguridad ni intentar obtener los cdigos o claves de acceso a sectores
restringidos de informacin generados para proteger los derechos, obligaciones o
intereses de terceros (derecho a la intimidad, secreto profesional, propiedad
intelectual, etc.).

De igual forma los auditores debern abstenerse de intervenir lneas de comunicacin

o controlar actividades que puedan generar vulneracin de derechos personales o
empresariales dignos de proteccin.

La primaca de esta obligacin exige del auditor un comportamiento activo de

oposicin a todo intento, por parte del auditado o de terceras personas, tendente a
infringir cualquier precepto integrado en el derecho positivo.

17. Principio de libre competencia

La actual economa de mercado exige que el ejercicio de la profesin se realice en el

marco de la libre competencia, siendo rechazables, por tanto, las prcticas tendentes a
impedir o limitar la legtima competencia de otros profesionales y las prcticas abusivas
consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses
de los auditados, de posiciones predominantes.

En la comercializacin de los servicios de auditora informtica deben evitarse tanto los

comportamientos parasitarios como los meramente desleales, entendidos los primeros
como aprovechamientos indebidos del trabajo y reputacin de otros en beneficio
propio, y los segundos como intentos de confundir a los demandantes de dichos
servicios mediante ambigedades, insinuaciones o puntualizaciones que slo tengan
por objetivo enmascarar la calidad y fiabilidad de la oferta.

18. Principio de no discriminacin

El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar

inducir, participar o aceptar situaciones discriminatorias de ningn tipo, debiendo
ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de
las caractersticas personales, sociales o econmicas de sus clientes.

Deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los

casos con similar diligencia con independencia de los beneficios obtenidos del
auditado, de las simpatas personales que tenga hacia ste o de cualquier otra
circunstancia.

Su actuacin deber asimismo mantener una igualdad de trato profesional con todas
las personas con las que en virtud de su trabajo tenga que relacionarse con
independencia de categora, estatus empresarial o profesional, etc.

19. Principio de no injerencia

El auditor, dada la incidencia que puede derivarse de su tarea, deber evitar injerencias
en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que
pudieran interpretarse como despreciativos de la misma o provocar un cierto
desprestigio de su cualificacin profesional, a no ser que, por necesidades de la
auditora, tuviera que explicitar determinadas incompetencias que pudieran afectar a
las conclusiones o el resultado de su dictamen.

Deber igualmente evitar aprovechar los datos obtenidos de la auditora para entrar en
competencia desleal con profesionales relacionados con ella de otras reas del
conocimiento. Esa injerencia es mayormente reprobable en los casos en los que se
incida en aquellos campos de actividad para los que el auditor no se encuentre
plenamente capacitado.

20. Principio de precisin

Este principio estrechamente relacionado con el Principio de calidad exige del auditor
la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la
viabilidad de sus propuestas, debiendo ampliar el estudio del sistema informtico
cuanto considere necesario, sin agobios de plazos (con la excepcin de lo ya indicado
anteriormente respecto al Principio de economa) siempre que se cuente con la
aprobacin del auditado, hasta obtener dicho convencimiento.

En la exposicin de sus conclusiones deber ser suficientemente crtico, no eludiendo

poner de manifiesto aquellos aspectos concretos que considere puedan tener una
cierta incidencia en la calidad y fiabilidad de la auditora, ni quedndose en
generalidades o indefiniciones que por su amplitud o ambigedad slo pretendan
cubrir al auditor de los riesgos derivados de toda concrecin en detrimento de los
derechos e intereses del auditado.

Es exigible asimismo del auditor que indique como evaluado nicamente aquello que
directamente, o por medio de sus colaboradores, haya comprobado u observado de
forma exhaustiva, eludiendo indicar como propias y contrastadas las observaciones
parciales o incompletas o las recabadas de terceras personas.

21. Principio de publicidad adecuada

La oferta y promocin de los servicios de auditora debern en todo momento

ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la
tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo
confundir a los potenciales usuarios de dichos servicios.

La defensa del prestigio de la profesin obliga asimismo a los auditores informticos a

evitar las campaas publicitarias que, por su contenido, puedan desvirtuar la realidad
de sus servicios, enmascaren los lmites de los mismos, oscurezcan sus objetivos o
prometan resultados de imprevisible, cuando no imposible, consecucin.

22. Principio de responsabilidad

El auditor deber, como elemento intrnseco de todo comportamiento profesional,

responsabilizarse de lo que haga, diga o aconseje, sirviendo esta forma de actuar como
barrera de injerencias extraprofesionales.

Si bien este principio aparentemente puede resultar especialmente gravoso en

auditoras de gran complejidad, que por otra parte son las habitualmente
encomendadas a los auditores informticos es preciso tenerlo presente a fin de poder
garantizar su responsabilidad en los casos en que, debido a errores humanos durante la
ejecucin de la auditora, se produzcan daos a su cliente que le pudieran ser
imputados.

Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a

las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de los
auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de
su actuacin profesional.
Obviamente las compaas aseguradoras podrn introducir determinados mdulos
correctores del coste de suscripcin de las correspondientes plizas a tenor de las
garantas que los auditores puedan aportar (certificaciones profesionales, aos de
experiencia, etc.), lo que avalara una ms racional estructuracin de la oferta.

La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o

perjuicios que pudieran derivarse de una actuacin negligente o culposa, si bien
debera probarse la conexin causa-efecto originaria del dao, siendo aconsejable
estipular a priori un tope mximo de responsabilidad sobre los posibles daos acorde
con la remuneracin acordada como contraprestacin por la realizacin de la auditora.

23. Principio de secreto profesional

La confidencia y la confianza son caractersticas esenciales de las relaciones entre el

auditor y el auditado e imponen al primero la obligacin de guardar en secreto los
hechos e informaciones que conozca en el ejercicio de su actividad profesional.
Solamente por imperativo legal podr decaer esa obligacin.

Este principio, inherente al ejercicio de la profesin del auditor, estipulado en beneficio

de la seguridad del auditado, obliga al primero a no difundir a terceras personas ningn
dato que haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera
perjudicar a su cliente, siendo nulos cualesquiera pactos contractuales que
pretendieran excluir dicha obligacin.

El mantenimiento del secreto profesional sobre la informacin obtenida durante la

auditora se extiende a aquellas personas que, bajo la potestad organizadora del
auditor, colaboren con l en cualquiera de las actividades relacionadas con la misma.

Si se produjese una dejacin, por parte de las personas que dependen del auditor, de la
obligacin de mantener secreto sobre los datos obtenidos de la auditora, recaer
sobre ellos la correspondiente obligacin de resarcimiento por los daos materiales o
morales causados como consecuencia de la misma, obligacin que compartirn
solidariamente con el auditor en virtud de la responsabilidad que ste asume por los
actos de sus colaboradores.

Este deber de secreto impone asimismo al auditor el establecimiento de las medidas y

mecanismos de seguridad pertinentes para garantizar al auditado que la informacin
documentada, obtenida a lo largo de la auditora, va a quedar almacenada en entornos
o soportes que impidan la accesibilidad a la misma por terceras personas no
autorizadas. El auditor tan slo deber permitir el acceso y conocimiento de la misma a
los profesionales que, bajo su dependencia organizativa, estn igualmente sujetos al
deber de mantener el secreto profesional y en la medida en que, por las necesidades
de informacin de los mismos, sea preciso.

No debe considerarse, por el contrario, como vulneracin del secreto profesional, la

transmisin de datos confidenciales del auditado a otros profesionales cuando esta
circunstancia se origine por expresa peticin del mismo; la conservacin de los
informes durante un plazo prudencial, siempre y cuando se cuente con las medidas de
seguridad adecuadas; la difusin, con una finalidad cientfica, o meramente divulgativa,
de los problemas detectados en la auditora y las soluciones a los mismos si
previamente se disgregan los datos de forma tal que no puedan asociarse en ningn
caso los mismos a personas o empresas determinadas; ni, por ltimo, la revelacin del
secreto por imperativo legal siguiendo los cauces correspondientes, debindose, aun
as, mantener al mximo la cautela que impone dicho levantamiento del secreto.

En los casos en que el auditor acte por cuenta ajena en el marco contractual
establecido con la empresa por medio de la cual presta sus servicios al auditado, la
transmisin de la informacin recogida durante la auditora a su empresa deber
circunscribirse nicamente a los datos administrativos reguladores de su actividad
(precio de la auditora, gastos generados, tiempo empleado, medios de la empresa
utilizados, etc.), excluyendo de dicha informacin los datos tcnicos observados en el
sistema informtico o los relacionados con cualesquiera otros aspectos, a no ser que el
auditado consienta fehacientemente en que dichos datos sean entregados a los
responsables de la empresa que, en este caso, quedarn a su vez obligados a mantener
el secreto profesional sobre los mismos.

24. Principio de servicio pblico

La aplicacin de este principio debe incitar al auditor a hacer lo que est en su mano y
sin perjuicio de los intereses de su cliente, para evitar daos sociales como los que
pueden producirse en los casos en que, durante la ejecucin de la auditora, descubra
elementos de software dainos (virus informticos) que puedan propagarse a otros
sistemas informticos diferentes del auditado. En estos supuestos el auditor deber
advertir, necesariamente en forma genrica, sobre la existencia de dichos virus a fin de
que se adopten las medidas sociales informativas pertinentes para su prevencin, pero
deber asimismo cuidar escrupulosamente no dar indicios que permitan descubrir la
procedencia de su informacin.

El auditor deber asimismo tener presente la ponderacin entre sus criterios ticos
personales y los criterios ticos subyacentes en la sociedad en la que presta sus
servicios, debiendo poner de manifiesto sus opciones personales cuando entren en
contradiccin con la tica social que el auditado pueda presumir que est
implcitamente aceptada por el auditor.

Este principio de adaptabilidad u oposicin constructiva tanto a los principios ticos

sociales, asumidos como vlidos por la comunidad, como a las costumbres derivadas
de los mismos, facilita la necesaria y permanente crtica social sobre dichos principios y
costumbres, permitiendo su adaptacin a las nuevas necesidades) perspectivas
abiertas con el progreso tecnolgico regional o mundial.

La consideracin del ejercicio profesional de los auditores como servicio pblico

globalmente considerado, exige igualmente una continua elevacin del arte de la
ciencia en el campo de la auditora informtica, lo que nicamente puede lograrse con
la participacin activa de los profesionales de dicho sector en la definicin de las
caractersticas y exigencias de su actividad profesional y, por ende, en la elaboracin de
los cdigos deontolgicos reguladores del ejercicio responsable de dicha actividad.

25. Principio de veracidad

El auditor en sus comunicaciones con el auditado deber tener siempre presente la

obligacin de asegurar la veracidad de sus manifestaciones con los lmites impuestos
por los deberes de respeto, correccin y secreto profesional.

Este principio no debe, sin embargo, considerarse como constreido a expresar

nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que
implica, con el grado de subjetividad que esto conlleva, poner de manifiesto aquello
que, a tenor de sus conocimientos y de lo considerado como "buena prctica
profesional", tenga el suficiente grado de fiabilidad como para ser considerado
comnmente como veraz mientras no se aporten datos o pruebas que demuestren lo
contrario.

Es conveniente tener presentes los criterios al respecto, generalmente asociados con la

actividad de los profesionales de la comunicacin, que indican que la obligacin de
veracidad impone un especfico deber de diligencia que se puede y debe exigir al
profesional en la transmisin de la informacin sobre hechos que deben haber sido
necesariamente contrastados con datos objetivos, excluyendo por tanto de dicha
calificacin de veracidad a aquella informacin basada en conductas negligentes del
profesional y an ms a aquella otra proveniente de quien comunique como hechos
simples rumores o, peor an, meras invenciones o insinuaciones insidiosas,
considerando como admisible y presuntamente veraz la informacin rectamente
obtenida y difundida, aun cuando su total exactitud sea controvertible, ya que las
afirmaciones errneas son inevitables en un debate libre, de tal forma que de
imponerse la verdad como condicin para reconocimiento del derecho de comunicar y
recibir informacin veraz, la nica garanta de la seguridad jurdica sera el silencio.

Informacin veraz significa informacin comprobada segn los cnones de la

profesionalidad informativa, excluyendo invenciones, rumores o meras insidias, y que
una cosa es efectuar una evaluacin personal, por desfavorable que sea, de una
conducta y otra muy distinta es emitir expresiones, afirmaciones o calificativos
claramente vejatorios desvinculados de esa informacin, y que resultan proferidos,
gratuitamente, sin justificacin alguna; que el derecho a la informacin no puede
restringirse a la comunicacin objetiva y asptica de los hechos, sino que incluye
tambin la investigacin de la causacin de hechos, la valoracin probabilstica de estas
hiptesis y la formulacin de conjeturas sobre esa posible causacin; que la descripcin
de hechos y opiniones que ordinariamente se produce en las informaciones determina
que la veracidad despliegue sus efectos legitimadores en relacin con los hechos, pero
no respecto de las opiniones que los acompaen o valoraciones que de los mismos se
hagan, puesto que las opiniones, creencias personales o juicios de valor no son
susceptibles de verificacin, y ello determina que el mbito de proteccin del derecho
de informacin quede delimitado, respecto de esos elementos valorativos, por la
ausencia de expresiones injuriosas que resulten innecesarias para el juicio crtico; y que
la regla constitucional de la veracidad de la informacin no va dirigida tanto a la
exigencia de la total exactitud en la informacin cuanto a negar la garanta o proteccin
constitucional a quienes, defraudando el derecho de todos a recibir informacin veraz,
actan con menosprecio de la veracidad o falsedad de lo comunicado, comportndose
de manera negligente o irresponsable.

As pues, la aplicacin de este principio exige que el auditor, en el marco de su

obligacin de informar al auditado sobre el trabajo realizado, comunique a este ltimo
sus conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y
valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la
fundamentacin de las restantes con una suficiente diligencia profesional para
garantizar el cumplimiento de su obligacin de informar verazmente.

ROL DEL AUDITOR