Muchos especialistas han denominado a la sociedad del siglo XXI como sociedad de la información y no debe existir un calificativo más certero para denominar al complejo panorama que ofrece el mundo actual. La información nunca antes contó con la cantidad y diversidad de canales y de formatos, que hoy existen para su socialización y nunca antes ejerció tanta influencia sobre el pensar colectivo. Hoy constituye el control de su descontrol, el mecanismo de dominación más sutil y a la vez eficiente en la historia de la humanidad.
Los sistemas de información en las organizaciones modernas son sistemas creados con el objetivo de mejorar la productividad, la capacidad comercial, el control de gestión o la toma de decisiones. Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. Es por ello que cada entidad debe implementar mecanismos apropiados que garanticen la seguridad de la información almacenada en sus medios informáticos, pues la misma no solo es dependiente de la integridad de los mecanismos de protección basados en el hardware y el software de la propia computadora, sino de la consistencia con que los usuarios hagan uso de estos mecanismos.
Para ello la auditoría en sus diversas ramas y especializaciones, sin dudas, ha respondido a necesidades objetivas del proceso evolutivo de esta ciencia; no obstante estas especializaciones no pueden significar la pérdida de la visión integral del fenómeno. Es evidente que las técnicas, habilidades y enfoques que durante décadas se han empleado para ejercer la auditoría requieren de una transformación que las conduzca por nuevos derroteros e implemente un novedoso enfoque estratégico, que vincule las técnicas de la auditoría con las técnicas informáticas.
Se incrementan las exigencias de los servicios que prestarán las organizaciones que ejercen la auditoría lo que hace que se necesiten cada vez más herramientas de apoyo específicas para evaluar los sistemas de información en general. Existen limitadas experiencias de programas de auditoría para los sistemas de información acorde a las características de Cuba, ya que hasta el momento se realizan acciones de control del tipo especial y se incluyen elementos contenidos en las directrices a las tecnologías de la información y revisiones a los sistemas de información contables financieros, y para ello se emplean más de un especialista para realizarlas (contador e informático).
Para lo que se propone un programa de auditoría a los sistemas de información adecuado a las características del contexto señalado. Se tiene para la investigación como objeto de estudio a instituciones hospitalarias de la ciudad de Matanzas, Cuba, las que brindan asistencia médica especializada con énfasis en urgencia y emergencias médicas, formación de recursos humanos e investigaciones científicas con eficiencia y calidad acorde a las políticas sanitarias, capacitación profesional y administrativas, logrando satisfacer las necesidades de la población y la elevación de su calidad de vida.
Lea también: Auditoría de Calidad: Ejemplo y Guía
Metodología de Investigación
A continuación, se explicarán los métodos, técnicas y herramientas utilizadas en la investigación:
- Análisis-síntesis: Permite descomponer mentalmente un todo complejo en sus partes y cualidades, y establecer mentalmente la unión entre las partes, descubriendo relaciones y características generales entre los elementos de la realidad.
- Inducción-deducción: La inducción permite pasar del conocimiento de cosas particulares a un conocimiento más general, y la deducción permite interpretar la relación existente entre los elementos del objeto.
- Histórico-lógico: El método histórico estudia la trayectoria real de los fenómenos y acontecimientos en el transcurso de su historia, mientras que el método lógico investiga las leyes generales de funcionamiento y desarrollo de los fenómenos.
- Análisis documental: Permite analizar información a partir de la documentación consultada.
- Observación: Es el examen atento de los diferentes aspectos de un fenómeno a fin de estudiar sus características y comportamiento.
- Tormenta de ideas: Es una herramienta de trabajo grupal que facilita el surgimiento de nuevas ideas sobre un tema o problema determinado.
- Diagrama Causa - Efecto: Es la representación de varios elementos (causas) de un sistema que pueden contribuir a un problema (efecto).
- Encuesta: Es un método de recogida de datos por medio de preguntas, cuyas respuestas se obtienen de forma escrita u oral con el objetivo de estudiar determinados hechos o fenómenos por medio de la expresión de los sujetos.
Validación del Programa de Auditoría
Para validar el procedimiento se utilizó el método de expertos y de comparación por pares. Se elaboró el cuestionario mostrando los tres grupos de elementos más relevantes que contiene este programa de auditoría a los sistemas de información y que es de interés de la investigadora avalarlos.
Al aplicar el método de Consenso se obtuvo como resultado que los tres grupos de elementos son considerados como muy adecuados; demostrando que el programa de auditoría a los sistemas de información es válido, para aplicarse en cualquier entidad donde se ejecute una acción de control de este tipo o para auditorías internas como parte de la revisión de temáticas asociadas a las tecnologías de la información.
Selección de Expertos
Para la selección del experto se emplea el denominado Coeficiente de competencia (K) el cual se determina de acuerdo con la opinión del experto sobre su nivel de conocimiento con respecto al problema que se está resolviendo y con las fuentes que le permiten comprobar su valoración. El coeficiente de competencia (K) debe estar en el rango 0.8 K 1, para elevar el nivel de selección de los expertos.
La cantidad de expertos a elegir debe ser menor o igual a &*n, donde & es un número comprendido entre 0.1 y 1 prefijado por el investigador, y n son los elementos que caracterizan un determinado objeto de estudio, de acuerdo con Medina, A. et.al.
Lea también: Definición de Auditoría de Redes
Elaboración del Programa de Auditoría
En el diagnóstico realizado a la situación actual dentro del ámbito de las auditorias de los sistemas de información, se pudo apreciar que existen limitaciones de los auditores internos para efectuar revisiones a los sistemas de información además de necesitar el empleo de un informático para poder realizar esta acción. A través del empleo de la técnica tormenta de ideas se obtuvo la información necesaria para determinar las causas que originan el problema a solucionar.
Se implementó esta técnica con los auditores internos, el informático y los integrantes del departamento de contabilidad de las entidades objeto de estudio, con el objetivo de poder elaborar el diagrama causa-efecto para la descripción gráfica y sintética de la problemática detectada. Para la elaboración del programa de auditoría a los sistemas de información se tuvo en cuenta las Normas Cubanas de Auditoría que establecen los conceptos, técnicas y herramientas para ser utilizados durante este proceso.
Se utilizaron procedimientos de programas de auditorías como Proaudi, la guía de control interno y sobre todo aspectos contenidos en el cuestionario para la evaluación de los controles y debilidades críticas según Zavaro, L. También con la experiencia acumulada de auditores especializados en sistemas e informáticos de las entidades objeto de estudio. Este programa se prepara por áreas (grupos homogéneos de actividades, datos, transacciones, etc.), y queda archivado con el resto de los papeles de trabajo.
Objetivos y Alcance del Programa
Objetivo general de la auditoría:
- Comprobar la existencia y efectividad de los sistemas de información contable-financiero, el control interno y lo relacionado con la seguridad informática.
Objetivos específicos:
Lea también: Cumplimiento Fiscal en México
- Evaluar el sistema de control interno, concreta- mente para obtener un conocimiento preliminar del ambiente informático y de los procedimientos de control implementados.
- Conocer cuáles son los sistemas automatizados que utilizan en la entidad con el fin de comprobar su propiedad, eficiencia y seguridad.
- Evaluar la situación existente en cuanto a seguridad informática.
- Comprobar el estado de la información conta- ble-financiera en cuanto a su veracidad, oportunidad y confiabi- lidad.
Alcance del programa: El período que se tomará para revisar los aspectos contenidos en el programa.
Criterios de auditoría aplicables: Se determina un nivel de riesgo de auditoría sobre la base de la importancia de las fases que componen las aplicaciones que puedan ser susceptibles a modificaciones o adulteraciones a través de terceros, con fines de cambiar los resultados. La muestra se calcula según los programas en uso y sus interfaces. Aplicando muestreo aleatorio.
Referencia a fuentes legislativas y normativas: Normativas vigentes en este caso la Resolución 127/07, la Resolución 12/05 la Resolución 33/08 todas del Ministerio de la Informática y las Comunicaciones, la Ley 107/09 y la Resolución 60/11 ambas de la Contraloría general de la República de Cuba. Además de las Normas Cubanas de Auditoría.
Requerimientos materiales y personal especializado: Se requerirá un equipo de auditores de no menos de tres miembros, con conocimientos, experiencia y actualización en temas de tecnologías de la información.
Desarrollo del programa: Pruebas de cumplimiento o acatamiento de controles, combinadas con pruebas sustantivas y analíticas. El programa se diseña para la aplicación, a juicio del auditor, de cualquier tipo de muestreo (estadístico o no estadístico).
La elaboración de un programa de auditoría que contemple los requisitos expuestos anteriormente permitirá controles a los sistemas, su procesamiento, entradas y salidas, respaldo de la información y seguridad de la misma en consecuencia con controles asociados a las TICs. Esto con base en la revisión de trabajos investigativos precedentes: Flores, A. 2012; Ramos, C. 2015; López, J.; Crespín, J. y Vargas, L. 2016, constituye una herramienta de gran utilidad para auditores y supervisores, coadyuvando a incrementar la calidad en la acción de control que se proyecte, lo que ofrece una contribución a las metodologías existentes, el brindar un proceder detallado y con fundamento teórico y práctico.
La auditoría está llamada a garantizar el funcionamiento efectivo de los sistemas, mantener la integridad, confiabilidad y disponibilidad.