PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN

Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo primero que se
debe hacer es determinar el objetivo que se pretende en la auditoría.

En general quien contrata el proceso de auditoría es que define cuál es el objetivo de la

auditoría, pero cuando se trata de seleccionar el objetivo primero se hace un
reconocimiento de la empresa, el área o sistema mediante visitas de campo para
determinar cuáles son las vulnerabilidades, amenazas y riesgos a que se enfrenta la
organización.

El objetivo se definirá teniendo en cuenta el área o sistema donde se presentan mayores

dificultades, ya sea por la probabilidad de ocurrencia de los riesgos o por el impacto que
estos pueden causar de llegar a concretarse el riesgo.

INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA 

Una vez conocido el área auditada o sistema de información en la fase de

conocimiento, se pueden evidenciar las vulnerabilidades y amenazas de
manera preliminar que pueden ser las fuentes de riesgos potenciales, lo ideal
es que cada miembro del equipo de trabajo haga una lista de los problemas
observados y que posteriormente en reuniones del equipo auditor se
pueda analizar lo observado por cada integrante y hacer un listado consolidado
de los problemas observados. 

El objetivo general de la auditoría tendrá en cuenta la fuente que origina el

proceso de auditoría y los problemas que se evidencian en la realidad, de esta
manera el objetivo quedarán definido en concordancia con lo que desea quien
origina el proceso y dará solución a los problemas que se están presentando. 

Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán
evaluados (hardware, software, redes, sistemas de información, bases de
datos, seguridad física, seguridad lógica, otros) y de cada uno de ellos se debe
definir el alcance donde se especifica que aspectos se tendrán en cuanta en
cada ítem evaluado. Una vez está definido el objetivo general, para alcanzarlo
se definen los objetivos específicos teniendo en cuenta la metodología de la
auditoría que se descompone en tres o cuatro fases dependiendo si es una
auditoría interna o es una auditoría externa, para cada fase será necesario
definir un objetivo específico que permita cumplirlo. Como se puede mirar en el
cuadro anterior las fases de la auditoría en general son las siguientes: conocer
el sistema, planear la auditoría, ejecutar la auditoría, y la fase de resultados,
para cada fase se define un objetivo específico.

Por ejemplo, si la fuente de la auditoría es el gerente, el informára que

aspectos quiere que sean auditados y la intencionalidad de llevar a cabo el
proceso, una vez conocidos los aspectos que se desea sean auditados, se
procede a realizar visitas al sitio "in situ" a el área o sistema para hacer la
observación y entrevistas con el administrador del área informática, los
 empleados de dicha área, los sistemas de información y usuarios para detectar
posibles vulnerabilidades y amenazas que puedan ocasionar riesgos
potenciales.

Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el

servicio de internet y en la infraestructura tecnológica de hardware, el objetivo
podría ser: Realizar la auditoría a la red de datos y la infraetructura de
hardware que soportan los sistemas de información en la empresa
"xxxxxx" de la ciudad de "xxxxxx".

De acuerdo a este objetivo se definen los objetivos específicos teniendo en

cuanta las etapas de la auditoría, por ejemplo:
 
Objetivo 1: Conocer las redes de datos y la infraestructura
tecnológica que soportan los sistemas de información con el fin de
analizar los riesgos que puedan presentarse en la funcionalidad de los
sistemas de información y servicios que se prestan mediante visitas a la
empresa y entrevistas con empleados y usuarios.

Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo

en cuenta los estándares que serán aplicados para hacer el diseño de
los instrumentos de recolección y plan de pruebas que serán
aplicados en el proceso de auditoría con el fin de obtener una información
confiable para realizar el dictamen.

Objetivo 3: Aplicar los instrumentos de recolección de información y

pruebas que se han diseñado para determinar los riesgos existentes en la
red de datos y la infraestructura tecnológica de acuerdo a las
vulnerabilidades y amenazas que se han evidenciado preliminarmente
con el fin de hacer la valoración de los riesgos  que permitan medir la
probabilidad de ocurrencia y el impacto que causa en la organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas,

elaborar el dictamen de la auditoría de acuerdo al nivel de madurez en los
procesos evaluados, determinar el tratamiento de los riesgos y definir
posibles soluciones que serán recomendadas en el informe final para se
entrega a quien originó la auditoría.

Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los
aspectos más relevantes que serán evaluados en cada uno de ellos. Por
ejemplo, los alcances serían:

De la red de datos se evaluará los siguientes aspectos:

-          El inventario hardware de redes
-          La obsolescencia del hardware y cableado estructurado
-          El cumplimiento de la norma de cableado estructurado
-          La seguridad en la red de datos
-         Del servicio de internet se evaluará:
-          El contrato con la empresa que presta el servicio de internet
-          La seguridad que brinda el operador para el servicio de internet
-          La seguridad de la red inalámbrica wifi
-          La monitorización de la red por parte del administrador

Estos son algunos de los aspectos elegidos para ser evaluados en cuanto a la

red, lo mismo debe hacerse para el hardware de servidores y equipos
terminales que soportan los sistemas y algo importante es la opinión de los
usuarios respecto a los problemas que se están presentando a causa de la
infraestructura tecnológica y la red que soportan los sistemas.

La intención es de que los integrantes del grupo de auditoría se distribuyan las

actividades de acuerdo a su especialidad y se pueda concretar los aspectos a
evaluar y las pruebas que se pueden realizar para poder evidenciar
las vulnerabilidades, amenazas y riesgos encontrados inicialmente.
Posteriormente se debe especificar la metodología donde se trata de
especificar las actividades para lograr cada uno de los objetivos específicos
propuestos anteriormente, aquí cada objetivo específico se descompone en
actividades generales que se deberán realizar para poder cumplirlos.

A continuación se presenta un ejemplo con el primer objetivo formulado:

Metodología para Objetivo 1: Conocer las redes de datos que soportan la

infraestructura tecnológica con el fin de analizar algunos de los riesgos que
puedan presentarse realizando visitas a la empresa y entrevistas con los
usuarios.
-          Solicitar la documentación de los planos de la red
-          Solicitar el inventario del hardware de las redes
-          Realizar una entrevista inicial con el encargado de administrar la red
      Realizar pruebas de seguridad en las redes para determinar las
vulnerabilidades 
-          Conocer los problemas más frecuentes en la red por parte de los
usuarios
 
-       Estas son las actividades para lograr el primer objetivo, de la misma manera se
hace para los otros objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita para
desarrollar la auditoría, en este caso los recursos se dividen en talento humano
que serán los integrantes del equipo auditor, los recursos físicos que son el
sitio o empresa donde se llevará  a cabo la auditoría, los recursos tecnológicos
(el hardware, cámaras, grabadoras digitales, memorias, celulares y el software
que se necesite para pruebas) y los recursos económicos que se presentan en
una tabla de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos físicos: La auditoría se llevará a cabo en el área informática de
la empresa xxxxx.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica
para pruebas que servirán de evidencia, computador portátil, software para
pruebas de auditoría sobre escaneo y tráfico en la red
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 2.000.000
 Cámara digital 1 400.000
Grabadora digital 1 120.000
Otros …. ….
Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de

GANNT, para construirlo se toman las actividades que han sido definidas para
cumplir cada objetivo y se especifica el tiempo de duración de cada actividad
en el tiempo. El tiempo se debe definir desde ahora hasta la entrega final del
informe de auditoría.
 

A continuación se presenta un ejemplo completo de un plan de auditoría o memorando de

planeación donde se muestra los contenidos de cada uno de los ítems:   

Plan de Auditoria 

Antecedentes: En las Aulas de informática de una Institución educativa se realiza

anualmente un plan de seguimiento a todos los procesos técnicos y académicos de la
institución, esto debido a que las instituciones requieren la acreditación de calidad en el
manejo de sus procesos y para ello se hace necesario realizar auditorías internas
permanentes y de tipo externo periódicamente para lograrlo.

Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red

de datos que opera en las diferentes sedes y que generalmente se encuentra certificada
bajo la normas de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.

Objetivos

           Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante

una auditoría a la infraestructura física de la red de datos en una de las instituciones
educativas.

           Objetivos específicos:

         Planificar la auditoría que permita identificar las condiciones actuales de la  red de datos
de la institución educativa.

         Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría

COBIT como herramienta de apoyo en el proceso inspección de la  red de datos de la
institución educativa.

         Identificar las soluciones para la construcción de los planes de mejoramiento a la  red de
la institución educativa de acuerdo a los resultados obtenidos en la etapa de aplicación del
modelo de auditoría.

Alcance y delimitación: La presente auditoria pretende identificar las condiciones

actuales del hardware, la  red de datos y eléctrica de la institución educativa, con el fin de
verificar el cumplimiento de normas y la prestación del servicio de internet para optimizar el
uso de los recursos existentes para mejorar el servicio a los usuarios.

Los puntos a evaluar serán los siguientes:

 De las instalaciones físicas se evaluará:

         Instalaciones eléctricas
         Instalación cableado de la red de datos
         Sistemas de protección eléctricos
Seguridad de acceso físico a las instalaciones  

De equipos o hardware se evaluará:

         Inventarios de hardware de redes y equipos

         Manteninimiento preventivo y correctivo de equipos y redes
.     Hojas de vida de los equipos de cómputo y redes
         Los programas de mantenimiento de los equipos de computo y redes
         Revisión de informes de mantenimiento
.     Personal encargado de manetnimiento
.     Obsolecencia de la tecnología

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se

realizaran las siguientes actividades:

1. Investigación preliminar: visitas a la institución para determinar el estado actual de la

organización, entrevistas con administradores y usuarios de las redes para determinar
posibles fallas, entrevistas con administrador y usuarios para determinar la opinión frente
al hardware existente y obsolecencia de equipos.

2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para

listas de chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas,
selección del estándar a aplicar, elaboración del programa de auditoría, distribución de
actividades para los integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al adminsitrador y usuarios, aplicar

listas de chequeo para verificar controles, aplicar cuestionarios para descubrir nuevos
riesgos y conformar los que han sido detectados anteriormente.

4. Ejecución de las pruebas: ejecutar las pruebas para determinar la obsolecencia

del hardware, ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la
correspondencia de los inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de

vulnerabilidades y amenzas a que se ven enfrentados, determinar los riesgos a que se ven
expuestos, hacer la evaluación de riesgos, elaborar el mapa o matriz de riesgos.

6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz

de riesgos, proponer controles de acuerdo a la norma de buenas práctica aplicada, definir
las posibles soluciones 

7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo

de cada uno de los procesos evaluados, medir el grado de madurez de acuerdo a los
hallazgos detectados en cada proceso.

8. Informe final de auditoría: elaboración del borrador del informe técnico de auditoría

para confrontarlo con los auditados, elaboración del informe técnico final, elaboración del
informe ejecutivo, organización de papeles de trabajo para su entrega.  
Recursos:
         Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en
redes de datos con la asesoría metodológica de un Ingeniero Auditor.

         Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos de

red.

         Tecnológicos: equipos de cómputo, software instalado para la red, cámara

digital, Intranet institución educativa

Presupuesto:

Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. $ 20.000.oo
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
 1  2  3  4  1  2  3  4  1  2  3  4
Estudio Preliminar
Planificar la
auditoría Determinación de Áreas
Críticas de Auditoria
Elaboración de Programa
Aplicar el de Auditoria
modelo de Evaluación de Riesgos
auditoria Ejecución de Pruebas y
Obtención de Evidencias
Construir los Elaboración de Informe
planes de
mejoramient
o Sustentación de Informe