MEMORANDUM DE

PLANIFICACION DE AUDITORIA

LIC. JOSE LUIS AYALA SEQUEIROS

Memorándum de planificación
Una vez se haya seleccionado la empresa, el área o sistema a evaluar lo primero que se debe
hacer es determinar el objetivo que se pretende en la auditoría.
En general quien contrata el proceso de auditoría es que define cuál es el objetivo de la auditoría,
pero cuando se trata de seleccionar el objetivo primero se hace un reconocimiento de la
empresa, el área o sistema mediante visitas de campo para determinar cuales son las
vulnerabilidades, amenazas y riesgos a que se enfrenta la organización.
El objetivo se definirá teniendo en cuenta el área o sistema donde se presentan mayores
dificultades, ya sea por la probabilidad de ocurrencia de los riesgos o por el impacto que estos
pueden causar de llegar a concretarse el riesgo.
Indicaciones para elaborar el plan de
auditoria
Una vez conocido el área auditada o sistema de información en la fase de conocimiento, se
pueden evidenciar las vulnerabilidades y amenazas de manera preliminar que pueden ser las
fuentes de riesgos potenciales, lo ideal es que cada miembro del equipo de trabajo haga una
lista de los problemas observados y que posteriormente en reuniones del equipo auditor se
pueda analizar lo observado por cada integrante y hacer un listado consolidado de los
problemas observados.

El objetivo general de la auditoría tendrá en cuenta la fuente que origina el proceso de

auditoría y los problemas que se evidencian en la realidad, de esta manera el objetivo quedará
definido en concordancia con lo que desea quien origina el proceso y dará solución a los
problemas que se están presentando.
Indicaciones para elaborar el plan de
auditoria
Una vez definido el objetivo de la auditoría, se desglosa los ítems que serán evaluados
(hardware, software, redes, sistemas de información, bases de datos, seguridad física y
seguridad lógica) y de cada uno de ellos se debe definir el alcance donde se especifica que
aspectos se tendrán en cuanta en cada ítem evaluado.

Una vez está definido el objetivo general, para alcanzarlo se definen los objetivos específicos
teniendo en cuenta la metodología de la auditoría que se descompone en tres o cuatro fases
dependiendo si es una auditoría interna o es una auditoría externa, para cada fase será
necesario definir un objetivo específico que permita cumplirlo.
Indicaciones para elaborar el plan de
auditoria
Por ejemplo.

Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de

internet y en la infraestructura tecnológica de hardware, el objetivo podría ser:

“Realizar la auditoría a la red de datos y la infraestructura de hardware que soportan los

sistemas de información en la empresa “ABC Ltda." de la ciudad de “Cochabamba“.
Indicaciones para elaborar el plan de
auditoria
De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas
de la auditoría, por ejemplo:

Objetivo 1: Conocer las redes de datos y la infraestructura tecnológica que soportan los
sistemas de información con el fin de analizar los riesgos que puedan presentarse en la
funcionalidad de los sistemas de información y servicios que se prestan mediante visitas a la
empresa y entrevistas con empleados y usuarios.

Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teniendo en cuenta los

estándares que serán aplicados para hacer el diseño de los instrumentos de recolección y plan
de pruebas que serán aplicados en el proceso de auditoría con el fin de obtener una
información confiable para realizar el dictamen.
Indicaciones para elaborar el plan de
auditoria
De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las etapas
de la auditoría, por ejemplo:

Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se han

diseñado para determinar los riesgos existentes en la red de datos y la infraestructura
tecnológica de acuerdo a las vulnerabilidades y amenazas que se han evidenciado
preliminarmente con el fin de hacer la valoración de los riesgos que permitan medir la
probabilidad de ocurrencia y el impacto que causa en la organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el dictamen

de la auditoría de acuerdo al nivel de madurez en los procesos evaluados, determinar el
tratamiento de los riesgos y definir posibles soluciones que serán recomendadas en el informe
final para se entrega a quien originó la auditoría.
Indicaciones para elaborar el plan de
auditoria
El alcance
Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los aspectos más
relevantes que serán evaluados en cada uno de ellos. Por ejemplo, los alcances serían:

El inventario hardware de redes

• La obsolescencia del hardware y cableado estructurado
• El cumplimiento de la norma de cableado estructurado
• La seguridad en la red de datos
Del servicio de internet se evaluará:
• El contrato con la empresa que presta el servicio de internet
• La seguridad que brinda el operador para el servicio de internet
• La seguridad de la red inalámbrica wifi
• La monitorización de la red por parte del administrador
Indicaciones para elaborar el plan de
auditoria
Metodología – Objetivo 1

Conocer las redes de datos que soportan la infraestructura tecnológica con el fin de analizar
algunos de los riesgos que puedan presentarse realizando visitas a la empresa y entrevistas
con los usuarios.

• Solicitar la documentación de los planos de la red

• Solicitar el inventario del hardware de las redes
• Realizar una entrevista inicial con el encargado de administrar la red
• Realizar pruebas de seguridad en las redes para determinar las vulnerabilidades
• Conocer los problemas más frecuentes en la red por parte de los usuarios
Indicaciones para elaborar el plan de
auditoria
Metodología – Objetivo 1

Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la
auditoría, en este caso los recursos se dividen en talento humano que serán los integrantes del
equipo auditor, los recursos físicos que son el sitio o empresa donde se llevará a cabo la
auditoría, los recursos tecnológicos

Recursos humanos: Nombres y apellidos del grupo auditor

Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa ABC Ltda.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas
que servirán de evidencia, computador portátil, software para pruebas de auditoría sobre
escaneo y tráfico en la red
Indicaciones para elaborar el plan de
auditoria
Metodología – Objetivo 1

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANTT, para

construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se
especifica el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir
desde ahora hasta la entrega final del informe de auditoría.
Indicaciones para elaborar el plan de
auditoria
En resumen

1. Identificación de la empresa
2. Antecedentes
3. Objetivos
4. Objetivo general
5. Objetivos específicos
6. Alcance y delimitación
7. Metodología
8. Recursos
9. Cronograma de actividades