Plan de trabajo

Auditoría de Sistemas

Universidad de Guadalajara
Centro Universitario de Ciencias Económico-Administrativas

Materia: Auditoría de Sistemas

Profesor: CATALÁN AZCUE, LUIS ALBERTO
Proyecto Final - Plan de trabajo
 Plan de trabajo
Auditoría de Sistemas

Contenido
Objetivos del plan de trabajo.............................................................................................................1
Actividades preliminares....................................................................................................................1
Objetivos generales........................................................................................................................3
Objetivos específicos......................................................................................................................4
Puntos de evaluación y análisis......................................................................................................4
Actividades a realizar en la auditoría.................................................................................................5
Primera parte.................................................................................................................................5
Objetivo a alcanzar.....................................................................................................................5
Tareas a realizar.........................................................................................................................5
Recursos necesarios...................................................................................................................6
Fecha de inicio............................................................................................................................6
Fecha de fin................................................................................................................................6
Resultados esperados.................................................................................................................6
Extensión....................................................................................................................................6
Segunda parte................................................................................................................................7
Objetivo a alcanzar.....................................................................................................................7
Tareas a realizar.........................................................................................................................7
Recursos necesarios...................................................................................................................7
Fecha de inicio............................................................................................................................8
Fecha de fin................................................................................................................................8
Resultados esperados.................................................................................................................8
Extensión....................................................................................................................................8
Tercera parte..................................................................................................................................8
Objetivo a alcanzar.....................................................................................................................8
Tareas a realizar.........................................................................................................................8
Recursos necesarios...................................................................................................................9
Fecha de inicio............................................................................................................................9
Fecha de fin................................................................................................................................9
Resultados esperados...............................................................................................................10
Detección y evaluación de riesgos en la auditoría............................................................................11
Riesgo 1 - Funcionamiento intermitente o nulo de los servicios básicos de la empresa..............11
 Plan de trabajo
Auditoría de Sistemas

Riesgo 2 - Funcionamiento intermitente o nulo de los recursos implementados para la

realización de la auditoría............................................................................................................12
Riesgo 3 - Nula disponibilidad de los recursos a revisar...............................................................14
Riesgo 4 - Falta de conocimiento.................................................................................................14
Revisión............................................................................................................................................15
 Plan de trabajo
Auditoría de Sistemas

Objetivos del plan de trabajo

El presente plan de trabajo tiene como objetivos principales:

● Determinar las estrategias y cursos de acción que se tomarán a lo largo de la auditoría

para cumplir con los objetivos generales y específicos establecidos en la carta
compromiso.

● Realizar una planeación y justificación del trabajo que compondrá la totalidad de la

auditoría.
● Establecer los parámetros tangibles y medibles con los que, una vez finalizado el trabajo
de campo de la auditoría, podremos comparar los resultados, verificando así si los
objetivos se cumplieron o no.
● Establecer los tiempos de ejecución de nuestra auditoría (calendarización).

Actividades preliminares
Antes que nada, se realizó una visita preliminar a la sucursal principal de la empresa “Farmacias
FGI” (la cual es el objeto de estudio de la auditoría misma) con el objetivo de lograr un mayor
acercamiento y entendimiento del negocio a auditar. Este proceso se llevó a cabo el día miércoles
6 de febrero de 2019; se tomó todo un día de trabajo para realizar diversas entrevistas a las
dependientes de la sucursal y al gerente en turno, las cuales arrojaron los siguientes datos:

Nombre de la empresa Farmacias FGI

Giro Venta de productos farmacéuticos y artículos de tocador.

Tamaño Cuenta con cuatro sucursales, en cada establecimiento se

cuenta con 2 empleadas para cubrir los turnos matutino y
vespertino (cada turno con un empleado). En total, la
organización cuenta con 9 personas:
● El dueño.
● Las ocho empleadas de las cuatro farmacias.

Misión Ofrecer los mejores medicamentos para el bienestar de las

familias jaliscienses con productos de calidad, precios
accesibles y un buen servicio al cliente para el cuidado de
su salud.

Visión Convertirnos en una farmacia reconocida nacionalmente

con presencia en varios Estados de la República a través de
los mejores productos genéricos y similares para lograr
ganar posición en el mercado.

Valores ● Compromiso: Cumplir con las normas, reglamentos

y estándares que nos rige a la Organización.
● Integridad: Tener una actitud ética y dar el mejor

1
 Plan de trabajo
Auditoría de Sistemas

esfuerzo en el trabajo
● Honestidad: Ser rectos y justos con nuestro
trabajo, compañeros y clientes
● Responsabilidad: Cumplir con nuestros deberes y
con el servicio al cliente
● Respeto: Tratar a los empleados y clientes de la
mejorar manera
● Excelencia: Buscar y ofrecer los mejores productos
y servicios

Las entrevistas anteriormente mencionadas también otorgaron una imagen global de los procesos
de negocio que se llevan a cabo en la sucursal principal de la empresa, los cuales se exponen a
continuación:

Procesos realizados por las cajeras

● Llevar a cabo la limpieza de todo el establecimiento.

● Realizar y registrar:

○ Ventas de medicamentos, productos de tocador y recargas telefónicas.

○ Pedidos (pudiendo ser para cualquiera de las sucursales de la empresa o para

clientes registrados) de medicamentos, productos de tocador y recargas
telefónicas.

○ Alta/baja de medicamentos y productos de tocador.

○ Alta/baja de clientes y proveedores.

○ Devoluciones de medicamentos y productos de tocador.

○ Cortes de caja por cada turno.

○ Inventarios.

Es menester mencionar que, de manera ambigua e indirecta, las empleadas de la farmacia

otorgaron algunos datos que afectaron en gran medida el rumbo que la auditoría tomaría, los
cuales se mencionan a continuación:

● La mayoría de las actividades que llevan a cabo son soportadas por un SI transaccional
llamado “SUPER TICKET”, específicamente en las tareas de registro de datos.
● Dieron a conocer la necesidad de un cambio en dicho sistema, ya que su utilización no
suele ser de lo más eficiente (aunque realmente no tienen una idea muy clara de cuál
podría ser el problema que causa dicha falta de eficiencia).
● Señalan, de manera ambigua, que no pueden utilizar absolutamente todas las funciones
que el SI dice poseer.

2
 Plan de trabajo
Auditoría de Sistemas

Procesos realizados por el director general

● Pago de la nómina.
● Petición de mercancía y pago de dichos pedidos a los proveedores.
● Pago de la renta de los locales.
● Pago de los servicios básicos de los locales (agua, luz, internet).
● Declaración impuestos.

Si bien al principio no se tenía una idea muy clara de la posible utilidad que podría llegar a tener
una auditoría en el negocio, esto cambió por completo después de realizar las entrevistas
anteriormente mencionadas, con toda la información recolectada hasta ese momento, se pudo
concluir que:
● La organización utiliza las TI principalmente para tratar de agilizar y optimizar el proceso
de ventas, pedidos y devolución de medicamentos, productos de tocador y recargas
telefónicas, así como los procesos de inventarios, cortes de caja y registro de la
información que la empresa genera día con día.
● Para llegar a ese fin, todos los activos físicos y lógicos de TI de la empresa tienen que estar
en óptimas condiciones, así como estar protegidos contra los riesgos que los rodean día
con día.

Los puntos anteriores terminaron por dar las bases para la formulación de la auditoría misma, para
la creación de la carta compromiso del proyecto (adjunta en el archivo comprimido) la cual
persigue los siguientes objetivos generales y específicos:

Objetivos generales
OBJETIVO RESULTADO DE SU IMPLEMENTACIÓN

Objetivo 1: Presentar opiniones y

● Incrementar la satisfacción de los usuarios de los SI.
recomendaciones críticas bien
fundamentadas de mejora sobre ● Optimizar los SI, activos físicos y lógicos de TI para que se adapten a las
los procesos, equipos y SI necesidades actuales del negocio.
transaccional con los que cuenta
● Agilizar las labores que el personal de la empresa lleva a cabo día con día.
la compañía.

Objetivo 2: Presentar opiniones y

recomendaciones críticas bien
fundamentadas de mejora sobre
los sistemas de seguridad y
planes de contingencia del área
de TI de la empresa.
● Garantizar una mayor integridad, confidencialidad y confiabilidad de la
información.
● Minimizar y mitigar los riesgos en el uso de las TI.

3

Auditoría de Sistemas
Objetivos específicos
OBJETIVO
Objetivo 1: Evaluar y determinar los cambios en la
infraestructura física y lógica de TI que sean
necesarios para un correcto funcionamiento de los
procesos de negocio de la empresa (se presentará
un abanico de opciones a la dirección y elegirá la
más adecuada, de acuerdo a sus posibilidades).
Objetivo 2: Evaluar la existencia, suficiencia,
eficacia y eficiencia de los sistemas de seguridad y
planes de contingencia del área informática de la
empresa, de tal manera que se obtengan
recomendaciones de mejora para los mismos.
Objetivo 3: Realizar una evaluación y análisis
de las características y funcionalidades con las
que cuenta el SI transaccional de la empresa
para poder generar recomendaciones de
mejora del mismo.
Para poder llegar a la consecución de los objetivos anteriormente mencionados y a los resultados
deseados, la auditoría pondrá su foco de atención en los siguientes puntos:
Puntos de evaluación y análisis
SI transaccional
Procesos de negocio
Plan de trabajo
RESULTADO DE SU IMPLEMENTACIÓN
● Incrementar la eficacia y eficiencia de los
procesos de negocio de la empresa.
● Garantía de que los activos físicos y
lógicos de TI se mantienen seguros a
lo largo del tiempo y de que, en caso
de alguna eventualidad, dichos activos
puedan recuperarse y continuar con
sus operaciones a la brevedad.
● Un aumento en la eficacia y eficiencia
de los procesos de negocio de la
empresa que son apoyados por el SI
transaccional.
● Funcionalidades.
● Desempeño esperado.
● Grado de cumplimiento y continuidad.
● Ventajas.
● Desventajas.
● Áreas de mejora.
● Riesgos existentes alrededor del SI
transaccional.
● Tareas que componen cada proceso.
● Activos de TI relacionados con el
4
 Plan de trabajo
Auditoría de Sistemas

proceso y con cada tarea.

● Grado de importancia de cada tarea y

activo de TI en el resultado final
(criticidad).

● Riesgos existentes alrededor de estos

procesos y de los activos de TI.

● Análisis de los activos de TI físicos y

lógicos que componen la totalidad de
la infraestructura tecnológica de cada
sucursal de la empresa.

● Grado de importancia de activo de TI

Infraestructura de TI física y lógica en el resultado final (criticidad).

● Riesgo alrededor de los activos de TI.

● Procesos o tareas a los cuales dichos

activos apoyan y su grado de
criticidad.

● Identificar los riesgos que se

presentan alrededor de la
infraestructura física y lógica de TI.

Seguridad física y lógica ● Determinar si existen o no sistemas de

seguridad y planes de contingencia
para mitigar dichos riesgos y
analizar/evaluar dichos sistemas y
planes.

Actividades a realizar en la auditoría

Primera parte

Objetivo a alcanzar
Evaluar y determinar qué cambios se deberían y podrían realizar en la infraestructura física y
lógica de TI para que los procesos de negocio de la empresa se lleven a cabo de manera eficaz y
eficiente.

Tareas a realizar
1. Investigar y enlistar todos y cada uno de los activos físicos y lógicos de TI con los cuales
cuenta la empresa.
2. Realizar pruebas y análisis en los activos encontrados, de tal manera que se obtengan los
siguientes datos:

5
 Plan de trabajo
Auditoría de Sistemas

a. Nombre del activo.

b. Tipo de activo (físico / lógico).
c. Componentes y características.
d. Procesos de negocio a los que presta apoyo.
e. Nivel de criticidad.
f. Estado actual.
g. Estado deseado o necesario para un correcto funcionamiento de los procesos de
negocio de la empresa (pudiendo realizar investigaciones).
h. Detección y evaluación de riesgos relacionados al activo.
i. Sistemas de seguridad implementados en el activo.
j. Planes de contingencia ligados al activo.
k. Áreas de oportunidad.
3. Bajo criterio propio y/o con la ayuda de fuentes de información externas, se tendrán que
idear y documentar las posibles rutas de acción disponibles para llevar al activo de TI al
estado deseado o necesario para una ejecución eficaz y eficiente de los procesos de
negocio de la empresa (en caso de que no sea así) y dar solución a las áreas de
oportunidad que se detecten, tomando en cuenta desde las opciones más económicas
hasta las más costosas, lo importante es recolectar la mayor cantidad de soluciones
posibles.
4. Documentar tanto los datos obtenidos como las recomendaciones generadas a partir de
dichos datos, respaldando dicha documentación en una unidad de almacenamiento
extraíble y/o en la nube.

Recursos necesarios
 Fuentes de información externas (libros, revistas, internet, consultoría, entre otras).
 Computadora portátil.
 Conexión a internet.
 Memoria USB 1GB.
 Servicio de energía eléctrica.

Fecha de inicio
10 de febrero del 2019.

Fecha de fin
17 de febrero de 2019.

Resultados esperados
Abanico de recomendaciones de mejora y documentación.

Extensión
En un determinado momento el cliente decidirá si implementar o no las recomendaciones de
mejora otorgadas por el auditor y, dependiendo de esa decisión, se pueden dar las siguientes
situaciones:

6
 Plan de trabajo
Auditoría de Sistemas

1. El cliente delega la aplicación de las recomendaciones de mejora al auditor en turno,

tomando dicha implementación de mejoras como un proyecto ajeno a la auditoría.
2. El cliente delega la aplicación de las recomendaciones de mejora otro profesional de TI.

Sea cual sea la decisión que tome el cliente, la misma deberá de quedar documentada.

Segunda parte

Objetivo a alcanzar
Evaluar la existencia, suficiencia, eficacia y eficiencia de los sistemas de seguridad y planes de
contingencia del área informática de la empresa.

Tareas a realizar
Como ya se tiene información acerca de todos los activos físicos y lógicos que componen la
totalidad de la infraestructura de TI de la empresa, se procederá a llevar a cabo las siguientes
actividades:

1. Obtener toda la documentación relacionada con los sistemas de seguridad y planes de

contingencia del área de TI de la empresa.
2. Si existe dicha documentación, se procederá a realizar un análisis de la misma,
determinando:
a. Si están implementados los sistemas de seguridad y planes de contingencia
contenidos en la documentación o si necesitan implementarse.
b. Su nivel de efectividad con base en registros de eventos anteriores (si es que
existen) o si necesitan de realizarse pruebas para comprobar su nivel de
efectividad.
c. Si necesitan recibir mejoras, ser reemplazados por otros o si deberían de seguir
exactamente igual.
3. Se deberán de idear propuestas de mejora para los sistemas de seguridad y planes de
contingencia en dado caso de que no sean adecuados ni cumplan con las necesidades del
negocio.
4. Si no existe la documentación anteriormente mencionada, se deberá, con base en los
riesgos relacionados a cada activo de TI, recomendar la generación de un plan de
seguridad para el área informática de la empresa.

Recursos necesarios
● Documentación relacionada con planes de seguridad, sistemas de seguridad y planes de
contingencia.
● Documentación generada anteriormente de los activos de TI físicos y lógicos.
● Fuentes de información externas (libros, revistas, internet, consultoría, entre otras).
● Computadora portátil.
● Acceso a internet.

7
 Plan de trabajo
Auditoría de Sistemas

Fecha de inicio
24 de febrero de 2019.

Fecha de fin
3 de marzo de 2019.

Resultados esperados
Recomendaciones de mejora para los sistemas de seguridad y planes de contingencia, ya sea que
el auditor recomiende:

 La generación de un plan de seguridad (a falta de uno en la empresa), como un proyecto

ajeno a la auditoría.
 La generación de un plan de seguridad (a falta de uno en la empresa) extendiendo el
alcance y calendarización de la auditoría.
 La actualización del plan y los sistemas de seguridad existentes en el negocio como un
proyecto ajeno a la auditoría o una extensión de la misma.
 El reemplazo de dichos sistemas y plan de seguridad como un proyecto ajeno a la auditoría
o una extensión de la misma.
 El mantenimiento del plan de seguridad, planes de contingencia y sistemas de seguridad
como un proyecto ajeno a la auditoría o una extensión de la misma.

Extensión
Dependiendo de la recomendación del auditor y del criterio del cliente, se presentarán dos
situaciones:

 El cliente optará por seleccionar alguna de las soluciones otorgadas por el auditor, pero
dejará que su implementación sea llevada a cabo por otro profesional.
 El cliente optará por seleccionar alguna de las soluciones otorgadas por el auditor y
solicitará el inicio de un nuevo proyecto para que el auditor en cuestión implemente la
opción de mejora seleccionada. En este caso, el auditor deberá de realizar el proceso de
implementación.

Cualquiera que sea la decisión del cliente, se tendrá que documentar.

Tercera parte

Objetivo a alcanzar
Realizar una evaluación y análisis de las características y funcionalidades con las que cuenta el SI
transaccional de la empresa.

Tareas a realizar
1. Obtener la documentación generada en las actividades preliminares de la auditoría para
poder detectar qué actividades son soportadas por el SI transaccional.

8
 Plan de trabajo
Auditoría de Sistemas

2. Llevar a cabo un análisis superficial de las funcionalidades con las que cuenta el SI
transaccional, de tal manera que se pueda obtener la siguiente información:
a. Nombre del módulo.
b. Propósito.
c. Grado de cumplimiento solicitado.
d. Grado de cumplimiento detectado.
e. Áreas de oportunidad.
3. Determinar el grado en que el SI transaccional se ajusta y cumple con las necesidades y
procesos del negocio:
a. En caso de que no lo haga, el auditor deberá de generar un abanico de posibles
soluciones, incluyendo las siguientes:
i. Desarrollar el diseño de un SI transaccional (incluyendo todas las mejoras
anteriormente mencionadas) que, con base en los procesos de negocio
que debería de apoyar, se ajuste completamente a las necesidades de la
empresa.
ii. Realizar una investigación de posibles puntos de venta (gratuitos y de
paga) que podrían cumplir con las necesidades del negocio en un 100%.
b. En el caso de que si lo haga, lo que prosigue es optar por alguna de las siguientes
opciones:

i. Desarrollar un plan de capacitación.

ii. Optar por la subcontratación de la capacitación, otorgando toda la

información necesaria al cliente para que pueda contratar dicho servicio.

Una vez que se llevaron a cabo las actividades anteriores, se generarán dos situaciones:

 El directivo optará por tomar en cuenta las recomendaciones de mejora y actuación, pero
dejará su desarrollo a otro profesional.
 El directivo optará por tomar en cuenta las recomendaciones de mejora y actuación y
dejará su desarrollo en manos del auditor en cuestión. En este caso, se optará por tratar la
implementación de mejoras como un proyecto ajeno a la auditoría, cuyo alcance, tiempos
y objetivos se desarrollarán fuera de la auditoría en cuestión.

Recursos necesarios
● Acceso al SI transaccional de la empresa.
● Fuentes de información externa (libros, revistas, internet, consultoría externa).

Fecha de inicio
10 de marzo de 2019

Fecha de fin
21 de abril de 2019

9
 Plan de trabajo
Auditoría de Sistemas

Resultados esperados
● Recomendaciones de mejora y actuación.

Tercera parte
Se prevé que el reporte final de la auditoría se entregue al cliente el día 28 de abril de 2019.

10
 Plan de trabajo
Auditoría de Sistemas

Detección y evaluación de riesgos en la auditoría

Riesgo 1 - Funcionamiento intermitente o nulo de los servicios básicos de la

empresa.
Riesgo Funcionamiento intermitente o nulo de los servicios básicos de la empresa.

Descripción Puede darse el caso de que, mientras se realizan las actividades que
componen la auditoría, alguno de los servicios básicos de la farmacia que da
soporte a los activos físicos y lógicos de TI funcione intermitentemente o que
directamente deje de funcionar, pudiendo causar:

● Retrasos en la ejecución de los procesos de la auditoría.

● Generación de daños no esperados en la infraestructura de TI de la
empresa o en los mismos recursos empleados para la realización de
la auditoría.

● Pérdida de información.

Ejemplos ● Si al momento de realizar la revisión y evaluación de los activos de TI

de la empresa se va la luz (o si se va y vuelve intermitentemente),
entonces no se podría llevar a cabo la revisión de los computadores
de la farmacia, ya que necesitan de energía eléctrica para poder
funcionar.
● Se puede dar el caso de que la conexión a internet en la empresa sea
muy decadente o que simplemente no funcione, lo cual podría
impedirnos el acceder a las fuentes de información que necesitamos.
Esto nos obligaría a utilizar otras fuentes de consulta, como fuentes
impresas (si no las tenemos a la mano, representaría un gasto de

11
 Plan de trabajo
Auditoría de Sistemas

tiempo y dinero extra, ya que tendríamos que recolectarlas) o la

contratación de consultoría externa (lo cual representaría un gasto
de tiempo y dinero extra al buscar y pagar dicha consultoría).

Evaluación Evaluando las situaciones anteriormente mencionadas con ayuda de la

matriz de evaluación de riesgos, obtenemos los siguientes resultados:
● Probabilidad: posible (con valor de 3).
● Impacto: moderado (con valor de 3).
Con esto se concluye que el riesgo está en una zona de peligro moderada,
por lo que el mismo debería de ser asumido o reducido.

Planes de ● Conseguir otro tipo de fuentes de consulta (libros, revistas, apuntes,

contingencia documentación de proyectos pasados similares, contratación de
consultoría, etc.) previo a la realización de las tareas de la auditoría
para poder sustituir la utilización de internet en caso de que sea
necesario.
● Conseguir otros medios de almacenamiento (memorias usb, discos
duros externos, etc.) y registro de información (Microsoft Word, bloc
de notas) para sustituir la utilización de internet en dichos procesos
en caso de que los registros se quisieran hacer principalmente en la
nube.
● Obtener, previo a la realización de las tareas de la auditoría, un
generador pequeño de emergencia para, en caso de que la luz no
funcione, poder mantener encendidos los equipos que necesitan
energía eléctrica, obtener toda la información necesaria
rápidamente y así continuar con el resto de tareas de la auditoría.
● En caso de que la luz se vaya, para tratar de continuar con las
actividades de la auditoría, se tratará de obtener la documentación
existente del activo en cuestión para tratar de obtener los datos que
se necesitan, o en dado caso de que no exista dicha documentación,
simplemente se optará por dejar a un lado el análisis de ese activo
por el momento y se continuará con los siguientes.

Riesgo 2 - Funcionamiento intermitente o nulo de los recursos

implementados para la realización de la auditoría.
Riesgo Funcionamiento intermitente o nulo de los recursos implementados para la
realización de la auditoría.

Descripción Puede darse el caso de que, por alguna u otra razón, los recursos
implementados para realizar la auditoría funcionen de manera intermitente
o que directamente no funcionen, pudiendo causar:

● Retrasos o impedimento de la realización de las tareas de la

auditoría.

12
 Plan de trabajo
Auditoría de Sistemas

● Pérdida de información.
● Gastos de tiempo y dinero extras.

Ejemplos Puede darse el caso de que la computadora portátil (necesaria para la

auditoría) tenga un funcionamiento intermitente o que no funcione por
diversas razones. Esto representaría un gasto de tiempo y dinero extra, ya
que:

● Nos impediría registrar la información que vamos descubriendo,

obligándonos a registrarla a mano (proceso demasiado lento) y a
reparar la computadora o conseguir otro medio para poder registrar
los datos.
● Podría causar una pérdida de información si es que la falla se
produce en medio del proceso y si no se ha respaldado la
información obtenida.

Asimismo, puede darse el caso de que, por alguna u otra razón (por ejemplo,
virus o daños de fábrica), la USB se dañe y/o nos impida respaldar nuestros
avances, o directamente elimine los mismos a raíz de dicha falla.

Evaluación Evaluando las situaciones anteriormente mencionadas con ayuda de la

matriz de evaluación de riesgos, obtenemos los siguientes resultados:
● Probabilidad: posible (con valor de 3).
● Impacto: mayor (con valor de 4).
Con esto se concluye que el riesgo está en una zona de peligro extrema, por
lo que el mismo debería de ser reducido, evitado, compartido o transferido.

Planes de Para evitar que este tipo de situaciones se presenten, se podrían realizar las
contingencia siguientes actividades:
● Previo a la realización de la auditoría, debemos asegurarnos de que
el estado de la computadora portátil es el adecuado, por lo cual
debemos de realizarle un análisis completo con un buen antivirus (y
eliminar los virus que posiblemente existan), instalar las
actualizaciones disponibles y asegurarnos de que la batería y
cualquier otro componente físico funciona normalmente (en caso de
no ser así, reparar el daño o delegar dicha reparación a otro
profesional).
● Asimismo, en caso de que se presente algún error que comprometa
parcial o totalmente al equipo de cómputo o memoria USB por un
tiempo determinado, lo mejor sería, previo a la realización de la
auditoría, conseguir otros medios electrónicos de respaldo para
llevar a cabo el registro y almacenamiento de la información que la
auditoría genere con el paso del tiempo (por ejemplo, otra laptop,
alguna grabadora de sonido, una cámara digital, un smartphone,
discos duros externos, utilizar la nube, adaptadores de memorias
micro SD, etc.).

13
 Plan de trabajo
Auditoría de Sistemas

● Guardar y almacenar los datos recabados frecuentemente.

Riesgo 3 - Nula disponibilidad de los recursos a revisar

Riesgo Nula disponibilidad de los recursos a revisar.

Descripción Al ser un negocio pequeño, no son muchos los recursos de TI con los que
cuenta la empresa, realmente tienen “lo justo y necesario”, sin embargo,
esto podría representar un retraso enorme para la auditoría, ya que el
auditor tiene que encontrar los momentos adecuados para realizar la misma,
momentos en los que los recursos no sean utilizados por la empresa y se
encuentren disponibles; cabe destacar que el único día en el que los recursos
seguramente están libres son los domingos, ya que el personal descansa.

Ejemplos Se puede dar el caso de que, por ejemplo, necesitemos realizar un análisis a
la computadora o al SI transaccional contenido en la misma para obtener
datos generales, analizar su funcionalidad, etc., sin embargo, la misma no
está disponible para ser utilizada por el auditor, ya que está en uso por las
empleadas de la farmacia, resultando en el retraso de la actividad
anteriormente mencionada.

Evaluación Evaluando las situaciones anteriormente mencionadas con ayuda de la

matriz de evaluación de riesgos, obtenemos los siguientes resultados:
● Probabilidad: casi seguro (con valor de 5).
● Impacto: moderado (con valor de 3).
Con esto se concluye que el riesgo está en una zona de peligro extrema, por
lo que el mismo debería de ser reducido, evitado, compartido o transferido.

Planes de En este caso, realmente no podríamos pretender interrumpir el trabajo de

contingencia las empleadas de la farmacia o trabajar en lapsos de tiempo cortos durante
el día (cada que los activos sean desocupados), ya que el trabajo sería
demasiado ineficiente, lo único que se podría realizar es tomar un día en el
que los activos de TI de la empresa estén completamente desocupados para
que el auditor pueda trabajar, por ejemplo, los domingos de cada semana o
los días feriados.

Riesgo 4 - Falta de conocimiento

Riesgo Falta de conocimiento

Descripción En algún punto de la auditoría, puede que se llegue a necesitar de un

conocimiento que, por una u otra razón, no se tiene, esto puede causar
desde retrasos hasta la imposibilidad de cumplir con el trabajo, a no ser que
se resuelva mediante la capacitación del auditor o la contratación de

14
 Plan de trabajo
Auditoría de Sistemas

asistencia (lo cual conlleva gastos de dinero y de tiempo).

Evaluación Evaluando las situaciones anteriormente mencionadas con ayuda de la

matriz de evaluación de riesgos, obtenemos los siguientes resultados:
● Probabilidad: probable (con valor de 3).
● Impacto: moderado (con valor de 3).
Con esto se concluye que el riesgo está en una zona de peligro moderada,
por lo que el mismo debería de ser reducido o asumido.

Planes de En este caso, yo creo que las posibles soluciones a estas situaciones son las
contingencia siguientes (dependiendo del conocimiento que haga falta):
● Se podría simplemente realizar una investigación del tema
desconocido mediante la consulta de fuentes externas para
capacitarse y así resolver el problema.
● Otra opción sería contratar consultoría externa personalizada, de tal
manera que nos de la información que necesitamos, más no la mano
de obra necesaria en la auditoría. También se podría acudir a la
ayuda de algún colega del campo de las TI para que nos proporcione
su apoyo.

Revisión
Elaboró Revisó

_____________________ ________________________

Nombre y firma Nombre y firma

15