You are on page 1of 25

INSTITUTO TECNOLOGICO DE OAXACA

AUDITORIA EN INFORMTICA
I UNIDAD INTRODUCCIN A LA AUDITORIA INFORMTICA

Profesora: l.i. Rafael Prez Eva

ALUMNOS: AMBROSIO DAZ PERLA LARA ANTONIO ROGELIO PATRICIO PEREZ CONTRERAS LUIS VARGAS GUTIERREZ JOSE MANUEL VAZQUEZ CASTILLO DAVID

Fecha: 08-octubre -2012 Capitulo I: marco contextual

1.1 NOMBRE DE LA INSTITUCION Escuela Secundaria Tcnica 64 (turno vespertino) 1.2 MISIN

La Escuela Secundaria Tcnica N64 es una Institucin de la Secretara de Educacin Pblica, responsable de garantizar el desarrollo y fortalecimiento de la educacin secundaria tcnica, como una opcin de calidad de este nivel educativo, a travs de la implementacin de acciones y asistencia tcnico-pedaggica. De capacitacin docente y da apoyo a la gestin escolar para coadyuvar a la formacin humanstica, cientfica y tecnolgica de sus educandos.

1.3 VISIN.

Ser la instancia de la Secretara de Educacin Pblica, mejor preparada y con los recursos suficientes para lograr en el 2012 una Escuela Secundaria Tcnica comprometida con un elevado aprovechamiento escolar y la formacin de una cultura tecnolgica en sus educandos, a fin de que adquieran conocimientos, destrezas, habilidades y actitudes de xito en la vida.

1.4 ORGANIGRAMA.

Figura 1. Organigrama de la Institucin. 1.4 REFERENCIAS HISTRICAS Escuela Secundaria Tcnica No. 218, hoy Escuela Secundaria Tcnica 64. Esta escuela de nivel medio bsico, se cre en octubre de 1973, siendo entonces secretario de educacin pblica el seor Ing. Vctor Bravo Ahuja, quien proyecta e impulsa la creacin de nuevos planteles de educacin tcnica, tanto en el nivel medio bsico, como medio superior y superior; Oaxaca en esa poca vive su mejor momento en materia educativa. Fue precisamente en la Escuela Tecnolgica Industrial No. 14 (actualmente Escuela Secundaria Tcnica No.1), donde se iniciaron los trabajos preliminares de promocin e inscripcin de los alumnos, siendo director el Dr. Daro Calleja Zorrilla. La poblacin escolar slo alcanz el nmero de 198 estudiantes de secundaria y aproximadamente 70 de formacin tecnolgica. El personal docente se constituy por profesores comisionados por la direccin general y algunos de contratacin directa, en su mayora profesores con especialidad pedaggica, otros tcnicos y profesionistas interesados en los

servicios educativos, en total 30 profesores, 6 empleados administrativos y 8 trabajadores manuales. La asignacin del numero 218 a nuestra institucin lleg un poco antes de su funcionamiento en sus actuales instalaciones, sin embargo, aun se segua llamando la Escuela Secundaria Tcnica "Del Ro Atoyac" por la proximidad de dichas instalaciones al legendario ro que circunda nuestra gran ciudad. Fue el inicio de una de tantas escuelas secundarias tcnicas que Oaxaca recibi como herencia de un pas en proceso de desarrollo en el afn de superar su ancestral condicin de marginacin. 1.5 REA DE INFORMTICA. 3 aulas telemticas, Sala de medios, Taller de Informtica. 1.6 REA ADMINISTRATIVA: Control escolar 4 computadoras, Coordinacin 1 computadora. 1.6 FUNCIONES DEL REA 1.7 PLANTEAMIENTO DEL PROBLEMA 1.8 OBJETIVOS 1.8.1 OBJETIVO GENERAL 1.8.2 OBJETIVOS ESPECFICOS 1.9 JUSTIFICACIN 1.10 ALCANCES Y LIMITACIONES 1.10.1 ALCANCES 1.10.2 LIMITACIONES

Capitulo II: Fundamento terico 2.1 CONCEPTO DE AUDITORA Y AUDITORA INFORMTICA. 2.1.1 AUDITORIA El trmino de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinnimo de que, en dicha entidad, antes de realizarse la auditoria, ya se haban detectado fallas. El concepto de auditoria es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. La palabra auditoria proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. 2.1.2. AUDITORIA INFORMTICA La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia.

2.2 TIPOS DE AUDITORA La auditoria se divide en dos tipos: la auditora interna y la auditora externa; en el caso de la auditoria interna se trata del examen detallado de un sistema de informacin, que se lleva a cabo por un profesional utilizando diferentes tcnicas

con el objeto de formular sugerencias para una mejora de la misma. Los informes de circulacin que realizan los auditores no tienen ninguna trascendencia por lo que este tipo de auditoria jams se lleva a cabo bajo la figura de la Fe Pblica. La auditoria interna es hecha por personal de la misma empresa denominado auditor interno, y el mismo tiene bajo su cargo una supervisin constante sobre el control de las operaciones financieras que se realice; se preocupa por el mejoramiento de los procedimientos mediante los cuales se puedan llevar a cabo los controles internos que suelen derivar a una operacin mucho ms eficaz. En el caso de la auditora externa debemos decir que es el examen crtico realizado por un profesional que no posee ningn tipo de vnculo laboral con la empresa. En este caso el profesional que lleva a cabo la auditoria tiene como funcin emitir una opinin sobre la forma en al cual opera el sistema de dicha empresa, como tambin el control interno de la misma, y en este caso debemos decir que la auditoria externa obliga a los contadores pblicos a poseer un completa credibilidad ya que stos exmenes se realizan bajo la figura de Fe Publica. Aunque la diferencia entre ambas es ms que clara, es importante que la tengamos muy en cuenta, por ello diremos que la diferencia entre la auditoria interna y externa radica en que en el caso de la auditoria interna, existe un vnculo laboral entre el auditor y la entidad empresarial, mientas que en la auditoria externa, los profesionales son independientes; el diagnstico de una auditor en la auditora interna suele estar destinado nicamente para la empresa, y en el otro caso, la auditoria externa esta destinada a terceras personas que resultan ajenas a la empresa. Por ltimo debemos sealar que la auditoria interna se encuentra inhabilitada para ser realizada bajo la figura de Fe Publica debido a lo que precisamente acabamos de mencionar, que el auditor mantiene una relacin laboral con la empresa, mientras que la auditora externa tiene la caracterstica legal de estar publicada bajo la figura de Fe Publica. 2.3 CAMPO DE LA AUDITORIA INFORMTICA El campo de accin de la auditoria informtica es: La evaluacin administrativa del rea de informtica.

La evaluacin de los sistemas y procedimientos, y de la eficiencia y eficacia con la que se trabaja. La evaluacin del proceso de datos, de los sistemas y de los equipos de computo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin.

Para lograr los puntos antes sealados se necesita: A) Evaluacin administrativa del departamento de informtica, esto comprende la evaluacin de : Los objetivos del departamento, direccin o gerencia. Metas, planes, polticas y procedimientos de procesos electrnicos estndares Organizacin del rea y su estructura orgnica. Funciones y nivel de autoridad y responsabilidad del rea de procesos electrnicos Integracin de los recursos materiales y tcnicos Direccin Costos y controles presupuestales Controles administrativos del rea de procesos electrnicos. B) Evaluacin de los sistemas y procedimientos, y de la eficiencia y eficacia que se tiene en el uso de la informacin, lo cual comprende: Evaluacin del anlisis de los sistemas y sus diferentes etapas. Evaluacin del diseo lgico del sistemas. Evaluacin del desarrollo fsico del sistema. Facilidades para la elaboracin de los sistemas. Control de proyectos Control de sistema y programacin. Instructivos y documentacin. Formas de implantacin. Seguridad fsica y lgica de los sistemas. Confidencialidad de los sistemas. Controles de mantenimiento y forma de respaldo de sistemas. Utilizacin de los sistemas. Prevencin de factores que puedan causar contingencias; seguro y recuperacin en caso de desastre. Productividad. Derechos de autor y secretos industriales.

C) Evaluacin del proceso de datos y de los equipos de computo que comprende: Controles de los datos fuentes y manejos de cifras de control. Control de operacin Control de salida Control de asignacin de trabajo. Control de medios de almacenamiento masivos. Control de otros elementos de cmputo. Control de medios de comunicacin. Orden en el centro de computo D) Seguridad Seguridad fsica y lgica Confidencialidad Respaldos Seguridad del personal Seguros Seguridad en la utilizacin de los equipos Plan de contingencia y procedimientos de respaldo para casos de desastre. Restauracin de los equipos y de sistemas. Los principales objetivos de la auditoria en informtica son los siguientes: Salvaguardad los activos: se refiere a la proteccin del hardware, software y recursos humanos. Integridad de datos. Los datos deben mantener consistencia y no duplicarse Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la organizacin. Eficiencia del sistema: los sistemas deben cumplir con los objetivos con los menores recursos. Seguridad y confidencialidad.

2.4 CONTROL INTERNO El estudio y evaluacin del control interno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere que el auditor debe efectuar un estudio y evaluacin adecuada del control interno existente que le sirva de base para determinar el grado de confianza que va a depositar en l, as mismo, que le permita determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditoria.

El control interno comprende el plan de organizacin y todos los mtodos y procedimientos que en forma coordinada se adoptan en un negocio para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su informacin financiera, promover la eficiencia operacional y provocar la adherencia a las polticas prescritas por la administracin. Objetivos bsicos del control interno. De lo anterior se desprende que los cuatro objetivos bsicos del control interno son: 1.-la proteccin de los activos de la empresa 2.- la obtencin de la informacin financiera veraz, confiable y oportuna. 3.-La promocin de la eficiencia en la operacin del negocio. 4.-lograr que en la ejecucin de las operaciones se cumplan las polticas establecidas por los administradores de la empresa. Se ha establecido que los primeros objetivos abarcan el aspecto de controles internos contables y de los ltimos se refieren a controles internos administrativos. Objetivos generales del control interno. El control interno contable comprende el plan de organizacin y los procedimientos y registros que se refieran a la proteccin de los activos y a la confiabilidad de los registros financieros. Por lo tanto, est diseado en funcin de los objetivos de la organizacin para ofrecer seguridad razonable de que las operaciones se realizan de acuerdo con las normas y polticas sealadas por la administracin. Cuando hablamos de los objetivos de los controles contables internos podemos identificar dos niveles: A) Objetivos generales de control interno aplicables a todos los sistemas B) Objetivos de control interno aplicables a ciclos de transacciones. Los objetivos generales de control aplicables a todos los sistemas se desarrollan de los objetivos bsicos enumerados anteriormente, y son ms especficos, para facilitar su aplicacin. Los objetivos de control de ciclo se desarrollan a partir de los objetivos generales de control de sistemas, para que se apliquen a las diferentes clases de transacciones agrupadas en un ciclo. Los objetivos generales de control interno de sistemas pueden resumirse a continuacin. Objetivo de autorizacin.

Todas las operaciones deben realizarse de acuerdo con autorizaciones generales o especificaciones de la administracin. Las autorizaciones deben estar de acuerdo con criterios establecidos por el nivel apropiado de la administracin. Las transacciones deben ser vlidas para conocerse y ser sometidas oportunamente a su aceptacin. Todas aquellas que renan los requisitos establecidos por la administracin deben reconocerse como tales y procesarse a tiempo. Los resultados del procesamiento de transacciones deben oportunamente y estar respaldados por archivos adecuados. Objetivos de procesamiento y clasificacin de transacciones Todas las operaciones deben registrarse para permitir la preparacin de estados financieros en conformidad con los principios de calidad generalmente aceptados, o con cualquier otro criterio aplicable a los estados y para mantener en archivos apropiados los datos relativos a los activos sujetos a custodia. Las transacciones deben clasificarse en forma tal que permitan la preparacin de estados financieros en conformidad con los principios de contabilidad generalmente aceptados segn de la administracin. Las transacciones deben quedar registradas en el mismo periodo contable, cuidando de manera especifica que se registren aquellas que afectan ms de un ciclo. Objetivo de salvaguarda fsica El acceso a los activos slo debe permitirse de acuerdo con la autorizacin de la administracin. Objetivo de verificacin y evaluacin. Los datos registrados relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables, y se deben tomar las medidas apropiadas respecto a las diferencias que existan. Asimismo, deben existir controles relativos a la verificacin y evaluacin peridica de los saldos que se incluyen en los estados financieros, ya que este objetivo complementa en forma importante los mencionados anteriormente. comunicarse

Estos objetivos generales de control interno de sistemas son aplicables a todos los ciclos. No se trata que se usen directamente para evaluar las tcnicas de control interno de una organizacin.

El rea de informtica puede interactuar de dos maneras en el control interno. La primera es servir de herramienta para llevas un adecuado control interno y la segunda es tener un control interno del rea y del departamento de informtica. En el primer caso se lleva el control interno por medio de la evaluacin de una organizacin, utilizando la computadora como herramienta que auxiliar en el logro de los objetivos, lo cual se puede hacer por medio de paquetes de auditoria. En el segundo caso se lleva acabo el control interno de informtica. Es decir, como se seala en los objetivos del control interno, se deben proteger adecuadamente los activos de la organizacin por medio del control, para que se obtenga la informacin en forma veraz, oportuna y confiable, para que se mejore la eficiencia de la operacin de las operaciones de informtica se cumplan la polticas establecidas por la administracin; todo ello debe ser considerado como control interno de la informtica. La auditoria interna debe estar presente en todas y cada una de las partes de la organizacin, ahora bien, la pregunta que normalmente es: Cul debe ser su participacin dentro del rea de informtica? La informtica es en primer lugar una herramienta muy valiosa que debe tener una adecuado control y es un auxiliar de la auditoria informtica interna. Pero, segn este concepto, la auditoria interna puede considerarse como un usuario del rea de informtica. Se ha estudiado que los objetivos generales del control interno son: 1.-Autorizacion 2.-Procesamiento y clasificacin de las transacciones 3.-salvaguarda fsica. 4.-verificacion y evaluacin CONTROLES INTERNOS: COBIT, SAC Y COSO COBIT: Control Objectives for Information and related Technology. La Information Systems Audit and Control Foundation (ISACF) desarroll los Objetivos de Control para la Informacin y Tecnologa relacionada (COBIT) para

servir como una estructura generalmente aplicable y prcticas de seguridad y control de SI para el control de la tecnologa de la informacin. Esta estructura COBIT le permite a la gerencia comparar (benchmark) la seguridad y prcticas de control de los ambientes de TI, permite a los usuarios de los servicios de TI asegurarse que existe una adecuada seguridad y control y permite a los auditores sustanciar sus opiniones sobre el control interno y aconsejar sobre materias de seguridad y control de TI. La motivacin primaria para brindar esta estructura fue posibilitar el desarrollo de una poltica clara y buenas prcticas para el control de TI a travs de toda la industria en todo el mundo. La fase ya completada del proyecto COBIT provee un Resumen Ejecutivo, un Marco para el control de TI, una lista de Objetivos de Control, y un conjunto de Guas de Auditora. (Los objetivos de control y las guas de auditoria estn referenciados a la estructura). Definicin. COBIT adapt su definicin de control a partir de COSO: Las polticas, procedimientos, prcticas y estructuras organizacionales estn diseadas para proveer aseguramiento razonable de que se lograrn los objetivos del negocio y que se prevendrn, detectarn y corregirn los eventos no deseables. COBIT adapta su definicin de un objetivo de control de TI del SAC: Una declaracin del resultado deseado o propsito a lograr implementando procedimientos de control en una actividad particular de TI. COBIT enfatiza el rol e impacto del control de TI en lo relacionado con los procesos del negocio. El documento describe objetivos de control de TI independientes de plataformas y aplicaciones. Recursos de TI COBIT clasifica los recursos de TI como datos, sistemas de aplicacin, tecnologa, instalaciones y gente. Los datos son definidos en su sentido ms amplio e incluyen no slo nmeros, textos y fechas, sino tambin objetos tales como grficos y sonido. Los sistemas de aplicacin son entendidos como la suma de procedimientos manuales y programados. La tecnologa se refiere al hardware, sistemas operativos, equipos de redes y otros. Instalaciones son los recursos utilizados para albergar y soportar los sistemas de informacin. Gente comprende las capacidades y habilidades individuales para planear, organizar, adquirir, entregar, apoyar y monitorear los servicios y sistemas de informacin. Requerimientos Para satisfacer los objetivos del negocio, la informacin necesita conformarse a ciertos criterios a los cuales COBIT se refiere como requerimientos del negocio respecto de la informacin. COBIT combina los principios incorporados en los modelos de referencia existentes en tres amplias categoras: calidad, responsabilidad fiduciaria y seguridad. De estos amplios requerimientos, el informe extrae siete categoras superpuestas de criterios para evaluar cuan bien estn satisfaciendo los recursos de TI los requerimientos de informacin del negocio. Estos criterios son efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin.

Procesos y Dominios. En base al anlisis de un documento del Reino Unido sobre prcticas de administracin de TI de la biblioteca de infraestructura tecnolgica (ITIL), COBIT clasifica los procesos de TI en cuatro dominios. Estos cuatro dominios son (1) planeamiento y organizacin, (2) adquisicin e implementacin, (3) entrega y soporte y (4) monitoreo. El agrupamiento natural de procesos en dominios es a menudo confirmado como dominios de responsabilidad en las estructuras organizacionales y sigue el ciclo gerencial o ciclo de vida aplicable a los procesos de TI en cualquier ambiente de TI. COBIT presenta una estructura de control para los propietarios de los procesos del negocio. Cada vez ms, la direccin est totalmente facultada con responsabilidad y autoridad completa por los procesos del negocio. COBIT incluye definiciones tanto de control interno como de los objetivos de control de TI, cuatro dominios de procesos y 32 declaraciones de control de alto nivel para esos procesos, 271 objetivos de control referenciados a esos 32 procesos y guas de auditora vinculadas a los objetivos de control. Estructura. La estructura COBIT provee declaraciones de control de alto nivel para los procesos particulares de TI. La estructura identifica la necesidad del negocio satisfecha por la declaracin de control, identifica los recursos de TI administrados por los procesos, establece los controles habilitados y lista los principales objetivos de control aplicables. Informe SAC El informe SAC define el sistema de control interno, describe sus componentes, provee varias clasificaciones de los controles, describe objetivos de control y riesgos, y define el rol del auditor interno. El informe provee una gua sobre el uso, administracin y proteccin de los recursos de tecnologa informtica y discute los efectos de la computacin de usuario final, las telecomunicaciones y las tecnologas emergentes. Definicin. El informe SAC define a un sistema de control interno como: un conjunto de procesos, funciones, actividades, subsistemas, y gente que son agrupados o concientemente segregados para asegurar el logro efectivo de los objetivos y metas. El informe enfatiza el rol e impacto de los sistemas computarizados de informacin sobre el sistema de control interno. El mismo acenta la necesidad de evaluar los riesgos, pesar los costos y beneficios y construir controles en los sistemas en lugar de agregarlos luego de la implementacin. Componentes. El sistema de control interno consiste en tres componentes: el ambiente de control, los sistemas manuales y automatizados y los procedimientos de control. El ambiente de control incluye la estructura de la organizacin, la estructura de control, las polticas y procedimientos y las influencias externas. Los sistemas automatizados consisten en sistemas y software de aplicacin. SAC discute los riesgos de control asociados con los sistemas de usuario final y departamentales

pero no describe ni define los sistemas manuales. Los procedimientos de control consisten en controles generales, de aplicaciones y compensatorios. Clasificaciones. SAC provee cinco esquemas de clasificacin para los controles internos en los sistemas informticos: (1) preventivos, detectivos, y correctivos, (2) discrecionales y no-discrecionales, (3) voluntarios y obligatorios, (4) manuales y automatizados y (5) controles de aplicaciones y generales. Estos esquemas se enfocan en cundo se aplica el control, si el control puede ser evitado, quin impone la necesidad del control, cmo se implementa el control, y dnde se implementa el control en el software. Objetivos de Control y Riesgos. Los riesgos incluyen fraudes, errores, interrupcin del negocio, y el uso ineficiente e inefectivo de los recursos. Los objetivos de control reducen estos riesgos y aseguran la integridad de la informacin, la seguridad, y el cumplimiento. La integridad de la informacin es resguardada por los controles de calidad del input, procesamiento, output y software. Las medidas de seguridad incluyen los controles de seguridad de los datos, fsica y de programas. Los controles de cumplimiento aseguran conformidad con las leyes y regulaciones, los estndares contables y de auditora, y las polticas y procedimientos internos. Rol del Auditor Interno. Las responsabilidades de los auditores internos incluyen asegurar la adecuacin del sistema de control interno, la confiabilidad de los datos y el uso eficiente de los recursos de la organizacin. A los auditores internos tambin les concierne la prevencin y deteccin de fraudes, y la coordinacin de actividades con los auditores externos. Para los auditores internos es necesaria la integracin de las habilidades de auditoria y sistemas de informacin y una comprensin del impacto de la tecnologa informtica sobre el proceso de auditoria. Estos profesionales realizan ahora auditorias financieras, operativas y de los sistemas de informacin.

Informe COSO El informe COSO define el control interno, describe sus componentes, y provee criterios contra los cuales pueden evaluarse los sistemas de control. El informe ofrece una gua para la elaboracin de informes pblicos sobre control interno y provee materiales que la gerencia, los auditores y otros pueden utilizar para evaluar un sistema de control interno. Dos objetivos principales del informe son (1) establecer una definicin comn de control interno que sirve a muchas partes diferentes, y (2) provee un estndar contra el cual las organizaciones pueden evaluar sus sistemas de control y determinar como mejorarlos. Definicin. El informe COSO define control interno como: un proceso, efectuado por el directorio, la gerencia y otro personal de la entidad, diseado para proveer un aseguramiento razonable en relacin al logro de los objetivos en las siguientes categoras: efectividad y eficiencia de las operaciones

confiabilidad de los reportes financieros cumplimiento con las leyes y regulaciones aplicables. Aunque el informe define el control interno como un proceso, recomienda evaluar la efectividad del control interno a un momento dado. Componentes. El sistema de control interno consiste en cinco componentes interrelacionados: (1) ambiente de control, (2) evaluacin de riesgos, (3) actividades de control, (4) informacin y comunicacin, y (5) monitoreo. El ambiente de control provee la base para los otros componentes. El mismo abarca factores tales como filosofa y estilo operativo de la gerencia, polticas y prcticas de recursos humanos, la integridad y valores ticos de los empleados, la estructura organizacional, y la atencin y direccin del directorio. El informe COSO brinda una gua para evaluar cada uno de estos factores. Por ejemplo, la filosofa gerencial y el estilo operativo pueden ser evaluados examinando la naturaleza de los riesgos del negocio que acepta la gerencia, la frecuencia de su interaccin con los subordinados, y su actitud hacia los informes financieros. La evaluacin de riesgo consiste en la identificacin del riesgo y el anlisis del riesgo. La identificacin del riesgo incluye examinar factores externostales como los desarrollos tecnolgicos, la competencia y los cambios econmicos, y factores internos tales como calidad del personal, la naturaleza de las actividades de la entidad, y las caractersticas de procesamiento del sistema de informacin. El anlisis de riesgo involucra estimar la significacin del riesgo, evaluar la probabilidad de que ocurra y considerar cmo administrarlo. Las actividades de control consisten en las polticas y procedimientos que aseguran que los empleados lleven a cabo las directivas de la gerencia. Las actividades de control incluyen revisiones del sistema de control, los controles fsicos, la segregacin de tareas y los controles de los sistemas de informacin. Los controles sobre los sistemas de informacin incluyen los controles generales y los controles de las aplicaciones. Controles generales son aquellos que cubren el acceso, el desarrollo de software y sistemas. Controles de las aplicaciones son aquellos que previenen que ingresen errores en el sistema o detectan y corrigen errores presentes en el sistema. La entidad obtiene informacin pertinente y la comunica a travs de la organizacin. El sistema de informacin identifica, captura y reporta informacin financiera y operativa que es til para controlar las actividades de la organizacin. Dentro de la organizacin, el personal debe recibir el mensaje que ellos deben comprender sus roles en el sistema de control interno, tomar seriamente sus responsabilidades por el control interno, y, si es necesario, reportar problemas a los altos niveles de gerencia. Fuera de la entidad, los individuos y organizaciones que suministran o reciben bienes o servicios deben recibir el mensaje de que la entidad no tolerar acciones impropias. La gerencia monitorea el sistema de control revisando el output generado por las actividades regulares de control y realizando evaluaciones especiales. Las actividades regulares de control incluyen comparar los activos fsicos con los datos registrados, seminarios de entrenamiento, y exmenes realizados por auditores internos y externos. Las evaluaciones especiales pueden ser de distinto alcance y frecuencia. Las deficiencias encontradas durante las actividades regulares de

control son normalmente reportadas al supervisor a cargo; las deficiencias detectadas durante evaluaciones especiales son normalmente comunicadas a los niveles altos de la organizacin. El informe COSO define deficiencias como "condiciones dentro de un sistema de control interno digno de atencin". Las deficiencias deberan ser reportadas a la persona responsable por la actividad y a la gerencia que est como mnimo un nivel por encima del individuo responsable. Un sistema de control interno es juzgado efectivo si estn presentes y funcionando efectivamente los cinco componentes respecto de las operaciones, los reportes financieros y el cumplimiento. Comparacin de COBIT, SAC y COSO COBIT, SAC y COSO definen el control interno, describen sus componentes y proveen herramientas de evaluacin. SAC y COSO tambin sugieren formas de reportar los problemas de control interno. Adicionalmente COBIT provee una estructura amplia facilitando el anlisis y comunicacin de las observaciones de control interno. Esta seccin compara las contribuciones que hacen los documentos individuales a cada una de estas reas. Definiciones. Aunque las tres definiciones de control contienen esencialmente los mismos conceptos, el nfasis es algo diferente. COBIT ve el control interno como un proceso que incluye polticas, procedimientos, prcticas y estructuras organizacionales que soportan procesos y objetivos de negocio. SAC enfatiza que el control interno es un sistema, ej. que el control interno es un conjunto de funciones, subsistemas, y gente y sus interrelaciones. COSO acenta el control interno como un proceso, ej. el control interno debera ser una parte integrante de las actividades del negocio en curso. La gente es parte del sistema de control interno. COBIT clasifica a la gente (definida como habilidad, concientizacin y productividad del personal para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de informacin) como uno de los recursos primarios administrados por distintos procesos de tecnologa informtica. El involucramiento de la gente se ha hecho ms explcito a medida que los documentos evolucionaron. SAC define explcitamente a la gente como una parte integral del sistema de control interno. COSO denota que la gente involucrada con el control interno son miembros del Directorio, la gerencia, u otro personal de la entidad. Los documentos acuerdan que la gerencia es la parte responsable por establecer, mantener y monitorear el sistema de control interno. Componentes. El informe SAC describe tres componentes del sistema de control interno. El informe COSO considera cinco componentes. COBIT incorpora los cinco componentes considerados en el informe COSO y los focaliza dentro del entorno de los control interno de tecnologa informtica. El diseo de COBIT salta la brecha entre los modelos de control de negocios tales como COSO y los sistemas los modelos de control de sistemas de informacin ms altamente tcnicos disponibles en todo el mundo. Aunque pueden parecer que los documentos

difieren en sus enfoques de los controles, los estudios posteriores revelan muchas similaridades. Ambiente de Control. COBIT, SAC y COSO todos incluyen el ambiente de control como un componente y discuten esencialmente los mismos conceptos. Los factores que impactan el ambiente de control incluyen la integridad y valores ticos de la gerencia, la competencia del personal, la filosofa gerencial y el estilo operativo, cmo se asignan la autoridad y responsabilidades, y la gua que provee el directorio. COBIT entrelaza las implicancias del ambiente de control en todos los objetivos de control aplicables. Categoriza los procesos dentro de planeamiento y organizacin, adquisicin e implementacin, entrega y soporte, y monitoreo. Tambin habla del ambiente de control donde es apropiado. SAC divide el ambiente de control en unas pocas categoras, est ms orientado a los sistemas de informacin, e incluye ideas como parte del ambiente de control que los otros dos documentos discuten como parte de otros componentes. En la mayora de las reas, los conceptos de control interno se desarrollaron de SAC (1991, 1994) a COSO (1992) a COBIT (1996). COSO utiliza una mayor cantidad de categoras de conceptos ambientales y en consecuencia define bien al ambiente de control. Sistemas de Informacin y Comunicacin. COBIT, SAC y COSO difieren en sus focos y profundidad de tratamiento de los sistemas de informacin. El foco exclusivo de COBIT es el establecimiento de una estructura de referencia para seguridad y control en tecnologa informtica. Define un vnculo claro entre los controles de los sistemas de informacin y los objetivos del negocio. Adems, provee objetivos de control validados globalmente para cada proceso de tecnologa informtica lo cual brinda una gua pragmtica de control para todas las partes interesadas. COBIT tambin provee un vehculo para facilitar las comunicaciones entre la gerencia, los usuarios y los auditores en relacin a los controles de los sistemas de informacin. SAC se enfoca en los sistemas de informacin automatizados. El documento examina las relaciones entre control interno y software de sistemas, sistemas de aplicacin, y los sistemas departamentales de usuarios finales. El software de sistemas provee el sistema operativo, telecomunicaciones, administracin de datos, y otras funciones de utilidad requeridas por los sistemas de aplicacin. Los sistemas de aplicacin incluyen los sistemas de negocios, financieros y operativos de la entidad (ej: recursos humanos, cuentas a cobrar, y programacin de la produccin, respectivamente). Los sistemas departamentales y de usuarios finales sirven a las necesidades de grupos especficos de usuarios. Muchos de los volmenes del informe SAC proveen guas del control interno necesario en cada una de estas reas. COSO discute tanto informacin como comunicacin. En su discusin sobre informacin, COSO revisa la necesidad de capturar la informacin pertinente interna y externa, el potencial de sistemas estratgicos eintegrados, y la necesidad de calidad en los datos. La discusin sobre comunicacin se focaliza en trasmitir asuntos de control interno, y recoger informacin competitiva, econmica y legislativa. Actividades de Control.

COBIT y SAC examinan procedimientos de control relativos al sistema automatizado de informacin de una entidad; COSO discute los procedimientos y actividades de control utilizados en toda la entidad. COBIT clasifica los controles en 32 procesos agrupados naturalmente en cuatro dominios aplicables a cualquier ambiente de procesamiento de informacin. SAC utiliza cinco esquemas de clasificacin diferentes para los procedimientos de control de SI. COSO utiliza solo un esquema de clasificacin para los procedimientos de control del sistema de informacin (SI). La discusin de COSO sobre las actividades de control enfatiza en quin realiza las actividades y en lo operativo ms que en los objetivos de informes financieros. COSO tambin enfatiza la deseabilidad de integrar las actividades de control con la evaluacin de riesgos. Evaluacin de Riesgos. COSO identifica la evaluacin de riesgos como un componente importante del control interno. COBIT identifica un proceso dentro del ambiente de tecnologa informtica como evaluando riesgos. Este proceso en particular cae dentro del dominio de planeamiento y organizacin y tiene seis objetivos especficos de control asociados al mismo. Aunque la evaluacin de riesgos no es un componente explcito del sistema de control interno de SAC, el documento contiene amplias discusiones sobre riesgo. COBIT considera en profundidad varios componentes de evaluacin de riesgos en un ambiente de tecnologa informtica. Esto incluye evaluacin de riesgos del negocio, el enfoque de evaluacin de riesgos, identificacin de riesgos, medicin de los riesgos, plan de accin sobre riesgos y aceptacin de riesgos. Trata directamente con tipos de riesgos de tecnologa informtica tales como riesgos de tecnologa, seguridad, continuidad y regulatorios. Adicionalmente, considera el riesgo tanto desde la perspectiva global como los especficos de sistemas. Los conceptos de riesgo presentados en SAC y COSO son similares. Adems del riesgo de fallar en satisfacer los objetivos de informes financieros, SAC y COSO tratan los riesgos de fallar en el cumplimiento y especialmente, en los objetivos operativos. COSO discute la identificacin de los riesgos internos y externos para toda la entidad y para las actividades individuales. COSO considera tambin el anlisis del riesgo por la gerencia: estimando la significacin del riesgo, evaluando su probabilidad de ocurrencia, y considerando como administrarlo. SAC examina los riesgos para el sistema automatizado de informacin. SAC provee un anlisis detallado de los riesgos de SI y explora cmo podra mitigarse cada uno de estos riesgos. SAC y COSO enfatizan en consideraciones de costo/beneficio, la necesidad de interrelacionar los objetivos de la entidad y los controles, la naturaleza sobre la marcha de la identificacin y evaluacin de riesgos, y la habilidad gerencial para ajustar el sistema de control interno de la entidad. Monitoreo: En contraste con COBIT y COSO, SAC no incluye explcitamente el monitoreo como un componente del sistema de control interno. Todos los documentos asignan a la gerencia la responsabilidad de asegurar que los controles continen operando apropiadamente. COBIT considera la responsabilidad gerencial de monitorear todos los procesos de tecnologa informtica y la necesidad de obtener un aseguramiento independiente sobre los controles. Clasifica monitoreo como un dominio en lnea con el ciclo gerencial.

SAC reconoce las responsabilidades de los auditores internos para seleccionar reas de tecnologa informtica en las cuales una revisin independiente puede producir mayores beneficios y para verificar controles para obtener evidencia del cumplimiento y eficacia vigentes. Como los controles internos deberan evolucionar y evolucionan con el tiempo, COSO reconoce la necesidad de que la gerencia monitoree todo el sistema de control interno de las actividades en marcha incorporadas en el sistema de control en si mismo y mediante evaluaciones especiales dirigidas a reas o actividades especficas. Aunque SAC y COSO comparten la misma perspectiva (interna), COSO discute el monitoreo de actividades en trminos amplios y SAC discute actividades especficas de monitoreo que deberan ser realizadas por o dentro de los sistemas automatizados de informacin de la entidad. COBIT en forma parecida, pero de manera ms profunda, define los requerimientos y responsabilidades especficas de monitoreo dentro de la funcin de tecnologa informtica. PRINCIPIOS APLICADOS A LOS AUDITORES INFORMTICOS PRINCIPIO DE BENEFICIO DEL AUDITOR: El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligando a presentar recomendaciones acerca del reforzamiento del sistema informtico en esta ultima. * En ningn caso esta justificado que realice su trabajo el prisma del propio beneficio. * Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deber considerarse como no tica. * Para garantizar le beneficio al auditado como la necesaria independencia del auditor, este ultimo deber evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente. * La adaptacin del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un comentario promenorizado de sus caractersticas intrnsecas. nicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podr proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informtico globalmente contemplado. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos mnimos, aconsejables y ptimos para su adecuacin a la finalidad para la que ha sido diseado.

El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dainas o que generen riesgos injustificados para el auditado. Una de las cuestiones ms controvertidas, respecto de la aplicacin de este principio, es la referente a facilitar el derecho de las organizaciones auditadas a la libre eleccin del auditor. Si el auditado decidiera encomendar posteriores auditoras a otros profesionales, stos deberas poder tener acceso a los informes de los trabajos profesionales, stos deberan poder tener acceso a los informes de los trabajos anteriormente realizados sobre el sistema del auditado. PRINCIPIO DE CALIDAD En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en el que la precariedad de medios puestos a su disposicin impidan o dificulten seriamente la realizacin de la auditora, deber segarse a realizarla hasta que se garantice un mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditora evitando que una sobre estimacin personal pudiera provocar el incumplimiento parcial o total de la misma. Conviene indicar que en los casos de producirse, por el contrario, una subestimacin de su capacidad de su capacidad profesional, esta circunstancia podra afectar negativamente en la confianza del auditado sobre el resultado final de la auditora. A efectos de garantizar, en la medida de lo posible, la pertinencia de sus conocimientos, el auditor deber procurar que stos evolucionen, al unsono con el desarrollo de las tecnologas de la informacin, en una forma dinmica. Es deseable que se fortalezca la certificacin profesional de la aptitud de los auditores para realizar unos trabajos de ndole tan compleja. Esta certificacin que deber tener a plazo de validez acorde con la evolucin de las nuevas tecnologas de la informacin de la informacin, debera estar validada y garantizada por la metodologa empleada para acreditar dicha especializacin. PRINCIPIO DE CAUTELA El auditor en todo momento debe ser consiente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Si bien es cierto que el auditor debe estar al corriente del desarrollo de dichas tecnologas de

informacin e informar al auditado de su previsible evolucin, no es menos cierto que deben evitar la tentacin de creer que, gracias a sus conocimientos, puede aventurar, con un casi absoluto grado de certeza. Debe, por tanto, el auditor actuar con un cierto grado de humildad, evitando dar la impresin de estar al corriente de una informacin privilegiada sobre el estado real de la evolucin de los proyectos. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios. El comportamiento profesional exige del auditor una seguridad en sus conocimientos tcnicos y una clara percepcin de sus carencias, debiendo eludir las injerencias no solicitadas por l, de profesionales de otras reas, en temas relacionadas o que puedan incidir en el resultado da la auditora. Igualmente debe evitarse realizar actos que simulen aplicaciones de tratamientos ficticios, encubran comportamientos no profesionales o den publicidad a metodologas propias o ajenas insuficientemente contrastadas y garantizadas. PRINCIPIO DE CONCENTRACION EN EL TRABAJO En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. A este efecto, el auditor deber sopesar las posibles consecuencias de una acumulacin excesiva de trabajos a fin de no asumir aquellos que objetivamente no tengan tiempo de realizar con las debidas garantas de calidad. Asimismo deber evitar la desaconsejable prctica de ahorro de esfuerzos basada en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados como colofn de nuevas auditoras. Por el contrario, si es admisible el que, una vez analizados en profundidad los aspectos a tener en cuenta y obtenidas las correspondientes conclusiones, se contrasten las mismas a tenor de la experiencia adquirida y reflejada en anteriores informes, ya que este modo de actuar permite detectar posibles omisiones en el estudio. Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor parte de los recursos posibles obtenidos de sus conocimientos y experiencias previas con una completa atencin durante la ejecucin de la auditora. PRINCIPIO DE CONFIANZA El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional

sin alardes cientficos-tcnicos. Este principio requiere mismismo, por parte del auditor, el mantener una confianza en las indicaciones del auditado aceptndolas sin reservas como vlidas. El auditor deber, en consonancia con esta forma de actuar, adecuar su lenguaje al nivel de comprensin del auditado, descendiendo y detallando cuando haga falta en su explicacin debiendo solicitar, cuando lo considere necesario, la presencia de alguno de los colaboradores de confianza de su cliente. PRINCIPIO DE CRITERIO PROPIO El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. La defensa a ultranza del propio criterio no es bice para respetar las crticas adversas de terceros, aunque el auditor debe evitar que, si una vez analizadas contina discrepando de las mismas, stas pueden seguir influyendo en su trabajo, ya que la libertad de criterio impone al auditor la obligacin de tica de actuar en todo momento. Este principio exige asimismo del auditor una actitud cuasibeligerante en los casos en que llegue al convencimiento de que la actividad que se solicita, presuntamente para evaluar y mejorar un sistema informtico, tiene otra finalidad ajena a la auditora. De igual forma cuando el auditor observe que, de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la continuidad de sus servicios en funcin de las razones y causas que considere puedan justificar dicho proceder. PRINCIPIO DE DISCRECIN El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados. En las recomendaciones y conclusiones realizadas en base a su trabajo deber as mismo eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados. PRINCIPIO DE FORMACIN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. El auditor como integrante de un grupo profesional beber promover el respeto mutuo y la no confrontacin entre compaeros. En sus

relaciones profesionales beber exigir as mismo una reciprocidad en el comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando as se le soliciten. PRINCIPIO DE INDEPENDENCIA Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Esta independencia implica as mismo el rechazo de criterios con los que no este plenamente de acuerdo, debiendo reflejarse en su informe final tan solo aquellos que considere pertinentes evitando incluir en el mismo aquellos otros que segn su entender pudieran producir perjuicios al auditado, aunque este as se lo solicite. PRINCIPIO DE INFORMACIN SUFICIENTE Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, como sobre las conclusiones a las que a llegado. Es importante asimismo que la informacin transmitida al auditado ponga de manifiesto una prudencia y sentido de la responsabilidad, caractersticas estas que nunca deben estar reidas con los principios de suficiencia informativa y de veracidad evitando recrear los aspectos negativos o los errores humanos detectados que deben quedar reflejados con un cierto tacto profesional. PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas. PRINCIPIO DE LEGALIDAD La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo. PRINCIPIO DE LIBRE COMPETENCIA La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. PRINCIPIO DE NO DISCRIMINACIN El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse.

PRINCIPIO DE NO INJERENCIA El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Deber igualmente evitar aprovechar los datos obtenidos de la auditoria para entrar en competencia desleal con profesionales relacionados con ella de otras reas del conocimiento. PRINCIPIO DE PRECISIN Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario. En la exposicin de sus conclusiones deber ser suficientemente critico, no eludiendo poner de manifiesto aquellos aspectos concretos que considere puedan tener una incidencia en la calidad y fiabilidad de la auditoria. Es exigible asimismo del auditor que indique como evaluado nicamente aquello que directamente, o por medio de sus colaboradores, haya comprobado u observado de forma exhaustiva. PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios. PRINCIPIO DE RESPONSABILIDAD El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Si bien este principio aparentemente puede resultar gravoso en auditorias de gran complejidad es preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores humanos durante la ejecucin de la auditoria, se produzcan daos a su cliente que le pudieran ser imputados. Por ello es conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a las peculiares caractersticas de su actividad, que cubran la responsabilidad civil de los auditores con una suficiente cobertura a fin de acrecentar la confianza y solvencia de su actuacin profesional. La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos o perjuicios que pudieran derivarse de una actuacin negligente o culposa. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. Este principio obliga primero a no difundir a terceras personas ningn dato que haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera perjudicar a su cliente. Establecimiento de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la informacin documentada, obtenida a lo largo de la

auditoria, va a quedar almacenada en entornos o soportes que impidan la accesibilidad a la misma por terceras personas no autorizadas. PRINCIPIO DE SERVICIO PUBLICO La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. Deber poner de manifiesto sus opciones personales cuando entren en contradiccin con la tica social que el auditado pueda presumir que esta implcitamente aceptada por el auditor. Exige una continua elevacin del arte de la ciencia en el campo de la auditoria informtica. PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccin, y secreto profesional. El principio de veracidad no debe, sin embargo, considerarse como constreido a expresar nicamente aquello sobre lo que se tenga una absoluta y total certeza, sino que implica poner de manifiesto aquello que tenga el suficiente grado de fiabilidad como para ser considerado como veraz mientras no se aporten datos o pruebas que demuestren lo contrario. La aplicacin de este principio exige al auditor, en el marco de su obligacin de informar al auditado sobre el trabajo realizado, comunique a este ultimo sus conclusiones, diferenciando los hechos constatados de las opiniones, propuestas y valoraciones personales, debiendo actuar en la comprobacin de los primeros y en la fundamentacin de las restantes con una suficiente diligencia profesional para garantizar el cumplimiento de su obligacin de informar verazmente.