CICS內(nèi)控學(xué)習(xí):交易處理控制中起始階段的內(nèi)部控制

2020-03-31 23:58
0個贊
摘要:交易起始階段屬于交易處理六個階段之一,它通常包括:控制源文件的發(fā)起、批準(zhǔn)和處理,信息技術(shù)輸入交易的準(zhǔn)備、以及相關(guān)的錯誤預(yù)防、檢測和更正過程的應(yīng)用程序控制。交易起始控制用于在數(shù)據(jù)進(jìn)入計算機應(yīng)用系統(tǒng)之前確保數(shù)據(jù)的準(zhǔn)確性和完整性。交易起始控制區(qū)域的范圍包括直到將數(shù)據(jù)轉(zhuǎn)換成機器可讀格式的所有控制措施。

國際注冊內(nèi)部控制師CICS內(nèi)控知識學(xué)習(xí)  

 

(本文為國際注冊內(nèi)部控制師CICS學(xué)習(xí)課程的知識介紹,其他專題課程還包括: 

CICS內(nèi)控學(xué)習(xí):【目錄鏈接】 

CICS內(nèi)控學(xué)習(xí):交易處理控制中數(shù)據(jù)通信內(nèi)部控制 

CICS內(nèi)控學(xué)習(xí):交易處理控制中錄入階段內(nèi)部控制 

CICS內(nèi)控學(xué)習(xí):交易處理控制中起始階段的內(nèi)部控制 

CICS內(nèi)控學(xué)習(xí):未實現(xiàn)計劃目標(biāo)的風(fēng)險暴露、目標(biāo)管理 

CICS內(nèi)控學(xué)習(xí):受到法律制裁的風(fēng)險暴露 典型案例 分布特點 

CICS內(nèi)控學(xué)習(xí):處于競爭劣勢的風(fēng)險暴露、分析方法 

CICS內(nèi)控學(xué)習(xí):成本過高和收入不足的風(fēng)險暴露、分析案例 

歡迎大家關(guān)注公眾號:<內(nèi)控網(wǎng)> 互動交流,官方網(wǎng)站:內(nèi)控網(wǎng) www.neikong.com 

 

前言: 

《薩班斯-奧克斯利法案》(簡稱:《薩奧法案》)帶來的全新的監(jiān)管理念和商業(yè)規(guī)范,不僅僅對上市公司的財務(wù)報告提出誠信要求,而且對其財務(wù)報告形成的過程,以致延伸到企業(yè)的內(nèi)部管理過程提出了誠信要求。簡單地說,《薩●奧法案》不僅要求控制結(jié)果,還要求證明控制過程。

 

對于管理層責(zé)任而言,《薩奧法案》404條款,要求首席執(zhí)行官和財務(wù)總監(jiān)對內(nèi)部控制的建立和有效性簽署聲明;通過將建立內(nèi)部控制的責(zé)任放到企業(yè)高管層,《薩奧法案》期望企業(yè)最高治理層承擔(dān)最大責(zé)任。

 

《薩奧法案》302條款要求企業(yè)建立內(nèi)部控制來保護文檔的可靠性,公司的首席執(zhí)行官(CEO)和首席財務(wù)官(CFO)對此負(fù)有責(zé)任。如果被指控有財務(wù)欺詐行為,美國證交會可以根據(jù)該公司高管簽署的書面聲明,以“偽證罪”直接對他們進(jìn)行起訴,而上市公司高管如要證明自己無罪,必須自行向司法監(jiān)管機構(gòu)提交證交會要求所保管的相關(guān)記錄的文檔證明資料。

 

這也從另一個角度說明了本篇文章關(guān)于交易起始控制的重要性。下面我們就交易處理控制中起始階段的內(nèi)部控制展開介紹。

  

一、交易起始控制概述  

 

在交易處理期間,事件要經(jīng)歷六個不同的階段。分別是:交易起始、信息技術(shù)交易錄入、數(shù)據(jù)通信、計算機處理、數(shù)據(jù)存儲和檢索、輸出處理。

 

交易起始階段屬于交易處理六個階段之一,它通常包括:控制源文件的發(fā)起、批準(zhǔn)和處理,信息技術(shù)輸入交易的準(zhǔn)備、以及相關(guān)的錯誤預(yù)防、檢測和更正過程的應(yīng)用程序控制。  

 

交易起始控制用于在數(shù)據(jù)進(jìn)入計算機應(yīng)用系統(tǒng)之前確保數(shù)據(jù)的準(zhǔn)確性和完整性。交易起始控制區(qū)域的范圍包括直到將數(shù)據(jù)轉(zhuǎn)換成機器可讀格式的所有控制措施。

 

解釋:

管理層、系統(tǒng)人員和控制設(shè)計人員越來越重視交易起始控制,以確保準(zhǔn)備進(jìn)入系統(tǒng)的信息具有合法性、可靠性、成本效益以及不易于泄露秘密等要求。 這涉及到源文件保存、源文件整理、規(guī)則的制定、格式的要求等等環(huán)節(jié),可以說這是一個企業(yè)業(yè)務(wù)、信息的來源所在。

 

以銀行柜臺業(yè)務(wù)為例,紙質(zhì)文件或電子文件的簽名存檔整理,信息系統(tǒng)的數(shù)據(jù)格式準(zhǔn)備,相關(guān)業(yè)務(wù)審核獲得授權(quán),都是交易起始的環(huán)節(jié)。它讓每一筆業(yè)務(wù)都有序的進(jìn)行,出現(xiàn)錯誤也可以立刻進(jìn)行核對以及錯誤處理等操作。

 

交易起始控制有五個控制區(qū)域:源文件起始、授權(quán)、信息技術(shù)輸入準(zhǔn)備、源文件保留和源文件錯誤處理。其中前三個控制區(qū)域直接和交易處理流程相關(guān)。源文件保存是主流程的一個分支,源文件錯誤處理是源文件錯誤反饋循環(huán)的一部分。

 

解釋:

交易起始控制和交易處理輸入控制之間的區(qū)別在于,在將數(shù)據(jù)轉(zhuǎn)換為交易輸入格式之前發(fā)生交易起始控制。交易起始和交易輸入控制都可以限制數(shù)據(jù)進(jìn)入計算機應(yīng)用系統(tǒng)。直到數(shù)據(jù)已輸入應(yīng)用程序系統(tǒng)并且應(yīng)用程序嘗試處理數(shù)據(jù)時,計算機處理控制才會生效。

 

二、交易起始控制的必要性

 

交易起始控制對于確保準(zhǔn)備好用于進(jìn)入計算機應(yīng)用系統(tǒng)信息的完整性和準(zhǔn)確性是必要的。計算機應(yīng)用系統(tǒng)的有效性直接取決于它所基于的數(shù)據(jù)源。

 

計算機應(yīng)用系統(tǒng)中,數(shù)據(jù)的有效性和準(zhǔn)確性直接與初始數(shù)據(jù)控制的功能相關(guān)。因此,重要的是盡可能接近起始點建立數(shù)據(jù)的控制措施。

 

 在設(shè)計開發(fā)交易起始控制時,組織可能希望確保:

 交易起始授權(quán)不由擁有資產(chǎn)保管權(quán)或記錄訪問權(quán)的人員執(zhí)行;

 交易起始不由計算機操作人員執(zhí)行;

 有關(guān)原始文件編制的指示以書面形式具體描述。

 

解釋:

這里組織應(yīng)考慮不相容職務(wù)分離的問題,不相容職務(wù)是指有些職務(wù),如果由一個人擔(dān)任,此人既有可能發(fā)生錯誤或舞弊行為,還有可能掩蓋這些錯誤或弊端行為。

 

為了通過使用應(yīng)用系統(tǒng)控制來檢查如何滿足控制目標(biāo),可以將交易起始的過程分為五個控制區(qū)。在這些控制區(qū)域內(nèi)的每一種控制是一種或多種類型的控制。每個控制類型包括組織已經(jīng)用于控制交易起始的一個或多個特定應(yīng)用控制。

  

三、交易起始控制結(jié)構(gòu)

 

(一)源文件起始控制區(qū)域——包括用于確保正確和及時記錄數(shù)據(jù)的程序和方法??刂祁愋桶〞娉绦?、源文檔設(shè)計、源文件存儲和源文件處理。對應(yīng)的控制措施為用戶程序和手冊、交易標(biāo)識、源文件存儲、雙重保管。

 

1.1書面程序控制類型中用戶程序和手冊控制措施——用于指導(dǎo)輸入交易的正確啟動、審查和授權(quán)。這些書面說明包括:準(zhǔn)備文件、規(guī)范文件流程、促進(jìn)遵守時間表、控制特殊代碼的使用、描述輸入密鑰的要求等。

 

解釋:

書面用戶程序是業(yè)務(wù)功能程序分析的總結(jié),它能精確地確定必須完成什么以及用于實現(xiàn)功能目標(biāo)的步驟。

書面用戶程序通常是用戶手冊的一部分。除了書面的用戶程序之外,用戶手冊還可能包含文件的示例、系統(tǒng)控制責(zé)任、管理組織和授權(quán)責(zé)任。

 

1.2源文件設(shè)計控制類型中交易識別控制措施,在計算機系統(tǒng)中輸入的每個交易必須攜帶交易標(biāo)識。這種交易識別可以以各種形式(即,序列號、順序號、交易代碼)來完成。重要的是交易標(biāo)識包含唯一標(biāo)識特定交易所需的所有信息。

 

1.3源文件存儲控制類型中責(zé)任說明控制措施,可說明責(zé)任的文件是那些已經(jīng)被組織指定為某種形式的必須有嚴(yán)格會計核算的文件??烧f明責(zé)任的文件都被存儲在安全的位置。與其他控制(例如,順序號)結(jié)合使用為安全存儲提供了一種機制說明這些文件的原因。  

 

解釋:可說明責(zé)任的文件類似會計憑證、工作底稿、或會議紀(jì)要,很多這類的資料在監(jiān)管機構(gòu)有明確的儲存時間要求。這類文檔記錄要存放在安全的位置以備遇到問題的時候查詢。

 

1.4源文件處理控制類型中雙重保管控制措施——雙重保管系統(tǒng)是用于維護可說明責(zé)任形式的控制。這種方法要求信息技術(shù)成員和用戶部門的成員共同授權(quán)從存儲區(qū)域釋放預(yù)編號的表格。然后在處理循環(huán),使用該方法,直到未使用的表格已經(jīng)返回到存儲區(qū)域。

 

解釋:雙重保管還需要考慮不相容職責(zé)分離的情況,由與先前過程無關(guān)聯(lián)的個人維護其他項目(例如,密鑰、簽名章等)。技術(shù)成員是的安保人員,用戶部門成員是業(yè)務(wù)人員,他們在系統(tǒng)穩(wěn)定的前提下從系統(tǒng)中申請資源用于業(yè)務(wù),完成后再存回系統(tǒng)中。

 

(二)授權(quán)控制區(qū)域——源文件授權(quán)的流程可細(xì)分為控制各類型相關(guān)的源文件準(zhǔn)備、書面程序和源文件批準(zhǔn)。

 

授權(quán)控制區(qū)域的控制措施包括用于確保源數(shù)據(jù)得到適當(dāng)授權(quán)的程序和方法。在源文件起始之后,使用控制技術(shù)來確保源數(shù)據(jù)已得到正確授權(quán)。授權(quán)證據(jù)可以通過人工內(nèi)部控制程序或計算機交易識別處理進(jìn)行審查。

 

解釋:鑒于當(dāng)今計算機硬件和軟件的進(jìn)步,計算機越來越多地用于校對錄入的授權(quán)。隨著這一趨勢的持續(xù),控制設(shè)計師在這種環(huán)境中擁有測試工具變得至關(guān)重要。此處討論的授權(quán)程序僅適用于與源文件起始有關(guān)的部分。與終端使用相關(guān)的程序處理控制和授權(quán)過程將在后面的章節(jié)中討論。

 

2.1源文件準(zhǔn)備控制類型中簽名控制措施,用于向始發(fā)源提供證據(jù)跟蹤。源文件上的核準(zhǔn)簽字用于提供適當(dāng)交易授權(quán)的證據(jù)。

 

解釋:授權(quán)層級通常意味著個人批準(zhǔn)特定交易的權(quán)力。為輸入處理程序提供授權(quán)證據(jù)。這種授權(quán)證據(jù)可以通過輸入文件上的簽名、電子簽名或通過在終端環(huán)境中使用特定安全措施和密碼控制。

 

2.2批準(zhǔn)源文件控制類型中批準(zhǔn)證明控制措施,具體交易的批準(zhǔn)可以通過幾種方式進(jìn)行。輸入文件應(yīng)提供核準(zhǔn)的證據(jù)。這種核準(zhǔn)可能與授權(quán)流程相關(guān)。

 

解釋:重要的是,不管選擇什么審批機制,審批流程都有書面形式的文檔記錄。書面記錄可以包括審批過程中的各種記錄、資料等。

 

(三)信息技術(shù)輸入準(zhǔn)備控制區(qū)域

在源文件起始和授權(quán)之后,有必要進(jìn)一步準(zhǔn)備用于信息技術(shù)輸入的數(shù)據(jù)。在信息技術(shù)輸入準(zhǔn)備中控制措施是很重要的,它們可以確保數(shù)據(jù)從開始到數(shù)據(jù)轉(zhuǎn)換流程的準(zhǔn)確性和完整性,便于準(zhǔn)備下一步的計算機處理??刂祁愋桶ǎ航灰鬃R別、用戶輸入審查、批處理、日志記錄和傳輸。

 

3.1交易標(biāo)識控制類型中用戶標(biāo)識控制措施,用戶標(biāo)識具有唯一性(即,雇員編號和/或用戶部門代碼)和密碼用于限制用戶可以處理的交易以及用戶可以訪問的文件。

  

3.2輸入審查控制類型中的人工審查控制措施,用戶人員對源文件進(jìn)行人工審查,以確保在輸入技術(shù)之前信息的完整性和準(zhǔn)確性。

 

解釋:人工審查多用于核對關(guān)鍵信息或者對源文件按比例進(jìn)行一定的抽查。

 

3.3批處理控制類型中的批次控制與平衡控制措施,起始點數(shù)據(jù)處理的批次和平衡源數(shù)據(jù),源數(shù)據(jù)應(yīng)盡可能接近原點,進(jìn)行批處理和平衡,以便建立對源數(shù)據(jù)源的控制。

 

解釋:交易按照輸出分類(如公司總部、區(qū)域辦事處或分支機構(gòu))進(jìn)行分組。信息技術(shù)交易分批組織,以促進(jìn)其進(jìn)一步處理。批處理是一種用于避免在處理期間丟失各個交易的方法。

 

在生產(chǎn)企業(yè)批次管理中,有批次、數(shù)量、質(zhì)量、責(zé)任、狀態(tài)的管理;分批投料、分批加工、分批檢驗、分批出廠、分批保管、分批裝配環(huán)節(jié)的控制。這樣就能使產(chǎn)品在周轉(zhuǎn)過程中工序不漏、數(shù)量不差、零件不混,一旦發(fā)生質(zhì)量問題能夠迅速準(zhǔn)確地查出原因,把返修報廢的數(shù)量和用戶使用的影響限制在最低程度。信息化系統(tǒng)也可以借鑒這類的管理措施。

 

3.4記錄控制類型中組織之間的源文件傳輸日志控制措施——運行記錄的技術(shù)(例如,記錄清點、控制總量)被用于記錄在組織處理源文件之間的交易流程或批處理。主要用戶區(qū)中的運行記錄被用于在初始源附近建立控制。

  

解釋:系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息,同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。系統(tǒng)日志包括系統(tǒng)日志、應(yīng)用程序日志、安全日志。

 

3.5傳輸控制類型中傳輸文件控制措施,正式傳送文件是用于控制文件在不同用戶之間的移動和數(shù)據(jù)輸入功能。在整個處理周期中使用在源頭處或附近準(zhǔn)備的傳送文件。這意味著它們在通過信息技術(shù)輸入/輸出控制功能從用戶部門輸入并返回到用戶區(qū)域的過程中,遵循交易流程。

 

(四)源文件保留控制區(qū)域

控制包括確保源文件正確保留的程序和方法,以及為保持重建在處理期間丟失的數(shù)據(jù)或數(shù)據(jù)被破壞的能力而維護的源數(shù)據(jù)的充分備份。討論的類型包括源文件保留特性,源文件的歸檔和保留存儲。源文件的識別和歸檔有助于法規(guī)、公司政策或恢復(fù)目的所需的歷史參考資料。

 

4.1源文件保留控制類型中保留日期控制措施,保留日期通常直接放在源文件上,它們被設(shè)置在附帶的文件上,例如批量單和/或源文檔容器。每個文檔包含保留期作為標(biāo)識特征。對源文件的保留日期是基于法律要求和/或管理政策。

 

4.2源文件歸檔控制類型中原件保存控制措施,原始文件副本保存在始發(fā)地,以便出現(xiàn)源文件在隨后的傳輸和處理過程中丟失或損壞時提供備份。每當(dāng)源文件離開部門時,源文件的副本將保留在用戶部門中。

  

4.3保留存儲控制類型中控制訪問控制措施,對于保留存儲設(shè)施限制訪問,控制訪問記錄,并僅限于授權(quán)人士才能訪問。

 

 

(五)源文件錯誤處理控制區(qū)域

包括用于確保系統(tǒng)中此時被拒絕的所有交易得到及時糾正和重新進(jìn)入的程序和方法。該區(qū)域的控制措施確保在任何處理周期結(jié)束時處理所有錯誤??刂茀^(qū)域包括:錯誤程序、錯誤檢測、錯誤校正處理,以及重新提交已更正數(shù)據(jù)。

 

5.1錯誤程序控制類型中書寫錯誤控制措施,書寫錯誤處理程序用于向用戶人員提供源文件錯誤檢測、錯誤糾正和更正的數(shù)據(jù)重新提交的全面說明。

 

書面程序的正式程度和細(xì)節(jié)通常取決于以下兩個主要因素:數(shù)據(jù)的關(guān)鍵性;要遵循的計算機編輯的程度和形式。

 

解釋:大多數(shù)公司往往對其財務(wù)應(yīng)用系統(tǒng)具有專門開發(fā)的程序?qū)彶椋ɡ?,批?zhǔn)簽名的驗證技術(shù))。目前的趨勢是使計算機盡可能多地執(zhí)行這些合規(guī)性性的驗證程序。

 

5.2錯誤檢測控制類型中錯誤日志控制措施,錯誤日志用于跟蹤未解決的錯誤,并確保其更正并及時重新進(jìn)入系統(tǒng)。這樣的錯誤日志保存在用戶區(qū)域中以記錄和監(jiān)視由信息技術(shù)輸入準(zhǔn)備功能報告的錯誤。

 

5.3錯誤糾正處理控制類型中錯誤通知控制措施,用戶能夠及時得到所有源文件錯誤情況的通知。

 

5.4更正的數(shù)據(jù)的重新提交控制類型中錯誤更正監(jiān)控的控制措施,所有已發(fā)現(xiàn)錯誤的日志用于監(jiān)視及時重新提交已更正的數(shù)據(jù)。當(dāng)重新提交每個已更正的源文件時,將其從日志中劃掉,并在日志中輸入重新提交的日期。在每個處理周期結(jié)束之前,向用戶區(qū)域提供正被保持以待糾錯重新提交的源文件的報告。該報告用于在處理周期結(jié)束之前清除系統(tǒng),以便觀察到適當(dāng)?shù)南到y(tǒng)截止。

 

總結(jié):

 

對于《薩奧法案》中內(nèi)部控制的責(zé)任、可靠性、文檔證明資料的保管等要求,簡單地說,《薩奧法案》不僅要求控制結(jié)果,還要求證明控制過程。

 

我們不能簡單的寄希望于依靠簡單的制度文檔來說明內(nèi)部控制的有效性,還應(yīng)該更多地利用信息化互聯(lián)網(wǎng)的科技力量來幫助控制過程的實現(xiàn)。

 

如果我們從原始文檔存儲、統(tǒng)一文檔標(biāo)準(zhǔn)、用戶程序和手冊制定、電子信息轉(zhuǎn)化、技術(shù)人員保障、審核人員授權(quán)、批次管理、系統(tǒng)日志管理、輸入設(shè)備識別、用戶識別、人工審查、傳輸加密、錯誤處理、錯誤監(jiān)控、錯誤跟蹤、業(yè)務(wù)數(shù)據(jù)備份、程序功能備份、多云端備份等環(huán)節(jié)都設(shè)置了內(nèi)部控制的要求和響應(yīng)的措施,也就可以對企業(yè)內(nèi)部控制設(shè)計和執(zhí)行的有效性增加信心。

 

來源:ICI中國總部  健庭

 

 

近期課程安排:3月、6月、9月、11月 

《國際注冊內(nèi)部控制師CICS資格認(rèn)證》面授及網(wǎng)絡(luò)課程學(xué)習(xí)班:

報名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

  

這篇文章對你有沒有幫助?有 0無 0
上一篇:國都證券因內(nèi)控不完善遭到處罰?兩年前董事長臨危受任、曾豪言壯語3-5年躋身第一梯隊下一篇:國藥集團馮了性藥材飲片:強化營銷引領(lǐng)企業(yè)發(fā)展?優(yōu)化內(nèi)控打造企業(yè)品牌