Muchos especialistas han denominado a la sociedad del siglo XXI como sociedad de la información y no debe existir un calificativo más certero para denominar al complejo panorama que ofrece el mundo actual. La información nunca antes contó con la cantidad y diversidad de canales y de formatos, que hoy existen para su socialización y nunca antes ejerció tanta influencia sobre el pensar colectivo. Hoy constituye el control de su descontrol, el mecanismo de dominación más sutil y a la vez eficiente en la historia de la humanidad.
Los sistemas de información en las organizaciones modernas son sistemas creados con el objetivo de mejorar la productividad, la capacidad comercial, el control de gestión o la toma de decisiones. Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. Es por ello que cada entidad debe implementar mecanismos apropiados que garanticen la seguridad de la información almacenada en sus medios informáticos, pues la misma no solo es dependiente de la integridad de los mecanismos de protección basados en el hardware y el software de la propia computadora, sino de la consistencia con que los usuarios hagan uso de estos mecanismos.
Es evidente que las técnicas, habilidades y enfoques que durante décadas se han empleado para ejercer la auditoría requieren de una transformación que las conduzca por nuevos derroteros e implemente un novedoso enfoque estratégico, que vincule las técnicas de la auditoría con las técnicas informáticas. Se incrementan las exigencias de los servicios que prestarán las organizaciones que ejercen la auditoría lo que hace que se necesiten cada vez más herramientas de apoyo específicas para evaluar los sistemas de información en general.
Existen limitadas experiencias de programas de auditoría para los sistemas de información acorde a las características de Cuba, ya que hasta el momento se realizan acciones de control del tipo especial y se incluyen elementos contenidos en las directrices a las tecnologías de la información y revisiones a los sistemas de información contables financieros, y para ello se emplean más de un especialista para realizarlas (contador e informático). Para lo que se propone un programa de auditoría a los sistemas de información adecuado a las características del contexto señalado.
Se tiene para la investigación como objeto de estudio a instituciones hospitalarias de la ciudad de Matanzas, Cuba, las que brindan asistencia médica especializada con énfasis en urgencia y emergencias médicas, formación de recursos humanos e investigaciones científicas con eficiencia y calidad acorde a las políticas sanitarias, capacitación profesional y administrativas, logrando satisfacer las necesidades de la población y la elevación de su calidad de vida.
Lea también: Auditoría de Calidad: Ejemplo y Guía
Metodología de la Investigación
A continuación, se explicarán los métodos, técnicas y herramientas utilizadas en la investigación:
- Análisis-síntesis: El análisis es una operación intelectual que posibilita descomponer mentalmente un todo complejo en sus partes y cualidades. La síntesis es la operación inversa, que establece mentalmente la unión entre las partes, previamente analizadas y posibilita descubrir relaciones y características generales entre los elementos de la realidad. Esta se puso de manifiesto en el análisis de la bibliografía recomendada sobre el tema y la síntesis de los aspectos consultados, lo cual fue útil y, sobre todo, para la elaboración del marco teórico referencial y para caracterizar el objeto de estudio.
- Inducción-deducción: La inducción y deducción son dos métodos teóricos de fundamental importancia para la investigación. La inducción se puede definir como una forma de razonamiento por medio de la cual se pasa del conocimiento de cosas particulares a un conocimiento más general que refleja lo que hay de común en los fenómenos individuales. Se pone de manifiesto en la inducción aspectos que permitieron ir de lo general a lo particular, y la deducción de los elementos encontrados durante el proceso de investigación, lo cual fue necesario para interpretar la relación existente entre los elementos del objeto haciendo posible la conformación empírica de la hipótesis.
- Histórico-lógico: El método histórico estudia la trayectoria real de los fenómenos y acontecimientos en el transcurso de su historia. El método lógico investiga las leyes generales de funcionamiento y desarrollo de los fenómenos. Lo lógico no repite lo histórico en todos sus detalles, sino que reproduce en el plano teórico lo más importante del fenómeno, lo que constituye su esencia: “lo lógico es lo histórico mismo, pero liberado de las contingencias de la forma histórica”.
Métodos Empíricos
Mediante los métodos empíricos, el investigador se sitúa en contacto directo con su objeto de estudio, en una forma práctica.
- Análisis documental: Permite analizar de la información a partir de la documentación consultada. En el desarrollo de la investigación este método se utilizó desde la consulta de bibliografía actualizada para la elaboración del marco teórico, consulta de las resoluciones y decretos vigentes, así como verificación de los documentos de la entidad y el proyecto de inversión. Se destacan los estados financieros, los documentos primarios asociados al proyecto y la información obtenida del software automatizado.
- Observación: Es el examen atento de los diferentes aspectos de un fenómeno a fin de estudiar sus características y comportamiento dentro del medio en donde se desenvuelve éste. La observación directa de un fenómeno ayuda a realizar el planteamiento adecuado de la problemática a estudiar. Se empleó en la investigación a partir del examen visual de las organizaciones donde se llevó a cabo la investigación, trabajo con las áreas de auditoría contabilidad e informática además de otras áreas vinculadas a la investigación.
- Tormenta de ideas: También denominada lluvia de ideas o brainstorming, es una herramienta de trabajo grupal que facilita el surgimiento de nuevas ideas sobre un tema o problema determinado. Permite generar ideas originales en un ambiente adecuado y distendido.
- Diagrama Causa - Efecto: Es la representación de varios elementos (causas) de un sistema que pueden contribuir a un problema (efecto). Es una herramienta efectiva para estudiar procesos y situaciones y para desarrollar un plan de recolección de datos, es utilizado para identificar las posibles causas de un problema específico, su naturaleza gráfica permite que los grupos organicen grandes cantidades de información sobre el problema aumentando la posibilidad de identificar las causas principales.
- Encuesta: La encuesta puede definirse como un método de recogida de datos por medio de preguntas, cuyas respuestas se obtienen de forma escrita u oral con el objetivo de estudiar determinados hechos o fenómenos por medio de la expresión de los sujetos. En este caso se emplearon preguntas estructuradas cerradas.
Selección de Expertos y Validación del Programa
Para la selección del experto se emplea el denominado Coeficiente de competencia (K) el cual se determina de acuerdo con la opinión del experto sobre su nivel de conocimiento con respecto al problema que se está resolviendo y con las fuentes que le permiten comprobar su valoración. El coeficiente de competencia (K) debe estar en el rango 0.8 ≤ K ≤ 1, para elevar el nivel de selección de los expertos. La cantidad de expertos a elegir debe ser menor o igual a &*n, donde & es un número comprendido entre 0.1 y 1 prefijado por el investigador, y n son los elementos que caracterizan un determinado objeto de estudio. En la presente investigación, n estará caracterizada por los requisitos de información económica, contable y financiera seleccionados en la tarea anterior.
Se efectúa la aplicación del cuestionario para la selección de expertos antes mencionada a través del coeficiente de competencia con respecto al problema que se está resolviendo y con las fuentes que le permiten comprobar su valoración. A través del empleo de la técnica tormenta de ideas se obtuvo la información necesaria para determinar las causas que originan el problema a solucionar. Se implementó esta técnica con los auditores internos, el informático y los integrantes del departamento de contabilidad de las entidades objeto de estudio, con el objetivo de poder elaborar el diagrama causa-efecto para la descripción gráfica y sintética de la problemática detectada.
En el diagnóstico realizado a la situación actual dentro del ámbito de las auditorias de los sistemas de información, se pudo apreciar que existen limitaciones de los auditores internos para efectuar revisiones a los sistemas de información además de necesitar el empleo de un informático para poder realizar esta acción.
Lea también: ISR Personas Morales en México: Guía Detallada
Para la elaboración del programa de auditoría a los sistemas de información se tuvo en cuenta las Normas Cubanas de Auditoría que establecen los conceptos, técnicas y herramientas para ser utilizados durante este proceso. Se utilizaron procedimientos de programas de auditorías como Proaudi, la guía de control interno y sobre todo aspectos contenidos en el cuestionario para la evaluación de los controles y debilidades críticas. También con la experiencia acumulada de auditores especializados en sistemas e informáticos de las entidades objeto de estudio. Este programa se prepara por áreas (grupos homogéneos de actividades, datos, transacciones, etc.), y queda archivado con el resto de los papeles de trabajo.
Detalles del Programa de Auditoría
Objetivo general de la auditoría:
- Comprobar la existencia y efectividad de los sistemas de información contable-financiero, el control interno y lo relacionado con la seguridad informática.
Objetivos específicos:
- Evaluar el sistema de control interno, concretamente para obtener un conocimiento preliminar del ambiente informático y de los procedimientos de control implementados.
- Conocer cuáles son los sistemas automatizados que utilizan en la entidad con el fin de comprobar su propiedad, eficiencia y seguridad.
- Evaluar la situación existente en cuanto a seguridad informática.
- Comprobar el estado de la información contable-financiera en cuanto a su veracidad, oportunidad y confiabilidad.
Alcance del programa: El período que se tomará para revisar los aspectos contenidos en el programa.
Criterios de auditoría aplicables: Se determina un nivel de riesgo de auditoría sobre la base de la importancia de las fases que componen las aplicaciones que puedan ser susceptibles a modificaciones o adulteraciones a través de terceros, con fines de cambiar los resultados. La muestra se calcula según los programas en uso y sus interfaces. Aplicando muestreo aleatorio
Lea también: Resumen Ejecutivo: Guía Completa
Referencia a fuentes legislativas y normativas: Normativas vigentes en este caso la Resolución 127/07, la Resolución 12/05 la Resolución 33/08 todas del Ministerio de la Informática y las Comunicaciones, la Ley 107/09 y la Resolución 60/11 ambas de la Contraloría general de la República de Cuba. Además de las Normas Cubanas de Auditoría.
Requerimientos materiales y personal especializado: Se requerirá un equipo de auditores de no menos de tres miembros, con conocimientos, experiencia y actualización en temas de tecnologías de la información.
Desarrollo del programa: Pruebas de cumplimiento o acatamiento de controles, combinadas con pruebas sustantivas y analíticas. El programa se diseña para la aplicación, a juicio del auditor, de cualquier tipo de muestreo (estadístico o no estadístico).
Validación del Programa de Auditoría
Para validar el procedimiento se utilizó el método de expertos y de comparación por pares. Se elaboró el cuestionario mostrando los tres grupos de elementos más relevantes que contiene este programa de auditoría a los sistemas de información y que es de interés de la investigadora avalarlos. Al aplicar el método de Consenso se obtuvo como resultado que los tres grupos de elementos son considerados como muy adecuados; demostrando que el programa de auditoría a los sistemas de información es válido, para aplicarse en cualquier entidad donde se ejecute una acción de control de este tipo o para auditorías internas como parte de la revisión de temáticas asociadas a las tecnologías de la información.
Los resultados de la investigación fueron presentados ante los expertos, especialistas y colaboradores que contribuyeron al desarrollo del programa.
La elaboración de un programa de auditoría que contemple los requisitos expuestos anteriormente permitirá controles a los sistemas, su procesamiento, entradas y salidas, respaldo de la información y seguridad de la misma en consecuencia con controles asociados a las TICs. Esto con base en la revisión de trabajos investigativos precedentes, constituye una herramienta de gran utilidad para auditores y supervisores, coadyuvando a incrementar la calidad en la acción de control que se proyecte, lo que ofrece una contribución a las metodologías existentes, el brindar un proceder detallado y con fundamento teórico y práctico.
La auditoría está llamada a garantizar el funcionamiento efectivo de los sistemas, mantener la integridad, confiabilidad y disponibilidad. Mediante el diagnóstico realizado a la situación actual en el ámbito de las auditorias de los sistemas de información, se constató que existen limitaciones de los auditores internos para realizar revisiones a los sistemas de información y la carencia de un programa de auditoría interna que aglutine en sí mismo procedimientos de revisión que incluyan aspectos tanto de informática.
La auditoría informática reviste vital importancia en el correcto desempeño de los sistemas de información, así como de los niveles de seguridad. Los avances tecnológicos en informática y computación están en continua mejora. Condición que genera limitaciones para desarrollar nuevas oportunidades comerciales y conlleva a cometer posibles errores.
Antes de iniciar cualquier proceso, se realiza un análisis general de la organización objeto de la auditoría.