- ข้อความ
- ประวัติศาสตร์
The XYZ Company is a large automoti
The XYZ Company is a large automotive secondary market manufacturer. The automotive secondary market involves manufacture of after-market parts for many different brands and models of automobiles. For example, if your car needs a replacement muffler, starting motor, generator, etc. then you have the choice of buying the part from the original manufacturer (OEM), which is usually expensive, or from a secondary market manufacturer, usually substantially less expensive.
XYZ has manufacturing plants located in Detroit Michigan, Newark New Jersey and Oakland California. It also has distribution warehouses in seven cities in the U.S., two in Europe, one in China, three in Japan, one in Mexico and two in South America.
XYZ has a centralized purchasing system that is located in the headquarters in Detroit. The procedure that is followed to acquire materials and supplies varies with the type of goods that are being purchased. There are four categories of goods and services that areacquired. They are:
• the goods and services that are used for production of the products that the company produces,
• the acquisition of the fixed production assets,
• services that involve contract negotiation,
• the goods and services that are acquired for the normal support of the general operations of the firm.
Examples of the each of these categories follow. The first category of acquisitions includes the raw materials and subassemblies used for producing the finished goods. This includes metal castings, various grades of wire, bulk plastics for injection molding, oils and lubricants and many other similar products. The ordering of this category of goods is initiated by the inventory control personnel. This ordering activity must be coordinated with the planned production activity and the projected sales and marketing activity.
The second category of acquisitions involves the ordering of heavy production equipment such as serialized machines, turret lathes, pneumatic presses, and other similar production equipment. The initiation of the ordering of these types of goods is done by the production engineers. This activity is coordinated with the long-term strategic production plans (included in the capital budgeting process) and the research and development engineers.
The third category of acquisition involves contracting of services. For example, all maintenance and service contracts for equipment fall under this category. In addition, contracts for consulting and outsourcing services are also included in this category. These transactions involve quite a bit of legal contract negotiation and hence XYZ has a staff of lawyers that are involved in these transactions.
The last category of acquisitions includes the office supplies that are used by all support personnel, computer equipment and supplies, and similar items. This activity is originated by individual employees.
Since the business processes are different for each category, each of the four above categories has a separate area within the centralized purchasing organization that deals with the acquisition of those goods and services. In this assignment, you are only asked to examine the business process and controls involved in the fourth acquisition category.
Acquisition Business Process
The company uses the following steps to acquire goods for their employees:
Ordering Goods:
• An XYZ employee determines that there is a need for goods in order to do their job.
• An XYZ employee fills out a purchase requisition form for the desired goods.
• An XYZ employee signs the purchase requisition and submits it to another XYZ employee.
• An XYZ employee approves the purchase requisition.
• An XYZ employee sends acknowledgement and disposition of the requisition back to the originating employee, (if the requisition wasn’t approved, the process stops here).
• An XYZ employee submits the approved purchase requisition form to centralized purchasing and other appropriate people.
• An XYZ employee records the purchase requisition information.
• An XYZ employee determines the appropriate product to order.
• An XYZ employee determines the appropriate vendor to order from and checks to see if the vendor’s master data is in the system and is correct.
• If the vendor master data is not in the system or is incorrect, then an XYZ employee confirms the master data and payment terms with the vendor and enters the master data into the system.
• An XYZ employee consolidates purchase requisitions and creates a purchase order.
• An XYZ employee sends the purchase order to the vendor and other appropriate people.
• An XYZ employee receives an order acknowledgement from the vendor.
• An XYZ employee records the purchase order information.
Receiving and Storing Goods:
• The vendor ships the goods with a packing slip to the destination on the purchase order and an XYZ employee receives the goods at the receiving dock at our location.
• An XYZ employee counts the goods in the shipment.
• An XYZ employee removes the packing slip from the box and sends it to the appropriate people.
• An XYZ employee fills out a receiving report that has details on the time of the arrival and the items received.
• An XYZ employee records the packing slip information.
• An XYZ employee records the receiving report information.
• An XYZ employee passes the goods on to the designated recipients.
• An XYZ employee who requested the goods receives the desired goods.
Paying for Goods:
• The vendor sends the invoice and remittance advice for payment and an XYZ employee receives the invoice and remittance advice.
• An XYZ employee compares all of the documents for the order (that is, a voucher package is compiled).
• An XYZ employee approves payment of the invoice.
• An XYZ employee creates the payment check.
• An XYZ employee sends the payment check and remittance advice to the vendor.
Verification:
• Periodically an XYZ employee verifies all of the documentation to be sure that the transaction has been handled correctly.
Security and Information Assurance
XYZ is very concerned about security and information assurance. With the recent passage of the Sarbanes-Oxley law, XYZ now realizes that solid financial accounting controls are extremely important for the corporation. Originally XYZ had an open security model in which the computer system users were only restricted from doing specific functions if it was obvious that an access authorization presented a security risk or an information assurance risk. For example, the system administrators knew that normal business users should not be allowed to create new user accounts or to add new tables to the database. Hence, these authorizations were restricted to system administrators and application developers. However, for most business transactions, it was thought that restricting access was not necessary. In fact, the philosophy was that the more access an employee had, the more they would learn about the system and hence the more useful they would be to the company.
XYZ realizes that a closed security model must now be adopted. A closed security model grants access to users based on the business function for which they are responsible; that is, a user is only allowed access to the functions of the system that they need to do their job. Of course, a closed security model is much more difficult to enforce than the open model. It is necessary to determine exactly what functions a user should be allowed and restrict the user to only those authorizations. Determining the authorizations is not as easy as one might think. If we issue too many authorizations to a user, then we risk loss of control over our financial transactions, which could lead to errors or fraudulent or criminal activity. If we restrict the authorizations too much, then the controls become disruptive and the users cannot do their jobs. The ideal situation is for the user to have only the needed authorizations and nothing more. That is one objective of this assignment.
Part 1 – Risk Analysis
You are to assess the risks involved in the purchase transaction. Since you are not familiar with the controls used by the company in this case, we are asking you to only assess the threats to the system and are not asking you to assess the vulnerabilities. With respect to the threats, you are to determine if the source of the threat is external, coming from outside of the company or internal, coming from a source within the company. For example, an error can originate outside of the company, such as the vendor sending us the wrong goods, but most errors would originate within the company. Under each category (External Threats, Internal Threats) you are to list the individual types of threats and then determine if the specific threat could be mitigated by enforcing segregation of duties (SOD). If you believe that SOD mitigates the risk, then you need to state how it does.
In a normal business assessment of risk, the next step would be to assess the vulnerabilities and then suggest internal controls that could be used to mitigate each of the threats. In this case, we are only concerned with the segregation of duties control.
XYZ has manufacturing plants located in Detroit Michigan, Newark New Jersey and Oakland California. It also has distribution warehouses in seven cities in the U.S., two in Europe, one in China, three in Japan, one in Mexico and two in South America.
XYZ has a centralized purchasing system that is located in the headquarters in Detroit. The procedure that is followed to acquire materials and supplies varies with the type of goods that are being purchased. There are four categories of goods and services that areacquired. They are:
• the goods and services that are used for production of the products that the company produces,
• the acquisition of the fixed production assets,
• services that involve contract negotiation,
• the goods and services that are acquired for the normal support of the general operations of the firm.
Examples of the each of these categories follow. The first category of acquisitions includes the raw materials and subassemblies used for producing the finished goods. This includes metal castings, various grades of wire, bulk plastics for injection molding, oils and lubricants and many other similar products. The ordering of this category of goods is initiated by the inventory control personnel. This ordering activity must be coordinated with the planned production activity and the projected sales and marketing activity.
The second category of acquisitions involves the ordering of heavy production equipment such as serialized machines, turret lathes, pneumatic presses, and other similar production equipment. The initiation of the ordering of these types of goods is done by the production engineers. This activity is coordinated with the long-term strategic production plans (included in the capital budgeting process) and the research and development engineers.
The third category of acquisition involves contracting of services. For example, all maintenance and service contracts for equipment fall under this category. In addition, contracts for consulting and outsourcing services are also included in this category. These transactions involve quite a bit of legal contract negotiation and hence XYZ has a staff of lawyers that are involved in these transactions.
The last category of acquisitions includes the office supplies that are used by all support personnel, computer equipment and supplies, and similar items. This activity is originated by individual employees.
Since the business processes are different for each category, each of the four above categories has a separate area within the centralized purchasing organization that deals with the acquisition of those goods and services. In this assignment, you are only asked to examine the business process and controls involved in the fourth acquisition category.
Acquisition Business Process
The company uses the following steps to acquire goods for their employees:
Ordering Goods:
• An XYZ employee determines that there is a need for goods in order to do their job.
• An XYZ employee fills out a purchase requisition form for the desired goods.
• An XYZ employee signs the purchase requisition and submits it to another XYZ employee.
• An XYZ employee approves the purchase requisition.
• An XYZ employee sends acknowledgement and disposition of the requisition back to the originating employee, (if the requisition wasn’t approved, the process stops here).
• An XYZ employee submits the approved purchase requisition form to centralized purchasing and other appropriate people.
• An XYZ employee records the purchase requisition information.
• An XYZ employee determines the appropriate product to order.
• An XYZ employee determines the appropriate vendor to order from and checks to see if the vendor’s master data is in the system and is correct.
• If the vendor master data is not in the system or is incorrect, then an XYZ employee confirms the master data and payment terms with the vendor and enters the master data into the system.
• An XYZ employee consolidates purchase requisitions and creates a purchase order.
• An XYZ employee sends the purchase order to the vendor and other appropriate people.
• An XYZ employee receives an order acknowledgement from the vendor.
• An XYZ employee records the purchase order information.
Receiving and Storing Goods:
• The vendor ships the goods with a packing slip to the destination on the purchase order and an XYZ employee receives the goods at the receiving dock at our location.
• An XYZ employee counts the goods in the shipment.
• An XYZ employee removes the packing slip from the box and sends it to the appropriate people.
• An XYZ employee fills out a receiving report that has details on the time of the arrival and the items received.
• An XYZ employee records the packing slip information.
• An XYZ employee records the receiving report information.
• An XYZ employee passes the goods on to the designated recipients.
• An XYZ employee who requested the goods receives the desired goods.
Paying for Goods:
• The vendor sends the invoice and remittance advice for payment and an XYZ employee receives the invoice and remittance advice.
• An XYZ employee compares all of the documents for the order (that is, a voucher package is compiled).
• An XYZ employee approves payment of the invoice.
• An XYZ employee creates the payment check.
• An XYZ employee sends the payment check and remittance advice to the vendor.
Verification:
• Periodically an XYZ employee verifies all of the documentation to be sure that the transaction has been handled correctly.
Security and Information Assurance
XYZ is very concerned about security and information assurance. With the recent passage of the Sarbanes-Oxley law, XYZ now realizes that solid financial accounting controls are extremely important for the corporation. Originally XYZ had an open security model in which the computer system users were only restricted from doing specific functions if it was obvious that an access authorization presented a security risk or an information assurance risk. For example, the system administrators knew that normal business users should not be allowed to create new user accounts or to add new tables to the database. Hence, these authorizations were restricted to system administrators and application developers. However, for most business transactions, it was thought that restricting access was not necessary. In fact, the philosophy was that the more access an employee had, the more they would learn about the system and hence the more useful they would be to the company.
XYZ realizes that a closed security model must now be adopted. A closed security model grants access to users based on the business function for which they are responsible; that is, a user is only allowed access to the functions of the system that they need to do their job. Of course, a closed security model is much more difficult to enforce than the open model. It is necessary to determine exactly what functions a user should be allowed and restrict the user to only those authorizations. Determining the authorizations is not as easy as one might think. If we issue too many authorizations to a user, then we risk loss of control over our financial transactions, which could lead to errors or fraudulent or criminal activity. If we restrict the authorizations too much, then the controls become disruptive and the users cannot do their jobs. The ideal situation is for the user to have only the needed authorizations and nothing more. That is one objective of this assignment.
Part 1 – Risk Analysis
You are to assess the risks involved in the purchase transaction. Since you are not familiar with the controls used by the company in this case, we are asking you to only assess the threats to the system and are not asking you to assess the vulnerabilities. With respect to the threats, you are to determine if the source of the threat is external, coming from outside of the company or internal, coming from a source within the company. For example, an error can originate outside of the company, such as the vendor sending us the wrong goods, but most errors would originate within the company. Under each category (External Threats, Internal Threats) you are to list the individual types of threats and then determine if the specific threat could be mitigated by enforcing segregation of duties (SOD). If you believe that SOD mitigates the risk, then you need to state how it does.
In a normal business assessment of risk, the next step would be to assess the vulnerabilities and then suggest internal controls that could be used to mitigate each of the threats. In this case, we are only concerned with the segregation of duties control.
0/5000
บริษัท xyz ลดต่ำเป็นผู้ผลิตยานยนต์ตลาดรองขนาดใหญ่ ตลาดรองรถยนต์เกี่ยวข้องกับการผลิตชิ้นส่วนหลังตลาดสำหรับหลายยี่ห้อและรุ่นของรถยนต์ ตัวอย่าง ถ้ารถของคุณต้อง muffler แทน เริ่มต้นมอเตอร์ เครื่องกำเนิดไฟฟ้า ฯลฯ จาก นั้นคุณสามารถเลือกซื้อส่วนจากผู้ผลิตดั้งเดิม (OEM), ซึ่งมีราคาแพงมักจะ หรือ จากตลาดรองผู้ ผลิต มักจะแพงมากน้อย
xyz ลดต่ำมีการผลิตพืชที่อยู่ในดีทรอยต์มิชิแกน นวร์กนิวเจอร์ซีย์ และโอ๊คแลนด์แคลิฟอร์เนีย คลังสินค้าการกระจายใน 7 เมืองในสหรัฐอเมริกา ยุโรปในสอง หนึ่งในจีน สามในญี่ปุ่น หนึ่งในเม็กซิโก และในอเมริกาใต้
Xyz ลดต่ำมีระบบการจัดซื้อส่วนกลางที่ตั้งอยู่ในสำนักงานใหญ่ในดีทรอยต์ ขั้นตอนที่ตามเพื่อซื้อวัสดุและอุปกรณ์แตกต่างกันไปกับชนิดของสินค้าที่ถูกซื้อ มีสี่ประเภทของสินค้าและบริการที่ areacquired พวกเขาจะ:
•สินค้าและบริการที่ใช้สำหรับการผลิตผลิตภัณฑ์ที่บริษัทผลิต,
•การซื้อสินทรัพย์ถาวรผลิต,
•บริการที่เกี่ยวข้องกับการเจรจาสัญญา,
•สินค้าและบริการที่ได้รับการสนับสนุนตามปกติของการดำเนินงานทั่วไปของบริษัท
ทำตามตัวอย่างแต่ละประเภทเหล่านี้ ประเภทแรกของการซื้อสินทรัพย์รวมถึงวัตถุดิบและส่วนประกอบย่อยที่ใช้ในการผลิตสินค้าสำเร็จรูป ซึ่งรวมถึงโลหะ castings เกรดต่าง ๆ ลวด พลาสติกจำนวนมากสำหรับฉีดขึ้นรูป น้ำมัน และหล่อลื่น และผลิตภัณฑ์อื่นที่คล้ายกัน สั่งซื้อสินค้าประเภทนี้เริ่มต้น โดยเจ้าหน้าที่ควบคุมสินค้าคงคลัง วันนี้จัดลำดับกิจกรรมที่ต้องประสานกับกิจกรรมการผลิตและการขายที่คาดการณ์ และการตลาดกิจกรรมการ
ประเภทสองของการซื้อเกี่ยวข้องกับลำดับของหนักผลิตอุปกรณ์เช่นทำอนุกรม ป้อมปืนและซ้าย กดลม และอุปกรณ์การผลิตอื่น ๆ คล้าย เริ่มต้นของการสั่งซื้อสินค้าประเภทนี้จะกระทำ โดยวิศวกรผลิต กิจกรรมนี้จะประสานแผนผลิตเชิงกลยุทธ์ระยะยาว (รวมอยู่ในการจัดทำงบประมาณเงินทุน) และการวิจัยและพัฒนาวิศวกร
ซื้อประเภทที่สามเกี่ยวข้องกับสัญญาการบริการ ตัวอย่าง สัญญาการบำรุงรักษาและบริการทั้งหมดสำหรับอุปกรณ์ตกอยู่ภายใต้หมวดหมู่นี้ นอกจากนี้ สัญญาให้คำปรึกษา และบริการจัดหายังอยู่ในประเภทนี้ ธุรกรรมเหล่านี้เกี่ยวข้องกับของการเจรจาสัญญา และดังนั้น xyz ลดต่ำมีพนักงานของทนายความที่เกี่ยวข้องในธุรกรรมเหล่านี้
ประเภทสุดท้ายของการซื้อสินทรัพย์รวมถึงเครื่องใช้สำนักงานที่ใช้ โดยสนับสนุนบุคลากร อุปกรณ์คอมพิวเตอร์ และอุปกรณ์ และสินค้าทั้งหมดเหมือน กัน กิจกรรมนี้ โดยแต่ละพนักงาน.
เนื่องจากกระบวนการทางธุรกิจแตกต่างกันสำหรับแต่ละประเภท สี่เหนือประเภทมีน้ำภายในองค์กรจัดซื้อส่วนกลางที่เกี่ยวข้องกับการซื้อสินค้าและบริการเหล่านั้น ในการกำหนดนี้ เท่านั้นคุณจะถูกขอให้ตรวจสอบงานและควบคุมที่เกี่ยวข้องในสี่ซื้อประเภท
ซื้องาน
บริษัทใช้ขั้นตอนต่อไปนี้เพื่อซื้อสินค้าสำหรับลูกจ้าง:
สั่งซื้อสินค้า:
• xyz ลดต่ำอันพนักงานกำหนดว่า มีความจำเป็นสำหรับสินค้าที่ทำงานของพวกเขา
• xyz ลดต่ำอันพนักงานกรอกข้อมูลออกแบบฟอร์มใบขอซื้อสำหรับสินค้าที่ต้องการ
•พนักงาน xyz ลดต่ำลงชื่อในใบขอซื้อ และส่งไปอีก xyz ลดต่ำพนักงาน
• xyz ลดต่ำอันพนักงานอนุมัติใบขอซื้อ
• xyz ลดต่ำอันพนักงานส่งตอบรับและโอนการครอบครองของใบไปพนักงานที่เริ่มต้น, (ถ้าไม่ได้อนุมัติใบขอซื้อ การหยุดที่นี่) .
•พนักงาน xyz ลดต่ำส่งแบบฟอร์มใบขอซื้อที่อนุมัติแล้วเพื่อจัดซื้อส่วนกลางและอื่น ๆ ที่เหมาะสมคน
• xyz ลดต่ำอันพนักงานบันทึกการซื้อจัดหาวัตถุดิบข้อมูล
• xyz ลดต่ำอันพนักงานกำหนดผลิตภัณฑ์ที่เหมาะสมเพื่อสั่ง
• xyz ลดต่ำอันพนักงานกำหนดผู้จัดจำหน่ายที่เหมาะสมให้สั่งจาก และตรวจสอบเพื่อดูว่าผู้จัดจำหน่ายของหลัก ข้อมูลในระบบ และจะแก้ไข
•ถ้าข้อมูลหลักผู้ขายไม่ได้อยู่ในระบบ หรือไม่ถูกต้อง แล้วพนักงาน xyz ลดต่ำข้อมูลหลัก และยืนยันการชำระเงินเงื่อนไขกับผู้ขาย และป้อนข้อมูลหลักในระบบ
• xyz ลดต่ำอันพนักงานรวมบัญชีใบขอซื้อ และใบสั่งซื้อได้
• xyz ลดต่ำอันพนักงานส่งใบสั่งซื้อผู้ขายและคนอื่น ๆ ที่เหมาะสม
•พนักงาน xyz ลดต่ำได้รับการยอมรับใบสั่งจากผู้จัดจำหน่าย
• xyz ลดต่ำอันพนักงานบันทึกการซื้อสั่งข้อมูล.
รับและจัดเก็บสินค้า:
•ผู้จัดจำหน่ายจัดส่งสินค้าบันทึกการจัดส่งไปยังปลายทางในใบสั่งซื้อ และสินค้าที่ท่าเรือรับสินค้าที่ที่ตั้งของเรารับพนักงาน xyz ลดต่ำ
• xyz ลดต่ำอันพนักงานตรวจนับสินค้าในการจัดส่ง
•พนักงาน xyz ลดต่ำเอาบันทึกการจัดส่งจากกล่อง และส่งไปที่เหมาะสมคน.
• xyz ลดต่ำอันพนักงานกรอกข้อมูลรายงานการรับสินค้าที่มีรายละเอียดในเวลาที่มาและสินค้าที่ได้รับ การ
• xyz ลดต่ำอันพนักงานระเบียนบันทึกบันทึกข้อมูลการส่ง
• xyz ลดต่ำอันพนักงานบันทึกการรับรายงานข้อมูลการ
• xyz ลดต่ำอันพนักงานส่งสินค้าไปยังผู้รับที่กำหนด
•พนักงาน xyz ลดต่ำที่ร้องขอสินค้าได้รับการระบุสินค้า
จ่ายสินค้า:
•ผู้จัดจำหน่ายส่งใบแจ้งหนี้และการชำระเงินผ่านธนาคารสำหรับการชำระเงิน และพนักงาน xyz ลดต่ำได้รับการแจ้งหนี้และการชำระเงินผ่านธนาคารแนะนำการ
• xyz ลดต่ำอันพนักงานเปรียบเทียบเอกสารใบสั่งทั้งหมด (นั่นคือ แพคเกจสำคัญคอมไพล์) .
• xyz ลดต่ำอันพนักงานอนุมัติการชำระเงินของใบแจ้งหนี้
•พนักงาน xyz ลดต่ำสร้างเครื่องหมายการชำระเงิน
• xyz ลดต่ำอันพนักงานส่งแนะนำการตรวจและชำระเงินผ่านธนาคารชำระเงินให้ผู้ขาย
ตรวจสอบ:
•เป็นระยะ ๆ พนักงาน xyz ลดต่ำตรวจสอบเอกสารเพื่อให้แน่ใจว่า ธุรกรรมมีการจัดการอย่างถูกต้องทั้งหมด
ความปลอดภัยและการรับรองข้อมูล
xyz ลดต่ำเป็นกังวลมากเกี่ยวกับความปลอดภัยและข้อมูลการประกัน เรื่องล่าสุดของกฎหมาย Sarbanes-อ็อกซ์เลย์ xyz ลดต่ำขณะนี้ตระหนักว่า แข็งควบคุมบัญชีการเงินเป็นสิ่งสำคัญมากสำหรับบริษัท เดิม xyz ลดต่ำมีแบบจำลองความปลอดภัยเปิดที่ผู้ใช้ระบบคอมพิวเตอร์ได้เพียงจำกัดทำหน้าที่เฉพาะถ้ามันเห็นได้ชัดว่า อนุญาตเข้านำเสนอความปลอดภัยหรือความเสี่ยงการประกันข้อมูล ตัวอย่าง ผู้ดูแลระบบรู้ว่า ผู้ใช้ทางธุรกิจปกติไม่ควรอนุญาต ให้สร้างบัญชีผู้ใช้ใหม่ หรือเพิ่มตารางใหม่ในฐานข้อมูล ดังนั้น ตรวจสอบเหล่านี้ถูกจำกัดให้ผู้ดูแลระบบและนักพัฒนาแอพลิเคชัน อย่างไรก็ตาม สำหรับธุรกรรมทางธุรกิจมากที่สุด มันถูกคิดว่า การจำกัดการเข้าถึงไม่จำเป็น อันที่จริง ปรัชญาว่า มีการเข้าถึงเพิ่มเติมพนักงาน มากขึ้นพวกเขาจะเรียนรู้เกี่ยวกับระบบ และเป็นประโยชน์มากดังนั้นพวกเขาจะไปบริษัท
xyz ลดต่ำตระหนักว่า ต้องนำแบบจำลองความปลอดภัยปิดตอนนี้ แบบความปลอดภัยปิดให้เข้ากับผู้ใช้ตามทำธุรกิจที่จะรับผิดชอบ นั่นก็คือ ผู้ใช้ได้เข้าถึงฟังก์ชันของระบบที่จำเป็นต่อการทำงานของพวกเขา แน่นอน แบบจำลองความปลอดภัยปิดเป็นยากมากเพื่อบังคับใช้มากกว่าแบบเปิด จำเป็นต้องกำหนดว่าฟังก์ชันใดผู้ควรได้รับอนุญาต และจำกัดผู้ใช้เฉพาะที่ตรวจสอบได้ กำหนดการตรวจสอบไม่ใช่เรื่องง่ายหนึ่งอาจคิดว่า ถ้าออกมากเกินไปตรวจสอบผู้ใช้ แล้วเราเสี่ยงต่อการสูญเสียการควบคุมของธุรกรรมการเงิน ซึ่งอาจนำไปสู่ข้อผิดพลาดหรือหลอกลวง หรืออาชญากรรมกิจกรรม ถ้าเราจำกัดการตรวจสอบมากเกินไป ตัวควบคุมเป็นขวัญ แล้วผู้ใช้ไม่สามารถทำงาน สถานการณ์ที่เหมาะสำหรับผู้ใช้ได้เฉพาะการตรวจสอบที่จำเป็นและไม่มีอะไรเพิ่มเติมได้ นั่นคือหนึ่งวัตถุประสงค์ของการกำหนดค่านี้
Part 1 – วิเคราะห์ความเสี่ยง
จะประเมินความเสี่ยงที่เกี่ยวข้องในธุรกรรมการซื้อ เนื่องจากคุณไม่คุ้นเคยกับตัวควบคุมที่ใช้ โดยบริษัทในกรณีนี้ เราขอให้ประเมินภัยคุกคามในระบบเท่านั้น และจะขอให้คุณประเมินช่องโหว่ เกี่ยวกับภัยคุกคาม คุณได้กำหนดว่าแหล่งที่มาของภัยคุกคามจากภายนอก มาจาก นอกบริษัท หรือภาย ใน มาจากแหล่งภายในบริษัท ตัวอย่าง ข้อผิดพลาดสามารถสร้างนอกบริษัท เช่นผู้ขายส่งสินค้าที่ไม่ถูกต้อง แต่ข้อผิดพลาดส่วนใหญ่จะมาภายในบริษัท ภายใต้แต่ละประเภท (ภัยคุกคามจากภายนอก ภัยคุกคามภายใน) ที่คุณมีรายการชนิดของภัยแต่ละ และจากนั้น กำหนดถ้าภัยคุกคามเฉพาะอาจจะบรรเทา ด้วยการบังคับแบ่งแยกหน้าที่ (สด) ถ้าคุณเชื่อว่า สด mitigates ความเสี่ยง แล้วคุณรัฐว่ามันไม่
ในการประเมินความเสี่ยง ธุรกิจปกติ ขั้นตอนต่อไปจะเป็น การประเมินช่องโหว่แล้ว แนะนำตัวควบคุมภายในที่สามารถใช้เพื่อลดภัยคุกคามแต่ละ ในกรณีนี้ เรามีเฉพาะเกี่ยวข้องกับการแบ่งแยกหน้าที่ควบคุม
xyz ลดต่ำมีการผลิตพืชที่อยู่ในดีทรอยต์มิชิแกน นวร์กนิวเจอร์ซีย์ และโอ๊คแลนด์แคลิฟอร์เนีย คลังสินค้าการกระจายใน 7 เมืองในสหรัฐอเมริกา ยุโรปในสอง หนึ่งในจีน สามในญี่ปุ่น หนึ่งในเม็กซิโก และในอเมริกาใต้
Xyz ลดต่ำมีระบบการจัดซื้อส่วนกลางที่ตั้งอยู่ในสำนักงานใหญ่ในดีทรอยต์ ขั้นตอนที่ตามเพื่อซื้อวัสดุและอุปกรณ์แตกต่างกันไปกับชนิดของสินค้าที่ถูกซื้อ มีสี่ประเภทของสินค้าและบริการที่ areacquired พวกเขาจะ:
•สินค้าและบริการที่ใช้สำหรับการผลิตผลิตภัณฑ์ที่บริษัทผลิต,
•การซื้อสินทรัพย์ถาวรผลิต,
•บริการที่เกี่ยวข้องกับการเจรจาสัญญา,
•สินค้าและบริการที่ได้รับการสนับสนุนตามปกติของการดำเนินงานทั่วไปของบริษัท
ทำตามตัวอย่างแต่ละประเภทเหล่านี้ ประเภทแรกของการซื้อสินทรัพย์รวมถึงวัตถุดิบและส่วนประกอบย่อยที่ใช้ในการผลิตสินค้าสำเร็จรูป ซึ่งรวมถึงโลหะ castings เกรดต่าง ๆ ลวด พลาสติกจำนวนมากสำหรับฉีดขึ้นรูป น้ำมัน และหล่อลื่น และผลิตภัณฑ์อื่นที่คล้ายกัน สั่งซื้อสินค้าประเภทนี้เริ่มต้น โดยเจ้าหน้าที่ควบคุมสินค้าคงคลัง วันนี้จัดลำดับกิจกรรมที่ต้องประสานกับกิจกรรมการผลิตและการขายที่คาดการณ์ และการตลาดกิจกรรมการ
ประเภทสองของการซื้อเกี่ยวข้องกับลำดับของหนักผลิตอุปกรณ์เช่นทำอนุกรม ป้อมปืนและซ้าย กดลม และอุปกรณ์การผลิตอื่น ๆ คล้าย เริ่มต้นของการสั่งซื้อสินค้าประเภทนี้จะกระทำ โดยวิศวกรผลิต กิจกรรมนี้จะประสานแผนผลิตเชิงกลยุทธ์ระยะยาว (รวมอยู่ในการจัดทำงบประมาณเงินทุน) และการวิจัยและพัฒนาวิศวกร
ซื้อประเภทที่สามเกี่ยวข้องกับสัญญาการบริการ ตัวอย่าง สัญญาการบำรุงรักษาและบริการทั้งหมดสำหรับอุปกรณ์ตกอยู่ภายใต้หมวดหมู่นี้ นอกจากนี้ สัญญาให้คำปรึกษา และบริการจัดหายังอยู่ในประเภทนี้ ธุรกรรมเหล่านี้เกี่ยวข้องกับของการเจรจาสัญญา และดังนั้น xyz ลดต่ำมีพนักงานของทนายความที่เกี่ยวข้องในธุรกรรมเหล่านี้
ประเภทสุดท้ายของการซื้อสินทรัพย์รวมถึงเครื่องใช้สำนักงานที่ใช้ โดยสนับสนุนบุคลากร อุปกรณ์คอมพิวเตอร์ และอุปกรณ์ และสินค้าทั้งหมดเหมือน กัน กิจกรรมนี้ โดยแต่ละพนักงาน.
เนื่องจากกระบวนการทางธุรกิจแตกต่างกันสำหรับแต่ละประเภท สี่เหนือประเภทมีน้ำภายในองค์กรจัดซื้อส่วนกลางที่เกี่ยวข้องกับการซื้อสินค้าและบริการเหล่านั้น ในการกำหนดนี้ เท่านั้นคุณจะถูกขอให้ตรวจสอบงานและควบคุมที่เกี่ยวข้องในสี่ซื้อประเภท
ซื้องาน
บริษัทใช้ขั้นตอนต่อไปนี้เพื่อซื้อสินค้าสำหรับลูกจ้าง:
สั่งซื้อสินค้า:
• xyz ลดต่ำอันพนักงานกำหนดว่า มีความจำเป็นสำหรับสินค้าที่ทำงานของพวกเขา
• xyz ลดต่ำอันพนักงานกรอกข้อมูลออกแบบฟอร์มใบขอซื้อสำหรับสินค้าที่ต้องการ
•พนักงาน xyz ลดต่ำลงชื่อในใบขอซื้อ และส่งไปอีก xyz ลดต่ำพนักงาน
• xyz ลดต่ำอันพนักงานอนุมัติใบขอซื้อ
• xyz ลดต่ำอันพนักงานส่งตอบรับและโอนการครอบครองของใบไปพนักงานที่เริ่มต้น, (ถ้าไม่ได้อนุมัติใบขอซื้อ การหยุดที่นี่) .
•พนักงาน xyz ลดต่ำส่งแบบฟอร์มใบขอซื้อที่อนุมัติแล้วเพื่อจัดซื้อส่วนกลางและอื่น ๆ ที่เหมาะสมคน
• xyz ลดต่ำอันพนักงานบันทึกการซื้อจัดหาวัตถุดิบข้อมูล
• xyz ลดต่ำอันพนักงานกำหนดผลิตภัณฑ์ที่เหมาะสมเพื่อสั่ง
• xyz ลดต่ำอันพนักงานกำหนดผู้จัดจำหน่ายที่เหมาะสมให้สั่งจาก และตรวจสอบเพื่อดูว่าผู้จัดจำหน่ายของหลัก ข้อมูลในระบบ และจะแก้ไข
•ถ้าข้อมูลหลักผู้ขายไม่ได้อยู่ในระบบ หรือไม่ถูกต้อง แล้วพนักงาน xyz ลดต่ำข้อมูลหลัก และยืนยันการชำระเงินเงื่อนไขกับผู้ขาย และป้อนข้อมูลหลักในระบบ
• xyz ลดต่ำอันพนักงานรวมบัญชีใบขอซื้อ และใบสั่งซื้อได้
• xyz ลดต่ำอันพนักงานส่งใบสั่งซื้อผู้ขายและคนอื่น ๆ ที่เหมาะสม
•พนักงาน xyz ลดต่ำได้รับการยอมรับใบสั่งจากผู้จัดจำหน่าย
• xyz ลดต่ำอันพนักงานบันทึกการซื้อสั่งข้อมูล.
รับและจัดเก็บสินค้า:
•ผู้จัดจำหน่ายจัดส่งสินค้าบันทึกการจัดส่งไปยังปลายทางในใบสั่งซื้อ และสินค้าที่ท่าเรือรับสินค้าที่ที่ตั้งของเรารับพนักงาน xyz ลดต่ำ
• xyz ลดต่ำอันพนักงานตรวจนับสินค้าในการจัดส่ง
•พนักงาน xyz ลดต่ำเอาบันทึกการจัดส่งจากกล่อง และส่งไปที่เหมาะสมคน.
• xyz ลดต่ำอันพนักงานกรอกข้อมูลรายงานการรับสินค้าที่มีรายละเอียดในเวลาที่มาและสินค้าที่ได้รับ การ
• xyz ลดต่ำอันพนักงานระเบียนบันทึกบันทึกข้อมูลการส่ง
• xyz ลดต่ำอันพนักงานบันทึกการรับรายงานข้อมูลการ
• xyz ลดต่ำอันพนักงานส่งสินค้าไปยังผู้รับที่กำหนด
•พนักงาน xyz ลดต่ำที่ร้องขอสินค้าได้รับการระบุสินค้า
จ่ายสินค้า:
•ผู้จัดจำหน่ายส่งใบแจ้งหนี้และการชำระเงินผ่านธนาคารสำหรับการชำระเงิน และพนักงาน xyz ลดต่ำได้รับการแจ้งหนี้และการชำระเงินผ่านธนาคารแนะนำการ
• xyz ลดต่ำอันพนักงานเปรียบเทียบเอกสารใบสั่งทั้งหมด (นั่นคือ แพคเกจสำคัญคอมไพล์) .
• xyz ลดต่ำอันพนักงานอนุมัติการชำระเงินของใบแจ้งหนี้
•พนักงาน xyz ลดต่ำสร้างเครื่องหมายการชำระเงิน
• xyz ลดต่ำอันพนักงานส่งแนะนำการตรวจและชำระเงินผ่านธนาคารชำระเงินให้ผู้ขาย
ตรวจสอบ:
•เป็นระยะ ๆ พนักงาน xyz ลดต่ำตรวจสอบเอกสารเพื่อให้แน่ใจว่า ธุรกรรมมีการจัดการอย่างถูกต้องทั้งหมด
ความปลอดภัยและการรับรองข้อมูล
xyz ลดต่ำเป็นกังวลมากเกี่ยวกับความปลอดภัยและข้อมูลการประกัน เรื่องล่าสุดของกฎหมาย Sarbanes-อ็อกซ์เลย์ xyz ลดต่ำขณะนี้ตระหนักว่า แข็งควบคุมบัญชีการเงินเป็นสิ่งสำคัญมากสำหรับบริษัท เดิม xyz ลดต่ำมีแบบจำลองความปลอดภัยเปิดที่ผู้ใช้ระบบคอมพิวเตอร์ได้เพียงจำกัดทำหน้าที่เฉพาะถ้ามันเห็นได้ชัดว่า อนุญาตเข้านำเสนอความปลอดภัยหรือความเสี่ยงการประกันข้อมูล ตัวอย่าง ผู้ดูแลระบบรู้ว่า ผู้ใช้ทางธุรกิจปกติไม่ควรอนุญาต ให้สร้างบัญชีผู้ใช้ใหม่ หรือเพิ่มตารางใหม่ในฐานข้อมูล ดังนั้น ตรวจสอบเหล่านี้ถูกจำกัดให้ผู้ดูแลระบบและนักพัฒนาแอพลิเคชัน อย่างไรก็ตาม สำหรับธุรกรรมทางธุรกิจมากที่สุด มันถูกคิดว่า การจำกัดการเข้าถึงไม่จำเป็น อันที่จริง ปรัชญาว่า มีการเข้าถึงเพิ่มเติมพนักงาน มากขึ้นพวกเขาจะเรียนรู้เกี่ยวกับระบบ และเป็นประโยชน์มากดังนั้นพวกเขาจะไปบริษัท
xyz ลดต่ำตระหนักว่า ต้องนำแบบจำลองความปลอดภัยปิดตอนนี้ แบบความปลอดภัยปิดให้เข้ากับผู้ใช้ตามทำธุรกิจที่จะรับผิดชอบ นั่นก็คือ ผู้ใช้ได้เข้าถึงฟังก์ชันของระบบที่จำเป็นต่อการทำงานของพวกเขา แน่นอน แบบจำลองความปลอดภัยปิดเป็นยากมากเพื่อบังคับใช้มากกว่าแบบเปิด จำเป็นต้องกำหนดว่าฟังก์ชันใดผู้ควรได้รับอนุญาต และจำกัดผู้ใช้เฉพาะที่ตรวจสอบได้ กำหนดการตรวจสอบไม่ใช่เรื่องง่ายหนึ่งอาจคิดว่า ถ้าออกมากเกินไปตรวจสอบผู้ใช้ แล้วเราเสี่ยงต่อการสูญเสียการควบคุมของธุรกรรมการเงิน ซึ่งอาจนำไปสู่ข้อผิดพลาดหรือหลอกลวง หรืออาชญากรรมกิจกรรม ถ้าเราจำกัดการตรวจสอบมากเกินไป ตัวควบคุมเป็นขวัญ แล้วผู้ใช้ไม่สามารถทำงาน สถานการณ์ที่เหมาะสำหรับผู้ใช้ได้เฉพาะการตรวจสอบที่จำเป็นและไม่มีอะไรเพิ่มเติมได้ นั่นคือหนึ่งวัตถุประสงค์ของการกำหนดค่านี้
Part 1 – วิเคราะห์ความเสี่ยง
จะประเมินความเสี่ยงที่เกี่ยวข้องในธุรกรรมการซื้อ เนื่องจากคุณไม่คุ้นเคยกับตัวควบคุมที่ใช้ โดยบริษัทในกรณีนี้ เราขอให้ประเมินภัยคุกคามในระบบเท่านั้น และจะขอให้คุณประเมินช่องโหว่ เกี่ยวกับภัยคุกคาม คุณได้กำหนดว่าแหล่งที่มาของภัยคุกคามจากภายนอก มาจาก นอกบริษัท หรือภาย ใน มาจากแหล่งภายในบริษัท ตัวอย่าง ข้อผิดพลาดสามารถสร้างนอกบริษัท เช่นผู้ขายส่งสินค้าที่ไม่ถูกต้อง แต่ข้อผิดพลาดส่วนใหญ่จะมาภายในบริษัท ภายใต้แต่ละประเภท (ภัยคุกคามจากภายนอก ภัยคุกคามภายใน) ที่คุณมีรายการชนิดของภัยแต่ละ และจากนั้น กำหนดถ้าภัยคุกคามเฉพาะอาจจะบรรเทา ด้วยการบังคับแบ่งแยกหน้าที่ (สด) ถ้าคุณเชื่อว่า สด mitigates ความเสี่ยง แล้วคุณรัฐว่ามันไม่
ในการประเมินความเสี่ยง ธุรกิจปกติ ขั้นตอนต่อไปจะเป็น การประเมินช่องโหว่แล้ว แนะนำตัวควบคุมภายในที่สามารถใช้เพื่อลดภัยคุกคามแต่ละ ในกรณีนี้ เรามีเฉพาะเกี่ยวข้องกับการแบ่งแยกหน้าที่ควบคุม
การแปล กรุณารอสักครู่..
The XYZ Company is a large automotive secondary market manufacturer. The automotive secondary market involves manufacture of after-market parts for many different brands and models of automobiles. For example, if your car needs a replacement muffler, starting motor, generator, etc. then you have the choice of buying the part from the original manufacturer (OEM), which is usually expensive, or from a secondary market manufacturer, usually substantially less expensive.
XYZ has manufacturing plants located in Detroit Michigan, Newark New Jersey and Oakland California. It also has distribution warehouses in seven cities in the U.S., two in Europe, one in China, three in Japan, one in Mexico and two in South America.
XYZ has a centralized purchasing system that is located in the headquarters in Detroit. The procedure that is followed to acquire materials and supplies varies with the type of goods that are being purchased. There are four categories of goods and services that areacquired. They are:
• the goods and services that are used for production of the products that the company produces,
• the acquisition of the fixed production assets,
• services that involve contract negotiation,
• the goods and services that are acquired for the normal support of the general operations of the firm.
Examples of the each of these categories follow. The first category of acquisitions includes the raw materials and subassemblies used for producing the finished goods. This includes metal castings, various grades of wire, bulk plastics for injection molding, oils and lubricants and many other similar products. The ordering of this category of goods is initiated by the inventory control personnel. This ordering activity must be coordinated with the planned production activity and the projected sales and marketing activity.
The second category of acquisitions involves the ordering of heavy production equipment such as serialized machines, turret lathes, pneumatic presses, and other similar production equipment. The initiation of the ordering of these types of goods is done by the production engineers. This activity is coordinated with the long-term strategic production plans (included in the capital budgeting process) and the research and development engineers.
The third category of acquisition involves contracting of services. For example, all maintenance and service contracts for equipment fall under this category. In addition, contracts for consulting and outsourcing services are also included in this category. These transactions involve quite a bit of legal contract negotiation and hence XYZ has a staff of lawyers that are involved in these transactions.
The last category of acquisitions includes the office supplies that are used by all support personnel, computer equipment and supplies, and similar items. This activity is originated by individual employees.
Since the business processes are different for each category, each of the four above categories has a separate area within the centralized purchasing organization that deals with the acquisition of those goods and services. In this assignment, you are only asked to examine the business process and controls involved in the fourth acquisition category.
Acquisition Business Process
The company uses the following steps to acquire goods for their employees:
Ordering Goods:
• An XYZ employee determines that there is a need for goods in order to do their job.
• An XYZ employee fills out a purchase requisition form for the desired goods.
• An XYZ employee signs the purchase requisition and submits it to another XYZ employee.
• An XYZ employee approves the purchase requisition.
• An XYZ employee sends acknowledgement and disposition of the requisition back to the originating employee, (if the requisition wasn’t approved, the process stops here).
• An XYZ employee submits the approved purchase requisition form to centralized purchasing and other appropriate people.
• An XYZ employee records the purchase requisition information.
• An XYZ employee determines the appropriate product to order.
• An XYZ employee determines the appropriate vendor to order from and checks to see if the vendor’s master data is in the system and is correct.
• If the vendor master data is not in the system or is incorrect, then an XYZ employee confirms the master data and payment terms with the vendor and enters the master data into the system.
• An XYZ employee consolidates purchase requisitions and creates a purchase order.
• An XYZ employee sends the purchase order to the vendor and other appropriate people.
• An XYZ employee receives an order acknowledgement from the vendor.
• An XYZ employee records the purchase order information.
Receiving and Storing Goods:
• The vendor ships the goods with a packing slip to the destination on the purchase order and an XYZ employee receives the goods at the receiving dock at our location.
• An XYZ employee counts the goods in the shipment.
• An XYZ employee removes the packing slip from the box and sends it to the appropriate people.
• An XYZ employee fills out a receiving report that has details on the time of the arrival and the items received.
• An XYZ employee records the packing slip information.
• An XYZ employee records the receiving report information.
• An XYZ employee passes the goods on to the designated recipients.
• An XYZ employee who requested the goods receives the desired goods.
Paying for Goods:
• The vendor sends the invoice and remittance advice for payment and an XYZ employee receives the invoice and remittance advice.
• An XYZ employee compares all of the documents for the order (that is, a voucher package is compiled).
• An XYZ employee approves payment of the invoice.
• An XYZ employee creates the payment check.
• An XYZ employee sends the payment check and remittance advice to the vendor.
Verification:
• Periodically an XYZ employee verifies all of the documentation to be sure that the transaction has been handled correctly.
Security and Information Assurance
XYZ is very concerned about security and information assurance. With the recent passage of the Sarbanes-Oxley law, XYZ now realizes that solid financial accounting controls are extremely important for the corporation. Originally XYZ had an open security model in which the computer system users were only restricted from doing specific functions if it was obvious that an access authorization presented a security risk or an information assurance risk. For example, the system administrators knew that normal business users should not be allowed to create new user accounts or to add new tables to the database. Hence, these authorizations were restricted to system administrators and application developers. However, for most business transactions, it was thought that restricting access was not necessary. In fact, the philosophy was that the more access an employee had, the more they would learn about the system and hence the more useful they would be to the company.
XYZ realizes that a closed security model must now be adopted. A closed security model grants access to users based on the business function for which they are responsible; that is, a user is only allowed access to the functions of the system that they need to do their job. Of course, a closed security model is much more difficult to enforce than the open model. It is necessary to determine exactly what functions a user should be allowed and restrict the user to only those authorizations. Determining the authorizations is not as easy as one might think. If we issue too many authorizations to a user, then we risk loss of control over our financial transactions, which could lead to errors or fraudulent or criminal activity. If we restrict the authorizations too much, then the controls become disruptive and the users cannot do their jobs. The ideal situation is for the user to have only the needed authorizations and nothing more. That is one objective of this assignment.
Part 1 – Risk Analysis
You are to assess the risks involved in the purchase transaction. Since you are not familiar with the controls used by the company in this case, we are asking you to only assess the threats to the system and are not asking you to assess the vulnerabilities. With respect to the threats, you are to determine if the source of the threat is external, coming from outside of the company or internal, coming from a source within the company. For example, an error can originate outside of the company, such as the vendor sending us the wrong goods, but most errors would originate within the company. Under each category (External Threats, Internal Threats) you are to list the individual types of threats and then determine if the specific threat could be mitigated by enforcing segregation of duties (SOD). If you believe that SOD mitigates the risk, then you need to state how it does.
In a normal business assessment of risk, the next step would be to assess the vulnerabilities and then suggest internal controls that could be used to mitigate each of the threats. In this case, we are only concerned with the segregation of duties control.
XYZ has manufacturing plants located in Detroit Michigan, Newark New Jersey and Oakland California. It also has distribution warehouses in seven cities in the U.S., two in Europe, one in China, three in Japan, one in Mexico and two in South America.
XYZ has a centralized purchasing system that is located in the headquarters in Detroit. The procedure that is followed to acquire materials and supplies varies with the type of goods that are being purchased. There are four categories of goods and services that areacquired. They are:
• the goods and services that are used for production of the products that the company produces,
• the acquisition of the fixed production assets,
• services that involve contract negotiation,
• the goods and services that are acquired for the normal support of the general operations of the firm.
Examples of the each of these categories follow. The first category of acquisitions includes the raw materials and subassemblies used for producing the finished goods. This includes metal castings, various grades of wire, bulk plastics for injection molding, oils and lubricants and many other similar products. The ordering of this category of goods is initiated by the inventory control personnel. This ordering activity must be coordinated with the planned production activity and the projected sales and marketing activity.
The second category of acquisitions involves the ordering of heavy production equipment such as serialized machines, turret lathes, pneumatic presses, and other similar production equipment. The initiation of the ordering of these types of goods is done by the production engineers. This activity is coordinated with the long-term strategic production plans (included in the capital budgeting process) and the research and development engineers.
The third category of acquisition involves contracting of services. For example, all maintenance and service contracts for equipment fall under this category. In addition, contracts for consulting and outsourcing services are also included in this category. These transactions involve quite a bit of legal contract negotiation and hence XYZ has a staff of lawyers that are involved in these transactions.
The last category of acquisitions includes the office supplies that are used by all support personnel, computer equipment and supplies, and similar items. This activity is originated by individual employees.
Since the business processes are different for each category, each of the four above categories has a separate area within the centralized purchasing organization that deals with the acquisition of those goods and services. In this assignment, you are only asked to examine the business process and controls involved in the fourth acquisition category.
Acquisition Business Process
The company uses the following steps to acquire goods for their employees:
Ordering Goods:
• An XYZ employee determines that there is a need for goods in order to do their job.
• An XYZ employee fills out a purchase requisition form for the desired goods.
• An XYZ employee signs the purchase requisition and submits it to another XYZ employee.
• An XYZ employee approves the purchase requisition.
• An XYZ employee sends acknowledgement and disposition of the requisition back to the originating employee, (if the requisition wasn’t approved, the process stops here).
• An XYZ employee submits the approved purchase requisition form to centralized purchasing and other appropriate people.
• An XYZ employee records the purchase requisition information.
• An XYZ employee determines the appropriate product to order.
• An XYZ employee determines the appropriate vendor to order from and checks to see if the vendor’s master data is in the system and is correct.
• If the vendor master data is not in the system or is incorrect, then an XYZ employee confirms the master data and payment terms with the vendor and enters the master data into the system.
• An XYZ employee consolidates purchase requisitions and creates a purchase order.
• An XYZ employee sends the purchase order to the vendor and other appropriate people.
• An XYZ employee receives an order acknowledgement from the vendor.
• An XYZ employee records the purchase order information.
Receiving and Storing Goods:
• The vendor ships the goods with a packing slip to the destination on the purchase order and an XYZ employee receives the goods at the receiving dock at our location.
• An XYZ employee counts the goods in the shipment.
• An XYZ employee removes the packing slip from the box and sends it to the appropriate people.
• An XYZ employee fills out a receiving report that has details on the time of the arrival and the items received.
• An XYZ employee records the packing slip information.
• An XYZ employee records the receiving report information.
• An XYZ employee passes the goods on to the designated recipients.
• An XYZ employee who requested the goods receives the desired goods.
Paying for Goods:
• The vendor sends the invoice and remittance advice for payment and an XYZ employee receives the invoice and remittance advice.
• An XYZ employee compares all of the documents for the order (that is, a voucher package is compiled).
• An XYZ employee approves payment of the invoice.
• An XYZ employee creates the payment check.
• An XYZ employee sends the payment check and remittance advice to the vendor.
Verification:
• Periodically an XYZ employee verifies all of the documentation to be sure that the transaction has been handled correctly.
Security and Information Assurance
XYZ is very concerned about security and information assurance. With the recent passage of the Sarbanes-Oxley law, XYZ now realizes that solid financial accounting controls are extremely important for the corporation. Originally XYZ had an open security model in which the computer system users were only restricted from doing specific functions if it was obvious that an access authorization presented a security risk or an information assurance risk. For example, the system administrators knew that normal business users should not be allowed to create new user accounts or to add new tables to the database. Hence, these authorizations were restricted to system administrators and application developers. However, for most business transactions, it was thought that restricting access was not necessary. In fact, the philosophy was that the more access an employee had, the more they would learn about the system and hence the more useful they would be to the company.
XYZ realizes that a closed security model must now be adopted. A closed security model grants access to users based on the business function for which they are responsible; that is, a user is only allowed access to the functions of the system that they need to do their job. Of course, a closed security model is much more difficult to enforce than the open model. It is necessary to determine exactly what functions a user should be allowed and restrict the user to only those authorizations. Determining the authorizations is not as easy as one might think. If we issue too many authorizations to a user, then we risk loss of control over our financial transactions, which could lead to errors or fraudulent or criminal activity. If we restrict the authorizations too much, then the controls become disruptive and the users cannot do their jobs. The ideal situation is for the user to have only the needed authorizations and nothing more. That is one objective of this assignment.
Part 1 – Risk Analysis
You are to assess the risks involved in the purchase transaction. Since you are not familiar with the controls used by the company in this case, we are asking you to only assess the threats to the system and are not asking you to assess the vulnerabilities. With respect to the threats, you are to determine if the source of the threat is external, coming from outside of the company or internal, coming from a source within the company. For example, an error can originate outside of the company, such as the vendor sending us the wrong goods, but most errors would originate within the company. Under each category (External Threats, Internal Threats) you are to list the individual types of threats and then determine if the specific threat could be mitigated by enforcing segregation of duties (SOD). If you believe that SOD mitigates the risk, then you need to state how it does.
In a normal business assessment of risk, the next step would be to assess the vulnerabilities and then suggest internal controls that could be used to mitigate each of the threats. In this case, we are only concerned with the segregation of duties control.
การแปล กรุณารอสักครู่..
บริษัท XYZ เป็นผู้ผลิตตลาดรองรถยนต์ขนาดใหญ่ ตลาดรองที่เกี่ยวข้องกับการผลิตชิ้นส่วนยานยนต์ หลังตลาดหลายแบรนด์ที่แตกต่างกันและรูปแบบของรถยนต์ ตัวอย่างเช่นถ้ารถของคุณต้องเปลี่ยนท่อไอเสีย เริ่มมอเตอร์ เครื่องกำเนิดไฟฟ้า ฯลฯ แล้วคุณมีตัวเลือกในการซื้ออะไหล่จากผู้ผลิตเดิม ( OEM ) ซึ่งมักจะมีราคาแพงหรือจากตลาดรอง ผู้ผลิตมักจะมากน้อยราคาแพง .
XYZ มีโรงงานผลิตตั้งอยู่ในดีทรอยต์มิชิแกน , นวร์กนิวเจอร์ซีย์ และโอ๊คแลนด์แคลิฟอร์เนีย มีคลังสินค้ากระจายในเจ็ดเมืองในสหรัฐอเมริกาสองในยุโรป หนึ่งในประเทศจีนสามในญี่ปุ่น หนึ่งในเม็กซิโกและอเมริกาใต้ .
XYZ มีศูนย์กลางระบบจัดซื้อ ตั้งอยู่ที่สำนักงานใหญ่ในดีทรอยต์ ขั้นตอนที่เป็นไปเพื่อซื้อวัสดุและอุปกรณ์ที่แตกต่างกันกับประเภทของสินค้าที่ถูกซื้อ มีสี่ประเภทของสินค้าและบริการต่างๆ นั้น areacquired . พวกเขาจะ :
- สินค้าและบริการ ที่ใช้สำหรับการผลิตของผลิตภัณฑ์ที่ บริษัท ผลิต ,
- การได้มาของทรัพย์สินถาวรการผลิต , การบริการ
- ที่เกี่ยวข้องกับการเจรจาสัญญา
- สินค้าและบริการต่างๆ นั้นได้รับการสนับสนุนปกติของการดำเนินงานทั่วไปของบริษัท
ตัวอย่างของแต่ละประเภทเหล่านี้ตาม หมวดแรกของกิจการ รวมถึงวัตถุดิบที่ใช้ในการผลิต และ subassemblies สินค้าสําเร็จรูปซึ่งรวมถึงการหล่อโลหะเกรดต่างๆของลวดพลาสติกขนาดใหญ่สำหรับงานฉีด , น้ำมันและน้ำมันหล่อลื่นและผลิตภัณฑ์ที่คล้ายกันมาก อื่น ๆ การสั่งซื้อสินค้าประเภทนี้ริเริ่มโดยการควบคุมสินค้าคงคลังของ บุคลากร นี้สั่งกิจกรรมต้องประสานงานกับแผน กิจกรรมการผลิตและกิจกรรม
คาดการณ์การขายและการตลาดประเภทที่สองของกิจการเกี่ยวข้องกับการสั่งซื้อของการผลิตอุปกรณ์หนักเช่นต่อเนื่องเครื่อง , เครื่องกลึง , กดลม และการผลิตอุปกรณ์ที่คล้ายกันอื่น ๆ การเริ่มต้นของการสั่งซื้อสินค้าประเภทนี้จะกระทำโดยวิศวกรการผลิตกิจกรรมนี้มีการประสานงาน กับยุทธศาสตร์ระยะยาว การวางแผนการผลิต ( อยู่ในเมืองหลวงงบประมาณ ) และการวิจัยและพัฒนาวิศวกร
สามประเภทของการเกี่ยวข้องกับสัญญาบริการ ตัวอย่างเช่นทั้งหมดและการบำรุงรักษาสัญญาบริการอุปกรณ์สำหรับตกอยู่ภายใต้หมวดหมู่นี้ นอกจากนี้บริการให้คำปรึกษา และบริการ outsourcing จะรวมอยู่ในหมวดหมู่นี้ ธุรกรรมเหล่านี้เกี่ยวข้องกับค่อนข้างเป็นบิตของการเจรจาต่อรองสัญญาทางกฎหมายและดังนั้น XYZ มีพนักงานของทนายความที่เกี่ยวข้องในการดำเนินการ .
ประเภทสุดท้ายของกิจการรวมถึงเครื่องใช้สำนักงานที่ใช้โดยบุคลากรสนับสนุนทุกเครื่องคอมพิวเตอร์และอุปกรณ์วัสดุและรายการที่คล้ายกันกิจกรรมนี้มีต้นกำเนิดจากพนักงานแต่ละคน เนื่องจากกระบวนการทางธุรกิจ
จะแตกต่างกันสำหรับแต่ละประเภทของแต่ละสี่ประเภทข้างต้นได้แยกพื้นที่ส่วนกลางจัดซื้อภายในองค์กรที่เกี่ยวข้องกับการซื้อสินค้าและบริการ ในงานนี้คุณแค่ถามเพื่อตรวจสอบกระบวนการทางธุรกิจและการควบคุมที่เกี่ยวข้องกับประเภทกิจการที่สี่ กระบวนการทางธุรกิจการซื้อ
บริษัท ใช้ขั้นตอนต่อไปนี้เพื่อซื้อสินค้าสำหรับพนักงานของพวกเขา : :
การสั่งซื้อสินค้า - การเพิ่มพนักงานจะต้องมีสินค้าในการทำงานของพวกเขา .
- เป็น พนักงานกรอกแบบฟอร์ม XYZ ใบสั่งซื้อสำหรับสินค้าที่ต้องการ .
- การเพิ่มสัญญาณซื้อและพนักงานเอกสารส่งไปอีก XYZ พนักงาน .
- มี XYZ พนักงานอนุมัติซื้อใบเบิก .
- มี XYZ พนักงานส่งการตอบรับ และการจัดการเบิกจ่ายกลับไปที่พนักงาน ( ถ้าเบิกไม่ได้อนุมัติกระบวนการหยุด
ที่นี่ )- การเพิ่มพนักงานส่งอนุมัติซื้อเอกสารแบบฟอร์มส่วนกลางจัดซื้อ และคนที่เหมาะสมอื่น ๆ .
- มี XYZ พนักงานบันทึกข้อมูลซื้อ - บริการข้อมูล
เป็น XYZ กำหนดผลิตภัณฑ์ที่เหมาะสมกับพนักงานเพื่อ .
- การกำหนดที่เหมาะสมของ XYZ ผู้ขายสั่งซื้อและตรวจสอบเพื่อดูว่าข้อมูลหลักของผู้ขายคือ ในระบบและถูกต้อง .
- ถ้าผู้ขายข้อมูลหลักที่ไม่ได้อยู่ในระบบ หรือ ไม่ถูกต้อง แล้ว xyz พนักงานยืนยันข้อมูลหลักและเงื่อนไขการชำระเงินกับผู้ขาย และเข้าสู่ข้อมูลหลักในระบบ มีพนักงานรวมซื้อ
- XYZ requisitions และสร้างใบสั่งซื้อ .
- XYZ เป็นพนักงานส่งใบสั่งซื้อให้กับผู้ขาย และผู้คนที่เหมาะสมอื่น ๆ .
- การเพิ่มพนักงานได้รับคำสั่งการจากผู้ขาย .
- มี XYZ พนักงานบันทึกข้อมูลใบสั่งซื้อข้อมูล การรับและจัดเก็บสินค้า :
- ผู้ขายเรือสินค้าที่มีหีบห่อไปยังปลายทางในการสั่งซื้อและรับสินค้าที่ XYZ พนักงานการท่าเรือ
- สถานที่ตั้งของเรา การเพิ่มพนักงานนับสินค้าในการจัดส่ง
- การเพิ่มพนักงานเอาใบบรรจุจากกล่องและส่งไปยังบุคคลที่เหมาะสม มี XYZ
- พนักงานกรอกได้รับรายงานว่ามีรายละเอียดในเวลาของการมาถึงและรับสินค้า .
- XYZ พนักงานบันทึกข้อมูลการบรรจุการจัดส่ง .
- การบันทึกข้อมูลรายงานการรับพนักงานเพิ่ม .
- พนักงานผ่านการเพิ่มสินค้าไปยังเขตผู้รับ
- XYZ พนักงานร้องขอเป็นสินค้าได้รับสินค้าที่ต้องการชำระค่าสินค้า :
.
- ผู้ขายจะส่งใบแจ้งหนี้และคำแนะนำการชำระเงินและได้รับใบแจ้งหนี้และ XYZ พนักงานแนะนำโอนเงิน .
- XYZ พนักงานการเปรียบเทียบทั้งหมดของเอกสารสำหรับการสั่งซื้อ ( คือคูปองแพคเกจคอมไพล์ )
- XYZ อนุมัติเงินเป็นพนักงานของใบแจ้งหนี้ .
- การชำระเงินตรวจสอบพนักงานสร้าง XYZ .
- XYZ พนักงานส่งเงินเป็นเช็ค การโอนเงินให้ผู้ขายแนะนำ
:
- การตรวจสอบเป็นระยะ ๆเป็น XYZ พนักงานตรวจสอบทั้งหมดของเอกสารเพื่อให้แน่ใจว่า ธุรกรรมที่ได้รับการจัดการอย่างถูกต้อง การรักษาความปลอดภัย และข้อมูลประกัน
XYZ เป็นกังวลมากเกี่ยวกับ การรักษาความปลอดภัยและข้อมูลการประกันกับเนื้อเรื่องล่าสุดของกฎหมายซาร์เบนส์ Oxley XYZ ตอนนี้ตระหนักดีว่าการควบคุมบัญชีทางการเงินที่มั่นคงเป็น ที่สำคัญมากสำหรับ บริษัท แต่เดิมมีการเปิดรูปแบบ XYZ ซึ่งในระบบคอมพิวเตอร์ของผู้ใช้ได้เพียง จำกัด ทำหน้าที่เฉพาะถ้ามันเป็นที่ชัดเจนว่ามีการอนุญาตเสนอความเสี่ยงหรือข้อมูลประกันความเสี่ยงตัวอย่างเช่นผู้ดูแลระบบรู้ว่าปกติผู้ใช้ทางธุรกิจไม่ควรอนุญาตให้สร้างบัญชีผู้ใช้ใหม่หรือเพื่อเพิ่มตารางใหม่ในฐานข้อมูล ดังนั้น อำนาจเหล่านี้ถูก จำกัด การผู้ดูแลระบบและนักพัฒนาแอพลิเคชัน อย่างไรก็ตาม สำหรับการทำธุรกรรมทางธุรกิจมากที่สุด คือ ความคิดที่ จำกัด การเข้าถึง คือ ไม่จำเป็น ในความเป็นจริงปรัชญา คือ การเข้าถึงเพิ่มเติมที่พนักงานได้มากขึ้น พวกเขาจะเรียนรู้เกี่ยวกับระบบและดังนั้นจึงมีประโยชน์มากขึ้น พวกเขาจะสามารถให้ บริษัท ตระหนักถึงรูปแบบการรักษาความปลอดภัย
XYZ ปิด ตอนนี้ต้องเป็นลูกบุญธรรม รูปแบบการรักษาความปลอดภัยปิดอนุญาตการเข้าถึงผู้ใช้ตามฟังก์ชันทางธุรกิจที่พวกเขามีความรับผิดชอบ นั่นคือผู้ใช้จะอนุญาตให้เข้าถึงฟังก์ชันของระบบที่พวกเขาต้องการที่จะทำงานของพวกเขา ของหลักสูตร การรักษาความปลอดภัยแบบปิดมีมากขึ้นยากที่จะบังคับใช้กว่าแบบเปิด มันเป็นสิ่งจำเป็นเพื่อตรวจสอบว่าฟังก์ชันที่ผู้ใช้ควรได้รับการอนุญาตและ จำกัด ผู้ใช้อำนาจเหล่านั้นเท่านั้น กำหนดอนุญาต มันไม่ได้ง่ายอย่างที่คิดถ้าเราออกอำนาจมากเกินไป ผู้ใช้ เราก็เสี่ยงสูญเสียการควบคุมธุรกรรมทางการเงินของเรา ซึ่งจะทำให้เกิดข้อผิดพลาดหรือฉ้อโกง หรือกิจกรรมทางอาญา . ถ้าเราจำกัดอำนาจมากเกินไป แล้วคุมกลายเป็น disruptive และผู้ใช้ไม่สามารถทำงานของพวกเขา สถานการณ์ที่เหมาะสำหรับผู้ใช้ที่จะมีเพียงต้องการอำนาจและไม่มีอะไรเพิ่มเติมนั่นคือวัตถุประสงค์ของงานนี้ ส่วนที่ 1 การวิเคราะห์ความเสี่ยงและ
คุณประเมินความเสี่ยงที่เกี่ยวข้องในธุรกรรมการซื้อ . เนื่องจากคุณไม่คุ้นเคยกับการควบคุมที่ใช้โดย บริษัท ในกรณีนี้ เราขอให้คุณเพียงประเมินภัยคุกคามต่อระบบและจะไม่ขอให้คุณประเมินช่องโหว่ . ด้วยความเคารพต่อภัยคุกคามคุณจะต้องตรวจสอบว่าแหล่งที่มาของภัยคุกคามภายนอกที่มาจากภายนอกของ บริษัท หรือภายใน ที่มาจากแหล่งภายในบริษัท ตัวอย่างเช่นข้อผิดพลาดเกิดขึ้นนอกบริษัท เช่น ผู้ขายส่งของผิด แต่ข้อผิดพลาดส่วนใหญ่จะมาจากภายในบริษัท ในแต่ละประเภท ( ภัยคุกคามภายนอกภัยคุกคามภายใน ) คุณมีรายการประเภทบุคคลของภัยคุกคาม และตรวจสอบแล้วว่าภัยคุกคามที่เฉพาะเจาะจงสามารถ mitigated โดยมีการแบ่งแยกหน้าที่ ( ข่าวสด ) ถ้าคุณเชื่อว่าสดช่วยลดความเสี่ยง , แล้วคุณจะต้องระบุว่ามัน .
ในการประเมินธุรกิจปกติของความเสี่ยงขั้นตอนถัดไปจะประเมินช่องโหว่แล้วแนะนำภายในการควบคุมที่สามารถใช้สำหรับแต่ละของภัยคุกคาม ในกรณีนี้ เราเป็นเพียงที่เกี่ยวข้องกับการแบ่งแยกหน้าที่ควบคุม
XYZ มีโรงงานผลิตตั้งอยู่ในดีทรอยต์มิชิแกน , นวร์กนิวเจอร์ซีย์ และโอ๊คแลนด์แคลิฟอร์เนีย มีคลังสินค้ากระจายในเจ็ดเมืองในสหรัฐอเมริกาสองในยุโรป หนึ่งในประเทศจีนสามในญี่ปุ่น หนึ่งในเม็กซิโกและอเมริกาใต้ .
XYZ มีศูนย์กลางระบบจัดซื้อ ตั้งอยู่ที่สำนักงานใหญ่ในดีทรอยต์ ขั้นตอนที่เป็นไปเพื่อซื้อวัสดุและอุปกรณ์ที่แตกต่างกันกับประเภทของสินค้าที่ถูกซื้อ มีสี่ประเภทของสินค้าและบริการต่างๆ นั้น areacquired . พวกเขาจะ :
- สินค้าและบริการ ที่ใช้สำหรับการผลิตของผลิตภัณฑ์ที่ บริษัท ผลิต ,
- การได้มาของทรัพย์สินถาวรการผลิต , การบริการ
- ที่เกี่ยวข้องกับการเจรจาสัญญา
- สินค้าและบริการต่างๆ นั้นได้รับการสนับสนุนปกติของการดำเนินงานทั่วไปของบริษัท
ตัวอย่างของแต่ละประเภทเหล่านี้ตาม หมวดแรกของกิจการ รวมถึงวัตถุดิบที่ใช้ในการผลิต และ subassemblies สินค้าสําเร็จรูปซึ่งรวมถึงการหล่อโลหะเกรดต่างๆของลวดพลาสติกขนาดใหญ่สำหรับงานฉีด , น้ำมันและน้ำมันหล่อลื่นและผลิตภัณฑ์ที่คล้ายกันมาก อื่น ๆ การสั่งซื้อสินค้าประเภทนี้ริเริ่มโดยการควบคุมสินค้าคงคลังของ บุคลากร นี้สั่งกิจกรรมต้องประสานงานกับแผน กิจกรรมการผลิตและกิจกรรม
คาดการณ์การขายและการตลาดประเภทที่สองของกิจการเกี่ยวข้องกับการสั่งซื้อของการผลิตอุปกรณ์หนักเช่นต่อเนื่องเครื่อง , เครื่องกลึง , กดลม และการผลิตอุปกรณ์ที่คล้ายกันอื่น ๆ การเริ่มต้นของการสั่งซื้อสินค้าประเภทนี้จะกระทำโดยวิศวกรการผลิตกิจกรรมนี้มีการประสานงาน กับยุทธศาสตร์ระยะยาว การวางแผนการผลิต ( อยู่ในเมืองหลวงงบประมาณ ) และการวิจัยและพัฒนาวิศวกร
สามประเภทของการเกี่ยวข้องกับสัญญาบริการ ตัวอย่างเช่นทั้งหมดและการบำรุงรักษาสัญญาบริการอุปกรณ์สำหรับตกอยู่ภายใต้หมวดหมู่นี้ นอกจากนี้บริการให้คำปรึกษา และบริการ outsourcing จะรวมอยู่ในหมวดหมู่นี้ ธุรกรรมเหล่านี้เกี่ยวข้องกับค่อนข้างเป็นบิตของการเจรจาต่อรองสัญญาทางกฎหมายและดังนั้น XYZ มีพนักงานของทนายความที่เกี่ยวข้องในการดำเนินการ .
ประเภทสุดท้ายของกิจการรวมถึงเครื่องใช้สำนักงานที่ใช้โดยบุคลากรสนับสนุนทุกเครื่องคอมพิวเตอร์และอุปกรณ์วัสดุและรายการที่คล้ายกันกิจกรรมนี้มีต้นกำเนิดจากพนักงานแต่ละคน เนื่องจากกระบวนการทางธุรกิจ
จะแตกต่างกันสำหรับแต่ละประเภทของแต่ละสี่ประเภทข้างต้นได้แยกพื้นที่ส่วนกลางจัดซื้อภายในองค์กรที่เกี่ยวข้องกับการซื้อสินค้าและบริการ ในงานนี้คุณแค่ถามเพื่อตรวจสอบกระบวนการทางธุรกิจและการควบคุมที่เกี่ยวข้องกับประเภทกิจการที่สี่ กระบวนการทางธุรกิจการซื้อ
บริษัท ใช้ขั้นตอนต่อไปนี้เพื่อซื้อสินค้าสำหรับพนักงานของพวกเขา : :
การสั่งซื้อสินค้า - การเพิ่มพนักงานจะต้องมีสินค้าในการทำงานของพวกเขา .
- เป็น พนักงานกรอกแบบฟอร์ม XYZ ใบสั่งซื้อสำหรับสินค้าที่ต้องการ .
- การเพิ่มสัญญาณซื้อและพนักงานเอกสารส่งไปอีก XYZ พนักงาน .
- มี XYZ พนักงานอนุมัติซื้อใบเบิก .
- มี XYZ พนักงานส่งการตอบรับ และการจัดการเบิกจ่ายกลับไปที่พนักงาน ( ถ้าเบิกไม่ได้อนุมัติกระบวนการหยุด
ที่นี่ )- การเพิ่มพนักงานส่งอนุมัติซื้อเอกสารแบบฟอร์มส่วนกลางจัดซื้อ และคนที่เหมาะสมอื่น ๆ .
- มี XYZ พนักงานบันทึกข้อมูลซื้อ - บริการข้อมูล
เป็น XYZ กำหนดผลิตภัณฑ์ที่เหมาะสมกับพนักงานเพื่อ .
- การกำหนดที่เหมาะสมของ XYZ ผู้ขายสั่งซื้อและตรวจสอบเพื่อดูว่าข้อมูลหลักของผู้ขายคือ ในระบบและถูกต้อง .
- ถ้าผู้ขายข้อมูลหลักที่ไม่ได้อยู่ในระบบ หรือ ไม่ถูกต้อง แล้ว xyz พนักงานยืนยันข้อมูลหลักและเงื่อนไขการชำระเงินกับผู้ขาย และเข้าสู่ข้อมูลหลักในระบบ มีพนักงานรวมซื้อ
- XYZ requisitions และสร้างใบสั่งซื้อ .
- XYZ เป็นพนักงานส่งใบสั่งซื้อให้กับผู้ขาย และผู้คนที่เหมาะสมอื่น ๆ .
- การเพิ่มพนักงานได้รับคำสั่งการจากผู้ขาย .
- มี XYZ พนักงานบันทึกข้อมูลใบสั่งซื้อข้อมูล การรับและจัดเก็บสินค้า :
- ผู้ขายเรือสินค้าที่มีหีบห่อไปยังปลายทางในการสั่งซื้อและรับสินค้าที่ XYZ พนักงานการท่าเรือ
- สถานที่ตั้งของเรา การเพิ่มพนักงานนับสินค้าในการจัดส่ง
- การเพิ่มพนักงานเอาใบบรรจุจากกล่องและส่งไปยังบุคคลที่เหมาะสม มี XYZ
- พนักงานกรอกได้รับรายงานว่ามีรายละเอียดในเวลาของการมาถึงและรับสินค้า .
- XYZ พนักงานบันทึกข้อมูลการบรรจุการจัดส่ง .
- การบันทึกข้อมูลรายงานการรับพนักงานเพิ่ม .
- พนักงานผ่านการเพิ่มสินค้าไปยังเขตผู้รับ
- XYZ พนักงานร้องขอเป็นสินค้าได้รับสินค้าที่ต้องการชำระค่าสินค้า :
.
- ผู้ขายจะส่งใบแจ้งหนี้และคำแนะนำการชำระเงินและได้รับใบแจ้งหนี้และ XYZ พนักงานแนะนำโอนเงิน .
- XYZ พนักงานการเปรียบเทียบทั้งหมดของเอกสารสำหรับการสั่งซื้อ ( คือคูปองแพคเกจคอมไพล์ )
- XYZ อนุมัติเงินเป็นพนักงานของใบแจ้งหนี้ .
- การชำระเงินตรวจสอบพนักงานสร้าง XYZ .
- XYZ พนักงานส่งเงินเป็นเช็ค การโอนเงินให้ผู้ขายแนะนำ
:
- การตรวจสอบเป็นระยะ ๆเป็น XYZ พนักงานตรวจสอบทั้งหมดของเอกสารเพื่อให้แน่ใจว่า ธุรกรรมที่ได้รับการจัดการอย่างถูกต้อง การรักษาความปลอดภัย และข้อมูลประกัน
XYZ เป็นกังวลมากเกี่ยวกับ การรักษาความปลอดภัยและข้อมูลการประกันกับเนื้อเรื่องล่าสุดของกฎหมายซาร์เบนส์ Oxley XYZ ตอนนี้ตระหนักดีว่าการควบคุมบัญชีทางการเงินที่มั่นคงเป็น ที่สำคัญมากสำหรับ บริษัท แต่เดิมมีการเปิดรูปแบบ XYZ ซึ่งในระบบคอมพิวเตอร์ของผู้ใช้ได้เพียง จำกัด ทำหน้าที่เฉพาะถ้ามันเป็นที่ชัดเจนว่ามีการอนุญาตเสนอความเสี่ยงหรือข้อมูลประกันความเสี่ยงตัวอย่างเช่นผู้ดูแลระบบรู้ว่าปกติผู้ใช้ทางธุรกิจไม่ควรอนุญาตให้สร้างบัญชีผู้ใช้ใหม่หรือเพื่อเพิ่มตารางใหม่ในฐานข้อมูล ดังนั้น อำนาจเหล่านี้ถูก จำกัด การผู้ดูแลระบบและนักพัฒนาแอพลิเคชัน อย่างไรก็ตาม สำหรับการทำธุรกรรมทางธุรกิจมากที่สุด คือ ความคิดที่ จำกัด การเข้าถึง คือ ไม่จำเป็น ในความเป็นจริงปรัชญา คือ การเข้าถึงเพิ่มเติมที่พนักงานได้มากขึ้น พวกเขาจะเรียนรู้เกี่ยวกับระบบและดังนั้นจึงมีประโยชน์มากขึ้น พวกเขาจะสามารถให้ บริษัท ตระหนักถึงรูปแบบการรักษาความปลอดภัย
XYZ ปิด ตอนนี้ต้องเป็นลูกบุญธรรม รูปแบบการรักษาความปลอดภัยปิดอนุญาตการเข้าถึงผู้ใช้ตามฟังก์ชันทางธุรกิจที่พวกเขามีความรับผิดชอบ นั่นคือผู้ใช้จะอนุญาตให้เข้าถึงฟังก์ชันของระบบที่พวกเขาต้องการที่จะทำงานของพวกเขา ของหลักสูตร การรักษาความปลอดภัยแบบปิดมีมากขึ้นยากที่จะบังคับใช้กว่าแบบเปิด มันเป็นสิ่งจำเป็นเพื่อตรวจสอบว่าฟังก์ชันที่ผู้ใช้ควรได้รับการอนุญาตและ จำกัด ผู้ใช้อำนาจเหล่านั้นเท่านั้น กำหนดอนุญาต มันไม่ได้ง่ายอย่างที่คิดถ้าเราออกอำนาจมากเกินไป ผู้ใช้ เราก็เสี่ยงสูญเสียการควบคุมธุรกรรมทางการเงินของเรา ซึ่งจะทำให้เกิดข้อผิดพลาดหรือฉ้อโกง หรือกิจกรรมทางอาญา . ถ้าเราจำกัดอำนาจมากเกินไป แล้วคุมกลายเป็น disruptive และผู้ใช้ไม่สามารถทำงานของพวกเขา สถานการณ์ที่เหมาะสำหรับผู้ใช้ที่จะมีเพียงต้องการอำนาจและไม่มีอะไรเพิ่มเติมนั่นคือวัตถุประสงค์ของงานนี้ ส่วนที่ 1 การวิเคราะห์ความเสี่ยงและ
คุณประเมินความเสี่ยงที่เกี่ยวข้องในธุรกรรมการซื้อ . เนื่องจากคุณไม่คุ้นเคยกับการควบคุมที่ใช้โดย บริษัท ในกรณีนี้ เราขอให้คุณเพียงประเมินภัยคุกคามต่อระบบและจะไม่ขอให้คุณประเมินช่องโหว่ . ด้วยความเคารพต่อภัยคุกคามคุณจะต้องตรวจสอบว่าแหล่งที่มาของภัยคุกคามภายนอกที่มาจากภายนอกของ บริษัท หรือภายใน ที่มาจากแหล่งภายในบริษัท ตัวอย่างเช่นข้อผิดพลาดเกิดขึ้นนอกบริษัท เช่น ผู้ขายส่งของผิด แต่ข้อผิดพลาดส่วนใหญ่จะมาจากภายในบริษัท ในแต่ละประเภท ( ภัยคุกคามภายนอกภัยคุกคามภายใน ) คุณมีรายการประเภทบุคคลของภัยคุกคาม และตรวจสอบแล้วว่าภัยคุกคามที่เฉพาะเจาะจงสามารถ mitigated โดยมีการแบ่งแยกหน้าที่ ( ข่าวสด ) ถ้าคุณเชื่อว่าสดช่วยลดความเสี่ยง , แล้วคุณจะต้องระบุว่ามัน .
ในการประเมินธุรกิจปกติของความเสี่ยงขั้นตอนถัดไปจะประเมินช่องโหว่แล้วแนะนำภายในการควบคุมที่สามารถใช้สำหรับแต่ละของภัยคุกคาม ในกรณีนี้ เราเป็นเพียงที่เกี่ยวข้องกับการแบ่งแยกหน้าที่ควบคุม
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- What about eating a fish that can kill y
- อากาศที่เมืองไทยร้อนมาก
- Sorry, I was confused.
- lesser expossure to carbonmonoxide
- live
- An End-to-End Middleware Solution With M
- For Annual Stock Checking in end Sep’14,
- It leads to poor performance at school o
- this office is perfectly adequate for my
- I want to make sure that you look very n
- 混在している
- In one day, of men and women are just di
- Learn how to send e-mail. Send a message
- คุณจะส่งมาทำไม
- Felt Terrible
- Makes one 9 -inch tart
- ฉันมีข้อเสนอคุณสนใจที่จะซื้อ template ไห
- Payments were made to farmers to compens
- ภายหลังจากได้รับการชนะสงคราม ผู้ชนะสงครา
- The photoquadrat survey was conducted by
- You will stay slim if you burn up the fa
- เมืองใด
- คือการคิดอย่างสร้างสรรค์ แก้ไขปัญหาเฉพาะ
- ถ้าวันหนึ่งมีคนมาถามกับคุณว่า ” เมื่อโตข
