Artículo Volumen 8 Nº 2

PROPUESTA DE UN PROGRAMA DE AUDITORÍA A LOS SISTEMAS DE INFORMACIÓN
 
PROPOSAL OF AN AUDIT PROGRAM FOR INFORMATION SYSTEMS
 
Ernesto Negrín Sosa1, Laureano López García2, Karina Rodríguez Cabrera2
Daysel Martínez Guerra2
 
1Escuela Superior Politécnica Agropecuaria de Manabí  - Ecuador
2Universidad de Matanzas - Cuba
 
e-mail: ernestonegrinsosa@gmail.com1, laureano.lopez@umcc.cu2,
         karina.rodriguez@umcc.cu2, daysel.martinez@umcc.cu2
 
Recibido: 17/07/2017                                                                                           Aceptado: 27/11/2017
 
Código Clasificación JEL: J28, J30
 
RESUMEN
 
Los cambios que ocurren actualmente a nivel mundial, tales como los avances económicos, tecnológicos y las crecientes exigencias de los servicios que prestarán las organizaciones que ejercen la auditoría hacen que se necesiten cada vez más herramientas de apoyo específicas para evaluar los sistemas de información en general. En este contexto se plantea como objetivo general de esta investigación proponer un programa de auditoría a los sistemas de información adecuado a las características del sistema empresarial cubano que permita el desarrollo efectivo de acciones de control de este tipo, ya que existen limitadas experiencias en este ámbito y generalmente con poco nivel de integración. Para su elaboración se utilizaron diferentes técnicas y herramientas tales como el diagrama causa-efecto, técnicas de auditoría y método de expertos, este último por la imperiosa necesidad de considerar la experiencia acumulada de auditores e informáticos.
 
Palabras clave: auditoría, programas, sistemas de información.
 
ABSTRACT 
 
The current global changes, such as economic and technological developments and the increasing requirements of the services provided by the organizations that perform the audit, mean that more and more specific support tools are needed to evaluate the information systems in general. In this context, it is proposed as a general objective of this research to propose an audit program to the information systems appropriate to the characteristics of the Cuban business system that allows the effective development of control actions of this type, since there are limited experiences in this area and generally with little level of integration. Different techniques and tools, such as the cause-effect diagram, audit techniques and expert method, were used to elaborate the latter due to the imperative need to consider the accumulated experience of auditors and computer scientists.
 
Key words: audit, programs, information systems.
 
INTRODUCCIÓN
 
Con el auge de las Tecnologías de la Información y las Comunicaciones en el mundo actual, se establece la necesidad de lograr una seguridad razonable sobre los recursos de las  tecnologías informáticas (datos, tecnologías, instalaciones, personal y aplicaciones), cumpliendo con los objetivos de control y los objetivos generales del negocio, así como controlar que la información que se procese sea oportuna y confiable. 
     Muchos especialistas han denominado a la sociedad del siglo XXI como sociedad de la información y no debe existir un calificativo más certero para denominar al complejo panorama que ofrece el mundo actual. La información nunca antes contó con la cantidad y diversidad de canales y de formatos, que hoy existen para su socialización y nunca antes ejerció tanta influencia sobre el pensar colectivo. Hoy constituye el control de su descontrol, el mecanismo de dominación más sutil y a la vez eficiente en la historia de la humanidad. (Noda, D. y García, K. 2017) 
      Investigadores que observan el futuro desarrollo de la ciencia y la técnica, pronostican que durante los próximos años, los sistemas de Información cumplirán tres objetivos básicos dentro de las organizaciones. Estas son la automatización de procesos operativos; la información que proporcionarán servirá de apoyo al proceso de toma de decisiones y se lograrán ventajas competitivas a través de su implantación y uso. 
      Los sistemas de información en las organizaciones modernas son sistemas creados con el objetivo de mejorar la productividad, la capacidad comercial, el control de gestión o la toma de decisiones. Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. (Almaguer, R. A. 2016)
     Es por ello que cada entidad debe implementar mecanismos apropiados que garanticen la seguridad de la información almacenada en sus medios informáticos, pues la misma no solo es dependiente de la integridad de los mecanismos de protección basados en el hardware y el software de la propia computadora, sino de la consistencia con que los usuarios hagan uso de estos mecanismos. La realización de controles referentes a este tema es imprescindible para el buen funcionamiento el mismo.
     Para ello la auditoría en sus diversas ramas y especializaciones, sin dudas, ha respondido a necesidades objetivas del proceso evolutivo de esta ciencia; no obstante estas especializaciones no pueden significar la pérdida de la visión integral  del fenómeno. 
Es evidente que las técnicas, habilidades y enfoques que durante décadas se han empleado para ejercer la auditoría requieren de una transformación que las conduzca por nuevos derroteros e implemente un novedoso enfoque estratégico, que vincule las técnicas de la auditoría con las técnicas informáticas (Zavaro, L. 2016) 
     Se incrementan las exigencias de los servicios que prestarán las organizaciones que ejercen la auditoría lo que hace que se necesiten cada vez más herramientas de apoyo específicas para evaluar los sistemas de información en general (Ruiz, E y Ruiz, J.S. 2012). En el caso de las entidades cubanas es importante tener  en cuenta que la elaboración de los programas de auditoría es función del jefe de grupo y supervisor y que la aprueba la Unidad de Auditoría a la que se subordine y no se desarrolla de esta manera al menos en este tema donde no es tan común la ejecución de acciones profundas en temas de  las Tecnologías de  la Información y las Comunicaciones. 
     Existen limitadas experiencias de programas de auditoría para los sistemas de información acorde a las características de Cuba, ya que hasta el momento se realizan acciones de control del tipo especial y se incluyen elementos contenidos en las directrices a las tecnologías de la información y revisiones  a los sistemas de información contables financieros, y para ello se emplean más de un especialista para realizarlas (contador e informático). Para lo que se propone  un  programa de auditoría a los sistemas de información adecuado a las características del contexto señalado. Con el mismo se podrán realizar acciones de control de este tipo y se contribuirá a que el sistema de auditoría nacional se encuentre a tono con las buenas prácticas internacionales en el ámbito de las tecnologías de la información y las comunicaciones constituyendo además una herramienta de gran valor práctico para los auditores actuantes.
 
METODOLOGÍA
 
Esta investigación se implementa de manera práctica en instituciones del sector de la salud, utilizando diferentes técnicas y herramientas tanto de auditoría como de la metodología de la investigación las cuáles se reflejan a continuación:
Análisis y síntesis, inducción–deducción, histórico-lógico, observación, encuestas (cerrada), análisis de documentos.
     También se hace uso de técnicas que contribuyeron al cumplimiento del objetivo principal de la investigación como son: Tormenta de ideas, diagrama causa-efecto, técnicas de auditoría, método de expertos y método de consenso.
      El objetivo general de esta investigación es: Proponer un programa de auditoría a los sistemas de información adecuado a las características del sistema empresarial cubano que permita el desarrollo efectivo de acciones de control en este contexto.
 
Caracterización del objeto de estudio
Se tiene para la investigación como objeto de estudio a instituciones hospitalarias de la ciudad de Matanzas, Cuba, las que brindan asistencia médica especializada con énfasis en urgencia y emergencias médicas, formación de recursos humanos e investigaciones científicas con eficiencia y calidad acorde a las políticas sanitarias, capacitación profesional y administrativas, logrando satisfacer las necesidades de la población y la elevación de su calidad de vida.   No se puede concebir una institución de salud sin contabilidad, estadísticas, ni sistemas de información, que además de registrar su historia económica y de prestación de servicios, le permitan conocer cómo se efectúan estos servicios, sus costos operativos, gastos, utilidades o eventualmente sus pérdidas, y otros datos relevantes, de cómo controlar sus presupuestos. 
 
Métodos, técnicas y herramientas de la investigación
A continuación, se explicarán los métodos, técnicas y herramientas utilizadas en la investigación. Las mismas permiten explicar los hechos, profundizar en las relaciones y cualidades fundamentales de los procesos que intervienen en el sistema estudiado.
 
Métodos teóricos:
Análisis-síntesis: el análisis es una operación intelectual que posibilita descomponer mentalmente un todo complejo en sus partes y cualidades. La síntesis es la operación inversa, que establece mentalmente la unión entre las partes, previamente analizadas y posibilita descubrir relaciones y características generales entre los elementos de la realidad. Esta se puso de manifiesto en el análisis de la bibliografía recomendada sobre el tema y la síntesis de los aspectos consultados, lo cual fue útil y, sobre todo, para la elaboración del marco teórico referencial y para caracterizar el objeto de estudio.
Inducción-Deducción: la inducción y deducción son dos métodos teóricos de fundamental importancia para la investigación. La inducción se puede definir como una forma de razonamiento por medio de la cual se pasa del conocimiento de cosas particulares a un conocimiento más general que refleja lo que hay de común en los fenómenos individuales. Se pone de manifiesto en la inducción aspectos que permitieron ir de lo general a lo particular, y la deducción de los elementos encontrados durante el proceso de investigación, lo cual fue necesario para interpretar la relación existente entre los elementos del objeto haciendo posible la conformación empírica de la hipótesis.
Histórico-lógico: el método histórico estudia la trayectoria real de los fenómenos y acontecimientos en el transcurso de su historia. El método lógico investiga las leyes generales de funcionamiento y desarrollo de los fenómenos. Lo lógico no repite lo histórico en todos sus detalles, sino que reproduce en el plano teórico lo más importante del fenómeno, lo que constituye su esencia: “lo lógico es lo histórico mismo, pero liberado de las contingencias de la forma histórica”. De igual modo, el método histórico debe descubrir las leyes, la lógica objetiva del desarrollo histórico del fenómeno y no limitarse a la simple descripción de los hechos.
 
Métodos empíricos:
Mediante los métodos empíricos, el investigador se sitúa en contacto directo con su objeto de estudio, en una forma práctica. Con este tipo de método, el investigador tratará de recopilar el mayor número de datos que le permitan alcanzar los objetivos de la investigación. 
Análisis documental: permite analizar de la información a partir de la documentación consultada. En el desarrollo de la investigación este método se utilizó desde la consulta de bibliografía actualizada para la elaboración del marco teórico, consulta de las resoluciones y decretos vigentes, así como verificación de los documentos de la entidad y el proyecto de inversión. Se destacan los estados financieros, los documentos primarios asociados al proyecto y la información obtenida del software automatizado. En el diagnóstico del objeto de estudio se desarrolla este método.
Observación: es el examen atento de los diferentes aspectos de un fenómeno a fin de estudiar sus características y comportamiento dentro del medio en donde se desenvuelve éste. La observación directa de un fenómeno ayuda a realizar el planteamiento adecuado de la problemática a estudiar. Se empleó en la investigación a partir del examen visual de las organizaciones donde se llevó a cabo la investigación, trabajo con las áreas de auditoría contabilidad e informática  además de otras  áreas vinculadas a la investigación. 
Tormenta de ideas: también denominada lluvia de ideas o brainstorming, es una herramienta de trabajo grupal que facilita el surgimiento de nuevas ideas sobre un tema o problema determinado. Permite generar ideas originales en un ambiente adecuado y distendido. Se utilizó para identificar las causas que dieron origen al problema a solucionar.
Diagrama Causa – Efecto: es la representación de varios elementos (causas) de un sistema que pueden contribuir a un problema (efecto). Es una herramienta efectiva para estudiar procesos y situaciones y para desarrollar un plan de recolección de datos, es utilizado para identificar las posibles causas de un problema específico, su naturaleza gráfica permite que los grupos organicen grandes cantidades de información sobre el problema aumentando la posibilidad de identificar las causas principales. En esta investigación se emplea en la etapa de diagnóstico de la situación actual de los sistemas de información.
Encuesta: como método de investigación científica persigue el objetivo de obtener respuestas a un conjunto de preguntas las cuales se organizan de acuerdo con determinados requisitos en un cuestionario. 
      La encuesta puede definirse como un método de recogida de datos por medio de preguntas, cuyas respuestas se obtienen de forma escrita u oral con el objetivo de estudiar determinados hechos o fenómenos por medio de la expresión de los sujetos. En este caso se emplearon preguntas estructuradas cerradas. Esta se utilizó en la aplicación del método de expertos para validar el programa de auditoría a los sistemas de información.
     Para su aplicación de manera inicial se elabora un cuestionario en el cuál se exponen los grupos de elementos más relevante en el diseño del programa, posteriormente es aplicado a los expertos de la investigación solicitándole que lo evalúen en muy adecuado (MA), bastante adecuado (BA), adecuado (A), poco adecuado (PA) o nada adecuado (NA) de acuerdo a su criterio. 
     La información aportada por los expertos se procesa siguiendo el siguiente orden:
     Primero: calcular la frecuencia absoluta (Fa) de las evaluaciones dadas por los expertos para cada una de las etapas.
     Segundo: calcular la frecuencia absoluta acumulada (Faa) por filas de las evaluaciones dadas por los expertos para cada una de las etapas.
     Tercero: calcular la frecuencia relativa acumulada (Fra) por filas de las evaluaciones dadas por los Expertos para cada una de las etapas. Se divide cada evaluación entre el total.
     Cuarto: buscar la imagen de cada uno de los valores obtenidos en el paso anterior utilizando la función DISTR.NORM.ESTAND.INV en la categoría de compatibilidad en el software Microsoft Excel.
     Quinto: calcular los puntos de corte dividiendo la suma de los valores correspondientes a cada columna (categorías de evaluación en el paso anterior) entre el número de aspectos evaluados.
     Los puntos de corte sirven para determinar la categoría o grado de adecuación de cada etapa del procedimiento según la opinión de los expertos consultados respecto a ellos.
Sexto: calcular el valor promedio que otorgan los expertos consultados a cada etapa del procedimiento. 
Para ello:

  • Se suman las filas de cada etapa (VT), para calcular N, se le divide a la sumatoria de (VT) la cantidad de expertos.
  • Se calcula el promedio P de cada aspecto, para ello se halla la suma de las imágenes en cada fila y se divide entre cada aspecto en este caso dos.
  • Se calcula el valor promedio N-P para cada etapa del procedimiento.
Séptimo: comparar el valor promedio (N-P) que otorgan los expertos consultados a cada etapa de la metodología con los puntos de corte. Las etapas que se clasifiquen como Poco Adecuado se deben o bien eliminarse o reelaborarse.
  • Selección de expertos
  • De forma general, en la validación del programa de auditoría se utilizó el método de expertos  para la selección de los mismos se consideraron las etapas siguientes:
  • Determinación de la cantidad de expertos: Se deberá definir las esferas del conocimiento vinculadas a la solución del problema.
  • Haber obtenido el consentimiento del experto en su participación.
  • Selección de los expertos: Se aplica un cuestionario utilizado para la determinación de expertos en investigaciones precedentes.
  • Confección del listado de expertos.
  Para la selección del experto se emplea el denominado Coeficiente de competencia (K) el cual se determina de acuerdo con la opinión del experto sobre su nivel de conocimiento con respecto al problema que se está resolviendo y con las fuentes que le permiten comprobar su valoración. El coeficiente de competencia se calcula de la siguiente forma: K= (Kc+Ka) /2
  El coeficiente de competencia (K) debe estar en el rango 0.8  K  1, para elevar el nivel de selección de los expertos. La cantidad de expertos a elegir debe ser menor o igual a &*n, donde & es un número comprendido entre 0.1 y 1 prefijado por el investigador, y n son los elementos que caracterizan un determinado objeto de estudio, de acuerdo con Medina, A. et.al. 2011
  Se proponen tres posibles rangos para la selección de & en dependencia del nivel de conocimiento del tema que se investigue.
 
Tabla 1. Rangos de &
                                                               Fuente: (Medina, A. et.al. 2011)
 
  El primer rango que puede tomar α, como bien se muestra en la tabla, es 0.1- 0.3 (bajo), que significa que existe poco conocimiento del tema. El segundo valor posible que puede tomar α es el de 0.4 - 0.6 (medio), que indica que el tema es poco conocido; es decir que en algún momento se ha oído hablar del mismo, o se ha revisado alguna que otra bibliografía. Por último, el otro valor a tomar es de 0.7 - 1 (alto), que expresa que el tema en cuestión es muy conocido.
  En la presente investigación, n estará caracterizada por los requisitos de información económica, contable y financiera seleccionados en la tarea anterior.
Se efectúa la aplicación del cuestionario para la selección de expertos antes mencionada a través del coeficiente de competencia con respecto al problema que se está resolviendo y con las fuentes que le permiten comprobar su valoración. La información obtenida anteriormente, se procesa a través del programa Microsoft Excel.
 
Método coeficiente de consenso
El Coeficiente de Consenso se calcula para saber si los decisores aceptan o no la propuesta que le hace el facilitador, utilizando para ello la siguiente expresión:
Cc= (1 – Vn / Vt )
Donde:
Cc= Grado de aceptación de cada uno de los atributos por parte de los decisores.
Vn= Total de votos negativos
Vt= Total de votos
Si luego de efectuados los cálculos Cc≥85%, entonces el atributo evaluado se acepta. De quedar por debajo del rango establecido, se pueden adoptar las decisiones siguientes:

  1. Desechar el criterio de los decisores y mantener el atributo.
  2. Desechar el atributo, tratando de mantener la condición de que su cantidad nunca sea menor  que el número de decisores utilizados.
  3. Retroalimentar a los decisores con los criterios de los demás para tratar de que modifiquen su votación.
RESULTADOS
 
Diagnóstico del estado actual en relación a las auditorias de los sistemas de información
A  través del empleo de la técnica tormenta de ideas se obtuvo  la información necesaria para determinar las causas que originan el problema a solucionar. Se implementó esta técnica con los auditores internos, el informático  y los integrantes del departamento de contabilidad de las entidades objeto de estudio, con el objetivo de poder elaborar el diagrama causa-efecto para la descripción gráfica y sintética de la problemática detectada.
Los resultados obtenidos se muestran en la figura # 1:
 
Figura 1.Diagrama causa– efecto relacionado con las auditorias de los sistemas de información
                  Fuente: Elaboración propia
 
  En el diagnóstico realizado a la situación actual dentro del ámbito de las auditorias de los sistemas de información, se pudo apreciar que existen limitaciones de los auditores internos para efectuar revisiones a los sistemas de información además de necesitar el empleo de un informático para poder realizar esta acción. Carecen de un programa de auditoría interna que integre en sí mismo procedimientos de revisión que incluyan aspectos tanto de informática, control interno, redes, seguridad en la información y que el mismo utilice técnicas de auditoría que puedan evaluar los sistemas e información en todo su conjunto. 
 
Descripción de un programa de auditoría a los sistemas de información 
Teniendo en cuenta los elementos conceptuales y teóricos se sientan las bases para el desarrollo de este programa de auditoría que tiene como objetivo:  

  • Describir el Programa de auditoría a los sistemas de información. 
  • Detallar los métodos utilizados en la validación del Programa de auditoría a los sistemas de información. 
  Para la elaboración del Programa de auditoría a los sistemas de información se tuvo en cuenta las Normas Cubanas de Auditoría que establecen los conceptos, técnicas y herramientas para ser utilizados durante este proceso. Además se efectuó una fusión con las Directrices para la realización de auditorías a los sistemas contables financieros y las Directrices generales para la realización de auditorías de tecnologías de la información y las comunicaciones. Se utilizaron procedimientos de programas de auditorías como Proaudi, la guía de control interno y sobre todo aspectos contenidos en el cuestionario para la evaluación de los controles  y debilidades críticas según Zavaro, L. 2016. También con la experiencia acumulada de auditores especializados en sistemas e informáticos de las entidades objeto de estudio. Considerando que:
  1.Los programas de auditoría guían la acción del auditor y sirven como elemento para el control de la labor realizada, deben también permitir la evaluación del avance del examen y la correcta aplicación de los procedimientos, y así lograr que la consecución de los resultados esté de acuerdo con los objetivos propuestos para evitar omisiones y duplicaciones.
  Este programa se prepara por áreas (grupos homogéneos de actividades, datos, transacciones, etc.), y queda archivado con el resto de los papeles de trabajo. Debe contener una exposición ordenada, metódica y por escrito de los procedimientos que se decidan aplicar.
  Constituyen generalmente los apartados de un programa los siguientes: encabezado, introducción,  objetivos del trabajo (generales y específicos), criterios de auditoría, referencia a la legislación aplicable, perfil del auditor y especialista que intervienen, procedimientos de auditoría, tiempo planificado, tiempo de ejecución, referencia al papel de trabajo en el que se ejecutó  y firma del auditor que lo desarrolló.
  El documento se elabora en cuatro columnas que contienen información y datos. Como se muestra en la  Tabla # 1:
 
Tabla 1.1. Referencia de la tabla #1
                                                     Fuente: Elaboración propia
 
Resultados de la validación del programa de auditoría a los Sistemas de Información.
Para validar el procedimiento se utilizó el método de expertos y de comparación por pares. Se elaboró el cuestionario mostrando los tres grupos de elementos más relevantes que contiene este programa de auditoría a los sistemas de información y que es de interés de la investigadora avalarlos. Los resultados se presentan en la tabla #2:
 
Tabla 2.  Resultados de la aplicación del Cuestionario
                                                  Fuente: Elaboración propia

      Primero: la frecuencia absoluta (Fa) de las evaluaciones dadas por los expertos para cada uno de los pasos se encuentra reflejada en la siguiente tabla donde aparecen las Pruebas de cumplimiento (PC), las Pruebas sustantivas (PS) y la Legislación adecuada (LA):
 
Tabla 3. Frecuencia absoluta (Fa)
                                                     Fuente: Elaboración propia
 
  Segundo: en la siguiente tabla aparece la frecuencia absoluta acumulada (Faa) por filas de las evaluaciones dadas por los expertos para cada uno de los pasos.
 
Tabla 4. Frecuencia absoluta acumulada (Faa)
                                                  Fuente: Elaboración propia
 
  Como se puede apreciar las columnas correspondientes a los valores de PA y NA son eliminadas puesto que ningún experto consideró estas opciones.
  Los valores acumulados de la 3ra columna, que corresponden a la evaluación A (adecuado), son iguales al de la 6ta columna, por ello queda eliminada.
  Tercero: los resultados del cálculo de la frecuencia relativa acumulada (Fra) por filas de las evaluaciones dadas por los expertos para cada uno de los aspectos  se pueden apreciar en la siguiente tabla:
 
Tabla 5. Frecuencia absoluta acumulada (Faa)
                                                                    Fuente: Elaboración propia

Tabla 6. Frecuencia absoluta acumulada (Faa)
                                                    Fuente: Elaboración propia
 
  Al aplicar el método de Consenso se obtuvo como resultado que los tres grupos de  elementos son considerados como muy adecuados; demostrando que el programa de auditoría a los sistemas de información es válido,  para aplicarse en cualquier entidad donde se ejecute una acción de control de este tipo o para auditorías internas como parte de la revisión de temáticas asociadas a las tecnologías de la información. Los resultados de la investigación fueron presentados ante los expertos,  especialistas y colaboradores que contribuyeron al  desarrollo del programa. En relación a la aceptación se constata lo siguiente:
  • Todos los expertos aceptan la propuesta.
  • Lo perciben como beneficioso y con ventajas operacionales.
  • La aplicación de este programa de auditoría contribuirá en gran medida al control oportuno a las tecnologías de la información además de permitir a la dirección de las entidades una correcta toma de decisiones sobre control interno.
  • Proporciona a los auditores una herramienta eficaz en la ejecución de auditorías externas e interna referida a los sistemas de información. 
  • Ofrece una opción que enriquece lo legislado hasta el momento en las Normas Cubanas de Auditoría, es de aplicación general, brindando utilidad a todo el Sistema Nacional de Auditoría.
 
DISCUSIÓN
 
La elaboración de un programa de auditoría que contemple los requisitos expuestos anteriormente permitirá controles a los sistemas, su procesamiento, entradas y salidas, respaldo de la información y seguridad de la misma en consecuencia con controles asociados a las TICs.  Esto  con base en la revisión de trabajos investigativos precedentes: Flores, A. 2012; Ramos, C. 2015; López, J.; Crespín, J. y Vargas, L. 2016, constituye una herramienta de gran utilidad para auditores y supervisores, coadyuvando a incrementar la calidad en la acción de control que se proyecte, lo que ofrece una contribución a las metodologías existentes, el brindar un proceder detallado y con fundamento teórico y práctico. La auditoría está llamada a garantizar el funcionamiento efectivo de los sistemas, mantener la integridad, confiabilidad y disponibilidad. El programa de auditoría a los sistemas de información  facilitará un mejor control y una correcta toma de decisiones sobre todo en este ámbito empresarial que es poco conocida en ocasiones para los funcionarios y directivos. 
Aporte, aplicación y utilidad a la actividad
Brinda una opinión que enriquece lo legislado hasta el momento en la Normas Cubanas de Auditoría, es de aplicación general, brindando utilidad en sentido general a todo el Sistema Nacional de Auditoría.
 
CONCLUSIONES
 
Los sistemas de información en las organizaciones modernas son creados con el objetivo de mejorar la productividad, capacidad comercial, control de gestión y la toma de decisiones entre otros ámbitos relevantes, por lo cual cada organización debe implementar mecanismos apropiados que garanticen la seguridad de la información almacenada en sus medios informáticos.
  Mediante el diagnóstico realizado a la situación actual en el ámbito de las auditorias de los sistemas de información, se constató que existen limitaciones de los auditores internos para realizar revisiones a los sistemas de información y la carencia de un programa de auditoría interna que aglutine en sí mismo procedimientos de revisión que incluyan aspectos tanto de informática, control interno, redes, seguridad en la información, etc. Y que el mismo utilice técnicas de auditoría que puedan evaluar los sistemas e información en todo su conjunto.
  Para la elaboración de la propuesta de Programa de auditoría a los sistemas de información se tuvo en cuenta las Normas Cubanas de Auditoría que establecen los conceptos, técnicas y herramientas para ser utilizados durante este proceso, las Directrices para la realización de auditorías a los sistemas contables financieros y para la realización de auditorías de tecnologías de la información y las comunicaciones. Se utilizaron procedimientos de programas de auditorías, la guía de control interno y sobre todo aspectos contenidos en el cuestionario para la evaluación de los controles  y debilidades críticas.
 
REFERENCIAS BIBLIOGRÁFICAS
 
Abad, A. 2010. Modelo Conceptual de Intangibles para Instalaciones Hoteleras. Tesis de Maestría. Universidad de Matanzas, CU.
 
Almaguer, R. A. 2016. Consultor Electrónico del Contador y el Auditor. Consultoría de Servicios Económicos de la Casa Consultora DISAIC. CU
 
Ruiz, E y Ruiz, J.S. 2012. Sistemas de Información de las organizaciones. Editorial Universitaria Ramón Areces, Madrid. ES. ISBN: 9788499610917. Pág. 60-190.
 
Contreras, M. 2012. Implementación de un Sistema de Contabilidad General. Ecuador. Citado de http://dspace.ucuenca.edu.ec. [Consultado el 15 de octubre del 2017].
 
Flores, A. 2012. Propuesta de auditoria en informática. Grupo Modelo. Disponible en: https://audinfalejandroarturoflores.wordpress.com/2012/05/26/auditoria-informatica-grupo-modelo/ [Consultado el 25 de octubre del 2017].
 
González, F. y Flores, B. 2013. Estrategia para la toma de decisiones empresariales. Editorial Academia Española. ES. ISBN-13: 978-3847350057. pág. 60-190.
 
Instituto Tecnológico de las Américas. 2015. Sistema de Información. Disponible en https://scholar.google.com.cu. [Consultado el 15 de octubre del 2017].
 
Ley. 107. 2009. Gaceta Oficial. s.l. : Asamblea Nacional del Poder Popular, acuerdo VII-30. CU
López, J.; Crespín, J. y Vargas, L. 2016. Propuesta de un plan de auditoria informática. Universidad de Guayaquil. Auditoria Informática. Disponible en: https://es.slideshare.net/juancarloscrespin/propuesta-del-plan-de-auditora-informtica [Consultado el 21 de Octubre del 2017].
 
Medina, A. et. al. 2011. Estudio de la construcción de índices integrales para el apoyo al control de gestión empresarial. Revista Enfoque. UTE. Vol. 2, Núm. 1. EC 
 
Noda,  D. y Alonso, K. 2017.  La información amiga y enemiga. Web Universidad de Matanzas. CU. [Consultado el 20 de Octubre del 2017].
 
 Ramos, C. E. 2015. Propuesta de un plan de auditoria informática para el sistema de información en salud y el aplicativo para el registro de formatos SIS en los establecimientos de salud de la Unidad Ejecutora 400 en la región Piura en el año 2015. Disponible en http://repositorio.unp.edu.pe/handle/UNP/683  [Consultado el 20 de Octubre del 2017].
 
Resolución No. 340/12, Contraloría General de la  República de Cuba, Normas Cubanas de Auditoría. de fecha 10/05/2012. CU
 
Resolución No. 60/11, Contraloría General de la República de Cuba, de fecha 01/03/2011. CU
 
Zavaro, L. 2016. Informática aplicada a la auditoría moderna. Editorial UH Dirección de Publicaciones Académicas. CU.