CICS內(nèi)控學(xué)習(xí):影響實(shí)現(xiàn)應(yīng)用控制目標(biāo)的風(fēng)險(xiǎn)暴露

2020-02-21 19:58
0個(gè)贊
摘要:應(yīng)用控制目標(biāo)包括系統(tǒng)控制和交易處理控制的目標(biāo)。每個(gè)應(yīng)用程序/可控制活動(dòng)都有兩個(gè)組成部分,它們既控制系統(tǒng),又控制系統(tǒng)處理的交易。應(yīng)用控制設(shè)計(jì)人員需要有更加明確的目標(biāo)。了解影響應(yīng)用控制目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)暴露類型,將有助于制定更為具體的應(yīng)用控制目標(biāo)。

國(guó)際注冊(cè)內(nèi)部控制師CICS內(nèi)控知識(shí)學(xué)習(xí) 

 

 

(本文為國(guó)際注冊(cè)內(nèi)部控制師CICS學(xué)習(xí)課程的知識(shí)介紹,其他專題課程還包括: 

CICS內(nèi)控學(xué)習(xí):【目錄鏈接】

CICS內(nèi)控學(xué)習(xí):交易處理控制中數(shù)據(jù)通信內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):交易處理控制中錄入階段內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):交易處理控制中起始階段的內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):未實(shí)現(xiàn)計(jì)劃目標(biāo)的風(fēng)險(xiǎn)暴露、目標(biāo)管理

CICS內(nèi)控學(xué)習(xí):受到法律制裁的風(fēng)險(xiǎn)暴露 典型案例 分布特點(diǎn)

CICS內(nèi)控學(xué)習(xí):處于競(jìng)爭(zhēng)劣勢(shì)的風(fēng)險(xiǎn)暴露、分析方法

CICS內(nèi)控學(xué)習(xí):成本過高和收入不足的風(fēng)險(xiǎn)暴露、分析案例

歡迎大家關(guān)注公眾號(hào):<內(nèi)控網(wǎng)> 互動(dòng)交流,官方網(wǎng)站:內(nèi)控網(wǎng) www.neikong.com 

 

一、應(yīng)用控制目標(biāo)與風(fēng)險(xiǎn)暴露

  

應(yīng)用控制目標(biāo)包括系統(tǒng)控制和交易處理控制的目標(biāo)。每個(gè)應(yīng)用程序/可控制活動(dòng)都有兩個(gè)組成部分,它們既控制系統(tǒng),又控制系統(tǒng)處理的交易。應(yīng)用控制設(shè)計(jì)人員需要有更加明確的目標(biāo)。了解影響應(yīng)用控制目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)暴露類型,將有助于制定更為具體的應(yīng)用控制目標(biāo)。

 

解釋:

 應(yīng)用程序的三個(gè)主要的控制目標(biāo)是準(zhǔn)確性、完整性和授權(quán)。其他控制目標(biāo)則是這三個(gè)目標(biāo)的補(bǔ)充。對(duì)這些目標(biāo)的重視程序可能取決于評(píng)估人員是從財(cái)務(wù)角度還是運(yùn)營(yíng)角度來看待問題。

 

“控制目標(biāo)”是指要求內(nèi)部控制完成的任務(wù)或達(dá)到的標(biāo)準(zhǔn),用于促進(jìn)企業(yè)組織的有效營(yíng)運(yùn),以確保各部門均能發(fā)揮應(yīng)有的功能。“風(fēng)險(xiǎn)暴露”是指存在可能導(dǎo)致組織損失的某些事件。“風(fēng)險(xiǎn)暴露”來自威脅(即觸發(fā)損失發(fā)生的原因)的潛在損失,可以采用貨幣數(shù)量或無形資產(chǎn)價(jià)值的形式與以衡量。

 

解釋:

 “風(fēng)險(xiǎn)暴露“是指潛在損失,它并不意味著組織實(shí)際發(fā)生了損失,而是存在發(fā)生損失的可能性。例如“未經(jīng)授權(quán)交易”的風(fēng)險(xiǎn)暴露,不能得出已發(fā)生損失的結(jié)論,因?yàn)橄到y(tǒng)中未經(jīng)授權(quán)交易的某些事項(xiàng)可能在其他環(huán)節(jié)被檢測(cè)和發(fā)現(xiàn),并在處理過程中刪除了該交易事項(xiàng)。

 

審計(jì)文獻(xiàn)和會(huì)計(jì)研究確定了廣義的業(yè)務(wù)與交易處理的風(fēng)險(xiǎn)暴露,它們可被劃分為系統(tǒng)風(fēng)險(xiǎn)暴露和交易處理風(fēng)險(xiǎn)暴露,如圖1所示,列出了9個(gè)應(yīng)用控制目標(biāo)和可能影響這些應(yīng)用控制目標(biāo)實(shí)現(xiàn)的14個(gè)系統(tǒng)與交易處理的風(fēng)險(xiǎn)暴露。企業(yè)可以制定一套適用的應(yīng)用控制目標(biāo),用于應(yīng)用控制設(shè)計(jì)和評(píng)估的要求。選擇控制目標(biāo)可以用于解釋在應(yīng)用程序中使用控制的方法。

圖1影響實(shí)現(xiàn)應(yīng)用控制目標(biāo)的風(fēng)險(xiǎn)暴露

  

解釋:

圖中說明這些通用系統(tǒng)在哪些方面存在較高的風(fēng)險(xiǎn)暴露可能性,從而影響控制目標(biāo)的實(shí)現(xiàn)。例如,如果存在未經(jīng)授權(quán)交易的威脅,無論是故意違規(guī)操作,還是無意處理未授權(quán)的交易事項(xiàng),則交易都可能不準(zhǔn)確,因?yàn)槲唇?jīng)授權(quán)的交易數(shù)據(jù)被輸入系統(tǒng)中,自然無法實(shí)現(xiàn)使用已核準(zhǔn)數(shù)據(jù)的目標(biāo)。

 

一旦系統(tǒng)設(shè)計(jì)者能理解這些廣泛的風(fēng)險(xiǎn)暴露類別,他們就可以定義控制系統(tǒng)所需的控制目標(biāo)。這些控制目標(biāo)成為首先確定在系統(tǒng)的哪些地方設(shè)置控制點(diǎn),以便將風(fēng)險(xiǎn)暴露降至最低的依據(jù);其次,有助于選擇用于使風(fēng)險(xiǎn)暴露最小化的特定控制措施。

 

下面討論系統(tǒng)風(fēng)險(xiǎn)暴露的主要類型(理解這些常見的風(fēng)險(xiǎn)暴露將有助于系統(tǒng)設(shè)計(jì)者編寫所需的控制目標(biāo),這些控制目標(biāo)將成為建立內(nèi)部控制系統(tǒng)的高標(biāo)準(zhǔn)要求)。

 

 

二、風(fēng)險(xiǎn)暴露類型:保存錯(cuò)誤的記錄

 

計(jì)算機(jī)化應(yīng)用涉及的6項(xiàng)活動(dòng)包括:記錄和轉(zhuǎn)換(輸入)、傳輸、處理、存儲(chǔ)、訪問、使用(包括輸出)。任何風(fēng)險(xiǎn)暴露起因的背后都存在許多先決條件,例如,天災(zāi)、故意行為、意外錯(cuò)誤或遺漏等。意外錯(cuò)誤和遺漏是最為常見的情況,可以發(fā)生在交易活動(dòng)流程(記錄、傳送或處理)的任何一點(diǎn)上。

 

研究表明,通過意外錯(cuò)誤和遺漏造成的損失要比任何其他單一原因的造成的損失大得多。保存錯(cuò)誤記錄的風(fēng)險(xiǎn)暴露通常被控制設(shè)計(jì)師認(rèn)為是最大的風(fēng)險(xiǎn)暴露。正因如此,審計(jì)師和業(yè)務(wù)分析師通?;ㄙM(fèi)大量的時(shí)間來評(píng)估控制措施,旨在發(fā)現(xiàn)錯(cuò)誤和遺漏及其可能造成的與財(cái)務(wù)報(bào)表相關(guān)的錯(cuò)誤記錄。

 

由于計(jì)算機(jī)系統(tǒng)變得更加集成和復(fù)雜,很少有人會(huì)去監(jiān)督整個(gè)交易處理過程,編程規(guī)則就變得更加重要。分析師可以不再依賴人工來捕捉計(jì)算機(jī)錯(cuò)誤。使用在線應(yīng)用程序,例如電子資金轉(zhuǎn)賬,甚至可能沒有硬拷貝也能進(jìn)行審查。

 

在計(jì)算機(jī)化的應(yīng)用中,錯(cuò)誤主要發(fā)生在計(jì)算機(jī)化應(yīng)用的三種活動(dòng)中。這三種活動(dòng)是記錄與轉(zhuǎn)換、處理和使用。出現(xiàn)在其他活動(dòng)中的錯(cuò)誤并不普遍。

 

記錄與轉(zhuǎn)換的活動(dòng)是最容易出現(xiàn)的一種錯(cuò)誤。正是在這一活動(dòng)期間,信息被轉(zhuǎn)換為計(jì)算機(jī)可讀介質(zhì)。在許多系統(tǒng)中,將數(shù)據(jù)轉(zhuǎn)換為機(jī)器可讀格式的成本和各種努力經(jīng)常會(huì)超過處理和輸出成本。

  在記錄與轉(zhuǎn)換活動(dòng)期間,以下類型的錯(cuò)誤是普遍的:

  ● 輸入錯(cuò)誤的信息;

  ● 調(diào)換數(shù)據(jù);

  ● 將數(shù)據(jù)輸入錯(cuò)誤的字段;

  ● 使用無效的代碼;

  ● 從錯(cuò)誤的文檔拷貝; 

  ● 曲解難以辨認(rèn)的筆跡;

  ● 錯(cuò)誤的按鍵。

 

處理活動(dòng)可能產(chǎn)生錯(cuò)誤的數(shù)據(jù)。當(dāng)編程的處理規(guī)則有錯(cuò)誤時(shí),問題的嚴(yán)重性可能會(huì)非常大。記錄與轉(zhuǎn)換錯(cuò)誤往往是單獨(dú)的錯(cuò)誤,而處理錯(cuò)誤通常包括某一類型的每一筆交易。如果商品的定價(jià)不正確,則該商品的每次銷售價(jià)格都將是錯(cuò)誤的。導(dǎo)致處理錯(cuò)誤的條件類型如下:

  ● 錯(cuò)誤的編程;

  ● 使用錯(cuò)誤的輸入;

  ● 在需要變更之前或之后,將變更放入程序。 

 

 發(fā)生錯(cuò)誤的另一個(gè)活動(dòng)是使用數(shù)據(jù)。然而,與處理類似的錯(cuò)誤相反,使用錯(cuò)誤的信息或數(shù)據(jù)也傾向于是單獨(dú)的錯(cuò)誤。在使用數(shù)據(jù)活動(dòng)時(shí)發(fā)生的錯(cuò)誤類型包括:

   ● 使用錯(cuò)誤的信息;

   ● 使用錯(cuò)誤的報(bào)告版本;

   ● 錯(cuò)誤解釋數(shù)據(jù);

   ● 輸出錯(cuò)誤;

   ● 輸出結(jié)果丟失。

 

應(yīng)用的其他活動(dòng)不易受錯(cuò)誤和遺漏的影響。 然而,它們對(duì)減少錯(cuò)誤記錄的風(fēng)險(xiǎn)暴露仍然是重要的。下面討論每一活動(dòng),并簡(jiǎn)要說明在該活動(dòng)期間錯(cuò)誤是如何發(fā)生的:

   傳輸活動(dòng)(主要與硬件相關(guān)的問題);

   ● 線路問題,導(dǎo)致亂碼或數(shù)據(jù)丟失;

   ● 硬件問題導(dǎo)致數(shù)據(jù)丟失;

   ● 路由問題,數(shù)據(jù)發(fā)送到錯(cuò)誤的位置;

   ● 在IT“提示”中丟失的消息(即,等待處理);

 

   數(shù)據(jù)保留和存儲(chǔ)活動(dòng)(與特定介質(zhì)相關(guān)的問題);

   ● 記錄無法找到(例如,數(shù)據(jù)庫(kù)系統(tǒng)的錯(cuò)誤指針);

   ● 存儲(chǔ)介質(zhì)故障(例如,磁帶或磁盤);

   ● 存儲(chǔ)介質(zhì)丟失;

 

   訪問活動(dòng)(主要基于終端);

   ● 授予對(duì)應(yīng)受限制的程序、文件或數(shù)據(jù)的訪問權(quán)限;

   ● 應(yīng)當(dāng)給與訪問時(shí)被拒絕訪問。

 

三、案例:商業(yè)銀行數(shù)據(jù)質(zhì)量?jī)?nèi)部控制

 

近年來,大數(shù)據(jù)和人工智能技術(shù)發(fā)展迅速,逐漸成熟。各商業(yè)銀行紛紛投入“數(shù)據(jù)驅(qū)動(dòng)”戰(zhàn)略的發(fā)展轉(zhuǎn)型和業(yè)務(wù)創(chuàng)新。數(shù)據(jù)質(zhì)量控制以適應(yīng)商業(yè)銀行的快速發(fā)展。

 

銀監(jiān)會(huì)、人民銀行等監(jiān)管部門高度重視銀行內(nèi)控建設(shè),2014年,銀監(jiān)會(huì)修訂發(fā)布了新版《商業(yè)銀行內(nèi)部控制指引》,從內(nèi)控管理、內(nèi)控監(jiān)督、監(jiān)管約束和監(jiān)管引領(lǐng)等四個(gè)方面引導(dǎo)銀行不斷完善內(nèi)控制度體系建設(shè)。2015年10月21日,中國(guó)人民銀行發(fā)布了《商業(yè)銀行內(nèi)部控制評(píng)價(jià)指南》,明確了從公司層面、業(yè)務(wù)層面、信息化層面開展內(nèi)部控制評(píng)價(jià)的標(biāo)準(zhǔn)。

 

(一)數(shù)據(jù)時(shí)代商業(yè)銀行數(shù)據(jù)質(zhì)量控制面臨的挑戰(zhàn):

 

1、外部監(jiān)管對(duì)數(shù)據(jù)要求不斷提升,從原來的指標(biāo)類數(shù)據(jù)到賬戶級(jí)、交易級(jí)明細(xì)數(shù)據(jù)監(jiān)控。

2、基礎(chǔ)數(shù)據(jù)管理薄弱,數(shù)據(jù)來源多樣,清洗成本大,響應(yīng)效率低。

3、內(nèi)部決策對(duì)數(shù)據(jù)質(zhì)量的依賴程度提高,客戶標(biāo)簽,外部數(shù)據(jù),數(shù)據(jù)加工質(zhì)量等。

4、數(shù)據(jù)質(zhì)量缺乏持續(xù)管理手段,部門間協(xié)作能力、再加工能力不強(qiáng),缺乏糾正跟蹤措施。

 

(二)應(yīng)從高層重視、業(yè)務(wù)流程、到信息化三方面持續(xù)加強(qiáng)數(shù)據(jù)質(zhì)量控制

 

根據(jù)新版《商業(yè)銀行內(nèi)部控制指引》、《商業(yè)銀行內(nèi)部控制評(píng)價(jià)指南》的要求,應(yīng)從商業(yè)銀行內(nèi)部控制公司層面、流程層面、信息化層面三個(gè)方面加強(qiáng)數(shù)據(jù)的質(zhì)量控制。

1、在公司層面應(yīng)加強(qiáng)數(shù)據(jù)質(zhì)量控制的“高層基調(diào)“,在組織各個(gè)層級(jí)傳達(dá)數(shù)據(jù)質(zhì)量控制的重要性,因?yàn)閿?shù)據(jù)錯(cuò)誤將從根本上影響后續(xù)所有業(yè)務(wù)的準(zhǔn)確性。

2、在業(yè)務(wù)層面將數(shù)據(jù)質(zhì)量控制融入實(shí)際業(yè)務(wù)流程中,重點(diǎn)關(guān)注非常規(guī)交易的處理控制,發(fā)現(xiàn)問題應(yīng)及時(shí)反饋給相關(guān)部門并持續(xù)關(guān)注直到問題糾正為止。

3、在信息化層面將數(shù)據(jù)質(zhì)量和計(jì)算機(jī)信息化應(yīng)用控制相結(jié)合從數(shù)據(jù)的記錄與轉(zhuǎn)換(輸入)、傳輸、處理、存儲(chǔ)、訪問、使用(包括輸出)不斷加強(qiáng)控制管理。

 

 

來源:國(guó)際內(nèi)部控制協(xié)會(huì)ICI中國(guó)總部  健庭

 

 

近期課程安排:3月、6月、9月、11月 

《國(guó)際注冊(cè)內(nèi)部控制師CICS資格認(rèn)證》面授及網(wǎng)絡(luò)課程學(xué)習(xí)班:

報(bào)名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

 

 

這篇文章對(duì)你有沒有幫助?有 0無 0
上一篇:中資北方遭責(zé)令暫停新增客戶?公司內(nèi)控管理薄弱等三項(xiàng)違規(guī)下一篇:龍騰光電欲科創(chuàng)板IPO:存累計(jì)未彌補(bǔ)虧損?內(nèi)控不規(guī)范