Directrices de la auditoria de los sistemas de gestión de la calidad y/o ambi...
Taller numero 1
1. TEMA: Fundamentos de la ética del auditor
de los sistemas de información
CEDEÑO JARA MARÍA MERCEDES
CHÁVEZ ORMAZA GEMA DANIELA
MENDOZA CEDEÑO KAREN IBETH
SALTOS PALADINES JAZMIN CLARIBEL
NOVENO “M”
AUDITORÍA
AÑO 2011
2. DESARROLLO DEL TALLER 1
1. ¿QUÉ SON LOS VALORES ÉTICOS EN LOS SISTEMAS DE
INFORMACIÓN?
La Ética en la informática estudia la forma de transparentar e idoneizar los métodos que
son utilizados para transformar la información, los mecanismos que permiten realizar
las transformaciones, la valoración de los modos de comunicación más apropiados entre
las personas y los que hacen de la información su filosofía de vida.
Los cambios tecnológicos y la proliferación de la información han sido
las herramientas fundamentales para la apertura de las fronteras en todo el mundo, y los
valores religiosos, éticos y económicos debido al proceso de globalización se han ido
alternando uno con otro hasta terminar siendo inversamente proporcionales a lo que la
sociedad hoy más demanda, que es transparencia e idoneidad.
Debido a que las Redes informáticas, la Radio y la Televisión han llegado tan lejos
que la moral y los valores éticos de la profesión han sido dejados de lado por estos
sistemas de comunicación que buscan abaratar los mercados con productos basura que
le venden a la gente, debemos tener presente que se necesita de valores éticos para que
la información sea clara y precisa, trasparente y real posible, no nos pueden vender algo
que no haya sido rectificado y tiene el sello de calidad, porque si no estaríamos
destruyendo algo que ha ido construyendo poco a poco y es el de un sistema
democrático joven, sano y fuerte, donde la información sea una herramienta
fundamental para el conocimiento del ser humano, que se maneje dentro de los
parámetros morales y se respeten los principios éticos que dentro de un marco
normativo es aceptado por la sociedad, entonces estaremos llevado por el camino
correcto, y esa información estará basada en la verdad y le permitirá al ser humano
enriquecerse intelectualmente, tomando esa información como elemento de su propio
conocimiento siéndole útil para la convivencia con los demás.
2. ¿EXISTE EN ECUADOR LEYES QUE SANCIONEN LOS DELITOS
INFORMÁTICOS, DESCRÍBALAS BREVEMENTE?
Sí, en el Ecuador existen dos leyes que se encuentran vigentes y que están relacionadas
con el delito informático, estás son:
1) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.- El
objetivo de esta Ley es la de regular los mensajes de datos, firmas electrónicas, servicios
de certificación, contratación electrónica y telemática, la prestación de servicios
electrónicos a través de redes de información, incluido el comercio electrónico y la
protección a los usuarios de estos sistemas de cualquier mecanismo de distorsión.
2) Ley de Propiedad Intelectual.- Esta norma es de fundamental importancia ya
que garantiza el derecho que el autor, inventor o descubridor tiene sobre su obra,
invento o descubrimiento, de tal forma que establece las normas pertinentes a fin de
asegurar el reconocimiento de estos derechos. Se protege a los programas de ordenador
o “software” que es toda secuencia de instrucciones o indicaciones destinadas a ser
utilizadas, directa o indirectamente, en un ordenador para la realización de una función
o tarea y/o la obtención de un resultado determinado, cualquiera que sea su forma de
expresión o fijación.
3. 3. ¿ES IMPORTANTE QUE EL AUDITOR INFORMÁTICO APLIQUE LOS
PRINCIPIOS Y VALORES ÉTICOS EN UNA AUDITORÍA
INFORMÁTICA, SUSTENTEN SU RESPUESTA?
La auditoría informática como recurso, fundamentada en la lógica y
las matemáticas debe estar sustentada en lo religioso, lo ético y lo económico,
produciendo una escala de valores de hechos y formas de comunicación dentro de
una sociedad democrática, así como para determinar si un sistema de
información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva
a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y
cumple con las leyes y regulaciones establecidas.
Por lo que sí es importante que los auditores informáticos apliquen los principios y
valores éticos al realizar sus auditorías, porque al cumplir con su trabajo deben poner en
práctica las reglas de conducta que deben seguirse para hacer el bien y evitar el mal,
atendiendo a las distintas circunstancias en las que la institución se encuentra, puesto
que cualquier acción disciplinaría contra los auditores daña su reputación profesional,
por lo tanto, deben tener un gran cuidado al realizar sus actividades como auditores, de
modo que se apeguen a los ideales del código de ética, ya que obviamente existen
intentos de resolver problemas aplicando las actuales reglas y soluciones éticas de
carácter general.
Pero lo más significativo y para concluir es necesario y de suma utilidad tener presente
que para poder respetar y seguir los pasos de un marco normativo correcto, se debe
empezar a trasparentar, y así se podrá lograr una sociedad moral y éticamente fuerte en
todos los sectores, una justicia independiente y un estado trasparente, ya sea en un
manejo equitativo de los recursos financieros como en el buen comportamiento de sus
funcionarios.
4. ¿CUÁLES SON LAS NORMAS DE AUDITORÍA GENERALMENTE
ACEPTADAS, APLICABLES A LA AUDITORÍA DE SISTEMAS DE
INFORMACIÓN?
Las normas de auditoría son directrices generales que ayudan a los auditores a cumplir
con sus responsabilidades profesionales. Ello incluye la consideración de capacidades
profesionales como lo es la competencia e independencia, los requisitos de informes y la
evidencia. Entre las NAGAS aplicables a la auditoría informática tenemos:
• La independencia puede concebirse como la
libertad profesional que le asiste al auditor
para expresar su opinión libre de presiones y
Independencia
subjetividades
NAGAS aplicables a la • La auditoria debe ser efectuada por personal
Auditoría informática. que tiene el entrenamiento técnico y pericia
como profesional, es decir conocimientos y
Conciencia habilidades y Educación profesional
Etica
continuada.
• Debe ejercerse el celo profesional al conducir
Desempeño del una auditoría y en la preparación del informe.
Trabajo
4. 5. REALICE UN GRÁFICO DE IDEAS ACERCA DE LOS PRINCIPIOS
DEONTOLÓGICOS DEL AUDITOR INFORMÁTICO, CON UN EJEMPLO
PARA CADA PRINCIPIO.
Es el conjunto de principios y reglas éticas que regulan y guían una actividad
profesional, estas normas determinan los deberes mínimamente exigibles a los
profesionales en el desempeño de su actividad. Los principios deontológicos son:
PRINCIPIO DE BENEFICIO DEL PRINCIPIO DE CALIDAD.- Establece que el auditor
AUDITADO.- Establece que la actividad del deberá prestar sus servicios en las condiciones técnicas
auditor debe estar en todo momento dirigida a adecuadas para el idóneo cumplimiento de su labor.
orientar el máximo provecho de su cliente Por Por Ej.: En caso de que los medios impidan o dificulten
Ej.: El auditor deberá evitar estar ligado en la realización de la auditoria deberá negarse a realizarla
cualquier forma a intereses de determinadas hasta que se le garantice un mínimo de condiciones
marcas, productos o equipos del auditado con los técnicas que no comprometan la calidad de sus
de otros fabricantes. servicios.
.
PRINCIPIO DE CAUTELA.- El auditor debe PRINCIPIO DE CAPACIDAD.- El auditor debe ser
tener cierto grado de cuidado, y no consciente del alcance de sus conocimientos y de su
confiarse de sus conocimientos profesionales, y capacidad y aptitud para desarrollar la auditoria
sus recomendaciones deben estar basadas en la evitando que una sobreestimación personal pudiera
experiencia. Por Ej.: Las recomendaciones provocar el incumplimiento parcial o total de la misma
sugeridas en el informe de auditoría deben estar Por Ej.: El auditor hace la auditoria debido a que tiene
avaluadas en base a la realidad de la empresa suficiente conocimiento en su trabajo y realiza un
(económico). informe con recomendaciones excelentes
PRINCIPIO DE COMPORTAMIENTO PRINCIPIO DE CONCENTRACIÓN EN EL
PROFESIONAL.- El Auditor deberá actuar TRABAJO.- El auditor deberá evitar que un
conforme a las normas, implícitas o explícitas, exceso de trabajo supere sus posibilidades de
de dignidad de la profesión y de corrección en el concentración y precisión las tareas a él
trato personal Por Ej.: Debe transmitir una encomendadas Por Ej.: El cronograma de la
imagen de precisión y exactitud en sus planificación debe estar bien estructurado a
comentarios. fin de que se cumplan en los plazos establecidos
1.
PRINCIPIO DE CRITERIO PROPIO.- El PRINCIPIO DE CONFIANZA.- El auditor deberá
auditor deberá actuar con criterio propio y no facilitar e incrementar la confianza del auditado en
permitir que este dependa de otros profesionales base a una actuación de transparencia en su actividad
aún de reconocido prestigio. Por Ej.: Si un profesional. Por Ej.: Debe adecuar su lenguaje a nivel
empleado va y comenta al auditor de que tiene de comprensión del auditado, si es necesario detallar
sospechas de que el jefe departamental su explicación.
está desviando fondos, esto no quiere decir que
el auditor va a dar por cierto dicho comentario
PRINCIPIO DE DISCRECION.- El PRINCIPIO DE ECONOMÍA.- El auditor deberá
auditor deberá en todo momento mantener proteger en la medida de sus conocimientos los
una cierta discreción en la divulgación de derechos económicos del auditado evitando generar
datos, que se le hayan puesto de manifiesto gastos innecesarios en el ejercicio de su actividad.
durante la ejecución de la auditoría. Por Ej.: 3. El plan de auditoria debe estar bien delimitado a
El auditor no deberá divulgar datos tales fin de evitar gastos extras.
como los estados financieros de la empresa, 4.
inversiones, estrategias de ventas, etc. Esto
restaría credibilidad al auditor.
5.
5. PRINCIPIO DE FORMACIÓN PRINCIPIO FORTALECIMIENTO Y
CONTINUA.- El auditor tiene un deber y RESPETO DE LA PROFESIÓN.- El auditor
responsabilidad de mantener una permanente deberá cuidar del reconocimiento del valor de su
actualización de sus conocimientos y métodos trabajo, la remuneración por su actividad
a fin de adecuarlos a las necesidades de la profesional debería estar acorde con la preparación
demanda y a las exigencias de la competencia del auditor.
de la oferta. Por Ej.: El auditor deber deberá Por Ej.: Los honorarios del auditor no deben estar
capacitarse continuamente. sujetas a que si la auditoria es positiva entonces le
pago, si la auditoria no sale como espero entonces
no le pago!. El auditor merece respeto, sus
6. honorarios serán reconocidos por el trabajo
realizado
7.
EL PRINCIPIO DE INDEPENDENCIA: El EL PRINCIPIO DE INFORMACIÓN
auditor tanto como profesional externo o con SUFICIENTE: El auditor deberá ser plenamente
dependencia laboral respecto a la empresa en la consciente de su obligación de aportar información
que deba realizar la auditoría informática, clara y precisa al auditado sobre todo y cada uno de
deberá actuar con total autonomía e los puntos relacionados con la auditoría que puedan
independencia en su trabajo, condición que tener algún interés para él.
está imprescindible para permitirle actuar Por Ej.: El auditor debe presentar pruebas
libremente según su leal saber y entender. Por concisas de los que argumenta en su
Ej.: NO se vería bien que el auditor este con informe de auditoría.
tantas confianzas con el jefe departamental
Si dentro del departamento de ventas existe
algún amigo suyo, esto no debe influir
en los resultados de la auditoria.
PRINCIPIO DE LEGALIDAD.- El auditor PRINCIPIO DE INTEGRIDAD MORAL.
deberá evitar utilizar sus conocimientos para Obliga al auditor a ser honesto, leal y diligente en
facilitar a los auditados la contravención de la el desempeño de su misión Por Ej.: Evitar
legalidad vigente. participar voluntaria o inconscientemente en
Ej.: No colaborar en la eliminación de cualquier acto de corrupción personal o de
dispositivos de seguridad ni intentar obtener terceras personas.
códigos o claves de acceso a sectores 8.
restringidos de información.
9.
EL PRINCIPIO DE LIBRE EL PRINCIPIO DE NO DISCRIMINACIÓN:
COMPETENCIA: El auditor deberá evitar inducir, participar o aceptar
El auditor mediante la actual economía de situaciones discriminatorias de ningún tipo. Por Ej.
mercado deberá actuar en el marco de la libre El auditor no debe cambiar su informe por una
competencia. Por Ej.: No debe buscar clientes amenaza de desprestigio ya que él es independiente,
mediante publicidad y otras lo que debe hacer es ir a la junta de accionistas para
formas de oferta de servicios en una forma que que lo respalden en su trabajo y poder
sea falsa, aparente o engañosa. realizar de mejor manera la auditoria.
EL PRINCIPIO DE PRECISIÓN: El auditor EL PRINCIPIO DE NO INJERENCIA: El auditor
deberá estar convencido de su trabajo antes de deberá evitar injerencia en los trabajos de otros
concluirlo por completo, debiendo ampliar el profesionales, respetar su labor y eludir hacer
estudio del sistema informático cuanto considere comentarios despreciativos de la misma. Por Ej.:
necesario. Por Ej.: El Auditor en la exposición de Toda acusación debe estar respaldada por las pruebas
sus conclusiones debe ser crítico. suficientes y valederas
6. EL PRINCIPIO DE PUBLICIDAD PRINCIPIO DE RESPONSABILIDAD: El
ADECUADA: El auditor deberá en todo auditor debe responsabilizarse de lo que haga, diga
momento ver el ajustamiento de la oferta y o aconseje y está obligado a hacerse cargo de daños
promoción de los servicios de auditoría, o perjuicios que pueden derivarse de una actuación
evitando falsas difusiones de publicidad con el culpable. Por Ej.: Tienen responsabilidad
objeto de engañar a los usuarios. Por Ej.: con los que hacen uso de su servicio, sí. Como con
El auditor no puede ofrecerle a sus clientes que sus colegas cooperar entre si.
si el realiza la auditoria, los resultados van a
salir favorables para la empresa y que va a tener
un incremento del 15% en las ventas netas.
EL PRINCIPIO DE SERVICIO PRINCIPIO DE SECRETO PROFESIONAL:
PÚBLICO: El auditor deberá hacer lo que La confidencia y confianza son características
esté en su mano y sin perjuicios de los esenciales de las relaciones entre el auditor y el
intereses de sus clientes, para evitar daños auditado, el auditor no debe difundir a terceras
sociales durante la ejecución de la auditoría. personas ningún dato que haya visto, oído o
Por Ej.: Durante la auditoria, deducido durante el desarrollo de su trabajo e
el auditor descubre que en el sistema existe imponer medidas y mecanismos de seguridad para
software dañino (virus) y además garantizar al auditado que la información
sino descubre la procedencia, el auditor debe documentada va a estar segura. Por Ej.:
dar a conocer inmediatamente el hecho de que El auditor no puede revelar la información que
hay virus en el sistema el cual tiene sobre la empresa ya que esto va contra su
puede propagarse a otros sistemas, pero no ética. La revelación de dicha información
debe revelar el origen del virus. puede causar pérdidas a la empresa,
el auditor debe ser muy cauteloso con la
información que tiene en conocimiento.
PRINCIPIO DE VERACIDAD: El auditor debe
siempre asegurar la veracidad de sus manifestaciones
con los límites impuestos por los deberes de respeto,
corrección y secreto profesional.
Por Ej.: Cuando se sobre prometen o no se cumplen
los beneficios del producto (por ejemplo, que quita la
celulitis) se llama publicidad engañosa.
6. HAGA UN BREVE RESUMEN DEL CÓDIGO DE ÉTICA PROFESIONAL
PROPUESTO POR ISACA
Un código de ética sirve para organizar y entender mejor las reglas de conductas del
auditor, es por ello que en esta oportunidad tomaremos como referencia el Código de
Ética Profesional que el ISACA establece para guiar la conducta profesional y personal
de los miembros y/o poseedores de certificaciones de la asociación.
Los Miembros y los tenedores de certificación de ISACA deberán:
Fomentar el cumplimiento de las normas, los procedimientos y los controles
apropiados para los sistemas de información, además de ejecutar sus deberes con
objetividad, debida diligencia y atención profesional, en conformidad con las
normas y mejores prácticas profesionales, sirviendo siempre en el interés de los
accionistas en una forma legal y honesta, y al mismo tiempo mantener altos
estándares de conducta y de carácter, y no dedicarse a actos que puedan deshonrar
la profesión para así mantener la privacidad y la confidencialidad de la
información obtenida en el curso de sus funciones a menos que la autoridad legal
requiera su revelación.