“Año de la lucha contra la corrupción e impunidad”

UNIVERSIDAD NACIONAL
FEDERICO VILLARREAL
FACULTAD DE CIENCIAS FINANCIERAS Y CONTABLES

CONTROLES INTERNOS PARA

LOS PROCEDIMIENTOS DE
ENTRADA DE DATOS

ALUMNOS:

™ APAZA QUISPE, MARYORI MARINA

™ HUARANGA QUIQUIA, ROCKY
™ PADILLA ORBEGOSO, MASSIEL
™ REYES DELGADO, PRISCILLA
™ TABOADA CONVERSIÓN, JOHAN MARTIN
™ VELITA FUENTES RIVERA, MARTIN OSWALDO
 Entrada de
¿Qué es la datos en la
auditoría de auditoría de
sistemas? sistemas

Objetivos de ¿Qué es la
la auditoría entrada de
de sistemas datos?
• El Control Interno Informático es el sistema integrado al proceso administrativo, en
la planeación, organización, dirección y control de las operaciones con el objeto
de asegurar la protección de todos los recursos informáticos y mejorar los índices
de economía, eficiencia y efectividad de los procesos operativos automatizados.
• Es una función del departamento de Informática de una organización, cuyo
objetivo es el de controlar que todas las actividades relacionadas a los sistemas de
información automatizados se realicen cumpliendo las normas, estándares,
procedimientos y disposiciones legales establecidas interna y externamente.
En el ambiente informático, el control interno se materializa fundamentalmente en
controles de dos tipos:
• Controles manuales; aquellos que son ejecutados por el personal del área usuaria
o de informática sin la utilización de herramientas computacionales.
• Controles Automáticos; son generalmente los incorporados en el software,
llámense estos de operación, de comunicación, de gestión de base de datos,
programas de aplicación
Tiene como objeto de asegurar la
protección de todos los recursos
informáticos y mejorar los
índices de economía, eficiencia
y efectividad de los procesos
operativos automatizados.
 Controlar que todas las actividades se
realicen cumpliendo los procedimientos y
normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las
normas legales.

Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los

grado adecuados del servicio informático, lo cual no debe considerarse como que la
implantación de los mecanismos de medida y responsabilidad del logro de esos
niveles se ubique exclusivamente en la función de control interno, si no que cada
responsable de objetivos y recursos es responsable de esos niveles, así como de la
implantación de los medios de medida adecuados.
 CONTROLES Trata de evitar o prevenir una acción.
PREVENTIVOS /
DISUASIVOS Ejemplo: Software de seguridad evita los accesos no autorizados.

Cuando falla los preventivos para tratar de conocer cuanto antes

CONTROLES el evento.
DETECTIVOS
Ejemplo: Registros internos de acceso no autorizados.

Facilitan la vuelta a la normalidad cuando se han producido

fallas.
CONTROLES
CORRECTIVOS
Ejemplo: Recuperación de un archivo dañado a partir de las
copias de seguridad.
 • Este elemento busca determinar si la estructura del área de sistemas
CONTROLES INTERNOS SOBRE LA
computacionales es la más apropiada para que funcione con eficiencia en la
ORGANIZACIÓN DEL ÁREA DE INFORMÁTICA
empresa.

CONTROLES INTERNOS SOBRE EL ANÁLISIS, • Para cumplir con este elemento se necesita utilizar metodologías para el análisis de
DESARROLLO E IMPLEMENTACIÓN DE SISTEMAS sistemas.

• Se encarga de vigilar la eficacia en la operación de dichos sistemas, este elemento

CONTROLES INTERNOS SOBRE OPERACIÓN DEL
verifica el cumplimiento de los objetivos del control interno, y así previene
SISTEMA
deficiencias de operaciones y alteraciones de información.

CONTROLES INTERNOS SOBRE LOS

PROCEDIMIENTOS DE ENTRADA DE DATOS, EL • Estos controles son de gran ayuda en el procesamiento de información, ya que al
PROCESAMIENTO DE INFORMACIÓN Y LA tener métodos bien establecidos logran la eficiencia en la captura de datos de
EMISIÓN DE RESULTADOS manera oportuna para así proporcionar información que se requiere en las demás
áreas de la empresa.

CONTROLES INTERNOS SOBRE LA SEGURIDAD • Dichos controles encuentran la seguridad de los recursos informáticos de la
DEL ÁREA DE SISTEMAS información de los programas y estos se logran a través de medidas correctivas para
disminuir riesgos.
La adopción de estos controles en el área de sistematización es de gran ayuda en el
procesamiento de información. Para lograr la eficiencia y eficacia al establecer este
elemento en la captura de datos, es necesario tener bien establecidos aquellos
métodos, procedimientos y actividades que regularían la entrada de datos al sistema,
verificar que los datos sean procesados de manera oportuna, evaluar la veracidad de
los datos que se introducen al sistema y proporcionar la información que se requiere
en las demás áreas de la empresa.
FASES FUNDAMENTALES DE UN SISTEMA INFORMÁTICO:

• Entrada de datos.
• Proceso de datos.
• Emisión de resultados, útiles para toma de decisiones.
SUB ELEMENTOS DEL CONTROL INTERNO:

Verificar la existencia y funcionamiento del procedimiento de captura de datos

Asegurar que la entrada de datos será acorde con las necesidades de captura del
propio sistema.
• Cotejo de datos, doble verificación, validación en desarrollo.
• Chequeos aleatorios, validación constante de la captura de información.
• Validad a nivel de Data Base
• Utilizar RegExp para validación de captura de información (para encontrar texto de
acuerdo a un patrón)
SUB ELEMENTOS DEL CONTROL INTERNO:

Comprobar que todos los datos sean debidamente procesados

Se comprueban los procesamientos de información, antes de la emisión de resultados.

• Primero realizar pruebas con Datos Falsos.
• Luego con Datos Reales.
• Se libera el proyecto con la plena confianza de que su procesamiento interno será
siempre igual.
SUB ELEMENTOS DEL CONTROL INTERNO:

Verificar confiabilidad, veracidad y exactitud del procesamiento de los datos

• Lo que se busca es la implementación de los métodos, técnicas y procedimientos

que ayuden a verificar que se cumpla con la correcta captura de datos, el
procesamiento de información y la emisión de informes.
SUB ELEMENTOS DEL CONTROL INTERNO:

Comprobar la suficiencia de la emisión de la información

• Información suficiente.
• Es Proporcionar información que sea adecuada a los requerimientos de la empresa
para ofreces sólo información requerida, sin dar ni más ni menos datos que los
necesarios.
Esto se divide en 5 aspectos principales:

Los datos sean

Métodos para
Eficacia en la procesados de
regular la
captura de datos manera
entrada de datos
oportuna

Evaluar la Proporcionar la
veracidad de los información a
datos que se las demás áreas
introducen de la empresa
Eficacia en la captura de datos: la captura de datos
depende tanto del hardware que se usa como el software
que está encargado de capturarlos.

Métodos para regular la entrada de datos: pueden

regularse la cantidad de caracteres introducidos por
teclado, por campos del sistema. También puede
regularse la cantidad de veces que una aplicación pueda
abrirse, en especial si se especializa en la entrada de
datos

Los datos sean procesados de manera oportuna: los

datos deben ser procesados de manera eficiente y veloz
para dar respuesta rápida a los procesos que necesitan
de este procesamiento en una etapa posterior. Un sistema
que procese los datos de una manera lenta puede atrasar
los procesos siguientes de necesiten uso de los datos.
Evaluar la veracidad de los datos que se
introducen: los datos introducidos deben ser
del tipo que se requiera y que se solicite. Los
sistemas que soliciten datos y que estos sean
introducidos por el usuario, deben evaluar que
sus campos restrinjan el tipo de datos
introducidos.

Proporcionar la información a las demás

áreas de la empresa: luego de que los datos
hayan sido procesados si se hayan
transformado en información, estos deben
pasar a las demás áreas de la empresa que
necesiten uso de este.
Los usuarios emplean sistemas de Computo cada vez mas
complejos, lo que incrementa las aplicaciones que manejan.
Existen Diferentes normas las cuales se aplican según el área:
• Plan de sistemas de información.
• Controles de datos fuente, de operación y de salida.
• Mantenimiento de equipos de computación.
• Seguridad de programas, de datos y equipos de cómputo.
• Plan de contingencias.
• Aplicación de técnicas de Intranet.
• Gestión óptima de software adquirido a medida por
entidades públicas.
NORMAS PARA LOS CONTROLES DE DATOS FUENTE, DE OPERACIÓN
Y DE SALIDA:

Controles
Coordinar
sobre datos
Controles
Fuentes

Controles
Operación
de Salida
de Equipos
de Datos
Cada transacción a ser procesada cumple con los siguientes requisitos:

Se debe recibir y Se deben procesar Se deben ingresar

registrar con solamente datos los datos una vez
exactitud e válidos y por cada
íntegramente. autorizados. transacción.
Los controles en el ingreso de datos son
PREVENTIVOS
pues

tratan
de

evitar la producción de
ERRORES

exigiendo

el ajuste de los datos  Formato
introducidos a patrones de y
Estructura
PUNTOS PARA EL CORRECTO PROCEDIMIENTO DE CONTROL DE ENTRADA
DE DATOS:

Las pantallas de En toda la aplicación,

captura de datos Verificar en cada cada campo debe
deben ser diseñadas En el ingreso de los Restringir el acceso pantalla de captura tener el formato de
de manera similar datos, la aplicación de los usuarios a las que los campos de los datos apropiado:
consistente con los debe tener adecuados diferentes opciones datos importantes sea numérico, alfabético o
documentos fuente mensajes de ayuda. de la aplicación. de obligatoria alfanumérico y la
que son ingresados al digitación. cantidad adecuada de
sistema. caracteres.
 En las pantallas de
Para los campos captura de documentos
Verificar que los log´s Al ir ingresando los
numéricos y campos fuente críticos y que
En la captura o de la aplicación sean datos, el sistema debe ir
fecha, implantar tengan al menos una
modificación de datos revisados por los comparando con los
controles de limite o columna numérica, se
críticos debe dejarse responsables para registros de los archivos
racionabilidad, para debe incluir el ingreso
una pista de auditoria investigar accesos y maestros para
asegurar que los datos de totales de control,
(log). manipulaciones no determinar la validez de
estén dentro de un con el fin de verificar la
autorizadas. los datos ingresados.
límite. correcta digitación de
cantidades.
 En el ingreso de los
La aplicación no datos, se puede
Los números de Es importante tener
La aplicación debe debe permitir que presentar que estos
documentos fuente o en cuenta que los
permitir imprimir los datos de los sean rechazados por
el número del lote, anteriores controles
listados de datos archivos maestros el sistema; lo que la
no deben permitir se aplican no solo
ingresados para que después de haber aplicación debe
ser ingresados para cuando los datos se
estos sean revisados tenido movimiento facilitar es el control
el procesamiento ingresan por
por los usuarios. pueden ser borrados sobre dicha
más de una vez. primera vez.
del sistema. transacción
rechazada.
1. Transacciones en línea.
2. Operador de entrada de datos.
3. Terminal o dispositivo de entrada de
datos.
TRANSACCIONES EN LÍNEA:

1- Disponer de mecanismos de control que

minimicen la exposición a riesgos derivados de
amenazas como las siguientes:
• Ingreso de transacciones que no cumplan con
lo establecido por las regulaciones vigentes.
• Ingreso de transacciones erróneas o
incompletas.
• Ajustes indebidos a transacciones.
• Deterioros o degradación a la base de datos.
• Carencia de pistas de auditoría.

2- Asegurar la continuidad de las actividades

mediante vías alternativas de entrada de datos.
OBJETIVOS ESPECÍFICOS:

1. Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea.

2. Asegurar la consistencia de los datos de las transacciones. Verificar las
aplicaciones de mecanismos adecuados de control de validación de datos de
las transacciones, en cuanto a estructura, integridad, rango, fecha de
ocurrencia.
3. Cerciorar que solo transacciones aprobadas sean admitidas en las
operaciones en línea.
4. Asegurar que no exista la posibilidad de perder la transmisión de
transacciones.
5. Asegurar la eficacia de los mecanismos de detección de errores y de prácticas
de corrección de los mismos.
TÉCNICAS DE CONTROL APLICABLES A ESTOS OBJETIVOS:

1. Identificar y registrar todos los tipos de transacciones aceptadas por el

sistema
2. Identificar y registrar a los operadores autorizados para ingresar las
transacciones aprobadas.
3. Desplegar en pantalla formatos específicos para orientar al operador acerca
de los datos que debe ingresar en cuanto a dimensión, secuencia, rango o
limites dentro de los cuales se deben mantener los valores a ingresar.
4. Exhibir rangos de validez de los datos, de manera que sirvan de orientación
también al operador.
5. Aplicar diálogos interactivos de control.
OPERADOR DE ENTRADA DE DATOS:

OBJETIVOS GENERALES:

• Minimizar la posibilidad de que se cometan

errores humanos durante la transmisión de
entrada de datos.
• Asegurar q las funciones que ejecutan los
operadores de datos sobre áreas reservadas
se ajustan a las políticas y prácticas de
control de la organización.
LOS OBJETIVOS ESPECÍFICOS:

a) Restringir la posibilidad de ingresos de datos, consulta y actualización de archivos a

personas exclusivamente autorizadas e identificadas.
b) Desactivas la terminal desde la que se hayan intentado, frecuentemente, accesos no
autorizados o erróneos, o bien, aquella que haya estado un determinado tiempo
inactiva.
c) Mantener registros de los cambios efectuados en las autorizaciones de accesos.
d) Asegurar el mantenimiento confidencial de las claves de encriptación de datos o
mensajes; hacer lo mismo con las contraseñas.
TÉCNICAS DE CONTROL APLICABLES A LOS OBJETOS:

a) Facilitar y simplificar la tarea del operador.

b) Utilizar opciones limitadas entre las posibles de un menú conforme a las autorizaciones
otorgadas a cada usuario por medio de tablas, entregar a cada usuario una contraseña
basada en algún favor.
c) Introducir el software rutinas del bloqueo que solo pueda ser des afectadas por medio de
contraseñas autorizadas.
d) Desactivar terminales después de tres intentos fallidos de ingreso de datos, mantener
registros internos frustrados.
e) Disponer de procedimientos específicos de seguridad en el caso en que se restauren
operaciones ocurridas luego de un periodo de inactividad por fallas de una terminal.
f) Efectuar control de duplicación.
TERMINAL O DISPOSITIVO DE ENTRADA DE DATOS:
OBJETIVOS GENERALES

a) Asegurar, por medio de operadores autorizados y desde lugares autorizados.

b) Asegurar la continuidad de los negocios (procesamiento de transacciones), aun en el caso
de que se produzcan fallas en el sistema.
c) Mantener la confidencialidad y privacidad de los datos agrupados y transmitidos para su
procesamiento dentro de un ambiente protegido.

OBJETIVOS ESPECÍFICOS

a) Resguardar físicamente el área destinada a terminales.

b) Asegurar el dispositivo de entrada de datos pueda ser identificado.
c) Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión de datos,
se verifique que la respectiva terminal sea autentica.
d) Asegurar la autenticidad y legitimidad del operador/usuario-
e) Verificar que los usuarios opere en una terminal que envié y reciba transacciones que están
dentro de los límites de su autorización.
f) Asegurar que la terminal, por medio del software de la computadora central, tenga la
capacidad de aceptar o rechazar transacciones en conformidad con las reglas establecidas.
TÉCNICAS DE CONTROL APLICABLES:

a) Utilizar el software establecido.

b) Separar técnicamente las terminales de uso general.
c) Delimitar los menú.
d) Evitar personas ajenas al operador autorizado.
e) Registrar los datos a transmitir.
f) Establecer procedimientos alternativos en caso de cualquier anomalía.
g) Establecer límites de tiempo para el mantenimiento.
h) Asignar llaves funcionales especiales a los usuarios.
i) Utilizar cables blindados.
j) Que solo la únicamente una persona autorizada sea quien cambie los
códigos de encriptación.
k) Verificar si todas las terminales quedan fuera de servicio al finalizar la
jornada laboral.