TEMA Nº 5

PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN

Una vez se haya seleccionado la empresa, el área o sistema a
evaluar lo primero que se debe hacer es determinar el obejtivo que
se pretende en la auditoría.

En general quien contrata el proceso de auditoría es que que define

cuál es el objetivo de la auditoría, pero cuando se trata de
seleccionar el objetivo primero se hace un reconocimiento de la
empresa, el área o sistema mediante visitas de campo para
determinar cuales son las vulnerabilidades, amenazas y riesgos a
que se enfrenta la organización.

El objetivo se definirá teniendo en cuenta el área o sistema donde

se presentan mayores dificultades, ya sea por la probabilidad
de ocurrencia de los riesgos o por el impacto que estos pueden
causar de llegar a concretarse el riesgo.

INDICACIONES PARA ELABORAR EL PLAN DE AUDITORIA

Una vez conocido el área auditada o sistema de información en la

fase de conocimiento, se pueden evidenciar las vulnerabilidades y
amenazas de manera preliminar que pueden ser las fuentes de
riesgos potenciales, lo ideal es que cada miembro del equipo de
trabajo haga una lista de los problemas observados y que
posteriormente en reuniones del equipo auditor se pueda analizar lo
observado por cada integrante y hacer un listado consolidado de los
problemas observados.

El objetivo general de la auditoría tendrá en cuenta la fuente que

origina el proceso de auditoría y los problemas que se evidencian
en la realidad, de esta manera el objetivo quedará definido en
concordancia con lo que desea quien origina el proceso y dará
solución a los problemas que se están presentando.

Una vez definido el objetivo de la auditoría, se desglosa los ítems

que serán evaluados (hardware, software, redes, sistemas de
información, bases de datos, seguridad física, seguridad lógica,
otros) y de cada uno de ellos se debe definir el alcance donde se
especifica que aspectos se tendrán en cuanta en cada ítem
evaluado. Una vez está definido el objetivo general, para alcanzarlo
se definen los objetivos específicos teniendo en cuenta la
metodología de la auditoría que se descompone en tres o cuatro
fases dependiendo si es una auditoría interna o es una auditoría
externa, para cada fase será necesario definir un objetivo específico
que permita cumplirlo. Como se puede mirar en el cuadro anterior
las fases de la auditoría en general son las siguientes: conocer el
sistema, planear la auditoría, ejecutar la auditoría, y la fase de
resultados, para cada fase se define un objetivo específico.

Por ejemplo, si la fuente de la auditoría es el gerente, el informára

que aspectos quiere que sean auditados y la intencionalidad de
llevar a cabo el proceso, una vez conocidos los aspectos que se
desea sean auditados, se procede a realizar visitas al sitio "in situ" a
el área o sistema para hacer la observación y entrevistas con el
administrador del área informática, los empleados de dicha área, los
sistemas de información y ususrios para detectar posibles
vulnerabilidades y amenazas que puedan ocasionar riesgos
potenciales.

Si las vulnerabilidades y amenazas se presentan en las redes,

conectividad y el servicio de internet y en la infraestructura
tecnológica de hardware, el objetivo podría ser: Realizar la
auditoría a la red de datos y la infraetructura de hardware que
soportan los sistemas de información en la empresa "xxxxxx"
de la ciudad de "xxxxxx".

De acuerdo a este objetivo se definen los Metodología para :

Objetivo 1: Conocer las redes de datos y la infraestructura

tecnologica que soportan los sistemas de información con el
fin de analizar los riesgos que puedan presentarse en la
funcionalidad de los sistemas de información y servicios que
se prestan mediante visitas a la empresa y entrevistas con
empleados y usuarios.

Objetivo 2: Elaborar el plan de auditoría, y programa de

auditoría teniendo en cuenta los estándares que serán
aplicados para hacer el diseño de los instrumentos
de recolección y plan de pruebas que serán aplicados en el
proceso de auditoría con el fin de obtener una información
confiable para realizar el dictamen.
 Objetivo 3: Aplicar los instrumentos de recolección de
información y pruebas que se han diseñado para determinar
los riesgos existentes en la red de datos y la infraestructura
tecnológica de acuerdo a las vulnerabilidades y amenazas que
se han evidenciado preliminarmente con el fin de hacer la
valoración de los riesgos que permitan medir la probabilidad
de ocurrencia y el impacto que causa en la organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante

pruebas, elaborar el dictamen de la auditoría de acuerdo al
nivel de madurez en los procesos evaluados, determinar el
tratamiento de los riesgos y definir posibles soluciones que
serán recomendadas en el informe final para se entrega a quien
originó la auditoría.

Una vez definidos los objetivos de la auditoría, para cada ítem se

menciona los aspectos más relevantes que serán evaluados en
cada uno de ellos. Por ejemplo, los alcances serían:

De la red de datos se evaluará los siguientes aspectos:

- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- Del servicio de internet se evaluará:
- El contrato con la empresa que presta el servicio de internet
- La seguridad que brinda el operador para el servicio de
internet
- La seguridad de la red inalámbrica wifi
- La monitorización de la red por parte del administrador

Estos son algunos de los aspectos elegidos para ser evaluados en

cuanto a la red, lo mismo debe hacerse para el hardware de
servidores y equipos terminales que soportan los sistemas y algo
importante es la opinión de los usurios respecto a los problemas
que se están presentando a causa de la infraestructura tecnológica
y la red que soportan los sistemas.

La intención es de que los integrantes del grupo de auditoría se

distribuyan las actividades de acuerdo a su especialidad y se pueda
concretar los aspectos a evaluar y las pruebas que se pueden
realizar para poder evidenciar las vulnerabilidades, amenazas y
riesgos encontrados inicialmente.
 Posteriormente se debe especificar la metodología donde se trata
de especificar las actividades para lograr cada uno de los objetivos
esécíficos propuestos anteriormente, aquí cada objetivo específico
se descompone en actividades generales que se deberán realizar
para poder cumplirlos.

A continuación se presenta un ejemplo con el primer objetivo

formulado:
Metodología para Objetivo 1: Conocer las redes de datos que
soportan la infraestructura tecnológica con el fin de analizar algunos
de los riesgos que puedan presentarse realizando visitas a la
empresa y entrevistas con los usuarios.
- Solicitar la documentación de los planos de la red
- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de
administrar la red
Realizar pruebas de seguridad en las redes para determinar
las vulnerabilidades
- Conocer los problemas más frecuentes en la red por parte
de los usuarios

- Estas son las actividades para lograr el primer objetivo, de la

misma manera se hace para los otros objetivos específicos
planteados.
Posteriormente se hace una relación de los recursos que uno
necesita para desarrollar la auditoría, en este caso los recursos se
dividen en talento humano que serán los integrantes del equipo
auditor, los recursos físicos que son el sitio o empresa donde se
llevará a cabo la auditoría, los recursos tecnológicos (el hardware,
cámaras, grabadoras digitales, memorias, celulares y el software
que se necesite para pruebas) y los recursos económicos que se
presentan en una tabla de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos físicos: La auditoría se llevará a cabo en el área
informática de la empresa xxxxx.
Recursos tecnológicos: grabadora digital para entrevistas, cámara
fotográfica para pruebas que servirán de evidencia, computador
portátil, software para pruebas de auditoría sobre escaneo y tráfico
en la red
Recursos económicos:
Ítem Cantidad subtotal
Computador 2 2.000.000
Cámara digital 1 400.000
 Grabadora digital 1 120.000
otros …. ….
Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un

diagrama de GANNT, para construirlo se toman las actividades que
han sido definidas para cumplir cada objetivo y se especifica el
tiempo de duración de cada actividad en el tiempo. El tiempo se
debe definir desde ahora hasta la entrega final del informe de
auditoría.

A continuación se presenta un ejemplo completo de un plan de

auditoría o memorando de planeación donde se muestralos
contenidos de cada uno de los ítems:
Plan de Auditoria

Antecedentes: En las Aulas de informática de una Institución

educativa se realiza anualmente un plan de seguimiento a todos los
procesos técnicos y académicos de la institución, esto debido a que
las instituciones requieren la acreditación de calidad en el manejo
de sus procesos y para ello se hace necesario realizar auditorías
internas permanentes y de tipo externo periódicamente para
lograrlo.

Uno de los recursos tecnológicos disponibles en las instituciones

educativas es el de la red de datos que opera en las diferentes
sedes y que generalmente se encuentra certificada bajo la normas
de la IEEE\EIA\TIA, las cuales se deben cumplir estrictamente.

Objetivos

 Objetivo general: Realizar la revisión y verificación del

cumplimiento de normas mediante una auditoría a la infraestructura
física de la red de datos en una de las instituciones educativas.

 Objetivos específicos:

 Planificar la auditoría que permita identificar las condiciones

actuales de la red de datos de la institución educativa.
 Aplicar los procesos de auditoría teniendo en cuenta el modelo
estándar de auditoría COBIT como herramienta de apoyo en el
proceso inspección de la red de datos de la institución educativa.

 Identificar las soluciones para la construcción de los planes de

mejoramiento a la red de la institución educativa de acuerdo a los
resultados obtenidos en la etapa de aplicación del modelo de
auditoría.

Alcance y delimitación: La presente auditoria pretende identificar

las condiciones actuales del hardware, la red de datos y eléctrica
de la institución educativa, con el fin de verificar el cumplimiento de
normas y la prestación del servicio de internet para optimizar el uso
de los recursos existentes para mejorar el servicio a los usuarios.

Los puntos a evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

 Instalaciones eléctricas
 Instalación cableado de la red de datos
 Sistemas de protección eléctrico
Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

 Inventarios de hardware de redes y equipos

 Mantenimiento preventivo y correctivo de equipos y redes
. Hojas de vida de los equipos de cómputo y redes
 Los programas de mantenimiento de los equipos de computo y
redes
 Revisión de informes de mantenimiento Personal encargado de
mantenimiento Obsolescencia de la tecnología

Metodología: Para el cumplimiento de los objetivos planteados en

la auditoría, se realizaran las siguientes actividades:

1. Investigación preliminar: visitas a la institución para determinar

el estado actual de la organización, entrevistas con administradores
y usuarios de las redes para determinar posibles fallas, entrevistas
con administrador y usuarios para determinar la opinión frente
al hardware existente y obsolecencia de equipos.

2. Recolectar información: Diseño de formatos de entrevistas,

diseño de formatos para listas de chequeo, diseño de formatos para
cuestionarios, diseño del plan de pruebas, selección del estándar a
aplicar, elaboración del programa de auditoría, distribución de
actividades para los integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al

adminsitrador y usuarios, aplicar listas de chequeo para verificar
controles, aplicar cuestionarios para descubrir nuevos riesgos y
conformar los que han sido detectados anteriormente.

4. Ejecucción de las pruebas: ejecutar las pruebas para

determinar la obsolecencia del hardware, ejecutar pruebas sobre la
red, ejecutar pruebas para comprobar la correspondencia de los
inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de

riesgos: elaborar el cuadro de vulnerabilidades y amenzas a que
se ven enfrentados, determinar los riesgos a que se ven expuestos,
hacer la evaluación de riesgos, elaborar el mapa o matriz de
riesgos.

6. Tratamiento de riesgos: determinar el tratamiento de los riesgos

de acuerdo a la matriz de riesgos, proponer controles de acuerdo a
la norma de buenas práctica aplicada, definir las posibles
soluciones

7. Dictamen de la auditoría: Determinar el grado de madurez de la

empresa en el manejo de cada uno de los procesos evaluados,
medir el grado de madurez de acuerdo a los hallazgos detectados
en cada proceso.

8. Informe final de auditoría: elaboración del borredor del informe

técnico de auditoría para confrontarlo con los
auditados, elaboración del informe técnico final, elaboración del
informe ejecutivo, organización de papeles de trabajo para su
entrega.
Recursos:
 Humanos: La auditoría se llevará a cabo por el grupo de
auditores especializados en redes de datos con la asesoría
metodológica de un Ingeniero Auditor.

 Físicos: Instalaciones de la institución educativa, aulas de

informática y dispositivos de red.

 Tecnológicos: equipos de cómputo, software instalado para la

red, cámara digital, Intranet institución educativa

Presupuesto:

Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de $ 20.000.oo
CD, 1 caja Diskettes.
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la Determinación de
auditoría Áreas Críticas de
Auditoria
Elaboración de
Programa de
Auditoria
Aplicar el Evaluación de
modelo de Riesgos
auditoria Ejecución de
Pruebas y
Obtención de
Evidencias
Construir los Elaboración de
 planes de Informe
mejoramiento Sustentación de
Informe