電子表格管理

電子表格風(fēng)險管理

甫瀚研討會

2009年9月3日內(nèi)容為何這是個熱門話題？

為何應(yīng)引起關(guān)注？電子表格風(fēng)險控制職責(zé)電子表格控制方法論電子表格控制指引最佳實(shí)踐–理論與現(xiàn)實(shí)有哪些可用的工具軟件？案例分析總結(jié)問題與討論2電子表格被廣泛應(yīng)用于當(dāng)今企業(yè)運(yùn)營中的重要業(yè)務(wù)流程

（預(yù)算、現(xiàn)金流、貿(mào)易、管理層報告、公允價值計算、對賬、獎金計算等等）電子表格的優(yōu)勢

-

解決方案靈活多變，可按個人要求配置

-隨時隨地均可使用

-

輕松掌握使用方法

-

在IT部門不能提供快速支持的情況下，用戶可以自行開發(fā)來得到“靈活”的、“實(shí)時”的數(shù)據(jù)信息為何這是個熱門話題？95%的公司依賴電子表格進(jìn)行財務(wù)報告工作–3用戶過度依賴電子表格已經(jīng)形成趨勢，并且電子表格中的錯誤經(jīng)常未被察覺隨著電子表格日益復(fù)雜，出現(xiàn)的錯誤數(shù)量也隨之上升外部審計師也特別關(guān)注電子表格的使用狀況，因此各個公司都面臨著日益增加的壓力，來證明電子表格沒有問題為何這是個熱門話題？“94%的電子表格被發(fā)現(xiàn)有錯誤，而實(shí)際比例可能會更高，因?yàn)樵谠S多調(diào)研分析中，只有重大錯誤才會被報告。”

4Gartner同樣在其最新研究報告中提到了以下話題：

電子表格控制需要提升如果電子表格沒有得到有效控制，代價高昂的意外很可能發(fā)生，并且?guī)缀醪豢杀苊獾貢鸨O(jiān)管者，審計師，以及股東們不必要的關(guān)注審計師們正日益強(qiáng)調(diào)要求識別并追蹤高風(fēng)險的電子表格篡改電子表格數(shù)據(jù)是一種典型的內(nèi)部舞弊方式電子表格風(fēng)險管理已變得日益重要，因?yàn)楸O(jiān)管合規(guī)要求中已經(jīng)有相關(guān)規(guī)定實(shí)際業(yè)務(wù)中，電子表格的自動化控制解決方案已經(jīng)出現(xiàn)，并且正在被持續(xù)改善為何這是個熱門話題？“開發(fā)并實(shí)施一個有效的策略，以用于最終用戶計算（例如電子表格與個人數(shù)據(jù)庫）的風(fēng)險評估和使用控制?！?/p>

Gartner–電子表格控制需要提升,2009年5月Fidelity–

由于漏輸入了一個減號，F(xiàn)idelity公司Magellan基金的項(xiàng)目盈利被誤增了26億美元，原本被寄予厚望的分紅也流于東水。

-CIOWorldFannieMae

–

在披露了2003年3季度收益后，F(xiàn)annieMae不得不再次重述其有12億美元的虛增利潤，這是“在實(shí)施新會計準(zhǔn)則過程中，在電子表格里犯的一個誠實(shí)的錯誤”而導(dǎo)致的結(jié)果。–PCWorldProvidentFinancial

–

Provident公司在1997年到2002年之間的收益必須被重述7000萬美元，因?yàn)槠溆糜谟嬎阗J款攤銷的電子表格中出現(xiàn)了公式錯誤。

–NYTimesTransAlta–一個剪切-粘貼錯誤使TransAlta在一個電力合同競標(biāo)中報價過低，結(jié)果導(dǎo)致了2400萬美元的損失。–TheRegisterRedEnvelopeInc.–

一個單元格的輸入錯誤導(dǎo)致整個成本預(yù)測表計算錯誤，并使股價下跌超過25%，因?yàn)槠浔仨氃诘谒募径却蠓鶞p少報表數(shù)字。–Biz.YKodak–

公司在電子表格上發(fā)現(xiàn)了總值1100萬美元的錯誤解聘金，該表格在計算某員工的預(yù)提離職金時添加了過多的“0”。RobertBrust，Kodak首席財務(wù)官，稱其為“可能導(dǎo)致會計重組的實(shí)質(zhì)性內(nèi)部控制缺陷。”–MarketWatch為何應(yīng)引起關(guān)注?“簡單”錯誤可能導(dǎo)致嚴(yán)重問題為何應(yīng)引起關(guān)注?舞弊舉例6Allfirst–聯(lián)合愛爾蘭銀行美國分行（AIB）一位貨幣交易員，JohnRusnak，從1997年開始在其交易中出現(xiàn)虧損他使用一系列電子表格作假來掩蓋損失,其報表上仍顯示在盈利當(dāng)舞弊行為被最終發(fā)現(xiàn)后，其損失已高達(dá)6億9千萬美元了雖然Allfirst和AIB均未進(jìn)入破產(chǎn)清算程序，但這次虧損金額相當(dāng)于AIB公司2001年度收入的60%，導(dǎo)致股價大跌此次丑聞后，AIB出售了其Allfirst系所有子公司來源：(Sarbanes–Oxley:WhatAboutAlltheSpreadsheets?RaymondR.PankoandNicholasOrdway,UniversityofHawaii,presentedatEuSpRIG2005.)ProQuest–CFO“電子表格欺詐者”公司前任CFO，ScottHirth利用電子表格，在五年里錄入了無數(shù)虛假會計分錄。偽造文檔以虛報會計余額建立隱藏行，使虛假會計分錄未顯示在打印件上將電子表格文字調(diào)為白色以掩藏虛假信息此次丑聞導(dǎo)致公司在資本市場上損失超過4億3千萬美元，股價下跌了58%，紐約證券交易所隨即暫停了ProQuest股票的交易。來源：CFO雜志電子表格風(fēng)險控制職責(zé)7高級管理層代表公司，對于有效的全面風(fēng)險管理，包括管理電子表格風(fēng)險，負(fù)有不可推卸的責(zé)任。這包括理解：什么是風(fēng)險？風(fēng)險存在于企業(yè)業(yè)務(wù)何處？風(fēng)險的重要性如何？風(fēng)險是否得到了管理？誰對風(fēng)險管理負(fù)責(zé)？何時風(fēng)險被控制在一個可接受的水平內(nèi)？在實(shí)際操作中，有效的風(fēng)險管理職責(zé)將在企業(yè)范圍內(nèi)進(jìn)行分散委派。企業(yè)業(yè)務(wù)部門與IT部門的合作對于建立有效的電子表格風(fēng)險管理體系至關(guān)重要。電子表格風(fēng)險控制職責(zé)8業(yè)務(wù)部門信息技術(shù)內(nèi)部審計制定電子表格風(fēng)險管理政策識別、評估并報告風(fēng)險設(shè)計并評估恰當(dāng)?shù)目刂拼_認(rèn)電子表格按設(shè)計意圖正常工作接受剩余風(fēng)險嵌入更廣的風(fēng)險控制框架之中為電子表格用戶提供了必要的IT基礎(chǔ)架構(gòu)確保環(huán)境是可用的并且足夠安全企業(yè)可能依賴IT控制（例如訪問權(quán)限、備份以及存檔等）參與選擇、實(shí)施自動化解決方案為管理層提供合理保證，確保風(fēng)險已被有效控制：獨(dú)立驗(yàn)證控制有效性獨(dú)立驗(yàn)證邏輯完整性列為審計計劃的一部分通常避免將完整性測試作為控制側(cè)重發(fā)現(xiàn)并解決問題的根源，例如無效的電子表格風(fēng)險管理流程和控制電子表格控制方法論9甫瀚的方法論可以被分解為4個關(guān)鍵階段：法規(guī)監(jiān)管要求（例如SOX）是催化劑，但是電子表格控制并不只是為了防范財務(wù)報告問題

–其也針對相關(guān)的運(yùn)營風(fēng)險（決策所需的信息等）。每個關(guān)鍵階段均代表在任一電子表格控制項(xiàng)目中的關(guān)鍵步驟。分析標(biāo)準(zhǔn)化/自動化識別電子表格與評估風(fēng)險評估電子表格完整性和控制實(shí)施控制框架淘汰/重建選定的電子表格范圍與優(yōu)先級審計管理提高驗(yàn)證與監(jiān)控工作方法–第一階段10識別電子表格識別，并進(jìn)行風(fēng)險評估項(xiàng)目目標(biāo)和關(guān)鍵業(yè)務(wù)需求必須先要明確，這兩點(diǎn)對于項(xiàng)目工作范圍以及優(yōu)先級的確定有直接影響；關(guān)注那些最依賴電子表格的業(yè)務(wù)流程；創(chuàng)建電子表格初始清單，并與流程負(fù)責(zé)人討論或以調(diào)查問卷方式補(bǔ)充必要信息；評估電子表格風(fēng)險，主要從對業(yè)務(wù)活動的重要性水平以及總體發(fā)生錯誤的可能性水平兩方面進(jìn)行；評估電子表格對財務(wù)與/或運(yùn)營影響的重要性水平時，由于直接定量比較困難，實(shí)際工作中通常用高、中、低或1-5來分段表示；評估電子表格錯誤發(fā)生的可能性水平時，可結(jié)合使用定性與定量分析來確定。 例如： -特殊的公式 -外部鏈接 -使用VBA -支持文檔以及培訓(xùn)水平 -使用標(biāo)準(zhǔn)化的方法論/設(shè)計規(guī)范識別電子表格與評估風(fēng)險評估電子表格完整性和控制實(shí)施控制框架淘汰/重建選定的電子表格工作方法–第二階段11評估電子表格完整性和控制活動，并議定行動方案必須對關(guān)鍵電子表格的邏輯完整性進(jìn)行評估，以確保其基本功能和邏輯性的充分有效；檢查電子表格中的公式和邏輯錯誤以及設(shè)計缺陷；評估與確定電子表格風(fēng)險類別相對應(yīng)的控制活動要求–每個風(fēng)險類別并不需要所有的控制，側(cè)重點(diǎn)應(yīng)放在設(shè)立恰當(dāng)水平的控制活動上；考慮關(guān)于訪問權(quán)限、備份、變更管理、數(shù)據(jù)驗(yàn)證、數(shù)據(jù)完整與安全、存檔、獨(dú)立復(fù)核以及版本控制方面的控制活動；關(guān)注流程–在使用電子表格的流程中考慮增加補(bǔ)償控制，來檢查電子表格錯誤；分析控制缺陷，制定路線圖，明確實(shí)現(xiàn)改善電子表格總體控制水平的具體步驟。識別電子表格與評估風(fēng)險評估電子表格完整性和控制實(shí)施控制框架淘汰/重建選定的電子表格工作方法–第三階段12實(shí)施控制框架為保證電子表格持續(xù)的完整性與可靠性，必須制定一整套電子表格管理政策、流程和控制框架；該控制框架應(yīng)基于風(fēng)險來制定的；政策制度只有在貫徹實(shí)施后才能有效降低風(fēng)險；相應(yīng)的培訓(xùn)程序與監(jiān)控機(jī)制也是必不可少的；自動化技術(shù)解決方案可以幫助減少日?？刂婆c合規(guī)工作中的人工投入，提升效率。電子表格政策角色和職責(zé)最低標(biāo)準(zhǔn)控制流程識別電子表格與評估風(fēng)險評估電子表格完整性和控制實(shí)施控制框架淘汰/重建選定的電子表格工作方法–第四階段13逐步淘汰、重建選中的電子表格對那些最關(guān)鍵和復(fù)雜的電子表格，可以考慮對其重新開發(fā)以實(shí)施最佳實(shí)踐，必要時可將電子表格的功能遷移至IT應(yīng)用系統(tǒng)中（例如ERP或BPM系統(tǒng)）；以下情況下，可以考慮替換或遷移：電子表格包含了計算支持與報告所需的主數(shù)據(jù)電子表格大量使用VisualBasic程序代碼同一張電子表格有多個用戶電子表格被用作為兩個系統(tǒng)間的數(shù)據(jù)接口電子表格運(yùn)行緩慢，經(jīng)常需要重新啟動在電子表格開始使用時就設(shè)立控制；盡早引入IT和關(guān)鍵的利益相關(guān)人，以決定最佳解決方案和評估成本效益；謹(jǐn)記–通常來說，電子表格是一個正確的解決方案。識別電子表格與評估風(fēng)險評估電子表格完整性和控制實(shí)施控制框架淘汰/重建選定的電子表格電子表格控制指引14索引控制目標(biāo)控制指引1電子表格清單所有關(guān)鍵電子表格均維護(hù)在實(shí)時準(zhǔn)確的清單中。對關(guān)鍵電子表格的界定標(biāo)準(zhǔn)進(jìn)行定義；關(guān)注整個流程中的關(guān)鍵控制，而不僅僅是電子表格控制；考慮擴(kuò)大控制范圍以應(yīng)對運(yùn)營風(fēng)險，例如非財務(wù)報告相關(guān)的電子表格；使用工具軟件已經(jīng)成為主流。2邏輯校驗(yàn)電子表格的基本功能需經(jīng)過邏輯檢查。發(fā)現(xiàn)的錯誤與重大缺陷均須加以整改。使用軟件輔助進(jìn)行邏輯檢查是主要手段之一；同時需關(guān)注設(shè)計與公式邏輯的一致性。3版本控制規(guī)范文件命名規(guī)則以及存儲地點(diǎn)，以強(qiáng)化版本控制。4輸入控制實(shí)施輸入控制以確保完整、準(zhǔn)確的數(shù)據(jù)輸入?？偭砍绦蚩刂婆c數(shù)據(jù)校驗(yàn)是主要手段之一。下表是一個典型的電子表格控制框架和指引清單。請注意，任何方法都應(yīng)是基于風(fēng)險的，并不是每個電子表格都需要使用所有的控制。電子表格控制指引15索引控制目標(biāo)控制指引5變更控制所有變更有一個集中管理的日志進(jìn)行變更記錄，該日志需定期復(fù)核以確保電子表格的變更符合管理層意圖。高風(fēng)險/高復(fù)雜度電子表格的變更需進(jìn)行測試和驗(yàn)證。6訪問控制電子表格文件的訪問權(quán)限應(yīng)根據(jù)工作職責(zé)進(jìn)行限制，以確保職責(zé)分工。對于文件、表單、單元格進(jìn)行深層次的限制與密碼控制是主要手段；使用文檔管理以及電子表格管理解決方案也已日益興起并成為主流。7備份管理電子表格進(jìn)行定期備份以確?？苫謴?fù)性。8文檔管理關(guān)鍵電子表格應(yīng)有完整并更新及時的支持文檔。文檔應(yīng)包含電子表格的目的，使用方法，關(guān)鍵假設(shè)，授權(quán)用戶，關(guān)鍵運(yùn)算邏輯，VBA簡介，輸入/外部鏈接等。比較好的做法是將文檔作為電子表格的一部分或并入文檔管理/電子表格管理解決方案中。好的文檔能大幅度地降低人員流動以及不充分繼承所帶來的風(fēng)險。最佳實(shí)踐–理論與實(shí)際16下面列示了電子表格設(shè)計、開發(fā)與安全方面的部分最佳實(shí)踐，可供關(guān)鍵電子表格的管理參考。對電子表格進(jìn)行定期檢查和審計，可以大大降低發(fā)生錯誤的可能性。設(shè)計標(biāo)準(zhǔn)：分離輸入、計算與結(jié)果在每一行或一列中僅使用一個公式布局邏輯清楚（像書本一樣）盡量使用多張工作表包含支持文檔（例如假設(shè)、限制條件、使用方法）遵守表達(dá)規(guī)范（例如編碼顏色、公式表達(dá)符號等）開發(fā)標(biāo)準(zhǔn)：保持簡單插入注釋加上有意義的標(biāo)簽自動導(dǎo)入、導(dǎo)出數(shù)據(jù)使用輸入范圍限制刪除冗余數(shù)據(jù)/表單安全標(biāo)準(zhǔn)：保護(hù)單元格/工作表保護(hù)工作簿/VBA考慮密碼保護(hù)安全存儲重新設(shè)計不僅能減少錯誤發(fā)生的可能性，而且還能有效提高業(yè)務(wù)流程效率。17有哪些可用的工具軟件？18軟件解決方案可大致分為以下三類：電子表格搜索/發(fā)現(xiàn)：能自動掃描網(wǎng)絡(luò)或指定服務(wù)器上的所有電子表格，同時可以執(zhí)行簡單的分析工作以幫助處理大量數(shù)據(jù)。電子表格檢查/審計：輔助進(jìn)行電子表格審計的自動工具。雖然人工審閱仍是必需的，但是這類工具可以大大提升審計工作效率。功能、成本、方法以及對最終用戶的影響都隨不同的供應(yīng)商和解決方案而不同。工具軟件的使用正日益普及，幫助企業(yè)在提升管理水平的同時減少人工投入。我們與業(yè)內(nèi)領(lǐng)先的軟件供應(yīng)商都保持著合作關(guān)系。電子表格管理/控制：變更控制，版本管理，變更歷史（審計索引）以及安全管理；同樣用來限制對于某功能或特定單元格的訪問。有序管理狀態(tài)

使企業(yè)可以持續(xù)地管理和強(qiáng)化電子表格控制，同時盡可能減少人工監(jiān)控成本。有哪些可用的工具軟件？19電子表格風(fēng)險管理軟件供應(yīng)商：ClusterSevenCIMCONSoftwareFinsburySolutions(ExChecker–前身為Compassoft)RedRoverProdianceLyquidityMOBIUSAuditWareSpreadsheetInnovationsSpreadsheetAdvantageSpreadsheetDetectiveActuateQtier注：以上僅列示了主流的電子表格管理軟件，且不能保證完整性。案例分析20一家跨國保險公司

重點(diǎn)/關(guān)鍵成功因素評估成本效益/可行性：項(xiàng)目可能需要大量預(yù)算，特別是在時間較緊或者涉及復(fù)雜計算時。文化變更/用戶的抵觸情緒：通常在電子表格結(jié)構(gòu)及控制上的集中監(jiān)管很少，因此有效的溝通以及項(xiàng)目小組的互動十分關(guān)鍵。項(xiàng)目負(fù)責(zé)人/發(fā)起人：決策層/管理層對于項(xiàng)目的支持，以及持續(xù)的、自上而下的關(guān)注能有效地克服文化變更及抵觸情緒帶來的困難。配置恰當(dāng)?shù)馁Y源：

一個項(xiàng)目完全由內(nèi)部資源執(zhí)行可能是不切實(shí)際的。應(yīng)適當(dāng)考慮外部專家和資源，尤其在知識傳遞、保證可持續(xù)性等方面。維護(hù)專業(yè)知識：企業(yè)可能沒有對于新電子表格進(jìn)行功能和邏輯測試的技術(shù)力量，對于測試范圍以及測試充分性的審計判斷可能也是一個挑戰(zhàn)。另外，由于項(xiàng)目性質(zhì)可能是臨時的，企業(yè)很難為此招聘一個全職員工。公司在進(jìn)行了電子表格風(fēng)險和控制整改效果評估后，啟動了正式的項(xiàng)目，來應(yīng)對財務(wù)上最終用戶工具（EndUserTools，EUT）的全局風(fēng)險；最終用戶工具包括電子表格與微軟Access數(shù)據(jù)庫。該項(xiàng)目致力于實(shí)施一個靈活的，但又是可持續(xù)的控制框架，最終解決方案包含一系列人工與自動控制的組合。案例分析21重點(diǎn)/關(guān)鍵成功因素（續(xù)）維護(hù)EUT清單：對于識別并維護(hù)一份完整準(zhǔn)確的EUT清單而言，從財務(wù)報告入手進(jìn)行全面分析是一個很重要的手段。會計政策變更、披露要求變更、關(guān)鍵人員變更以及兼并或多元化經(jīng)營都可能會生成新的EUT。而穿行測試對于復(fù)核該清單的準(zhǔn)確性也是非常重要的?？紤]使用自動化軟件：自動化軟件可以大大提升電子表格的基準(zhǔn)化及持續(xù)監(jiān)督工作效率，而人工流程隨著時間推移會逐漸失去效率。但也必須認(rèn)識到，為了最大化自動化軟件的功能效用，有些電子表格需要重新設(shè)計或進(jìn)行使用方式的變更。另外也必須認(rèn)識到，軟件不是“萬能藥”，一個經(jīng)過深思熟慮、符合實(shí)際的控制框架及其配套流程也至關(guān)重要