Indicaciones para elaborar plan de auditoría

Una vez ustedes hayan realizado sus aportes sobre las vulnerabilidades, amenazas y riesgos, y
consolidado el cuadro, se darán cuenta que algunos de esos riesgos se repiten en los aportes de
varios de los compañeros y hay algunos de ellos que pueden ocasionar daños graves a la empresa o
al sistema auditado.

Teniendo en cuenta lo anteriormente mencionado, ustedes deben hacer la selección de la empresa

a auditar teniendo en cuanta que puedan tener facilidad de acceso a la información, a los procesos
informáticos y a los recursos informáticos que tenga esa organización.

Una vez seleccionada la empresa ustedes deben definir cuál será el objetivo de la auditoría, para
hacerlo deben tener en cuenta los riesgos que se presentan con mayor frecuencia y cuáles son los
que causarían mayores daños a los recursos informáticos o sistemas de información de llegar a
ocurrir.

Por ejemplo si los riesgos más frecuentes son en las redes y en manejo de los sistemas por falta de
capacitación, entonces el objetivo de la auditoría sería: Realizar la auditoría a la red de datos y al
manejo del hardware y software por parte de los usuarios dentro de la empresa xxxxxx de la
ciudad de xxxxxx.

Una vez está definido el objetivo general, para alcanzarlo se definen los objetivos específicos
teniendo en cuenta la metodología de la auditoría que se descompone en tres o cuatro fases
dependiendo si es una auditoría interna donde ya se conoce el área o sistema auditado, o es una
auditoría externa donde aún no se conoce el sistema o área auditada. Las fases son: conocer el
sistema, planear la auditoría, ejecutar la auditoría, y la fase de resultados, para cada fase se define
un objetivo específico. Por ejemplo los objetivos específicos del ejemplo serían:

Objetivo 1: Conocer las redes de datos que soportan la infraestructura tecnológica y los usuarios
de los sistemas con el fin de analizar algunos de los riesgos que puedan presentarse realizando
visitas a la empresa y entrevistas con los usuarios.

Objetivo 2: Elaborar el plan de auditoría diseñando los formatos de recolección de información,

el plan de pruebas a realizar, seleccionando el estándar a aplicar y los procesos relacionados con
el objetivo de esta auditoría, para obtener una información confiable.

Objetivo 3: Ejecutar las pruebas que han sido diseñadas y aplicar los instrumentos que se han
diseñado para determinar los riesgos existentes en la red de datos y los riesgos más frecuentes
que enfrentan los usuarios en su cotidianidad para elaborar la matriz de riesgos y medir la
probabilidad de ocurrencia y el impacto que causa.

Objetivo 4: Realizar el dictamen de la auditoría para los procesos evaluados en el estándar, y

presentar el informe de resultados de la auditoría.

Una vez definidos los objetivos de la auditoría, de cada recurso informático que será evaluado en el
objetivo general, se menciona los aspectos más relevantes que serán evaluados en cada uno de
ellos. Para este caso los alcances serían:
De la red de datos se evaluará los siguientes aspectos:

- El inventario hardware de redes

- La obsolescencia del hardware y cableado estructurado
- El cumplimiento de la norma de cableado estructurado
- La seguridad en la red de datos
- La administración de los usuarios en la red

De los usuarios se evaluará:

- La competencia de los usuarios en el manejo de la tecnología

- La formación de cada uno de los usuarios respecto al cargo desempeñado
- La experiencia de los usuarios
- Los programas de capacitación de los usuarios de la tecnología

Estos serán los aspectos elegidos para ser evaluados y que tienen relación directa con las
vulnerabilidades, amenazas y riesgos encontrados inicialmente.

Posteriormente se debe especificar la metodología que está ligada al cumplimiento de los objetivos
específicos, cada objetivo específico se descompone en actividades que se deberán realizar para
poder cumplirlos. Voy a dar el ejemplo con el primer objetivo:

Metodología para Objetivo 1: Conocer las redes de datos que soportan la infraestructura
tecnológica y los usuarios de los sistemas con el fin de analizar algunos de los riesgos que puedan
presentarse realizando visitas a la empresa y entrevistas con los usuarios.

- Solicitar la documentación de los planes de la red

- Solicitar el inventario del hardware de las redes
- Realizar una entrevista inicial con el encargado de administrar la red
- Conocer los problemas más frecuentes en la red por parte de los usuarios
- Solicitar información de los usuarios
- Aplicar una encuesta inicial para medir el grado de dominio de los usuarios de los recursos
tecnológicos
- Solicitar un informe de las capacitaciones realizadas en el manejo de tecnología y de los
sistemas
- Entrevistar a usuarios calves para conocer la opinión acerca de los programas de
formación y capacitación

Estas son las actividades para lograr el primer objetivo, de la misma manera se hace para los otros
tres objetivos específicos planteados.

Posteriormente se hace una relación de los recursos que uno necesita para desarrollar la auditoría,
en este caso los recursos se dividen en talento humano que serán ustedes, los recursos físicos que
son el sitio o empresa donde se llevará a cabo la auditoría, los recursos tecnológicos (el hardware,
cámaras, grabadoras digitales, memorias, celulares y el software que se necesite para pruebas) y los
recursos económicos que se presentan en una tabla de presupuesto.
Recursos humanos:

Nombres y apellidos de los integrantes del grupo.

Recursos físicos: la auditoría se llevará a cabo en la empresa xxxxx de la ciudad de xxxx a las redes
y los usuarios de los sistemas.

Recursos tecnológicos: grabadora digital para entrevistas, cámara fotográfica para pruebas que
servirán de evidencia, computador portátil, software para pruebas de auditoría sobre escaneo y
tráfico en la red

Recursos económicos:

Ítem Cantidad subtotal

Computador 2 2.000.000
Cámara digital 1 400.000
Grabadora digital 1 120.000
otros …. ….

Total 0000000000

Y finalmente se hace el cronograma de actividades, mediante un diagrama de GANNT, para

construirlo se toman las actividades que han sido definidas para cumplir cada objetivo y se especifica
el tiempo de duración de cada actividad en el tiempo. El tiempo se debe definir desde ahora hasta
la entrega final del informe de auditoría.

Cronograma

Mes 1 Mes 2 Mes 3

Actividad
1 2 3 4 1 2 3 4 1 2 3 4

Fase ACTIVIDAD 1
conocimiento ACTIVIDAD 2
del sistema …….
ACTIVIDAD 3
Fase ACTIVIDAD 4
Planeación de
la auditoría
ACTIVIDAD 5
Fase
Ejecución ACTIVIDAD 6
auditoria ACTIVIDAD 7

Fase de
ACTIVIDAD 8
resultados
Por favor tener en cuenta el ejemplo enviado
anteriormente y el ejemplo que está en el
blog donde pueden encontrar el plan de
auditoria completo EN LA OPCIÓN DEL MENÚ
PLANEACIÓN AUDITORÍA

http://auditordesistemas.blogspot.com.co/2011/11/conceptos.h
tml