PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN | AU... http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacio...

Sidebar

…
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN
Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo primero que se debe hacer es determinar el
obejtivo que se pretende en la auditoría.

En general quien contrata el proceso de auditoría es que que define cuál es el objetivo de la auditoría, pero cuando se
trata de seleccionar el objetivo primero se hace un reconocimiento de la empresa, el área o sistema mediante visitas de
… 1
campo para determinar cuales son las vulnerabilidades, amenazas y riesgos a que se enfrenta la organización.

… 14 El objetivo se definirá teniendo en cuenta el área o sistema donde se presentan mayores dificultades, ya sea por la
probabilidad de ocurrencia de los riesgos o por el impacto que estos pueden causar de llegar a concretarse el riesgo.
…
INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA

PLAN DE AUDIT… 4
Una vez conocido el área auditada o sistema de información en la fase de conocimiento, se pueden
evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las fuentes de riesgos
… 16 potenciales, lo ideal es que cada miembro del equipo de trabajo haga una lista de los problemas
observados y que posteriormente en reuniones del equipo auditor se pueda analizar lo observado por
… 5 cada integrante y hacer un listado consolidado de los problemas observados.

El objetivo general de la auditoría tendrá en cuenta la fuente que origina el proceso de auditoría y los
… 1
problemas que se evidencian en la realidad, de esta manera el objetivo quedará definido en
concordancia con lo que desea quien origina el proceso y dará solución a los problemas que se están
… 2 presentando.

… Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán evaluados (hardware,
software, redes, sistemas de información, bases de datos, seguridad física, seguridad lógica, otros) y de
4
cada uno de ellos se debe definir el alcance donde se especifica que aspectos se tendrán en cuanta en
…
cada ítem evaluado. Una vez está definido el objetivo general, para alcanzarlo se definen los objetivos
específicos teniendo en cuenta la metodología de la auditoría que se descompone en tres o cuatro fases
dependiendo si es una auditoría interna o es una auditoría externa, para cada fase será necesario definir
un objetivo específico que permita cumplirlo. Como se puede mirar en el cuadro anterior las fases de la
auditoría en general son las siguientes: conocer el sistema, planear la auditoría, ejecutar la auditoría, y la
fase de resultados, para cada fase se define un objetivo específico.

Por ejemplo, si la fuente de la auditoría es el gerente, el informára que aspectos quiere que sean
auditados y la intencionalidad de llevar a cabo el proceso, una vez conocidos los aspectos que se desea
sean auditados, se procede a realizar visitas al sitio "in situ" a el área o sistema para hacer la
observación y entrevistas con el administrador del área informática, los empleados de dicha área, los
sistemas de información y ususrios para detectar posibles vulnerabilidades y amenazas que puedan
ocasionar riesgos potenciales.

Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de internet y en

la infraestructura tecnológica de hardware, el objetivo podría ser: Realizar la auditoría a la red de datos
y la infraetructura de hardware que soportan los sistemas de información en la empresa "xxxxxx"
de la ciudad de "xxxxxx".

De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas de la
auditoría, por ejemplo:

Objetivo 1: Conocer las redes de datos y la infraestructura tecnologica que soportan los sistemas
de información con el fin de analizar los riesgos que puedan presentarse en la funcionalidad de
los sistemas de información y servicios que se prestan mediante visitas a la empresa y
entrevistas con empleados y usuarios.

Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teneiendo en cuenta los

estándares que serán aplicados para hacer el diseño de los instrumentos de recolección y plan de
pruebas que serán aplicados en el proceso de auditoría con el fin de obtener una información
confiable para realizar el dictamen.

Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han

diseñado para determinar los riesgos existentes en la red de datos y la infraestructura tecnológica
Tema Vistas dinámicas. Con la tecnología de Blogger.

1 de 5 27/4/2018 2:58 p. m.
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN | AU... http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacio...

de acuerdo a las vulnerabilidades y amenazas que se han evidenciado preliminarmente con el fin
de hacer la valoración de los riesgos que permitan medir la probabilidad de ocurrencia y el
impacto que causa en la organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el dictamen de la

auditoría de acuerdo al nivel de madurez en los procesos evaluados, determinar el tratamiento de
… los riesgos y definir posibles soluciones que serán recomendadas en el informe final para se
entrega a quien originó la auditoría.

Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los aspectos más relevantes
que serán evaluados en cada uno de ellos. Por ejemplo, los alcances serían:

De la red de datos se evaluará los siguientes aspectos:

… 1
- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
… 14 - El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
… - Del servicio de internet se evaluará:
- El contrato con la empresa que presta el servicio de internet
…
- La seguridad que brinda el operador para el servicio de internet
- La seguridad de la red inalámbrica wifi
- La monitorización de la red por parte del administrador
PLAN DE AUDIT… 4

Estos son algunos de los aspectos elegidos para ser evaluados en cuanto a la red, lo mismo debe
… 16 hacerse para el hardware de servidores y equipos terminales que soportan los sistemas y algo
importante es la opinión de los usurios respecto a los problemas que se están presentando a causa de la
… 5 infraestructura tecnológica y la red que soportan los sistemas.

1
La intención es de que los integrantes del grupo de auditoría se distribuyan las actividades de acuerdo a
…
su especialidad y se pueda concretar los aspectos a evaluar y las pruebas que se pueden realizar para
poder evidenciar las vulnerabilidades, amenazas y riesgos encontrados inicialmente.
… 2
Posteriormente se debe especificar la metodología donde se trata de especificar las actividades para
lograr cada uno de los objetivos esécíficos propuestos anteriormente, aquí cada objetivo específico se
… descompone en actividades generales que se deberán realizar para poder cumplirlos.

… 4 A continuación se presenta un ejemplo con el primer objetivo formulado:

Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura tecnológica
con el fin de analizar algunos de los riesgos que puedan presentarse realizando visitas a la empresa y
entrevistas con los usuarios.
- Solicitar la documentación de los planos de la red
- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de administrar la red
Realizar pruebas de seguridad en las redes para determinar las vulnerabilidades
- Conocer los problemas más frecuentes en la red por parte de los usuarios

- Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros
objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la auditoría, en
este caso los recursos se dividen en talento humano que serán los integrantes del equipo auditor, los
recursos físicos que son el sitio o empresa donde se llevará a cabo la auditoría, los recursos
tecnológicos (el hardware, cámaras, grabadoras digitales, memorias, celulares y el software que se
necesite para pruebas) y los recursos económicos que se presentan en una tabla de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa xxxxx.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y tráfico en
la red
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 2.000.000
Cámara digital 1 400.000
Grabadora digital 1 120.000
otros …. ….

Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para construirlo

se toman las actividades que han sido definidas para cumplir cada objetivo y se especifica el tiempo de
duración de cada actividad en el tiempo. El tiempo se debe definir desde ahora hasta la entrega final del
Tema Vistas dinámicas. Con la tecnología de Blogger.

2 de 5 27/4/2018 2:58 p. m.
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN | AU... http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacio...

A continuación se presenta un ejemplo completo de un plan de auditoría o memorando de planeación donde se muestra
los contenidos de cada uno de los ítems:

Plan de Auditoria
…

Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente un plan de seguimiento a
todos los procesos técnicos y académicos de la institución, esto debido a que las instituciones requieren la acreditación
de calidad en el manejo de sus procesos y para ello se hace necesario realizar auditorías internas permanentes y de
tipo externo periódicamente para lograrlo.

Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de datos que opera en las
… 1
diferentes sedes y que generalmente se encuentra certificada bajo la normas de la IEEE\EIA\TIA, las cuales se deben
cumplir estrictamente.
… 14

… Objetivos

…
· Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una auditoría a la
infraestructura física de la red de datos en una de las instituciones educativas.

PLAN DE AUDIT… 4
· Objetivos específicos:

… 16 · Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la institución
educativa.
… 5
· Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT como herramienta
de apoyo en el proceso inspección de la red de datos de la institución educativa.
… 1
· Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la institución educativa
de acuerdo a los resultados obtenidos en la etapa de aplicación del modelo de auditoría.
… 2

…
Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del hardware, la red de
… 4 datos y eléctrica de la institución educativa, con el fin de verificar el cumplimiento de normas y la prestación del servicio
de internet para optimizar el uso de los recursos existentes para mejorar el servicio a los usuarios.

Los puntos a evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

· Instalaciones eléctricas
· Instalación cableado de la red de datos
· Sistemas de protección eléctricos
. Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

· Inventarios de hardware de redes y equipos

· Manteninimiento preventivo y correctivo de equipos y redes
. Hojas de vida de los equipos de cómputo y redes
· Los programas de mantenimiento de los equipos de computo y redes
· Revisión de informes de mantenimiento
. Personal encargado de manetnimiento
. Obsolecencia de la tecnología

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizaran las siguientes actividades:

1. Investigación preliminar: visitas a la institución para determinar el estado actual de la organización, entrevistas con
administradores y usuarios de las redes para determinar posibles fallas, entrevistas con administrador y usuarios para
determinar la opinión frente al hardware existente y obsolecencia de equipos.

2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas de chequeo, diseño de
formatos para cuestionarios, diseño del plan de pruebas, selección del estándar a aplicar, elaboración del programa de
auditoría, distribución de actividades para los integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al adminsitrador y usuarios, aplicar listas de chequeo para verificar
controles, aplicar cuestionarios para descubrir nuevos riesgos y conformar los que han sido detectados anteriormente.

4. Ejecucción de las pruebas: ejecutar

Tema Vistas las pruebas
dinámicas. para determinar
Con la tecnología de Blogger. la obsolecencia del hardware, ejecutar pruebas

3 de 5 27/4/2018 2:58 p. m.
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN | AU... http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacio...

sobre la red, ejecutar pruebas para comprobar la correspondencia de los inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de vulnerabilidades y amenzas a que
se ven enfrentados, determinar los riesgos a que se ven expuestos, hacer la evaluación de riesgos, elaborar el mapa o
matriz de riesgos.

… 6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de riesgos, proponer
controles de acuerdo a la norma de buenas práctica aplicada, definir las posibles soluciones

7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo de cada uno de los procesos
evaluados, medir el grado de madurez de acuerdo a los hallazgos detectados en cada proceso.

8. Informe final de auditoría: elaboración del borredor del informe técnico de auditoría para confrontarlo con los
… 1
auditados, elaboración del informe técnico final, elaboración del informe ejecutivo, organización de papeles de trabajo
para su entrega.
… 14
Recursos:
…
· Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en redes de datos con la
asesoría metodológica de un Ingeniero Auditor.
…

· Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos de red.

PLAN DE AUDIT… 4

· Tecnológicos: equipos de cómputo, software instalado para la red, cámara digital, Intranet institución educativa
… 16
Presupuesto:
… 5

Ítem Valor
… 1
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
… 2 Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. $ 20.000.oo
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
… Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000
… 4
Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la auditoría
Determinación de Áreas Críticas de Auditoria
Elaboración de Programa de Auditoria
Aplicar el modelo de auditoria Evaluación de Riesgos
Ejecución de Pruebas y Obtención de Evidencias
Elaboración de Informe
Construir los planes de mejoramiento
Sustentación de Informe
Publicado 13th February 2012 por FRANCISCO NICOLAS SOLARTE SOLARTE

4 Ver comentarios

ibar sistemas 14 de octubre de 2015, 14:31

Muy buen MPA, buena estructura.
Responder

Fernando Barbudo 16 de octubre de 2016, 9:22

me ha gustado mucho este blog, esta muy completo y te ayuda con toda la información que tiene.
Responder

Xiomara Bueno Fonseca 12 de septiembre de 2017, 6:36

muy comprensible, muchos auditores caen el error de utilizar lenguaje muy técnico, pero este blog esta genial !!!
Responder

Andrés Mancera 31 de octubre de 2017, 16:19

Excelente aporte, me ayudaste
Tema mucho con
Vistas dinámicas. Conun
la trabajo dedesobre
tecnología como crear planes de auditoria, Muchas gracias.
Blogger.

4 de 5 27/4/2018 2:58 p. m.
PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN | AU... http://auditordesistemas.blogspot.com/2012/02/memorando-de-planeacio...

Responder

Comentar como:

Publicar

… 1

… 14

PLAN DE AUDIT… 4

… 16

… 5

… 1

… 2

… 4

Tema Vistas dinámicas. Con la tecnología de Blogger.

5 de 5 27/4/2018 2:58 p. m.