CICS内控学习：从标准、合规性与强制实施角度理解交易处理控制和系统控制的差异

CICS内控学习 2022年11月27日 12:22 331 内控网

国际注册内部控制师CICS内控知识学习

一、标准、合规性与强制实施的关系

在业务活动内部控制评估中，需要了解标准、合规性与强制实施的概念。标准是测评某一事项的参照物。例如，如果你购买一磅糖，磅就是一个标准，糖的重量是根据标准来衡量的并判断其是否符合要求。企业可能有一项标准规定，员工每周工作超过40小时的工时算加班，加班费按正常工资的1.5倍来支付。

控制的目标在于检测不符合规定标准或与标准的意图不一致的情况。内部控制应当确定交付成果是否符合标准。而强制实施就是对不符合标准的情况采取纠正行动的责任。管理层需要制定控制规则来判断交付到下一个阶段或客户的交付产品是否符合标准的要求，以及不符合标准的交付产品经过改进措施是否可以重新达到交付的要求。

解释：

确定可交付产品是否符合标准通常是员工的责任。在许多组织中，检查是否符合标准是由计算机系统中建立的自动化程序执行的。它应该是构建可交付产品的团队/员工的责任。强制实施是管理层责任。然而，管理层可以预先做出强制实施的决定，将执行的职责委派给员工。例如，在检验过程中，管理层可以规定任何可交付产品如果存在缺陷，在缺陷得到纠正之前，不能将交付产品发送到下一个工作环节。

二、区分业务活动控制类型的理由

在讨论标准、合规性和强制实施的基础上，查看系统和交易处理控制之间的差异。内部控制设计人员首先需要理解区分业务活动控制类型的理由：

● 职责分离——不相容职责分离的原则是，任何一个人不应当从头到尾执行一项业务并有可能隐瞒该业务。由于交易处理执行业务，人们不希望负责交易处理的系统或个人能够隐瞒业务的存在。因此，我们使用交易处理来执行业务活动，使用系统控制来确保业务活动不被隐瞒。例如，某人或许有可能改变单个员工的薪酬，这是交易处理的一部分。然而，如果系统控制将应支付的薪酬与实际支付的薪酬进行比较，就可以发现这种篡改工资标准的行为。

● 非常规交易——自动化业务系统通常用于处理常规的交易。管理常规交易处理的控制措施通常设计良好。而非常规交易需要特殊的控制措施。例如，采购系统可能涵盖所有常规采购活动，但是诸如土地或建筑物的购置是非常规的，需要高级管理层甚至董事会开会做出决策。因此，非常规交易应当在系统层面处理，而不是在交易处理层面解决。

三、交易处理控制和系统控制的差异

对交易处理控制主要强调的是符合标准，并确定交易处理是按照标准执行的。通常与交易处理控制相关的控制类型包括：

● 输入数据验证程序；

● 处理的合理性检查；

● 对不遵守标准情况的自动处理措施；

● 验证交易是否经过适当授权；

● 拒绝不符合系统规则的交易；

● 编写和提交不合规情况的报告。

解释：

如果有一个标准规定，顾客不能购买超过其信用额度的货物，交易处理系统应当针对这个标准检查交易处理情况。这里的标准就是信用额度。交易处理应当识别不符合标准的情况并记录它。如果管理层已经授权某一员工对不符合标准的交易进行处理，那么，交易处理控制必须包括这些交易的处理情况。如果管理层没有授权处理超标准的交易事项，则这种强制实施的交易处理就属于不合规事项，那么，就应当向上级报告。

对系统控制主要关注那些不符合标准儿又被强制实施的交易处理区域。强制实施很容易理解，因为它涉及管理层的行动。通常是职能管理部门管理其业务系统正在处理的活动。然而，如果高级管理层尚未将权力下放给职能管理部门，那么要采取纠正行动是必须向上级报告此种行为。

通常与系统控制相关的控制措施类型包括：

● 制定处理交易时应遵循的程序；

● 制定交易处理标准；

● 识别不符合系统标准的交易，但如果要进行处理，则需要符合组织的意图；

● 制定和执行对账程序；

● 认别和创建表明系统正常运行的关键指标。

解释：

在合规区域中查看系统控制时，必须从最广泛的角度来看待合规性。合规性不仅包括遵守标准，还包括确保事件不被隐瞒。隐瞒可以是有意或无意的。确保事件不被隐瞒的最有效控制措施是执行对账程序。例如，一份装运单据可能遗失，因此没有要求顾客付款；或有人故意破坏航运单据，以便不用向“受照顾”的客户收费，核对过程是系统控制的重要内容。

来源：国际内部控制协会ICI中国总部健庭

近期课程安排：

《国际注册内部控制师CICS资格认证》面授及网络课程学习班：

报名链接：http://www.neikong.com/s/pc/#/course/detail/1527212/1473841/info

联系电话：010-68004176、68004186

联系人：孙老师、邱老师

报名咨询二维码：