CICS内控学习：影响实现应用控制目标的风险暴露

CICS内控学习 2022年11月28日 10:31 479 内控网

国际注册内部控制师CICS内控知识学习

一、应用控制目标与风险暴露

应用控制目标包括系统控制和交易处理控制的目标。每个应用程序/可控制活动都有两个组成部分，它们既控制系统，又控制系统处理的交易。应用控制设计人员需要有更加明确的目标。了解影响应用控制目标实现的风险暴露类型，将有助于制定更为具体的应用控制目标。

解释：

应用程序的三个主要的控制目标是准确性、完整性和授权。其他控制目标则是这三个目标的补充。对这些目标的重视程序可能取决于评估人员是从财务角度还是运营角度来看待问题。

“控制目标”是指要求内部控制完成的任务或达到的标准，用于促进企业组织的有效营运,以确保各部门均能发挥应有的功能。“风险暴露”是指存在可能导致组织损失的某些事件。“风险暴露”来自威胁（即触发损失发生的原因）的潜在损失，可以采用货币数量或无形资产价值的形式与以衡量。

解释：

“风险暴露“是指潜在损失，它并不意味着组织实际发生了损失，而是存在发生损失的可能性。例如“未经授权交易”的风险暴露，不能得出已发生损失的结论，因为系统中未经授权交易的某些事项可能在其他环节被检测和发现，并在处理过程中删除了该交易事项。

审计文献和会计研究确定了广义的业务与交易处理的风险暴露，它们可被划分为系统风险暴露和交易处理风险暴露，如图1所示，列出了9个应用控制目标和可能影响这些应用控制目标实现的14个系统与交易处理的风险暴露。企业可以制定一套适用的应用控制目标，用于应用控制设计和评估的要求。选择控制目标可以用于解释在应用程序中使用控制的方法。

图1影响实现应用控制目标的风险暴露

解释：

图中说明这些通用系统在哪些方面存在较高的风险暴露可能性，从而影响控制目标的实现。例如，如果存在未经授权交易的威胁，无论是故意违规操作，还是无意处理未授权的交易事项，则交易都可能不准确，因为未经授权的交易数据被输入系统中，自然无法实现使用已核准数据的目标。

一旦系统设计者能理解这些广泛的风险暴露类别，他们就可以定义控制系统所需的控制目标。这些控制目标成为首先确定在系统的哪些地方设置控制点，以便将风险暴露降至最低的依据；其次，有助于选择用于使风险暴露最小化的特定控制措施。

下面讨论系统风险暴露的主要类型（理解这些常见的风险暴露将有助于系统设计者编写所需的控制目标，这些控制目标将成为建立内部控制系统的高标准要求）。

二、风险暴露类型：保存错误的记录

计算机化应用涉及的6项活动包括：记录和转换（输入）、传输、处理、存储、访问、使用（包括输出）。任何风险暴露起因的背后都存在许多先决条件，例如，天灾、故意行为、意外错误或遗漏等。意外错误和遗漏是最为常见的情况，可以发生在交易活动流程（记录、传送或处理）的任何一点上。

研究表明，通过意外错误和遗漏造成的损失要比任何其他单一原因的造成的损失大得多。保存错误记录的风险暴露通常被控制设计师认为是最大的风险暴露。正因如此，审计师和业务分析师通常花费大量的时间来评估控制措施，旨在发现错误和遗漏及其可能造成的与财务报表相关的错误记录。

由于计算机系统变得更加集成和复杂，很少有人会去监督整个交易处理过程，编程规则就变得更加重要。分析师可以不再依赖人工来捕捉计算机错误。使用在线应用程序，例如电子资金转账，甚至可能没有硬拷贝也能进行审查。

在计算机化的应用中，错误主要发生在计算机化应用的三种活动中。这三种活动是记录与转换、处理和使用。出现在其他活动中的错误并不普遍。

记录与转换的活动是最容易出现的一种错误。正是在这一活动期间，信息被转换为计算机可读介质。在许多系统中，将数据转换为机器可读格式的成本和各种努力经常会超过处理和输出成本。

在记录与转换活动期间，以下类型的错误是普遍的：

● 输入错误的信息；

● 调换数据；

● 将数据输入错误的字段；

● 使用无效的代码；

● 从错误的文档拷贝；

● 曲解难以辨认的笔迹；

● 错误的按键。

处理活动可能产生错误的数据。当编程的处理规则有错误时，问题的严重性可能会非常大。记录与转换错误往往是单独的错误，而处理错误通常包括某一类型的每一笔交易。如果商品的定价不正确，则该商品的每次销售价格都将是错误的。导致处理错误的条件类型如下：

● 错误的编程；

● 使用错误的输入；

● 在需要变更之前或之后，将变更放入程序。

发生错误的另一个活动是使用数据。然而，与处理类似的错误相反，使用错误的信息或数据也倾向于是单独的错误。在使用数据活动时发生的错误类型包括：

● 使用错误的信息；

● 使用错误的报告版本；

● 错误解释数据；

● 输出错误；

● 输出结果丢失。

应用的其他活动不易受错误和遗漏的影响。然而，它们对减少错误记录的风险暴露仍然是重要的。下面讨论每一活动，并简要说明在该活动期间错误是如何发生的：

传输活动（主要与硬件相关的问题）；

● 线路问题，导致乱码或数据丢失；

● 硬件问题导致数据丢失；

● 路由问题，数据发送到错误的位置；

● 在IT“提示”中丢失的消息（即，等待处理）；

数据保留和存储活动（与特定介质相关的问题）；

● 记录无法找到（例如，数据库系统的错误指针）；

● 存储介质故障（例如，磁带或磁盘）；

● 存储介质丢失；

访问活动（主要基于终端）；

● 授予对应受限制的程序、文件或数据的访问权限；

● 应当给与访问时被拒绝访问。

三、案例：商业银行数据质量内部控制

近年来，大数据和人工智能技术发展迅速，逐渐成熟。各商业银行纷纷投入“数据驱动”战略的发展转型和业务创新。数据质量控制以适应商业银行的快速发展。

银监会、人民银行等监管部门高度重视银行内控建设，2014年，银监会修订发布了新版《商业银行内部控制指引》，从内控管理、内控监督、监管约束和监管引领等四个方面引导银行不断完善内控制度体系建设。2015年10月21日，中国人民银行发布了《商业银行内部控制评价指南》，明确了从公司层面、业务层面、信息化层面开展内部控制评价的标准。

（一）数据时代商业银行数据质量控制面临的挑战：

1、外部监管对数据要求不断提升，从原来的指标类数据到账户级、交易级明细数据监控。

2、基础数据管理薄弱，数据来源多样，清洗成本大，响应效率低。

3、内部决策对数据质量的依赖程度提高，客户标签，外部数据，数据加工质量等。

4、数据质量缺乏持续管理手段，部门间协作能力、再加工能力不强，缺乏纠正跟踪措施。

（二）应从高层重视、业务流程、到信息化三方面持续加强数据质量控制

根据新版《商业银行内部控制指引》、《商业银行内部控制评价指南》的要求，应从商业银行内部控制公司层面、流程层面、信息化层面三个方面加强数据的质量控制。

1、在公司层面应加强数据质量控制的“高层基调“，在组织各个层级传达数据质量控制的重要性，因为数据错误将从根本上影响后续所有业务的准确性。

2、在业务层面将数据质量控制融入实际业务流程中，重点关注非常规交易的处理控制，发现问题应及时反馈给相关部门并持续关注直到问题纠正为止。

3、在信息化层面将数据质量和计算机信息化应用控制相结合从数据的记录与转换（输入）、传输、处理、存储、访问、使用（包括输出）不断加强控制管理。

来源：国际内部控制协会ICI中国总部健庭

近期课程安排：