PLAN DE AUDITORIA O MEMORANDO DE PLANEACIÓN

Ejemplo:
Si las vulnerabilidades y amenazas se presentan en las redes, conectividad y el servicio de
internet y en la infraestructura tecnológica de hardware, el objetivo podría ser: Realizar la
auditoría a la red de datos y la infraetructura de hardware que soportan los sistemas
de información en la empresa "xxxxxx" de la ciudad de "xxxxxx".

De acuerdo a este objetivo se definen los objetivos específicos teniendo en cuanta las
etapas de la auditoría, por ejemplo:

Objetivo 1: Conocer las redes de datos y la infraestructura tecnologica que soportan

los sistemas de información con el fin de analizar los riesgos que puedan
presentarse en la funcionalidad de los sistemas de información y servicios que se
prestan mediante visitas a la empresa y entrevistas con empleados y usuarios.

Objetivo 2: Elaborar el plan de auditoría, y programa de auditoría teneiendo en cuenta

los estándares que serán aplicados para hacer el diseño de los instrumentos
de recolección y plan de pruebas que serán aplicados en el proceso de auditoría con
el fin de obtener una información confiable para realizar el dictamen.

Objetivo 3: Aplicar los instrumentos de recolección de información y pruebas que se

han diseñado para determinar los riesgos existentes en la red de datos y la
infraestructura tecnológica de acuerdo a las vulnerabilidades y amenazas que se han
evidenciado preliminarmente con el fin de hacer la valoración de los riesgos que
permitan medir la probabilidad de ocurrencia y el impacto que causa en la
organización.

Objetivo 4: De acuerdo a los hallazgos comprobados mediante pruebas, elaborar el

dictamen de la auditoría de acuerdo al nivel de madurez en los procesos evaluados,
determinar el tratamiento de los riesgos y definir posibles soluciones que serán
recomendadas en el informe final para se entrega a quien originó la auditoría.

Una vez definidos los objetivos de la auditoría, para cada ítem se menciona los aspectos
más relevantes que serán evaluados en cada uno de ellos. Por ejemplo, los alcances
serían:

De la red de datos se evaluará los siguientes aspectos:

- El inventario hardware de redes
- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- Del servicio de internet se evaluará:
- El contrato con la empresa que presta el servicio de internet
- La seguridad que brinda el operador para el servicio de internet
- La seguridad de la red inalámbrica wifi
- La monitorización de la red por parte del administrador
 A continuación, se presenta un ejemplo con el primer objetivo formulado:
Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnológica con el fin de analizar algunos de los riesgos que puedan presentarse realizando
visitas a la empresa y entrevistas con los usuarios.
- Solicitar la documentación de los planos de la red
- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de administrar la red
Realizar pruebas de seguridad en las redes para determinar las vulnerabilidades
- Conocer los problemas más frecuentes en la red por parte de los usuarios

- Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para
los otros objetivos específicos planteados.
Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la
auditoría, en este caso los recursos se dividen en talento humano que serán los integrantes
del equipo auditor, los recursos físicos que son el sitio o empresa donde se llevará a cabo
la auditoría, los recursos tecnológicos (el hardware, cámaras, grabadoras digitales,
memorias, celulares y el software que se necesite para pruebas) y los recursos económicos
que se presentan en una tabla de presupuesto.
Recursos humanos: Nombres y apellidos del grupo auditor
Recursos físicos: La auditoría se llevará a cabo en el área informática de la empresa
xxxxx.
Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para
pruebas que servirán de evidencia, computador portátil, software para pruebas de auditoría
sobre escaneo y tráfico en la red
Recursos económicos:
Ítem Cantidad Subtotal
Computador 2 2.000.000
Cámara digital 1 400.000
Grabadora digital 1 120.000
Otros …. ….
Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para

construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se
especifica el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir
desde ahora hasta la entrega final del informe de auditoría.

A continuación se presenta un ejemplo completo de un plan de auditoría o memorando de

planeación donde se muestra los contenidos de cada uno de los ítems:

Plan de Auditoria

Antecedentes: En las Aulas de informática de una Institución educativa se realiza anualmente

un plan de seguimiento a todos los procesos técnicos y académicos de la institución, esto debido
a que las instituciones requieren la acreditación de calidad en el manejo de sus procesos y para
 ello se hace necesario realizar auditorías internas permanentes y de tipo externo periódicamente
para lograrlo.

Uno de los recursos tecnológicos disponibles en las instituciones educativas es el de la red de

datos que opera en las diferentes sedes y que generalmente se encuentra certificada bajo la
normas de la IEEE, las cuales se deben cumplir estrictamente.

Objetivos

• Objetivo general: Realizar la revisión y verificación del cumplimiento de normas mediante una
auditoría a la infraestructura física de la red de datos en una de las instituciones educativas.

• Objetivos específicos:

• Planificar la auditoría que permita identificar las condiciones actuales de la red de datos de la
institución educativa.

• Aplicar los procesos de auditoría teniendo en cuenta el modelo estándar de auditoría COBIT
como herramienta de apoyo en el proceso inspección de la red de datos de la institución
educativa.

• Identificar las soluciones para la construcción de los planes de mejoramiento a la red de la

institución educativa de acuerdo a los resultados obtenidos en la etapa de aplicación del modelo
de auditoría.

Alcance y delimitación: La presente auditoria pretende identificar las condiciones actuales del
hardware, la red de datos y eléctrica de la institución educativa, con el fin de verificar el
cumplimiento de normas y la prestación del servicio de internet para optimizar el uso de los
recursos existentes para mejorar el servicio a los usuarios.

Los puntos a evaluar serán los siguientes:

De las instalaciones físicas se evaluará:

• Instalaciones eléctricas
• Instalación cableado de la red de datos
• Sistemas de protección eléctricos
Seguridad de acceso físico a las instalaciones

De equipos o hardware se evaluará:

• Inventarios de hardware de redes y equipos

• Mantenimiento preventivo y correctivo de equipos y redes
. Hojas de vida de los equipos de cómputo y redes
• Los programas de mantenimiento de los equipos de computo y redes
• Revisión de informes de mantenimiento
 Personal encargado de manetnimiento
Obsolecencia de la tecnología

Metodología: Para el cumplimiento de los objetivos planteados en la auditoría, se realizarán las

siguientes actividades:

1. Investigación preliminar: visitas a la institución para determinar el estado actual de la

organización, entrevistas con administradores y usuarios de las redes para determinar posibles
fallas, entrevistas con administrador y usuarios para determinar la opinión frente
al hardware existente y obsolecencia de equipos.

2. Recolectar información: Diseño de formatos de entrevistas, diseño de formatos para listas

de chequeo, diseño de formatos para cuestionarios, diseño del plan de pruebas, selección del
estándar a aplicar, elaboración del programa de auditoría, distribución de actividades para los
integrantes del grupo de trabajo.

3. Aplicación de instrumentos: Aplicar entrevistas al administrador y usuarios, aplicar listas

de chequeo para verificar controles, aplicar cuestionarios para descubrir nuevos riesgos y
conformar los que han sido detectados anteriormente.

4. Ejecución de las pruebas: ejecutar las pruebas para determinar la obsolescencia

del hardware, ejecutar pruebas sobre la red, ejecutar pruebas para comprobar la
correspondencia de los inventarios con la realidad.

5. Realizar el proceso de análisis y evaluación de riesgos: elaborar el cuadro de

vulnerabilidades y amenazas a que se ven enfrentados, determinar los riesgos a que se ven
expuestos, hacer la evaluación de riesgos, elaborar el mapa o matriz de riesgos.

6. Tratamiento de riesgos: determinar el tratamiento de los riesgos de acuerdo a la matriz de

riesgos, proponer controles de acuerdo a la norma de buenas práctica aplicada, definir las
posibles soluciones

7. Dictamen de la auditoría: Determinar el grado de madurez de la empresa en el manejo

de cada uno de los procesos evaluados, medir el grado de madurez de acuerdo a los hallazgos
detectados en cada proceso.

8. Informe final de auditoría: elaboración del borrador del informe técnico de auditoría para
confrontarlo con los auditados, elaboración del informe técnico final, elaboración del informe
ejecutivo, organización de papeles de trabajo para su entrega.

Recursos:

• Humanos: La auditoría se llevará a cabo por el grupo de auditores especializados en redes de

datos con la asesoría metodológica de un Ingeniero Auditor.
• Físicos: Instalaciones de la institución educativa, aulas de informática y dispositivos de red.

• Tecnológicos: equipos de cómputo, software instalado para la red, cámara

digital, Intranet institución educativa

Presupuesto:

Ítem Valor
Útiles y Papelería $ 20.000.oo
Equipos de Oficina como calculadoras. $ 80.000.oo
Medios de almacenamiento magnético como: 1 caja de CD, 1 caja Diskettes. $ 20.000.oo
Gastos generales: Cafetería, imprevistos, transporte, etc. $300.000.oo
Pago de Honorarios (1 millon mensual x c/au) $4.000.000
Total presupuesto $4.420.000

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4
Estudio Preliminar
Planificar la
auditoría Determinación de Áreas
Críticas de Auditoria
Elaboración de Programa
Aplicar el de Auditoria
modelo de Evaluación de Riesgos
auditoria Ejecución de Pruebas y
Obtención de Evidencias
Construir los Elaboración de Informe
planes de
mejoramiento Sustentación de Informe