CICS內(nèi)控知識學(xué)習(xí):如何確定系統(tǒng)中關(guān)鍵控制點的位置

2020-05-19 14:04
0個贊
摘要:在許多業(yè)務(wù)系統(tǒng)設(shè)計中,確定在業(yè)務(wù)應(yīng)用程序中關(guān)鍵控制點的位置是設(shè)計和構(gòu)建內(nèi)部控制系統(tǒng)的重要部分。如果將內(nèi)部控制系統(tǒng)與業(yè)務(wù)交易處理系統(tǒng)相比,人們會發(fā)現(xiàn)更多的資金用于設(shè)計控制系統(tǒng)。重要的是在系統(tǒng)中選擇適當(dāng)位置,從而優(yōu)化控制系統(tǒng)的總成本。控制系統(tǒng)不應(yīng)被視為“附加的”成本,它是業(yè)務(wù)系統(tǒng)正常運行所需的成本。

國際注冊內(nèi)部控制師CICS內(nèi)控知識學(xué)習(xí) 

 

(本文為國際注冊內(nèi)部控制師CICS學(xué)習(xí)課程的知識介紹,其他專題課程還包括: 

國際注冊內(nèi)部控制師CICS課程報名鏈接

CICS內(nèi)控知識學(xué)習(xí):交易處理控制中數(shù)據(jù)存儲與檢索的內(nèi)部控制,及案例分析

CICS內(nèi)控學(xué)習(xí):交易處理控制中計算機處理內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):交易處理控制中數(shù)據(jù)通信內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):交易處理控制中錄入階段內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):交易處理控制中起始階段的內(nèi)部控制

CICS內(nèi)控學(xué)習(xí):未實現(xiàn)計劃目標(biāo)的風(fēng)險暴露、目標(biāo)管理

CICS內(nèi)控學(xué)習(xí):受到法律制裁的風(fēng)險暴露 典型案例 分布特點

CICS內(nèi)控學(xué)習(xí):處于競爭劣勢的風(fēng)險暴露、分析方法

CICS內(nèi)控學(xué)習(xí):成本過高和收入不足的風(fēng)險暴露、分析案例

歡迎大家關(guān)注國際注冊內(nèi)部控制師官方網(wǎng)站:內(nèi)控網(wǎng) www.neikong.com )

 

前言:

 

在許多業(yè)務(wù)系統(tǒng)設(shè)計中,確定在業(yè)務(wù)應(yīng)用程序中關(guān)鍵控制點的位置是設(shè)計和構(gòu)建內(nèi)部控制系統(tǒng)的重要部分。如果將內(nèi)部控制系統(tǒng)與業(yè)務(wù)交易處理系統(tǒng)相比,人們會發(fā)現(xiàn)更多的資金用于設(shè)計控制系統(tǒng)。重要的是在系統(tǒng)中選擇適當(dāng)位置,從而優(yōu)化控制系統(tǒng)的總成本??刂葡到y(tǒng)不應(yīng)被視為“附加的”成本,它是業(yè)務(wù)系統(tǒng)正常運行所需的成本。

 

解釋:以行駛的汽車作為內(nèi)部控制的一個例子,有人說內(nèi)部控制就是汽車的“制動”系統(tǒng),當(dāng)業(yè)務(wù)出現(xiàn)問題時,內(nèi)部控制應(yīng)該起到保護(hù)的作用。這一說法并不完整,作為控制系統(tǒng),它應(yīng)該是更加全面的,剎車、方向盤、動力傳輸、軸承、甚至油門,都是控制系統(tǒng)的一部分。

 

關(guān)鍵控制點應(yīng)當(dāng)設(shè)置于業(yè)務(wù)系統(tǒng)中風(fēng)險暴露潛在損失最大的地方。如何選擇關(guān)鍵控制點的適當(dāng)位置目前還沒有一套公認(rèn)的最佳方式。不同的組織會有不同的選擇方法,例如:

● 增加內(nèi)部審計師或內(nèi)部控制師參與系統(tǒng)開發(fā)工作,以確保控制措施被設(shè)置在關(guān)鍵的風(fēng)險暴露點位。

● 使用業(yè)務(wù)系統(tǒng)的“利益相關(guān)者”的知識和經(jīng)驗來設(shè)置確保交易處理有效性所需的控制類型。

● 要求業(yè)務(wù)部門負(fù)責(zé)設(shè)計業(yè)務(wù)系統(tǒng)的業(yè)務(wù)需求書,然后將建立控制措施的職責(zé)交給IT人員系統(tǒng)設(shè)計人員(外包管理)。

 

問題:

如果有合適的人員參與,這些辦法都能實現(xiàn)。但是,在開發(fā)內(nèi)部控制系統(tǒng)時,往往需要使用具有高度創(chuàng)造性的方式,因而,最后的結(jié)果是控制系統(tǒng)會有很高的可變性。這就意味著從一個業(yè)務(wù)系統(tǒng)到另一業(yè)務(wù)系統(tǒng),內(nèi)部控制系統(tǒng)可能不具有一致性。內(nèi)部控制措施可能在某一業(yè)務(wù)系統(tǒng)中控制有效,而在另一個系統(tǒng)則控制無效。

 

有一種可用于確定控制應(yīng)設(shè)置在何處的好方法是:“控制目標(biāo)-風(fēng)險暴露點矩陣”,它將解釋如何確定將控制資源放在什么位置,在此位置上建立和實施關(guān)鍵控制點。

 

一、識別潛在控制缺陷的風(fēng)險暴露點矩陣模型

 

識別潛在控制缺陷的風(fēng)險暴露點矩陣,可以幫助系統(tǒng)設(shè)計人員識別具有較高潛在損失的風(fēng)險位置。該矩陣并不需要達(dá)到統(tǒng)計學(xué)上數(shù)據(jù)精確的要求,但它可以證明在易遭受損失的領(lǐng)域使用該方法時,具有很高的可靠性。

 

該矩陣中控制目標(biāo)為一個維度,另一個維度是系統(tǒng)中潛在損失的風(fēng)險暴露點。系統(tǒng)設(shè)計人員評估該矩陣交叉點的位置上,風(fēng)險暴露變成實際損失的可能性。通過識別控制缺陷將造成潛在損失概率最高的點位,系統(tǒng)設(shè)計人員可以洞察業(yè)務(wù)系統(tǒng)中最有可能遭受損失的地方,從而確定設(shè)置關(guān)鍵控制點的位置。

 

 控制目標(biāo)——風(fēng)險暴露點矩陣的目的是使組織能夠?qū)⒋蟛糠值目刂瀑Y源集中在風(fēng)險排序最高的點位上,從而大大增加預(yù)防或檢測出潛在損失的概率。

 

二、建立和使用風(fēng)險暴露點矩陣的流程

 

建立和使用“控制目標(biāo)——風(fēng)險暴露點矩陣”的四個步驟如圖所示。該矩陣的方法可以應(yīng)用于內(nèi)控系統(tǒng)的項目小組、確認(rèn)控制措施實施情況的評價小組,或由審計人員用于評估內(nèi)部控制的適當(dāng)性。

 

(一)步驟1:確定控制目標(biāo)

應(yīng)該在業(yè)務(wù)系統(tǒng)的需求階段定義控制目標(biāo),并用文件記錄,這將成為在系統(tǒng)中建立關(guān)鍵控制點的依據(jù)。

 

一些組織為其業(yè)務(wù)系統(tǒng)使用通用的控制目標(biāo)。許多組織,包括大型會計師事務(wù)所,都有關(guān)于特定業(yè)務(wù)系統(tǒng)的控制目標(biāo)的文檔。例如,對于工資系統(tǒng),他們都具有工資系統(tǒng)控制目標(biāo)的列表。

 

其他組織現(xiàn)在正在使用COSO“內(nèi)部控制——整合框架”,作為確定其控制目標(biāo)的依據(jù)。雖然COSO框架沒有為許多控制活動提供具體的控制目標(biāo),但它確實提供了關(guān)于應(yīng)該使用什么類型的控制目標(biāo)來為特定組織定制控制措施的指導(dǎo)原則。

 

 在“控制目標(biāo)——風(fēng)險暴露點矩陣”中使用控制目標(biāo)的目的,實際上是因為它們是一種正面的風(fēng)險聲明。組織未能實現(xiàn)控制目標(biāo)將可能導(dǎo)致?lián)p失。如果實現(xiàn)特定控制目標(biāo)的定位太高,則無法實現(xiàn)該控制目標(biāo)的概率也會很大。

 

步驟1的最終成果是針對檢查業(yè)務(wù)系統(tǒng)控制目標(biāo)的一份詳細(xì)清單。這些控制目標(biāo)將包括在“控制目標(biāo)——風(fēng)險暴露點矩陣”的控制目標(biāo)維度中。

 

(二)步驟2:確定潛在的風(fēng)險暴露點

 

系統(tǒng)往往會在最薄弱的環(huán)節(jié)出現(xiàn)問題。確定潛在風(fēng)險暴露點的目的是識別所有可能發(fā)生損失的點位。如果在這些點位發(fā)生損失的概率高,則必須對這些點位實施有效的控制。

 

前面部分的內(nèi)容介紹了業(yè)務(wù)系統(tǒng)交易處理的六個階段:分別是交易起始、交易錄入、數(shù)據(jù)通信、計算機處理、數(shù)據(jù)存儲與檢索以及輸出處理。這六個階段可以作為業(yè)務(wù)系統(tǒng)的關(guān)鍵控制點。

 

建議將這六個階段的交易當(dāng)作確定業(yè)務(wù)系統(tǒng)中控制目標(biāo)——風(fēng)險暴露點的依據(jù)。使用“控制目標(biāo)——風(fēng)險暴露點矩陣”,組織需要預(yù)先確定這六個階段的控制措施是否足夠,或者它們是否需要被細(xì)分為子階段。

 

例如,在交易錄入階段,可能會有三種不同的方式來輸入交易。例如,可以通過網(wǎng)站、通過電話或通過郵件。因此,它不是單個交易錄入點,可能需要具有三個不同的交易錄入點。

 

下面列出了業(yè)務(wù)系統(tǒng)中潛在損失點列表,內(nèi)容與交易處理的六個階段相一致。但除了描述之外,按照業(yè)務(wù)系統(tǒng)潛在損失發(fā)生嚴(yán)重性的順序列出。該表可能有助于確定哪個風(fēng)險暴露點具有最大的潛在損失的風(fēng)險。

 

這一步驟的最終結(jié)果將是一個業(yè)務(wù)系統(tǒng)中最有可能是發(fā)生損失的風(fēng)險暴露點位的一覽表。這些點位將成為“控制目標(biāo)——風(fēng)險暴露點矩陣”的風(fēng)險暴露維度。它們包括:

 

1、潛在損失嚴(yán)重性的列表

 

數(shù)據(jù)和報告準(zhǔn)備區(qū)域以及計算機運行設(shè)施——人們發(fā)現(xiàn)手動功能最集中的物理位置是最薄弱的位置。根據(jù)業(yè)務(wù)系統(tǒng)中功能位置潛在損失嚴(yán)重性的排名,下表描述并排序了8個主要風(fēng)險位置。

 

 

(1)計算機數(shù)據(jù)和報告準(zhǔn)備

易損區(qū)域包括數(shù)據(jù)輸入、計算機設(shè)置、輸出控制與分發(fā)、數(shù)據(jù)采集和數(shù)據(jù)傳輸。

 

(2)計算機終端操作

易損區(qū)域包括計算機操作、機房設(shè)備管理、硬件維護(hù)、通信維護(hù)、內(nèi)網(wǎng)與外網(wǎng)的隔離設(shè)置等。

 

(3)非IT區(qū)域(用戶區(qū)域)

易損區(qū)域涉及業(yè)務(wù)決策,其中損失的風(fēng)險暴露發(fā)生如市場營銷、銷售、營業(yè)部門和其他用戶領(lǐng)域等非IT領(lǐng)域。

 

(4)在線終端系統(tǒng)

薄弱區(qū)域處于在線系統(tǒng)內(nèi),通過執(zhí)行由終端命令生成的指令來發(fā)生的行為。對于終端指令、設(shè)備識別的控制措施很重要。

 

(5)編程辦公區(qū)

該區(qū)域包括辦公區(qū),在辦公室里多個程序員編制和存儲程序清單和文檔的辦公區(qū)域。

 

(6)在線數(shù)據(jù)準(zhǔn)備和輸出報告處理區(qū)域

這一類別包括在數(shù)據(jù)準(zhǔn)備的第一次討論中確定的相同的功能,但與這里相關(guān)聯(lián)的是在線終端,而不是計算機。

 

(7)媒體存儲設(shè)施

該區(qū)域包括數(shù)據(jù)庫和任何包含可用數(shù)據(jù)的存儲位置。

 

(8)中央處理程序

這些功能區(qū)域在計算機系統(tǒng)中,其中在計算機操作系統(tǒng)中發(fā)生的行為(不是從終端導(dǎo)入)。

 

解釋:

以某個在線生鮮APP為例,為了有效控制系統(tǒng)的運行,需要考慮的可能是用戶端操作簡便、可更新;服務(wù)器端響應(yīng)速度和處理反應(yīng)速度穩(wěn)定;營銷、廣告政策要符合用戶的使用場景和購買習(xí)慣;在線終端可以采用實名制、會員制來識別真實用戶;程序和數(shù)據(jù)備份可以采用私有云和公有云存儲相結(jié)合的方式;終端需要可以查詢、修改、刪除訂單的功能;中央處理程序需要與下單數(shù)據(jù)、庫存數(shù)據(jù)、派單數(shù)據(jù)、采購數(shù)據(jù)相結(jié)合。

 

在這些環(huán)節(jié)中,避免手工操作將會提升整體的系統(tǒng)效率;在傳統(tǒng)超市改造提升的過程中,一個是揀貨系統(tǒng)傳送帶的應(yīng)用;另一個是生鮮商品統(tǒng)一規(guī)格打碼的應(yīng)用;去除以往稱重環(huán)節(jié),改為近似重量按照個數(shù)來進(jìn)行計算,提高了系統(tǒng)人員揀貨的速度。

 

類似的應(yīng)用還有票務(wù)預(yù)定系統(tǒng)由人工電話預(yù)定到終端程序預(yù)定、醫(yī)院掛號、結(jié)算系統(tǒng)改為在線預(yù)約,終端掛號、結(jié)算;超市結(jié)賬增加自助結(jié)賬終端;都是為了提高效率,在輸入端減少人員投入,或盡量用信息化的方式進(jìn)行系統(tǒng)錄入的工作。

  

2、意外損失與故意損失

 

錯誤和遺漏通常發(fā)生在勞動密集型職能中,其中人們參與細(xì)節(jié)工作。當(dāng)具體、瑣碎而又激烈的活動需要精力高度集中時,易受影響的弱點就會出現(xiàn)。它們通常表現(xiàn)為數(shù)據(jù)錯誤、計算機程序錯誤(故障),以及設(shè)備或用品的損壞。這需要頻繁地重新運行作業(yè),糾正錯誤,以及更換和維修設(shè)備或用品。

 

然而,通常很難區(qū)分意外損失和故意損失。事實上,一些報告的故意損失來自犯罪者發(fā)現(xiàn)和利用會對他們有利的錯誤。

 

當(dāng)發(fā)生損失時,員工和經(jīng)理傾向于首先指責(zé)計算機硬件出問題,因為這可以免除他們的責(zé)任,并且把問題推給供應(yīng)商解決。然而問題很少出自硬件錯誤,但通常要證明這一點的情況卻不常見,很少有人要求在損失來源或其它地方去尋找原因。

 

管理人員往往會認(rèn)為用戶部門或數(shù)據(jù)生成的來源發(fā)生了問題;或者IT部門可能會責(zé)怪另一計算機系統(tǒng)的工作人員。最后,當(dāng)所有其他責(zé)任主體被排除時,IT員工才會懷疑自己的工作是否出錯。

 

在系統(tǒng)設(shè)計師、程序員、維護(hù)工程師和用戶之間很少會舉行非正式會議,來討論誰應(yīng)當(dāng)開始調(diào)查損失的原因。許多人從未想過損失可能是有人故意造成的。

 

許多員工不了解錯誤和遺漏之間、意外損失與故意造成的損失之間的顯著差異。自從開始自動化數(shù)據(jù)處理以來,使用計算機的組織已經(jīng)與意外損失或故意損失斗爭了許多年。

 

解釋:

以打車軟件為例,包車服務(wù)通常為半天4小時,一天8小時服務(wù),超出的時間和公里數(shù)另外付費計算。人為的故意損失會發(fā)生在固定時間完成的時候,司機會和乘客進(jìn)行結(jié)算。而超出的小時數(shù)則會自行約定一個價格。如果缺乏相應(yīng)的監(jiān)管措施,平臺的收入將會遭受損失。

 

還有,當(dāng)平臺的獎勵對司機的獎勵大于實際運載成本的時候,人為的損失會出現(xiàn)空載的情況。又或者打車公司對司機的考核和派單會和用戶滿意度相關(guān),意圖在于提升用戶的趁車體驗和品牌形象,但是由于缺乏實際監(jiān)控操作方法,最終有些司機為了提高接單率,而會在到達(dá)目的地之前就和客戶結(jié)賬,并要求顧客給個好評。這就會和政策的初衷有一些違背,給其他司機帶來了不正當(dāng)競爭的影響,同時降低了平臺應(yīng)有的收入。

 

3、自然災(zāi)害和人為因素造成的易損點

業(yè)務(wù)系統(tǒng)顯然易受各種自然災(zāi)害和人為破壞的影響。業(yè)務(wù)系統(tǒng)和設(shè)施是脆弱的,入侵者可以使用簡單的方法,如惡作劇、縱火、破壞、怠工和勒索等行為,來損害業(yè)務(wù)系統(tǒng)和設(shè)施的風(fēng)險暴露性質(zhì)。從極端天氣到地球運動的自然事件也可能導(dǎo)致?lián)p失。

 

(三)步驟3:創(chuàng)建控制目標(biāo)-風(fēng)險暴露點矩陣

為了建立“控制目標(biāo)——風(fēng)險暴露點矩陣”,要完成該矩陣的橫軸與縱軸??v軸是控制目標(biāo)——風(fēng)險暴露點矩陣在步驟1中識別的控制目標(biāo)列表;橫軸是步驟2中識別的系統(tǒng)中存在損失風(fēng)險暴露點的列表。控制目標(biāo)——風(fēng)險暴露點矩陣的完成涉及兩個任務(wù)。

 

任務(wù)1:確定每個點位損失的概率

風(fēng)險分析小組必須檢查該矩陣中每個點。控制目標(biāo)——風(fēng)險暴露點矩陣的示例中風(fēng)險分析小組要確定每個點位的損失概率。這個估算應(yīng)當(dāng)基于風(fēng)險分析小組對本次以及其他類似應(yīng)用中的經(jīng)驗和判斷。概率應(yīng)當(dāng)如下標(biāo)準(zhǔn)計分:

3  在該點位的損失概率很高;

2  在該點位的損失概率一般;

1  在該點位的損失概率較低;

0  在該點位的損失概率極小或為0。

 

任務(wù)2:添加縱軸與橫軸的概率得分

概率得分應(yīng)當(dāng)被添加到縱列和橫行上。在控制目標(biāo)——風(fēng)險暴露點矩陣的示例中,控制目標(biāo)E在控制目標(biāo)合計數(shù)列中的得分為12;風(fēng)險暴露一的在風(fēng)險暴露合計數(shù)的得分為5。所有的行和列的數(shù)字都要進(jìn)行合計。雖然,添加的概率在統(tǒng)計資料上不是很精確,但這一步的目的是識別有最高損失概率的控制目標(biāo)點位。而且經(jīng)驗表明,這是改進(jìn)控制的一種很有用的工具。

 

(四)步驟4:確定建立或評估控制的高風(fēng)險點

控制目標(biāo)——風(fēng)險暴露點矩陣可以用于識別可能損失最大的點位和最難以實現(xiàn)的控制目標(biāo)。該矩陣基于以下兩個假設(shè):

● 最難實現(xiàn)控制目標(biāo)的地方就是發(fā)生問題最多的地方。

● 系統(tǒng)在其最薄弱的點位可能會發(fā)生損失。

 

步驟4的目的是選出最需要控制的點位。在上述示例中,僅選擇了一個點,但在實際情況中,可以選擇多個點。這個選點的方法要確認(rèn)控制目標(biāo)合計數(shù)的最高值和風(fēng)險暴露點合計數(shù)的最高值。在最高值被圈出之后,需要在兩個圈出最高值的點之間確認(rèn)它們的交叉點。

在這個步驟結(jié)束時,風(fēng)險分析小組已經(jīng)確定了最有可能損失的點位,以及對控制資源進(jìn)行分配的排序。這個排序是從合計數(shù)的得分由高至低往下排序的。

 

三、總結(jié)

控制目標(biāo)——風(fēng)險暴露點矩陣可以用兩種方式使用:

● 業(yè)務(wù)系統(tǒng)的設(shè)計人員可以確定在哪個點位使用最多的控制資源??梢栽谒酗L(fēng)險暴露點都設(shè)置控制措施。然而,在所有的風(fēng)險暴露點不需要實施同等強度的控制。排序較高的風(fēng)險暴露點位應(yīng)分配更多的控制資源。

● 控制設(shè)計師可以利用控制目標(biāo)——風(fēng)險暴露點矩陣來確定控制措施是否存在和有效。通過使用控制目標(biāo)——風(fēng)險暴露點矩陣,控制設(shè)計師可以對最可能發(fā)生損失的點位進(jìn)行排序??梢詫⒅攸c放在評估高風(fēng)險點的控制措施,因為他們不可能擁有那么多資源來評估某一業(yè)務(wù)系統(tǒng)中所有風(fēng)險暴露點的控制措施。

 

 來源:ICI中國總部  健庭

 

近期課程安排:3月、6月、9月、11月 

《國際注冊內(nèi)部控制師CICS資格認(rèn)證》面授及網(wǎng)絡(luò)課程學(xué)習(xí)班:

報名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

 

這篇文章對你有沒有幫助?有 0無 0
上一篇:嘉應(yīng)制藥重大投資被認(rèn)定存內(nèi)控缺陷?交易是否涉及利益輸送遭問詢下一篇:道真供電局全面加強依法經(jīng)營與內(nèi)控管理水平!