Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Guía para la Evaluación de las Aplicaciones
Las empresas cada vez dependen mas de las aplicaciones informáticas para
alcanzar sus objetivos, en los cuales se almacenan transacciones de clientes,
proveedores, recursos humanos, logísticos y de otros procesos clave.

Para establecer el control de las aplicaciones se debe tener en cuenta los riesgos
que afectan los procesos de negocios, entre los que encontramos controles a los
registros, segregación de funciones, consecutivos, totales de control y auditorias de
errores que se emiten directamente de los aplicativos informáticos.

Una buena administración de los riesgos permite mitigar las probabilidades de fraude
o error en la presentación de la información financiera y la gestión de los activos de
la entidad.

Objetivo
1. Asegurar la exactitud del ingreso de datos.
2. Oportunidad de la información
3. Datos completos y correctos.
4. Mantener la integridad de la información que ingresa al sistema.
5. Procesamiento de datos completa, correcta y autorizada.
6. Mantenimiento de un registro de transacciones realizadas por usuario.
7. Soporte y mantenimiento oportuno y de calidad.
8. Los cambios se implementan sin generar riesgos para la información.
9. La información que se traslada de una aplicación a otra es completa y
exacta.

Alcance
Esta guía debe ser aplicada a los sistemas de información financiera, operativa y de
negocios donde opera el cliente.

Página 1 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Documentación

Verificado
Cuestionario Comentarios
por:
Indague sobre las políticas y procedimientos de
operación, administración y diseño de las
aplicaciones de la compañía y evalué si se
encuentran documentados:
1. Los objetivos y funciones de las
aplicaciones.
2. Las interfaces y flujos de datos de una
aplicación a otra.

3. Tablas y archivos más importantes

4. Manuales de usuario

5. Manuales de operación

6. Bitácora de transacciones del sistema

Soporte y mantenimiento

Verificado
Cuestionario Comentarios
por:
Indague cómo funciona el soporte técnico del
sistema y cómo permite que los usuarios
cuenten con un servicio continuo y sin
inconvenientes.
Indague sobre el tipo de mantenimiento
(preventivo o correctivo) que se realiza a las
aplicaciones como a los equipos y servidores que
hacen parte de la infraestructura del sistema de
información.
Página 2 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Verificado
Cuestionario Comentarios
por:
Indague si el proceso de mantenimiento del
sistema y equipos cuenta con controles como
reportes de novedades, informes de
cumplimiento, indicadores, etc.
Validar si se realiza seguimiento al cumplimiento
de las solicitudes de soporte y los requerimientos
de sistemas y como se controlan los tiempos de
respuesta a los usuarios.
Verificar como se priorizan los requerimientos de
soporte y los requerimientos de cambios en el
sistema.
Determine si para las aplicaciones compradas a
terceros, presentan un soporte adecuado y
oportuno.
Determine si los terceros que realizan soporte
tienen acceso remoto a las aplicaciones en vivo.
Determine si las solicitudes de mejoras o
programas pendientes de entregar son antiguas
y son razonables.
Indague sobre la satisfacción del soporte de TI en
la entidad.

Seguridad lógica
Verificado
Cuestionario Comentarios
por:
La seguridad lógica se refiere a la protección de
la información, programas y procesos contra
robo o destrucción, para lo que la empresa aplica
barreras para proteger el acceso a los datos.
Indague sobre sus políticas y procedimientos
escritos sobre los controles del sistema.
Revise que los usuarios del sistema cuenten con
su usuario y clave de identificación en el sistema.
Página 3 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Verificado
Cuestionario Comentarios
por:
Revise si se tiene separación de tareas entre
funciones claves como la administración de la
base de datos, programadores y usuarios.
Revise el proceso de asignación de permisos de
usuario para el uso de los recursos del sistema.
Revise el protocolo para asignación y cambio de
contraseñas.
Verificar que los privilegios dentro del sistema
estén acordes con las funciones concretas que
realiza el usuario dentro de la entidad.
Revisar que todos los usuarios del sistema sean
colaboradores de la entidad y estén activos.
Revisar la lista de usuarios para determinar si hay
usuarios repetidos o compartidos.
Verificar que existan restricciones a usuarios con
respecto a los archivos, claves de las
aplicaciones, como archivos de solo lectura,
consulta, lectura y solo consulta.
Revisar los usuarios que tienen clave de
administrador del sistema, validando si los
mismos corresponden al rol, así como quienes
tiene permisos para actualizar o borrar archivos
claves de las aplicaciones.
Verifique que los servidores y equipos claves
cuenten con controles físicos de acceso, por
medio de claves, llaves, credenciales magnéticas,
huellas dactilares, etc.
Verifique que se realicen actualizaciones al
software del sistema, cuente con antivirus y anti-
malware, este activo el firewall del sistema y se
cuenten con un protocolo de seguridad este sea
de conocimiento de los usuarios de los equipos
de la red.

Página 4 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Control de cambios
Verificado
Cuestionario Comentarios
por:
Verifique la existencia de políticas y
procedimiento para solicitar y autorizar cambios
en las aplicaciones.
Verifique que las políticas y procedimientos se
encuentren vigentes y de acuerdo con las
circunstancias de la entidad.
Verifique que los cambios estén autorizados por
una persona con la jerarquía y conocimiento del
diseño y operación del sistema.
Verifique que los cambios en el sistema se den
por ajustes o mejoras en el sistema.
Verifica que este instalado una copia del
programa en producción, a fin de que sirva como
ambiente de prueba y se utilice en forma
separada para verificar la eficacia de los cambios
y actualizaciones a implementar.
Revise que se lleve un registro de los cambios
que se realizan y los archivos que se están
modificando.
Revise que la solicitud de cambios esté
debidamente detallada y aprobada.
Verifique que los cambios realizados sean
revisados y aprobados por el usuario responsable
antes de su implementación en el programa en
vivo.







Página 5 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Gestión de fallas del sistema

Verificado
Cuestionario Comentarios
por:
Solicite el procedimiento para identificar y
reportar fallas en el sistema.
Indague sobre los informes o estadísticas de
fallas y la gestión sobre de novedades.

Copias de seguridad

Verificado
Cuestionario Comentarios
por:
Verifique si se cuenta con un procedimiento para
realizar respaldo de datos y aplicaciones
sensibles para la entidad, a fin de recuperarlos
en caso de una pérdida o contaminación de la
información por una contingencia voluntaria o
accidental.
Verifique los procedimientos de resguardo y
restauración de las copias de seguridad.
Indague sobre la frecuencia y almacenamiento
de las copias de seguridad de la base de datos y
los programas.
Valide que la base de datos y los programas
críticos estén dentro del plan de contingencia.
Revise si hay documentación sobre la realización
de pruebas del plan de contingencia.






Página 6 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Interfaces

Verificado
Cuestionario Comentarios
por:
Indague sobre el procedimiento del área de
sistemas sobre la transmisión de información de
un medio a otro y como garantiza que este
completa, precisa y que no se duplique en el
proceso.
Validar que los archivos de datos tengan
encabezados y consecutivos que se puedan
verificar automáticamente.
Verificar que el sistema presente una lista de
errores de la interface para su revisión y ajuste.
Revisar si el procedimiento de la interface
contempla la recuperación de la información si
por alguna razón se corta o termina con
inconsistencias.
Valide si el sistema permite registrar o
recepcionar los mismos datos dos veces, y si esto
sucede si se revisa que no esté duplicada en la
información en la base de datos.

Bitácora del sistema (Registros o logs de auditoría)

Verificado
Cuestionario Comentarios
por:
Verifique que la bitácora del sistema (logs de
auditoria) permite rastrear responsables, fechas
y modificaciones realizadas en el sistema.
Valide que los logs de auditoria Identifiquen
cuentas compartidas.
Verifique si es posible realizar modificaciones a la
bitácora o los logs de auditoría del sistema.

Página 7 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Controles de la aplicación

Verificado
Cuestionario Comentarios
por:
Entradas
Verificar como se validan la entrada de datos
para que sean completos, correctos y válidos.
Verificar que las entradas manuales se cruzan
con el papel o soporte de la transacción.
Verificar como se garantiza que los datos que se
transmiten sean completos, correctos y
autorizados.
Indague como el sistema rechaza los datos
inexactos o con errores y como los usuarios los
revisan.
Verifique que la pantalla de entrada de datos sea
adecuada para minimizar errores.
Procesamiento
Verifique el cálculo de los procesos más
importantes.
Revisar como los usuarios del sistema detectan
errores de procesamiento.
Indagar sobre el procedimiento de control para
que las transacciones que presentaron fallas
sean nuevamente procesadas.
Valide que las fallas se puedan rastrear hasta su
origen.
Salida de datos
Indagar sobre cómo se garantiza la integridad de
los datos de salida.
Verificar que la información enviada
electrónicamente cuente con controles para que
solo el personal autorizado tenga acceso.
Indague cómo se procesan la salida de datos
incompleta o defectuosa.
Página 8 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.
 Código:

Guía para la Versión:

Evaluación de las
(LOGO O NOMBRE DE LA FIRMA) Aplicaciones Fecha de vigencia:

Verificado
Cuestionario Comentarios
por:
Indague qué tipo de informes se generan a
través del sistema de información.
Indague sobre el destino final de la información o
informes que ya no se usan.

Control de cambios

Fecha en que
Versión entró en vigencia Modificación (Breve descripción del Porque (razón de la modificación)
anterior la versión anterior cambio y en qué campo): y quien lo propuso:
(aaaa/mm/dd)

Página 9 de 9
www.auditool.org

Este documento es una guía para realizar una inspección del control interno de las aplicaciones, que en ningún
caso pretende abarcar todas las situaciones, razón por la cual la Firma debe analizar las necesidades de su
organización, realizando los ajustes que considere pertinentes.