CICS內(nèi)控知識學習:如何確定系統(tǒng)中關鍵控制點的位置

2020-05-19 14:04
0個贊
摘要:在許多業(yè)務系統(tǒng)設計中,確定在業(yè)務應用程序中關鍵控制點的位置是設計和構(gòu)建內(nèi)部控制系統(tǒng)的重要部分。如果將內(nèi)部控制系統(tǒng)與業(yè)務交易處理系統(tǒng)相比,人們會發(fā)現(xiàn)更多的資金用于設計控制系統(tǒng)。重要的是在系統(tǒng)中選擇適當位置,從而優(yōu)化控制系統(tǒng)的總成本??刂葡到y(tǒng)不應被視為“附加的”成本,它是業(yè)務系統(tǒng)正常運行所需的成本。

國際注冊內(nèi)部控制師CICS內(nèi)控知識學習 

 

(本文為國際注冊內(nèi)部控制師CICS學習課程的知識介紹,其他專題課程還包括: 

國際注冊內(nèi)部控制師CICS課程報名鏈接

CICS內(nèi)控知識學習:交易處理控制中數(shù)據(jù)存儲與檢索的內(nèi)部控制,及案例分析

CICS內(nèi)控學習:交易處理控制中計算機處理內(nèi)部控制

CICS內(nèi)控學習:交易處理控制中數(shù)據(jù)通信內(nèi)部控制

CICS內(nèi)控學習:交易處理控制中錄入階段內(nèi)部控制

CICS內(nèi)控學習:交易處理控制中起始階段的內(nèi)部控制

CICS內(nèi)控學習:未實現(xiàn)計劃目標的風險暴露、目標管理

CICS內(nèi)控學習:受到法律制裁的風險暴露 典型案例 分布特點

CICS內(nèi)控學習:處于競爭劣勢的風險暴露、分析方法

CICS內(nèi)控學習:成本過高和收入不足的風險暴露、分析案例

歡迎大家關注國際注冊內(nèi)部控制師官方網(wǎng)站:內(nèi)控網(wǎng) www.neikong.com )

 

前言:

 

在許多業(yè)務系統(tǒng)設計中,確定在業(yè)務應用程序中關鍵控制點的位置是設計和構(gòu)建內(nèi)部控制系統(tǒng)的重要部分。如果將內(nèi)部控制系統(tǒng)與業(yè)務交易處理系統(tǒng)相比,人們會發(fā)現(xiàn)更多的資金用于設計控制系統(tǒng)。重要的是在系統(tǒng)中選擇適當位置,從而優(yōu)化控制系統(tǒng)的總成本。控制系統(tǒng)不應被視為“附加的”成本,它是業(yè)務系統(tǒng)正常運行所需的成本。

 

解釋:以行駛的汽車作為內(nèi)部控制的一個例子,有人說內(nèi)部控制就是汽車的“制動”系統(tǒng),當業(yè)務出現(xiàn)問題時,內(nèi)部控制應該起到保護的作用。這一說法并不完整,作為控制系統(tǒng),它應該是更加全面的,剎車、方向盤、動力傳輸、軸承、甚至油門,都是控制系統(tǒng)的一部分。

 

關鍵控制點應當設置于業(yè)務系統(tǒng)中風險暴露潛在損失最大的地方。如何選擇關鍵控制點的適當位置目前還沒有一套公認的最佳方式。不同的組織會有不同的選擇方法,例如:

● 增加內(nèi)部審計師或內(nèi)部控制師參與系統(tǒng)開發(fā)工作,以確保控制措施被設置在關鍵的風險暴露點位。

● 使用業(yè)務系統(tǒng)的“利益相關者”的知識和經(jīng)驗來設置確保交易處理有效性所需的控制類型。

● 要求業(yè)務部門負責設計業(yè)務系統(tǒng)的業(yè)務需求書,然后將建立控制措施的職責交給IT人員系統(tǒng)設計人員(外包管理)。

 

問題:

如果有合適的人員參與,這些辦法都能實現(xiàn)。但是,在開發(fā)內(nèi)部控制系統(tǒng)時,往往需要使用具有高度創(chuàng)造性的方式,因而,最后的結(jié)果是控制系統(tǒng)會有很高的可變性。這就意味著從一個業(yè)務系統(tǒng)到另一業(yè)務系統(tǒng),內(nèi)部控制系統(tǒng)可能不具有一致性。內(nèi)部控制措施可能在某一業(yè)務系統(tǒng)中控制有效,而在另一個系統(tǒng)則控制無效。

 

有一種可用于確定控制應設置在何處的好方法是:“控制目標-風險暴露點矩陣”,它將解釋如何確定將控制資源放在什么位置,在此位置上建立和實施關鍵控制點。

 

一、識別潛在控制缺陷的風險暴露點矩陣模型

 

識別潛在控制缺陷的風險暴露點矩陣,可以幫助系統(tǒng)設計人員識別具有較高潛在損失的風險位置。該矩陣并不需要達到統(tǒng)計學上數(shù)據(jù)精確的要求,但它可以證明在易遭受損失的領域使用該方法時,具有很高的可靠性。

 

該矩陣中控制目標為一個維度,另一個維度是系統(tǒng)中潛在損失的風險暴露點。系統(tǒng)設計人員評估該矩陣交叉點的位置上,風險暴露變成實際損失的可能性。通過識別控制缺陷將造成潛在損失概率最高的點位,系統(tǒng)設計人員可以洞察業(yè)務系統(tǒng)中最有可能遭受損失的地方,從而確定設置關鍵控制點的位置。

 

 控制目標——風險暴露點矩陣的目的是使組織能夠?qū)⒋蟛糠值目刂瀑Y源集中在風險排序最高的點位上,從而大大增加預防或檢測出潛在損失的概率。

 

二、建立和使用風險暴露點矩陣的流程

 

建立和使用“控制目標——風險暴露點矩陣”的四個步驟如圖所示。該矩陣的方法可以應用于內(nèi)控系統(tǒng)的項目小組、確認控制措施實施情況的評價小組,或由審計人員用于評估內(nèi)部控制的適當性。

 

(一)步驟1:確定控制目標

應該在業(yè)務系統(tǒng)的需求階段定義控制目標,并用文件記錄,這將成為在系統(tǒng)中建立關鍵控制點的依據(jù)。

 

一些組織為其業(yè)務系統(tǒng)使用通用的控制目標。許多組織,包括大型會計師事務所,都有關于特定業(yè)務系統(tǒng)的控制目標的文檔。例如,對于工資系統(tǒng),他們都具有工資系統(tǒng)控制目標的列表。

 

其他組織現(xiàn)在正在使用COSO“內(nèi)部控制——整合框架”,作為確定其控制目標的依據(jù)。雖然COSO框架沒有為許多控制活動提供具體的控制目標,但它確實提供了關于應該使用什么類型的控制目標來為特定組織定制控制措施的指導原則。

 

 在“控制目標——風險暴露點矩陣”中使用控制目標的目的,實際上是因為它們是一種正面的風險聲明。組織未能實現(xiàn)控制目標將可能導致?lián)p失。如果實現(xiàn)特定控制目標的定位太高,則無法實現(xiàn)該控制目標的概率也會很大。

 

步驟1的最終成果是針對檢查業(yè)務系統(tǒng)控制目標的一份詳細清單。這些控制目標將包括在“控制目標——風險暴露點矩陣”的控制目標維度中。

 

(二)步驟2:確定潛在的風險暴露點

 

系統(tǒng)往往會在最薄弱的環(huán)節(jié)出現(xiàn)問題。確定潛在風險暴露點的目的是識別所有可能發(fā)生損失的點位。如果在這些點位發(fā)生損失的概率高,則必須對這些點位實施有效的控制。

 

前面部分的內(nèi)容介紹了業(yè)務系統(tǒng)交易處理的六個階段:分別是交易起始、交易錄入、數(shù)據(jù)通信、計算機處理、數(shù)據(jù)存儲與檢索以及輸出處理。這六個階段可以作為業(yè)務系統(tǒng)的關鍵控制點。

 

建議將這六個階段的交易當作確定業(yè)務系統(tǒng)中控制目標——風險暴露點的依據(jù)。使用“控制目標——風險暴露點矩陣”,組織需要預先確定這六個階段的控制措施是否足夠,或者它們是否需要被細分為子階段。

 

例如,在交易錄入階段,可能會有三種不同的方式來輸入交易。例如,可以通過網(wǎng)站、通過電話或通過郵件。因此,它不是單個交易錄入點,可能需要具有三個不同的交易錄入點。

 

下面列出了業(yè)務系統(tǒng)中潛在損失點列表,內(nèi)容與交易處理的六個階段相一致。但除了描述之外,按照業(yè)務系統(tǒng)潛在損失發(fā)生嚴重性的順序列出。該表可能有助于確定哪個風險暴露點具有最大的潛在損失的風險。

 

這一步驟的最終結(jié)果將是一個業(yè)務系統(tǒng)中最有可能是發(fā)生損失的風險暴露點位的一覽表。這些點位將成為“控制目標——風險暴露點矩陣”的風險暴露維度。它們包括:

 

1、潛在損失嚴重性的列表

 

數(shù)據(jù)和報告準備區(qū)域以及計算機運行設施——人們發(fā)現(xiàn)手動功能最集中的物理位置是最薄弱的位置。根據(jù)業(yè)務系統(tǒng)中功能位置潛在損失嚴重性的排名,下表描述并排序了8個主要風險位置。

 

 

(1)計算機數(shù)據(jù)和報告準備

易損區(qū)域包括數(shù)據(jù)輸入、計算機設置、輸出控制與分發(fā)、數(shù)據(jù)采集和數(shù)據(jù)傳輸。

 

(2)計算機終端操作

易損區(qū)域包括計算機操作、機房設備管理、硬件維護、通信維護、內(nèi)網(wǎng)與外網(wǎng)的隔離設置等。

 

(3)非IT區(qū)域(用戶區(qū)域)

易損區(qū)域涉及業(yè)務決策,其中損失的風險暴露發(fā)生如市場營銷、銷售、營業(yè)部門和其他用戶領域等非IT領域。

 

(4)在線終端系統(tǒng)

薄弱區(qū)域處于在線系統(tǒng)內(nèi),通過執(zhí)行由終端命令生成的指令來發(fā)生的行為。對于終端指令、設備識別的控制措施很重要。

 

(5)編程辦公區(qū)

該區(qū)域包括辦公區(qū),在辦公室里多個程序員編制和存儲程序清單和文檔的辦公區(qū)域。

 

(6)在線數(shù)據(jù)準備和輸出報告處理區(qū)域

這一類別包括在數(shù)據(jù)準備的第一次討論中確定的相同的功能,但與這里相關聯(lián)的是在線終端,而不是計算機。

 

(7)媒體存儲設施

該區(qū)域包括數(shù)據(jù)庫和任何包含可用數(shù)據(jù)的存儲位置。

 

(8)中央處理程序

這些功能區(qū)域在計算機系統(tǒng)中,其中在計算機操作系統(tǒng)中發(fā)生的行為(不是從終端導入)。

 

解釋:

以某個在線生鮮APP為例,為了有效控制系統(tǒng)的運行,需要考慮的可能是用戶端操作簡便、可更新;服務器端響應速度和處理反應速度穩(wěn)定;營銷、廣告政策要符合用戶的使用場景和購買習慣;在線終端可以采用實名制、會員制來識別真實用戶;程序和數(shù)據(jù)備份可以采用私有云和公有云存儲相結(jié)合的方式;終端需要可以查詢、修改、刪除訂單的功能;中央處理程序需要與下單數(shù)據(jù)、庫存數(shù)據(jù)、派單數(shù)據(jù)、采購數(shù)據(jù)相結(jié)合。

 

在這些環(huán)節(jié)中,避免手工操作將會提升整體的系統(tǒng)效率;在傳統(tǒng)超市改造提升的過程中,一個是揀貨系統(tǒng)傳送帶的應用;另一個是生鮮商品統(tǒng)一規(guī)格打碼的應用;去除以往稱重環(huán)節(jié),改為近似重量按照個數(shù)來進行計算,提高了系統(tǒng)人員揀貨的速度。

 

類似的應用還有票務預定系統(tǒng)由人工電話預定到終端程序預定、醫(yī)院掛號、結(jié)算系統(tǒng)改為在線預約,終端掛號、結(jié)算;超市結(jié)賬增加自助結(jié)賬終端;都是為了提高效率,在輸入端減少人員投入,或盡量用信息化的方式進行系統(tǒng)錄入的工作。

  

2、意外損失與故意損失

 

錯誤和遺漏通常發(fā)生在勞動密集型職能中,其中人們參與細節(jié)工作。當具體、瑣碎而又激烈的活動需要精力高度集中時,易受影響的弱點就會出現(xiàn)。它們通常表現(xiàn)為數(shù)據(jù)錯誤、計算機程序錯誤(故障),以及設備或用品的損壞。這需要頻繁地重新運行作業(yè),糾正錯誤,以及更換和維修設備或用品。

 

然而,通常很難區(qū)分意外損失和故意損失。事實上,一些報告的故意損失來自犯罪者發(fā)現(xiàn)和利用會對他們有利的錯誤。

 

當發(fā)生損失時,員工和經(jīng)理傾向于首先指責計算機硬件出問題,因為這可以免除他們的責任,并且把問題推給供應商解決。然而問題很少出自硬件錯誤,但通常要證明這一點的情況卻不常見,很少有人要求在損失來源或其它地方去尋找原因。

 

管理人員往往會認為用戶部門或數(shù)據(jù)生成的來源發(fā)生了問題;或者IT部門可能會責怪另一計算機系統(tǒng)的工作人員。最后,當所有其他責任主體被排除時,IT員工才會懷疑自己的工作是否出錯。

 

在系統(tǒng)設計師、程序員、維護工程師和用戶之間很少會舉行非正式會議,來討論誰應當開始調(diào)查損失的原因。許多人從未想過損失可能是有人故意造成的。

 

許多員工不了解錯誤和遺漏之間、意外損失與故意造成的損失之間的顯著差異。自從開始自動化數(shù)據(jù)處理以來,使用計算機的組織已經(jīng)與意外損失或故意損失斗爭了許多年。

 

解釋:

以打車軟件為例,包車服務通常為半天4小時,一天8小時服務,超出的時間和公里數(shù)另外付費計算。人為的故意損失會發(fā)生在固定時間完成的時候,司機會和乘客進行結(jié)算。而超出的小時數(shù)則會自行約定一個價格。如果缺乏相應的監(jiān)管措施,平臺的收入將會遭受損失。

 

還有,當平臺的獎勵對司機的獎勵大于實際運載成本的時候,人為的損失會出現(xiàn)空載的情況。又或者打車公司對司機的考核和派單會和用戶滿意度相關,意圖在于提升用戶的趁車體驗和品牌形象,但是由于缺乏實際監(jiān)控操作方法,最終有些司機為了提高接單率,而會在到達目的地之前就和客戶結(jié)賬,并要求顧客給個好評。這就會和政策的初衷有一些違背,給其他司機帶來了不正當競爭的影響,同時降低了平臺應有的收入。

 

3、自然災害和人為因素造成的易損點

業(yè)務系統(tǒng)顯然易受各種自然災害和人為破壞的影響。業(yè)務系統(tǒng)和設施是脆弱的,入侵者可以使用簡單的方法,如惡作劇、縱火、破壞、怠工和勒索等行為,來損害業(yè)務系統(tǒng)和設施的風險暴露性質(zhì)。從極端天氣到地球運動的自然事件也可能導致?lián)p失。

 

(三)步驟3:創(chuàng)建控制目標-風險暴露點矩陣

為了建立“控制目標——風險暴露點矩陣”,要完成該矩陣的橫軸與縱軸。縱軸是控制目標——風險暴露點矩陣在步驟1中識別的控制目標列表;橫軸是步驟2中識別的系統(tǒng)中存在損失風險暴露點的列表。控制目標——風險暴露點矩陣的完成涉及兩個任務。

 

任務1:確定每個點位損失的概率

風險分析小組必須檢查該矩陣中每個點??刂颇繕?mdash;—風險暴露點矩陣的示例中風險分析小組要確定每個點位的損失概率。這個估算應當基于風險分析小組對本次以及其他類似應用中的經(jīng)驗和判斷。概率應當如下標準計分:

3  在該點位的損失概率很高;

2  在該點位的損失概率一般;

1  在該點位的損失概率較低;

0  在該點位的損失概率極小或為0。

 

任務2:添加縱軸與橫軸的概率得分

概率得分應當被添加到縱列和橫行上。在控制目標——風險暴露點矩陣的示例中,控制目標E在控制目標合計數(shù)列中的得分為12;風險暴露一的在風險暴露合計數(shù)的得分為5。所有的行和列的數(shù)字都要進行合計。雖然,添加的概率在統(tǒng)計資料上不是很精確,但這一步的目的是識別有最高損失概率的控制目標點位。而且經(jīng)驗表明,這是改進控制的一種很有用的工具。

 

(四)步驟4:確定建立或評估控制的高風險點

控制目標——風險暴露點矩陣可以用于識別可能損失最大的點位和最難以實現(xiàn)的控制目標。該矩陣基于以下兩個假設:

● 最難實現(xiàn)控制目標的地方就是發(fā)生問題最多的地方。

● 系統(tǒng)在其最薄弱的點位可能會發(fā)生損失。

 

步驟4的目的是選出最需要控制的點位。在上述示例中,僅選擇了一個點,但在實際情況中,可以選擇多個點。這個選點的方法要確認控制目標合計數(shù)的最高值和風險暴露點合計數(shù)的最高值。在最高值被圈出之后,需要在兩個圈出最高值的點之間確認它們的交叉點。

在這個步驟結(jié)束時,風險分析小組已經(jīng)確定了最有可能損失的點位,以及對控制資源進行分配的排序。這個排序是從合計數(shù)的得分由高至低往下排序的。

 

三、總結(jié)

控制目標——風險暴露點矩陣可以用兩種方式使用:

● 業(yè)務系統(tǒng)的設計人員可以確定在哪個點位使用最多的控制資源。可以在所有風險暴露點都設置控制措施。然而,在所有的風險暴露點不需要實施同等強度的控制。排序較高的風險暴露點位應分配更多的控制資源。

● 控制設計師可以利用控制目標——風險暴露點矩陣來確定控制措施是否存在和有效。通過使用控制目標——風險暴露點矩陣,控制設計師可以對最可能發(fā)生損失的點位進行排序??梢詫⒅攸c放在評估高風險點的控制措施,因為他們不可能擁有那么多資源來評估某一業(yè)務系統(tǒng)中所有風險暴露點的控制措施。

 

 來源:ICI中國總部  健庭

 

近期課程安排:3月、6月、9月、11月 

《國際注冊內(nèi)部控制師CICS資格認證》面授及網(wǎng)絡課程學習班:

報名鏈接:http://www.neikong.com/kecheng/detail_870826

聯(lián)系電話:010-68004176、68004186

聯(lián) 系 人:孫老師、邱老師

 

這篇文章對你有沒有幫助?有 0無 0
上一篇:嘉應制藥重大投資被認定存內(nèi)控缺陷?交易是否涉及利益輸送遭問詢下一篇:道真供電局全面加強依法經(jīng)營與內(nèi)控管理水平!