CICS内控知识学习：如何确定系统中关键控制点的位置

CICS内控学习 2022年11月30日 23:24 1341 内控网

国际注册内部控制师CICS内控知识学习

前言：

在许多业务系统设计中，确定在业务应用程序中关键控制点的位置是设计和构建内部控制系统的重要部分。如果将内部控制系统与业务交易处理系统相比，人们会发现更多的资金用于设计控制系统。重要的是在系统中选择适当位置，从而优化控制系统的总成本。控制系统不应被视为“附加的”成本，它是业务系统正常运行所需的成本。

解释：以行驶的汽车作为内部控制的一个例子，有人说内部控制就是汽车的“制动”系统，当业务出现问题时，内部控制应该起到保护的作用。这一说法并不完整，作为控制系统，它应该是更加全面的，刹车、方向盘、动力传输、轴承、甚至油门，都是控制系统的一部分。

关键控制点应当设置于业务系统中风险暴露潜在损失最大的地方。如何选择关键控制点的适当位置目前还没有一套公认的最佳方式。不同的组织会有不同的选择方法，例如：

● 增加内部审计师或内部控制师参与系统开发工作，以确保控制措施被设置在关键的风险暴露点位。

● 使用业务系统的“利益相关者”的知识和经验来设置确保交易处理有效性所需的控制类型。

● 要求业务部门负责设计业务系统的业务需求书，然后将建立控制措施的职责交给IT人员系统设计人员（外包管理）。

问题：

如果有合适的人员参与，这些办法都能实现。但是，在开发内部控制系统时，往往需要使用具有高度创造性的方式，因而，最后的结果是控制系统会有很高的可变性。这就意味着从一个业务系统到另一业务系统，内部控制系统可能不具有一致性。内部控制措施可能在某一业务系统中控制有效，而在另一个系统则控制无效。

有一种可用于确定控制应设置在何处的好方法是：“控制目标-风险暴露点矩阵”，它将解释如何确定将控制资源放在什么位置，在此位置上建立和实施关键控制点。

一、识别潜在控制缺陷的风险暴露点矩阵模型

识别潜在控制缺陷的风险暴露点矩阵，可以帮助系统设计人员识别具有较高潜在损失的风险位置。该矩阵并不需要达到统计学上数据精确的要求，但它可以证明在易遭受损失的领域使用该方法时，具有很高的可靠性。

该矩阵中控制目标为一个维度，另一个维度是系统中潜在损失的风险暴露点。系统设计人员评估该矩阵交叉点的位置上，风险暴露变成实际损失的可能性。通过识别控制缺陷将造成潜在损失概率最高的点位，系统设计人员可以洞察业务系统中最有可能遭受损失的地方，从而确定设置关键控制点的位置。

控制目标——风险暴露点矩阵的目的是使组织能够将大部分的控制资源集中在风险排序最高的点位上，从而大大增加预防或检测出潜在损失的概率。

二、建立和使用风险暴露点矩阵的流程

建立和使用“控制目标——风险暴露点矩阵”的四个步骤如图所示。该矩阵的方法可以应用于内控系统的项目小组、确认控制措施实施情况的评价小组，或由审计人员用于评估内部控制的适当性。

（一）步骤1：确定控制目标

应该在业务系统的需求阶段定义控制目标，并用文件记录，这将成为在系统中建立关键控制点的依据。

一些组织为其业务系统使用通用的控制目标。许多组织，包括大型会计师事务所，都有关于特定业务系统的控制目标的文档。例如，对于工资系统，他们都具有工资系统控制目标的列表。

其他组织现在正在使用COSO“内部控制——整合框架”，作为确定其控制目标的依据。虽然COSO框架没有为许多控制活动提供具体的控制目标，但它确实提供了关于应该使用什么类型的控制目标来为特定组织定制控制措施的指导原则。

在“控制目标——风险暴露点矩阵”中使用控制目标的目的，实际上是因为它们是一种正面的风险声明。组织未能实现控制目标将可能导致损失。如果实现特定控制目标的定位太高，则无法实现该控制目标的概率也会很大。

步骤1的最终成果是针对检查业务系统控制目标的一份详细清单。这些控制目标将包括在“控制目标——风险暴露点矩阵”的控制目标维度中。

（二）步骤2：确定潜在的风险暴露点

系统往往会在最薄弱的环节出现问题。确定潜在风险暴露点的目的是识别所有可能发生损失的点位。如果在这些点位发生损失的概率高，则必须对这些点位实施有效的控制。

前面部分的内容介绍了业务系统交易处理的六个阶段：分别是交易起始、交易录入、数据通信、计算机处理、数据存储与检索以及输出处理。这六个阶段可以作为业务系统的关键控制点。

建议将这六个阶段的交易当作确定业务系统中控制目标——风险暴露点的依据。使用“控制目标——风险暴露点矩阵”，组织需要预先确定这六个阶段的控制措施是否足够，或者它们是否需要被细分为子阶段。

例如，在交易录入阶段，可能会有三种不同的方式来输入交易。例如，可以通过网站、通过电话或通过邮件。因此，它不是单个交易录入点，可能需要具有三个不同的交易录入点。

下面列出了业务系统中潜在损失点列表，内容与交易处理的六个阶段相一致。但除了描述之外，按照业务系统潜在损失发生严重性的顺序列出。该表可能有助于确定哪个风险暴露点具有最大的潜在损失的风险。

这一步骤的最终结果将是一个业务系统中最有可能是发生损失的风险暴露点位的一览表。这些点位将成为“控制目标——风险暴露点矩阵”的风险暴露维度。它们包括：

1、潜在损失严重性的列表

数据和报告准备区域以及计算机运行设施——人们发现手动功能最集中的物理位置是最薄弱的位置。根据业务系统中功能位置潜在损失严重性的排名，下表描述并排序了8个主要风险位置。

（1）计算机数据和报告准备

易损区域包括数据输入、计算机设置、输出控制与分发、数据采集和数据传输。

（2）计算机终端操作

易损区域包括计算机操作、机房设备管理、硬件维护、通信维护、内网与外网的隔离设置等。

（3）非IT区域（用户区域）

易损区域涉及业务决策，其中损失的风险暴露发生如市场营销、销售、营业部门和其他用户领域等非IT领域。

（4）在线终端系统

薄弱区域处于在线系统内，通过执行由终端命令生成的指令来发生的行为。对于终端指令、设备识别的控制措施很重要。

（5）编程办公区

该区域包括办公区，在办公室里多个程序员编制和存储程序清单和文档的办公区域。

（6）在线数据准备和输出报告处理区域

这一类别包括在数据准备的第一次讨论中确定的相同的功能，但与这里相关联的是在线终端，而不是计算机。

（7）媒体存储设施

该区域包括数据库和任何包含可用数据的存储位置。

（8）中央处理程序

这些功能区域在计算机系统中，其中在计算机操作系统中发生的行为（不是从终端导入）。

解释：

以某个在线生鲜APP为例，为了有效控制系统的运行，需要考虑的可能是用户端操作简便、可更新；服务器端响应速度和处理反应速度稳定；营销、广告政策要符合用户的使用场景和购买习惯；在线终端可以采用实名制、会员制来识别真实用户；程序和数据备份可以采用私有云和公有云存储相结合的方式；终端需要可以查询、修改、删除订单的功能；中央处理程序需要与下单数据、库存数据、派单数据、采购数据相结合。

在这些环节中，避免手工操作将会提升整体的系统效率；在传统超市改造提升的过程中，一个是拣货系统传送带的应用；另一个是生鲜商品统一规格打码的应用；去除以往称重环节，改为近似重量按照个数来进行计算，提高了系统人员拣货的速度。

类似的应用还有票务预定系统由人工电话预定到终端程序预定、医院挂号、结算系统改为在线预约，终端挂号、结算；超市结账增加自助结账终端；都是为了提高效率，在输入端减少人员投入，或尽量用信息化的方式进行系统录入的工作。

2、意外损失与故意损失

错误和遗漏通常发生在劳动密集型职能中，其中人们参与细节工作。当具体、琐碎而又激烈的活动需要精力高度集中时，易受影响的弱点就会出现。它们通常表现为数据错误、计算机程序错误（故障），以及设备或用品的损坏。这需要频繁地重新运行作业，纠正错误，以及更换和维修设备或用品。

然而，通常很难区分意外损失和故意损失。事实上，一些报告的故意损失来自犯罪者发现和利用会对他们有利的错误。

当发生损失时，员工和经理倾向于首先指责计算机硬件出问题，因为这可以免除他们的责任，并且把问题推给供应商解决。然而问题很少出自硬件错误，但通常要证明这一点的情况却不常见，很少有人要求在损失来源或其它地方去寻找原因。

管理人员往往会认为用户部门或数据生成的来源发生了问题；或者IT部门可能会责怪另一计算机系统的工作人员。最后，当所有其他责任主体被排除时，IT员工才会怀疑自己的工作是否出错。

在系统设计师、程序员、维护工程师和用户之间很少会举行非正式会议，来讨论谁应当开始调查损失的原因。许多人从未想过损失可能是有人故意造成的。

许多员工不了解错误和遗漏之间、意外损失与故意造成的损失之间的显著差异。自从开始自动化数据处理以来，使用计算机的组织已经与意外损失或故意损失斗争了许多年。

解释：

以打车软件为例，包车服务通常为半天4小时，一天8小时服务，超出的时间和公里数另外付费计算。人为的故意损失会发生在固定时间完成的时候，司机会和乘客进行结算。而超出的小时数则会自行约定一个价格。如果缺乏相应的监管措施，平台的收入将会遭受损失。

还有，当平台的奖励对司机的奖励大于实际运载成本的时候，人为的损失会出现空载的情况。又或者打车公司对司机的考核和派单会和用户满意度相关，意图在于提升用户的趁车体验和品牌形象，但是由于缺乏实际监控操作方法，最终有些司机为了提高接单率，而会在到达目的地之前就和客户结账，并要求顾客给个好评。这就会和政策的初衷有一些违背，给其他司机带来了不正当竞争的影响，同时降低了平台应有的收入。

3、自然灾害和人为因素造成的易损点

业务系统显然易受各种自然灾害和人为破坏的影响。业务系统和设施是脆弱的，入侵者可以使用简单的方法，如恶作剧、纵火、破坏、怠工和勒索等行为，来损害业务系统和设施的风险暴露性质。从极端天气到地球运动的自然事件也可能导致损失。

（三）步骤3：创建控制目标-风险暴露点矩阵

为了建立“控制目标——风险暴露点矩阵”，要完成该矩阵的横轴与纵轴。纵轴是控制目标——风险暴露点矩阵在步骤1中识别的控制目标列表；横轴是步骤2中识别的系统中存在损失风险暴露点的列表。控制目标——风险暴露点矩阵的完成涉及两个任务。

任务1：确定每个点位损失的概率

风险分析小组必须检查该矩阵中每个点。控制目标——风险暴露点矩阵的示例中风险分析小组要确定每个点位的损失概率。这个估算应当基于风险分析小组对本次以及其他类似应用中的经验和判断。概率应当如下标准计分：

3 在该点位的损失概率很高；

2 在该点位的损失概率一般；

1 在该点位的损失概率较低；

0 在该点位的损失概率极小或为0。

任务2：添加纵轴与横轴的概率得分

概率得分应当被添加到纵列和横行上。在控制目标——风险暴露点矩阵的示例中，控制目标E在控制目标合计数列中的得分为12；风险暴露一的在风险暴露合计数的得分为5。所有的行和列的数字都要进行合计。虽然，添加的概率在统计资料上不是很精确，但这一步的目的是识别有最高损失概率的控制目标点位。而且经验表明，这是改进控制的一种很有用的工具。

（四）步骤4：确定建立或评估控制的高风险点

控制目标——风险暴露点矩阵可以用于识别可能损失最大的点位和最难以实现的控制目标。该矩阵基于以下两个假设：

● 最难实现控制目标的地方就是发生问题最多的地方。

● 系统在其最薄弱的点位可能会发生损失。

步骤4的目的是选出最需要控制的点位。在上述示例中，仅选择了一个点，但在实际情况中，可以选择多个点。这个选点的方法要确认控制目标合计数的最高值和风险暴露点合计数的最高值。在最高值被圈出之后，需要在两个圈出最高值的点之间确认它们的交叉点。

在这个步骤结束时，风险分析小组已经确定了最有可能损失的点位，以及对控制资源进行分配的排序。这个排序是从合计数的得分由高至低往下排序的。

三、总结

控制目标——风险暴露点矩阵可以用两种方式使用：

● 业务系统的设计人员可以确定在哪个点位使用最多的控制资源。可以在所有风险暴露点都设置控制措施。然而，在所有的风险暴露点不需要实施同等强度的控制。排序较高的风险暴露点位应分配更多的控制资源。

● 控制设计师可以利用控制目标——风险暴露点矩阵来确定控制措施是否存在和有效。通过使用控制目标——风险暴露点矩阵，控制设计师可以对最可能发生损失的点位进行排序。可以将重点放在评估高风险点的控制措施，因为他们不可能拥有那么多资源来评估某一业务系统中所有风险暴露点的控制措施。

来源：ICI中国总部健庭

近期课程安排：