DivisionCero
Políticas, Procesos y Procedimientos

Plan Anual de Auditoría

Plan anual de auditoría.

Quieres aprender más?

Descarga el Kit de Ciberseguridad.

📋 Información General

Documento: Plan Anual de Auditoría
Versión: 1.0.0
Fecha: Enero 2025
Clasificación: Confidencial
Audiencia: Alta Dirección, Comité de Auditoría, CISO, Auditores Internos

🎯 Propósito

Establecer la planificación estratégica y operativa para las actividades de auditoría interna de seguridad de la información en DivisionCero durante el período fiscal 2025, asegurando cobertura adecuada de riesgos, cumplimiento regulatorio y optimización de recursos de auditoría.

🏢 Alcance

Esta política aplica a:

  • Todas las auditorías internas de seguridad de la información planificadas
  • Evaluaciones de cumplimiento regulatorio y normativo
  • Auditorías de terceros críticos y proveedores de servicios
  • Revisiones de efectividad de controles y procesos de seguridad
  • Seguimiento de implementación de acciones correctivas

📚 Definiciones

  • Plan de Auditoría: Documento que establece cronograma, recursos y metodología de auditorías
  • Universo de Auditoría: Conjunto completo de áreas, procesos y sistemas auditables
  • Evaluación de Riesgos: Proceso para determinar prioridades de auditoría basado en riesgo
  • Materialidad: Importancia relativa de hallazgos en el contexto del negocio
  • Recursos de Auditoría: Personal, herramientas y presupuesto disponible para auditorías

🛡️ Política

Marco de Planificación de Auditoría

Metodología de Desarrollo del Plan

1. Evaluación del Universo de Auditoría

  • Identificación de todos los procesos, sistemas y controles auditables
  • Catalogación de áreas de negocio y funciones de TI
  • Mapeo de aplicaciones críticas y infraestructura
  • Inventario de regulaciones y requerimientos de cumplimiento aplicables

2. Evaluación de Riesgos para Auditoría

  • Análisis de riesgos inherentes por área/proceso
  • Evaluación de efectividad de controles existentes
  • Consideración de cambios en ambiente de riesgo
  • Análisis de resultados de auditorías anteriores

3. Priorización Basada en Riesgo

  • Aplicación de metodología de scoring de riesgo
  • Consideración de requerimientos regulatorios mandatorios
  • Análisis de tiempo transcurrido desde última auditoría
  • Evaluación de criticidad para objetivos de negocio

Factores de Priorización

Riesgo Inherente (Peso: 40%)

  • Exposición a amenazas externas
  • Complejidad tecnológica
  • Volumen de transacciones/datos
  • Impacto potencial en el negocio

Efectividad de Controles (Peso: 30%)

  • Madurez de controles implementados
  • Historial de hallazgos de auditoría
  • Resultados de auto-evaluaciones
  • Indicadores de performance de controles

Requerimientos Regulatorios (Peso: 20%)

  • Auditorías mandatorias por regulaciones
  • Certificaciones requeridas (ISO 27001, SOC 2)
  • Requerimientos de clientes empresariales
  • Expectativas de stakeholders externos

Factores Operativos (Peso: 10%)

  • Disponibilidad de recursos especializados
  • Ventanas de tiempo disponibles
  • Coordinación con auditorías externas
  • Impacto en operaciones de negocio

Plan de Auditoría 2025

Auditorías de Alto Riesgo (Trimestre 1)

1. Auditoría Integral de Seguridad Cloud (Enero-Febrero) Alcance:

  • Configuraciones de AWS, Azure y GCP
  • Controles de identidad y acceso (IAM)
  • Cifrado y protección de datos
  • Monitoreo y logging de actividades

Justificación:

  • 85% de infraestructura crítica en nube
  • Cambios significativos en arquitectura cloud
  • Requerimientos de certificación SOC 2 Type II

Recursos Asignados:

  • Lead Auditor: Senior IT Auditor (40 horas)
  • Cloud Security Specialist (60 horas)
  • Junior Auditor (30 horas)

2. Auditoría de Gestión de Accesos Privilegiados (Febrero-Marzo) Alcance:

  • Procesos de provisioning/deprovisioning
  • Controles de acceso administrativo
  • Gestión de cuentas de servicio
  • Monitoreo de actividades privilegiadas

Justificación:

  • Accesos privilegiados = mayor vector de riesgo
  • Implementación reciente de PAM solution
  • Requerimientos de compliance SOX

Recursos Asignados:

  • Lead Auditor: Senior IT Auditor (35 horas)
  • Security Analyst (45 horas)
  • Compliance Specialist (20 horas)

Auditorías de Riesgo Medio (Trimestre 2)

3. Auditoría de Desarrollo Seguro (Abril) Alcance:

  • Secure coding practices
  • Static/Dynamic Application Security Testing
  • Code review processes
  • DevSecOps pipeline integration

Justificación:

  • Lanzamiento de nuevos productos críticos
  • Incremento en desarrollo de aplicaciones
  • Necesidad de validar controles SAST/DAST

Recursos Asignados:

  • Application Security Auditor (50 horas)
  • DevOps Security Specialist (30 horas)

4. Auditoría de Gestión de Terceros (Mayo) Alcance:

  • Due diligence de proveedores críticos
  • Contratos y cláusulas de seguridad
  • Monitoreo continuo de terceros
  • Gestión de riesgos de supply chain

Justificación:

  • 40% de servicios críticos externalizados
  • Nuevos proveedores de servicios cloud
  • Requerimientos regulatorios aumentados

Recursos Asignados:

  • Senior Auditor (40 horas)
  • Legal/Compliance Specialist (25 horas)
  • Risk Manager (15 horas)

Auditorías de Cumplimiento (Trimestre 3)

5. Auditoría GDPR/Protección de Datos (Julio) Alcance:

  • Cumplimiento con requerimientos GDPR
  • Procesos de consentimiento y derechos
  • Data mapping y clasificación
  • Privacy by design implementation

Justificación:

  • Operaciones en jurisdicciones europeas
  • Cambios en regulaciones de privacidad
  • Preparación para auditoría regulatoria

Recursos Asignados:

  • Privacy Officer (45 horas)
  • Data Protection Auditor (40 horas)
  • Legal Counsel (20 horas)

6. Auditoría de Continuidad de Negocio (Agosto) Alcance:

  • Business continuity plans
  • Disaster recovery procedures
  • Testing y ejercicios de BCP/DRP
  • Recovery time/point objectives

Justificación:

  • Criticidad de disponibilidad de servicios
  • Actualización reciente de planes BCP/DRP
  • Requerimientos de clientes enterprise

Recursos Asignados:

  • Business Continuity Auditor (35 horas)
  • Infrastructure Auditor (30 horas)
  • Operations Manager (15 horas)

Auditorías de Seguimiento (Trimestre 4)

7. Follow-up de Auditorías Críticas (Septiembre-Octubre) Alcance:

  • Verificación de implementación de acciones correctivas
  • Re-testing de controles remediados
  • Evaluación de efectividad de mejoras
  • Cierre formal de hallazgos

Justificación:

  • Asegurar cierre efectivo de gaps críticos
  • Validar inversiones en remediación
  • Preparar reporte anual de auditoría

Recursos Asignados:

  • Follow-up Auditor (60 horas)
  • Various specialists (40 horas)

8. Preparación y Planificación 2026 (Noviembre-Diciembre) Alcance:

  • Evaluación de universo de auditoría 2026
  • Risk assessment para próximo año
  • Desarrollo de plan anual 2026
  • Evaluación de recursos y capacidades

Justificación:

  • Planificación anticipada para próximo ciclo
  • Incorporar lecciones aprendidas 2025
  • Preparar presupuesto y recursos 2026

Recursos Asignados:

  • Chief Audit Executive (30 horas)
  • Senior Auditors (50 horas)
  • Risk Manager (20 horas)

Auditorías Contingentes

Auditorías Disparadas por Eventos

  • Auditoría post-incidente de seguridad significativo
  • Evaluación de cambios mayores en infraestructura
  • Due diligence de adquisiciones/partnerships
  • Respuesta a requerimientos regulatorios urgentes

Recursos Reservados

  • 15% del presupuesto anual reservado para auditorías contingentes
  • Pool de auditores disponibles para despliegue rápido
  • Contratos con firmas externas para capacidad adicional

Metodología y Estándares

Frameworks de Referencia

  • ISO 27001:2022 - Control objectives y detailed controls
  • NIST Cybersecurity Framework - Identify, Protect, Detect, Respond, Recover
  • COBIT 2019 - IT governance y management practices
  • CIS Controls v8 - Implementation guidelines y metrics

Herramientas de Auditoría

  • Governance, Risk & Compliance (GRC) Platform: ServiceNow GRC
  • Vulnerability Assessment: Nessus, Qualys VMDR
  • Cloud Security: ScoutSuite, Prowler, Cloud Custodian
  • Application Security: OWASP ZAP, Burp Suite, Checkmarx

Metodología de Ejecución

  • Planning Phase: 15% del tiempo de auditoría
  • Fieldwork Phase: 65% del tiempo de auditoría
  • Reporting Phase: 20% del tiempo de auditoría

Recursos y Presupuesto

Equipo de Auditoría Interna

Personal Interno:

  • Chief Audit Executive (0.3 FTE asignado a seguridad)
  • Senior IT Auditor (1.0 FTE)
  • IT Security Auditor (1.0 FTE)
  • Compliance Auditor (0.5 FTE)
  • Junior Auditor (0.5 FTE)

Especialistas Externos:

  • Cloud Security Consultant (200 horas/año)
  • Privacy/GDPR Specialist (120 horas/año)
  • Penetration Testing Firm (80 horas/año)

Presupuesto Anual 2025

CategoríaPresupuesto ($)Porcentaje
Personal Interno$450,00065%
Consultores Externos$150,00022%
Herramientas y Licencias$60,0009%
Entrenamiento y Certificaciones$30,0004%
Total$690,000100%

Desarrollo de Capacidades

  • Certificación CISA para auditores junior
  • Entrenamiento en cloud security (AWS/Azure)
  • Especialización en auditoría de privacy/GDPR
  • Training en nuevas herramientas de auditoría

Coordinación y Comunicación

Stakeholder Engagement

Monthly Steering Committee:

  • CEO, CISO, CFO, Chief Audit Executive
  • Review de progreso del plan anual
  • Decisiones sobre priorización y recursos
  • Escalamiento de issues críticos

Quarterly Audit Committee:

  • Board members, C-level executives
  • Presentación de resultados de auditorías
  • Aprobación de cambios significativos al plan
  • Review de efectividad del programa

Coordinación con Auditorías Externas

  • Timing coordination para minimizar disruption
  • Sharing de hallazgos relevantes (where appropriate)
  • Leveraging de trabajo de auditores externos
  • Joint planning para áreas de overlap

Métricas y KPIs

Indicadores de Ejecución del Plan

  • Plan Completion Rate: ≥95% de auditorías completadas según cronograma
  • Budget Variance: ±5% del presupuesto aprobado
  • Resource Utilization: 85-95% de utilización de recursos internos
  • Stakeholder Satisfaction: ≥4.0/5.0 en surveys de satisfacción

Indicadores de Calidad

  • Finding Accuracy Rate: ≥90% de hallazgos confirmados post-validación
  • Timely Remediation: 80% de hallazgos críticos cerrados en 90 días
  • Value Add Metrics: Número de mejoras implementadas basadas en recomendaciones
  • Knowledge Transfer: Evaluación de capacitación proporcionada a auditados

Indicadores de Impacto

  • Risk Posture Improvement: Reducción en nivel de riesgo residual
  • Compliance Enhancement: Mejora en scores de cumplimiento
  • Control Effectiveness: Incremento en madurez de controles
  • Incident Reduction: Disminución en incidentes en áreas auditadas

Gestión de Cambios al Plan

Proceso de Modificación

  1. Solicitud de Cambio: Documentación de justificación y impacto
  2. Evaluación de Riesgo: Análisis de implications del cambio
  3. Approval Process: Autorización según niveles de cambio
  4. Implementation: Actualización de cronogramas y recursos
  5. Communication: Notificación a stakeholders relevantes

Criterios para Cambios Mayores

  • Cambios que afecten >20% del plan original
  • Reasignación de recursos entre auditorías críticas
  • Modificaciones en timeline de auditorías mandatorias
  • Cambios en presupuesto >10%

Reporting y Seguimiento

Reportes Mensuales

  • Status de auditorías en progreso
  • Utilización de recursos y presupuesto
  • Issues y impedimentos identificados
  • Proyección de completion del plan anual

Reportes Trimestrales

  • Executive summary de auditorías completadas
  • Trend analysis de hallazgos y riesgos
  • Efectividad de acciones correctivas
  • Recomendaciones para ajustes al plan

Reporte Anual

  • Comprehensive review del programa de auditoría
  • Assessment de achievement de objetivos
  • Lessons learned y mejoras para próximo año
  • Input para desarrollo del plan 2026

👥 Roles y Responsabilidades

  • Chief Audit Executive: Aprobar plan anual y asegurar ejecución efectiva
  • Senior Auditors: Liderar auditorías complejas y supervisar equipo junior
  • IT Security Auditors: Ejecutar auditorías técnicas especializadas
  • CISO: Proporcionar input técnico y facilitar acceso a sistemas
  • Audit Committee: Revisar y aprobar plan, monitorear progreso

📊 Cumplimiento y Medición

Métricas de Ejecución del Plan:

  • Porcentaje de auditorías completadas según cronograma (≥95%)
  • Adherencia a presupuesto asignado (±5% variance)
  • Calidad de auditorías medida por stakeholder satisfaction (≥4.0/5.0)
  • Tiempo promedio de cierre de hallazgos críticos (≤90 días)

Indicadores de Valor Agregado:

  • Número de mejoras de proceso implementadas basadas en recomendaciones
  • Reducción en tiempo de respuesta a incidentes en áreas auditadas
  • Mejora en scores de cumplimiento regulatorio
  • ROI de inversiones en seguridad validadas por auditorías

🚨 Incumplimiento

  • Desviaciones >20% del plan requieren aprobación del Audit Committee
  • Retrasos en auditorías críticas deben ser escalados inmediatamente
  • Falta de recursos adecuados puede requerir contratación externa
  • Impedimentos para acceso a sistemas deben ser escalados a CEO

📖 Referencias

  • IIA International Standards for Professional Practice of Internal Auditing
  • ISACA IT Audit and Assurance Guidelines
  • NIST SP 800-53 - Guide for Assessing Security Controls
  • ISO 19011:2018 - Guidelines for Auditing Management Systems
  • COSO Internal Control Framework

📝 Control de Versiones

VersiónFechaCambiosAutor
1.0.0Enero 2025Versión inicialEquipo GRC

¿Te ha resultado útil esta página?

Última modificación: 25 de agosto de 2025

Modelo de Roles y Gobernanza de Seguridad

Modelo de roles y gobernanza de seguridad.

Plan de Continuidad Eléctrica y Control Ambiental

Planes ante fallos eléctricos, control HVAC e incendios.