Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Indicaciones para Elaborar Plan de Auditoría 2020 II
Indicaciones para Elaborar Plan de Auditoría 2020 II
Para la selección de la empresa a auditar deben tener en cuenta que deberán tener facilidad de
acceso a la información del área informática, a los procesos informáticos y a los recursos
informáticos que tenga esa organización. En general la información que se necesita para la
auditoria está relacionada con el uso de las TICs en la empresa. Recuerden que es mejor no
mencionar la palabra AUDITORIA, sino decir que deben hacer un trabajo de revisión del
funcionamiento de la tecnología dentro de la empresa o del uso de TIC’s en la empresa, debido a
que la auditoria que se aplica actualmente está relacionada con los estados financieros de la
empresa.
En la siguiente tabla tomada del ejemplo que se les envió anteriormente, se puede ver la columna
categoría, y que los riesgos afectan o impactan al software, la seguridad física, el control de acceso
físico del personal, y el hardware.
En este ejemplo, se puede identificar claramente que el objetivo de la auditoria debería estar
dirigido a evaluar la seguridad lógica, el control de acceso físico, el hardware y software. Y como se
pueden dar cuenta en cada uno de los riesgos se muestra de qué manera se ven afectados los
activos en la empresa, eso nos servirá para definir los alcances de la auditoría que son los aspectos
a evaluar de cada uno de los activos informáticos que están en el objetivo general.
El objetivo general de la auditoría se definirá debe ser concreto, claro y específico, mencionando
los activos informáticos donde se haya detectado las vulnerabilidades, amenazas y riesgos y que se
ven afectos por ellos. Continuando con el ejemplo, el objetivo general de la auditoría será:
evaluar la seguridad lógica, el control de acceso físico, el hardware y software en la empresa
XXXXXX de la ciudad de XXXXXX
Una vez está definido el objetivo general, se definen los objetivos específicos que tienen que ver
con la metodología en sus 4 fases (conocimiento sistema o área auditada, la planeación auditoria,
la ejecución auditoria, resultados de la auditoria). Para cada fase se define un objetivo específico
que permita cumplir cada fase. Por ejemplo:
Objetivo 1: Conocer el funcionamiento de los sistemas, la seguridad lógica y los usuarios con
acceso al mismo, determinar el funcionamiento de los sistemas de seguridad y control de acceso a
la empresa y zonas restringidas, evaluar el hardware y software existente en la empresa para la
detección de las vulnerabilidades y amenazas existentes que originan los riesgos mediante visitas a
la empresa y entrevistas con los usuarios.
Objetivo 2: Elaborar el plan de auditoría de acuerdo a los objetivos planteados, diseñar el plan de
pruebas que permitan evidenciar los riesgos, diseñar los formatos de fuentes de recolección de
información, y seleccionar el estándar que será aplicado para realizar la auditoria (CobIT).
Objetivo 4: Elaborar los informes de los hallazgos encontrados, el dictamen de la auditoría con la
medición del nivel de madurez, y el informe final de resultados de la auditoria.
NOTA: Estos objetivos específicos pueden copiarse y adaptarse de acuerdo a los riesgos que se
haya detectado en la empresa elegida
Una vez definidos los objetivos de la auditoría, tomamos los activos informáticos mencionados en
el objetivo general y para cada uno de ellos se determina que aspectos serán evaluados, estos
serán los alcances de la auditoria, por ejemplo:
Hay que tener en cuenta que estos aspectos a evaluar se obtienen del cuadro de vulnerabilidades,
amenazas y riesgos detectados inicialmente. Aquí es importante que la persona que propuso la
empresa brinde la información necesaria para poder determinar esas vulnerabilidades, amenazas
y riesgos para determinar los alcances concretos de la auditoria.
El siguiente punto del plan de auditoria es la metodología de la auditoría que está ligada al
cumplimiento de los objetivos específicos mencionados anteriormente, donde cada objetivo
específico se descompone en actividades o tareas para su cumplimiento. En el siguiente ejemplo
se muestra la metodología a seguir para cumplir el objetivo específico 1:
Objetivo 1: Conocer el funcionamiento de los sistemas, la seguridad lógica y los usuarios con
acceso al mismo, determinar el funcionamiento de los sistemas de seguridad y control de acceso a
la empresa y zonas restringidas, evaluar el hardware y software existente en la empresa para la
detección de las vulnerabilidades y amenazas existentes que originan los riesgos mediante visitas a
la empresa y entrevistas con los usuarios.
Metodología
NOTA: De la misma manera se hará para los otros objetivos específicos que han sido planteados.
El siguiente punto en el plan de auditoría será hacer una relación de los recursos que se necesitan
para desarrollar la auditoría, los recursos pueden ser: Talento humano que serán ustedes como
auditores, los recursos físicos o sitio donde se lleva a cabo la auditoria, los recursos tecnológicos
(el hardware, cámaras, grabadoras digitales, memorias, celulares y el software que se necesite
para pruebas) y los recursos económicos que se presentan en una tabla de presupuesto.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red
Recursos económicos:
Total 0000000000
Fase ACTIVIDAD 1
conocimiento ACTIVIDAD 2
del sistema …….
ACTIVIDAD 3
Fase ACTIVIDAD 4
Planeación de
la auditoría
ACTIVIDAD 5
Fase
Ejecución ACTIVIDAD 6
auditoria ACTIVIDAD 7
Fase de
ACTIVIDAD 8
resultados