Controles en la entrada de datos
Procedimiento de control de entrada de datos
La mayoria de las transacciones de procesamiento electrónico de datos comienza con procedimientos de entrada de datos. En términos generales, cualquiera que sea el ambiente en que se procesan los datos, se hace necesario efectuar el control de ingreso para asegurar que cada transacción a ser procesada cumpla con los siguientes requisitos:
1- Se debe recibir y registrar con exactitud e íntegramente.
2- Se deben procesar solamente datos válidos y autorizados.
3- Se deben ingresar los datos una vez por cada transacción.
1- Se debe recibir y registrar con exactitud e íntegramente.
2- Se deben procesar solamente datos válidos y autorizados.
3- Se deben ingresar los datos una vez por cada transacción.
Los controles en el ingreso de datos son preventivos, pues tratan de evitar la producción de errores exigiendo el ajuste de los datos introducidos a patrones de formato y estructura (fecha valida, dato numérico, dato dentro de un rango especifico, introducción de dígitos de chequeo, etc.).
· Las pantallas de captura de datos deben ser diseñadas de manera similar consistente con los documentos fuente que son ingresados al sistema. El orden de los campos, en la pantalla y el documento, deben ser iguales para evitar errores de digitación.
· En el ingreso de los datos, la aplicación debe tener adecuados mensajes de ayuda, con el fin de facilitar los ingresos de estos y advertir sobre algún error cometido, indicando la clase de error.
· Restringir el acceso de los usuarios a las diferentes opciones de la aplicación, de tal forma que se definan los diferentes perfiles de acceso, de acuerdo a las funciones de cada cargo, logrando con esto, disminuir el riesgo de que personas no autorizadas puedan leer, modificar, adicionar, eliminar datos o transacciones.
· Verificar en cada pantalla de captura que los campos de los datos importantes sea de obligatoria digitación.
· En toda la aplicación, cada campo debe tener el formato de datos apropiado: numérico, alfabético o alfanumérico y la cantidad adecuada de caracteres.
· Para los campos numéricos y campos fecha, implantar controles de limite o racionabilidad, para asegurar que los datos estén dentro de un limite. Por ejemplo: la fecha de vencimiento de un crédito debe ser posterior a la fecha de apertura del mismo.
· En la captura o modificación de datos críticos debe dejarse una pista de auditoria (log) donde se identifique lo siguiente: nombre del usuario, fecha y hora, valor del campo y donde se realizo la transacción.
· Verificar que los log´s de la aplicación sean revisados por los responsables para investigar accesos y manipulaciones no autorizadas.
· Al ir ingresando los datos, el sistema debe ir comparando con los registros de los archivos maestros para determinar la validez de los datos ingresados, en caso de presentarse una inconsistencia, el sistema debe avisar al usuario inmediatamente a fin de que la misma sea corregida.
· De acuerdo con cada aplicación, en las pantallas de captura de documentos fuente críticos y que tengan al menos una columna numérica, se debe incluir el ingreso de totales de control, con el fin de verificar la correcta digitación de cantidades. Los totales de control también se puede aplicar en el ingreso de los lotes de documentos, ingresando para cada lote, él número de documentos a ser procesados, con el fin de detectar documentos faltantes por ingresar o documentos ingresados mas de una vez.
· La aplicación debe permitir imprimir listados de datos ingresados para que estos sean revisados por los usuarios, con el propósito de verificar la correcta inclusión de los datos.
· La aplicación no debe permitir que los datos de los archivos maestros después de haber tenido movimiento pueden ser borrados del sistema.
· Los números de documentos fuente o él numero del lote, no deben permitir ser ingresados para el procesamiento mas de una vez.
· Es importante tener en cuenta que los anteriores controles se aplican no solo cuando los datos se ingresan por primera vez, sino también, cuando ya estos existen en el sistema y lo que se quiere es modificarlos.
· En el ingreso de los datos, se puede presentar que estos sean rechazados por el sistema; lo que la aplicación debe facilitar es el control sobre dicha transacción rechazada, manteniendo en un archivo, las transacciones rechazadas para que estas sean analizadas y corregidas por los usuarios.
Dentro del área de control de entrada de datos se localizan los siguientes Puntos de Control
1- Transacciones en línea.
2- Usuario y operador.
3- Terminal o dispositivo de entrada de datos.
2- Usuario y operador.
3- Terminal o dispositivo de entrada de datos.
Punto de control: transacciones en línea
Los objetivos generales de este punto de control se apoyan en la necesidad de:
1- Disponer de mecanismos de control que minimicen la exposición a riesgos derivados de amenazas como las siguientes:
* ingreso de transacciones que no cumplan con lo establecido por las regulaciones vigentes.
* ingreso de transacciones erróneas o incompletas.
* ajustes indebidos a transacciones.
* deterioros o degradación a la base de datos.
* carencia de pistas de auditoría.
2- Asegurar la continuidad de las actividades mediante vías alternativas de entrada de datos.
Los objetivos generales mencionados más arriba deben traducirse en objetivos específicos. Los mismos se indican a continuación
1- Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea.
2- Asegurar la consistencia de los datos de las transacciones. Verificar las aplicaciones de mecanismos adecuados de control de validación de datos de las transacciones, en cuanto a estructura, integridad, rango, fecha de ocurrencia.
3- Cerciorar que sólo transacciones aprobadas sean admitidas en las operaciones en línea.
4- Asegurar que no exista la posibilidad de perder la transmisión de transacciones.
5- Asegurar la eficacia de los mecanismos de detección de errores y de practicas de corrección de los mismos.
6- Asegurar que los mecanismos de transacciones en línea provean de pistas de auditoría para pruebas posteriores y que los mismos sirvan como medio de evidencia ante requerimientos legales o regulatorios.
7- Minimizar el riesgo de que se produzcan interrupciones durante la transmisión de transacciones.
Las técnicas de control aplicables a estos objetivos son:
1- Identificar y registrar todos los tipos de transacciones aceptadas por el sistema
2- Identificar y registrar a los operadores autorizados para ingresar las transacciones aprobadas.
3- desplegar en pantalla formatos específicos para orientar al operador acerca de los datos que debe ingresar en cuanto a dimensión, secuencia, rango o limites dentro de los cuales se deben mantener los valores a ingresar.
4- Exhibir rangos de validez de los datos, de manera que sirvan de orientación también al operador.
5- Aplicar diálogos interactivos de control.
6- Controlar la presencia de anomalías estructurales de datos.
7- Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, día superior a 31.
8- En el caso de procesamiento en linea, modalidad en lote, puede crearse un archivo de datos de entrada sin verificarlos en una primera instancia.
9- En el caso de procesamiento en línea, modalidad de tiempo real, la verificación de datos de entrada que acceden al azar, puede efectuarse por medio de una simulación de procesamiento en lote.
10- Efectuar previsiones de control en los procedimientos de transacciones trasmitidas en línea, bajo la modalidad en lote.
Por ejemplo:
Determinar una cantidad fija de transacciones a ser procesadas en lotes y conciliar la sumatoria de los valores de determinados campos con totales de esos mismos campos obtenidos por separado y registrados por fuera del sistema.
11- Mantener un conteo de transacciones ingresadas para conciliar el total de la cantidad de estas con un total obtenido por vía separada. Aplicar un criterio similar para el caso de procesamiento en línea, en el que se refiere a cantidad de lotes ingresados.
12- Establecer procedimientos específicos para administrar la corrección de errores detectados en el ingreso de datos y para asegurar su ingreso al proceso. Mantener registros de datos rechazados que están pendientes de corrección, e informar sobre los mismos a un tercero.
13- Suministrar pistas de auditoría de actividad.
Por ejemplo mantener al final de cada archivo importes de control.
14- Mantener en las terminales logs que sirvan como pistas de auditoría para posibilitar la reconstrucción de transacciones desde todas las estaciones de usuarios.
15- Mantener registros de mensajes enviados y recibidos, identificados en un número de serie.
16- Prever la formulación de informes gerenciales diarios sobre tipos de transacciones desarrolladas, que incluyan totales de importes de determinados campos.
17- Mantener continuidad en el procedimiento en línea mediante la posible utilización de vías alternativas de procesamiento, de manera que se recurra a otra terminal en caso de in-operatividad de alguna de ellas, de no ser posible esta solución, prever mecanismos manuales o alternativas que incluyan el almacenamiento de transacciones durante el procesamiento de emergencia, la generación de pistas de auditoría respecto de esas transacciones y la consiguiente incorporación de las mismas al reiniciarse la transmisión normal a la base de datos.
18- Verificar que en las transacciones contables los débitos balanceen con los créditos.
19- Prever la efectivización de un profundo entrenamiento por parte de los usuarios y operadores de los sistemas en línea y en tiempo real, asegurar que los programas de entrenamiento no afecten los archivos de operación normal.
1- Disponer de mecanismos de control que minimicen la exposición a riesgos derivados de amenazas como las siguientes:
* ingreso de transacciones que no cumplan con lo establecido por las regulaciones vigentes.
* ingreso de transacciones erróneas o incompletas.
* ajustes indebidos a transacciones.
* deterioros o degradación a la base de datos.
* carencia de pistas de auditoría.
2- Asegurar la continuidad de las actividades mediante vías alternativas de entrada de datos.
Los objetivos generales mencionados más arriba deben traducirse en objetivos específicos. Los mismos se indican a continuación
1- Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea.
2- Asegurar la consistencia de los datos de las transacciones. Verificar las aplicaciones de mecanismos adecuados de control de validación de datos de las transacciones, en cuanto a estructura, integridad, rango, fecha de ocurrencia.
3- Cerciorar que sólo transacciones aprobadas sean admitidas en las operaciones en línea.
4- Asegurar que no exista la posibilidad de perder la transmisión de transacciones.
5- Asegurar la eficacia de los mecanismos de detección de errores y de practicas de corrección de los mismos.
6- Asegurar que los mecanismos de transacciones en línea provean de pistas de auditoría para pruebas posteriores y que los mismos sirvan como medio de evidencia ante requerimientos legales o regulatorios.
7- Minimizar el riesgo de que se produzcan interrupciones durante la transmisión de transacciones.
Las técnicas de control aplicables a estos objetivos son:
1- Identificar y registrar todos los tipos de transacciones aceptadas por el sistema
2- Identificar y registrar a los operadores autorizados para ingresar las transacciones aprobadas.
3- desplegar en pantalla formatos específicos para orientar al operador acerca de los datos que debe ingresar en cuanto a dimensión, secuencia, rango o limites dentro de los cuales se deben mantener los valores a ingresar.
4- Exhibir rangos de validez de los datos, de manera que sirvan de orientación también al operador.
5- Aplicar diálogos interactivos de control.
6- Controlar la presencia de anomalías estructurales de datos.
7- Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, día superior a 31.
8- En el caso de procesamiento en linea, modalidad en lote, puede crearse un archivo de datos de entrada sin verificarlos en una primera instancia.
9- En el caso de procesamiento en línea, modalidad de tiempo real, la verificación de datos de entrada que acceden al azar, puede efectuarse por medio de una simulación de procesamiento en lote.
10- Efectuar previsiones de control en los procedimientos de transacciones trasmitidas en línea, bajo la modalidad en lote.
Por ejemplo:
Determinar una cantidad fija de transacciones a ser procesadas en lotes y conciliar la sumatoria de los valores de determinados campos con totales de esos mismos campos obtenidos por separado y registrados por fuera del sistema.
11- Mantener un conteo de transacciones ingresadas para conciliar el total de la cantidad de estas con un total obtenido por vía separada. Aplicar un criterio similar para el caso de procesamiento en línea, en el que se refiere a cantidad de lotes ingresados.
12- Establecer procedimientos específicos para administrar la corrección de errores detectados en el ingreso de datos y para asegurar su ingreso al proceso. Mantener registros de datos rechazados que están pendientes de corrección, e informar sobre los mismos a un tercero.
13- Suministrar pistas de auditoría de actividad.
Por ejemplo mantener al final de cada archivo importes de control.
14- Mantener en las terminales logs que sirvan como pistas de auditoría para posibilitar la reconstrucción de transacciones desde todas las estaciones de usuarios.
15- Mantener registros de mensajes enviados y recibidos, identificados en un número de serie.
16- Prever la formulación de informes gerenciales diarios sobre tipos de transacciones desarrolladas, que incluyan totales de importes de determinados campos.
17- Mantener continuidad en el procedimiento en línea mediante la posible utilización de vías alternativas de procesamiento, de manera que se recurra a otra terminal en caso de in-operatividad de alguna de ellas, de no ser posible esta solución, prever mecanismos manuales o alternativas que incluyan el almacenamiento de transacciones durante el procesamiento de emergencia, la generación de pistas de auditoría respecto de esas transacciones y la consiguiente incorporación de las mismas al reiniciarse la transmisión normal a la base de datos.
18- Verificar que en las transacciones contables los débitos balanceen con los créditos.
19- Prever la efectivización de un profundo entrenamiento por parte de los usuarios y operadores de los sistemas en línea y en tiempo real, asegurar que los programas de entrenamiento no afecten los archivos de operación normal.
PUNTO DE CONTROL: OPERADOR DE ENTRADA DE DATOS.
Los objetivos generales de este punto de control se apoyan en la necesidad de:
a) Minimizar la posibilidad de que se cometan errores humanos durante la transmisión de entrada de datos.
b) Asegurar q las funciones que ejecutan los operadores de datos sobre áreas reservadas se ajustan a las políticas y prácticas de control de la organización.
Los objetivos específicos:
a) Restringir la posibilidad de ingresos de datos, consulta y actualización de archivos a personas exclusivamente autorizadas e identificadas.
b) Desactivas la terminal desde la que se hayan intentado, frecuentemente, accesos no autorizados o erróneos, o bien, aquella que haya estado un determinado tiempo inactiva.
c) Mantener registros de los cambios efectuados en las autorizaciones de accesos.
d) Asegurar el mantenimiento confidencial de las claves de encriptación de datos o mensajes; hacer lo mismo con las contraseñas
Técnicas de control aplicables a los objetos
a) Facilitar y simplificar la tarea del operador.
b) Utilizar opciones limitadas entre las posibles de un menú conforme a las autorizaciones otorgadas a cada usuario por medio de tablas, entregar a cada usuario una contraseña basada en algún favor.
c) Introducir el software rutinas del bloqueo que solo pueda ser des afectadas por medio de contraseñas autorizadas.
d) Desactivar terminales después de tres intentos fallidos de ingreso de datos, mantener registros internos frustrados.
e) Disponer de procedimientos específicos de seguridad en el caso en que se restauren operaciones ocurridas luego de un periodo de inactividad por fallas de una terminal.
f) Efectuar control de duplicación.
Los objetivos generales de este punto de control se apoyan en la necesidad de:
a) Minimizar la posibilidad de que se cometan errores humanos durante la transmisión de entrada de datos.
b) Asegurar q las funciones que ejecutan los operadores de datos sobre áreas reservadas se ajustan a las políticas y prácticas de control de la organización.
Los objetivos específicos:
a) Restringir la posibilidad de ingresos de datos, consulta y actualización de archivos a personas exclusivamente autorizadas e identificadas.
b) Desactivas la terminal desde la que se hayan intentado, frecuentemente, accesos no autorizados o erróneos, o bien, aquella que haya estado un determinado tiempo inactiva.
c) Mantener registros de los cambios efectuados en las autorizaciones de accesos.
d) Asegurar el mantenimiento confidencial de las claves de encriptación de datos o mensajes; hacer lo mismo con las contraseñas
Técnicas de control aplicables a los objetos
a) Facilitar y simplificar la tarea del operador.
b) Utilizar opciones limitadas entre las posibles de un menú conforme a las autorizaciones otorgadas a cada usuario por medio de tablas, entregar a cada usuario una contraseña basada en algún favor.
c) Introducir el software rutinas del bloqueo que solo pueda ser des afectadas por medio de contraseñas autorizadas.
d) Desactivar terminales después de tres intentos fallidos de ingreso de datos, mantener registros internos frustrados.
e) Disponer de procedimientos específicos de seguridad en el caso en que se restauren operaciones ocurridas luego de un periodo de inactividad por fallas de una terminal.
f) Efectuar control de duplicación.
PUNTO DE CONTROL: TERMINAL
Objetivos generales:
a) Asegurar, por medio de operadores autorizados y desde lugares autorizados.
b) Asegurar la continuidad de los negocios (procesamiento de transacciones), aun en el caso de que se produzcan fallas en el sistema.
c) Mantener la confidencialidad y privacidad de los datos agrupados y transmitidos para su procesamiento dentro de un ambiente protegido.
Objetivos específicos:
a) Resguardar físicamente el área destinada a terminales.
b) Asegurar el dispositivo de entrada de datos pueda ser identificado.
c) Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión de datos, se verifique que la respectiva terminal sea autentica.
d) Asegurar la autenticidad y legitimidad del operador/usuario-
e) Verificar que los usuarios opere en una terminal que envié y reciba transacciones que están dentro de los límites de su autorización.
f) Asegurar que la terminal, por medio del software de la computadora central, tenga la capacidad de aceptar o rechazar transacciones en conformidad con las reglas establecidas.
g) Evitar la exposición de códigos de encriptación.
h) Minimizar el riesgo de infidencias delimitado que es lo que cada operador puede hace y observar.
i) Evitar que persona extrañas quieran obtener conocimiento de información confidencial.
Objetivos generales:
a) Asegurar, por medio de operadores autorizados y desde lugares autorizados.
b) Asegurar la continuidad de los negocios (procesamiento de transacciones), aun en el caso de que se produzcan fallas en el sistema.
c) Mantener la confidencialidad y privacidad de los datos agrupados y transmitidos para su procesamiento dentro de un ambiente protegido.
Objetivos específicos:
a) Resguardar físicamente el área destinada a terminales.
b) Asegurar el dispositivo de entrada de datos pueda ser identificado.
c) Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión de datos, se verifique que la respectiva terminal sea autentica.
d) Asegurar la autenticidad y legitimidad del operador/usuario-
e) Verificar que los usuarios opere en una terminal que envié y reciba transacciones que están dentro de los límites de su autorización.
f) Asegurar que la terminal, por medio del software de la computadora central, tenga la capacidad de aceptar o rechazar transacciones en conformidad con las reglas establecidas.
g) Evitar la exposición de códigos de encriptación.
h) Minimizar el riesgo de infidencias delimitado que es lo que cada operador puede hace y observar.
i) Evitar que persona extrañas quieran obtener conocimiento de información confidencial.
Técnicas de control aplicables:
a) utilizar el software establecido.
b) Separar técnicamente las terminales de uso general.
c) Delimitar los menú
d) Evitar personas ajenas al operador autorizado.
e) Registrar los datos a transmitir.
f) Establecer procedimientos alternativos en caso de cualquier anomalía.
g) Establecer límites de tiempo para el mantenimiento.
h) Asignar llaves funcionales especiales a los usuarios.
i) Utilizar cables blindados.
j) Que solo la únicamente una persona autorizada sea quien cambie los códigos de encriptación.
k) Verificar si todas las terminales quedan afuera de servicio al finalizar la jornada laboral.
a) utilizar el software establecido.
b) Separar técnicamente las terminales de uso general.
c) Delimitar los menú
d) Evitar personas ajenas al operador autorizado.
e) Registrar los datos a transmitir.
f) Establecer procedimientos alternativos en caso de cualquier anomalía.
g) Establecer límites de tiempo para el mantenimiento.
h) Asignar llaves funcionales especiales a los usuarios.
i) Utilizar cables blindados.
j) Que solo la únicamente una persona autorizada sea quien cambie los códigos de encriptación.
k) Verificar si todas las terminales quedan afuera de servicio al finalizar la jornada laboral.