电子表格风险管理

电子表格风险管理 甫瀚研讨会

2021年9月3日内容为何这是个热门话题？

为何应引起关注？电子表格风险控制职责电子表格控制方法论电子表格控制指引最佳实践–理论与现实有哪些可用的工具软件？案例分析总结问题与讨论2电子表格被广泛运用于当今企业运营中的重要业务流程〔预算、现金流、贸易、管理层报告、公允价值计算、对账、奖金计算等等〕电子表格的优势 -处理方案灵敏多变，可按个人要求配置 -随时随地均可运用 -轻松掌握运用方法 -在IT部门不能提供快速支持的情况下，用户可以自行开发来得到“灵敏〞的、“实时〞的数据信息为何这是个抢手话题？95%的公司依赖电子表格进展财务报告任务–coda3用户过度依赖电子表格曾经构成趋势，并且电子表格中的错误经常未被觉察随着电子表格日益复杂，出现的错误数量也随之上升外部审计师也特别关注电子表格的运用情况，因此各个公司都面临着日益添加的压力，来证明电子表格没有问题为何这是个抢手话题？“94%的电子表格被发现有错误，而实践比例能够会更高，由于在许多调研分析中，只需艰苦错误才会被报告。〞

4Gartner同样在其最新研讨报告中提到了以下话题：电子表格控制需求提升假设电子表格没有得到有效控制，代价高昂的不测很能够发生，并且几乎不可防止地会引起监管者，审计师，以及股东们不用要的关注审计师们正日益强调要求识别并追踪高风险的电子表格篡改电子表格数据是一种典型的内部舞弊方式电子表格风险管理已变得日益重要，由于监管合规要求中曾经有相关规定实践业务中，电子表格的自动化控制处理方案曾经出现，并且正在被继续改善为何这是个抢手话题？“开发并实施一个有效的战略，以用于最终用户计算〔例如电子表格与个人数据库〕的风险评价和运用控制。〞

Gartner–电子表格控制需求提升,2021年5月Fidelity–由于漏输入了一个减号，Fidelity公司Magellan基金的工程盈利被误增了26亿美圆，本来被寄予厚望的分红也流于东水。-CIOWorldFannieMae–在披露了2003年3季度收益后，FannieMae不得不再次重述其有12亿美圆的虚增利润，这是“在实施新会计准那么过程中，在电子表格里犯的一个老实的错误〞而导致的结果。–PCWorldProvidentFinancial–Provident公司在1997年到2002年之间的收益必需被重述7000万美圆，由于其用于计算贷款摊销的电子表格中出现了公式错误。–NYTimesTransAlta–一个剪切-粘贴错误使TransAlta在一个电力合同竞标中报价过低，结果导致了2400万美圆的损失。–TheRegisterRedEnvelopeInc.–一个单元格的输入错误导致整个本钱预测表计算错误，并使股价下跌超越25%，由于其必需在第四季度大幅减少报表数字。–Biz.YahooKodak–公司在电子表格上发现了总值1100万美圆的错误解聘金，该表格在计算某员工的预提离任金时添加了过多的“0〞。RobertBrust，Kodak首席财务官，称其为“能够导致会计重组的本质性内部控制缺陷。〞–MarketWatch为何应引起关注?“简单〞错误能够导致严重问题为何应引起关注?舞弊举例6Allfirst–结合爱尔兰银行美国分行〔AIB〕一位货币买卖员，JohnRusnak，从1997年开场在其买卖中出现亏损他运用一系列电子表格作假来掩盖损失,其报表上仍显示在盈利当舞弊行为被最终发现后，其损失已高达6亿9千万美圆了虽然Allfirst和AIB均未进入破产清算程序，但这次亏损金额相当于AIB公司2001年度收入的60%，导致股价大跌此次丑闻后，AIB出卖了其Allfirst系一切子公司来源：(Sarbanes–Oxley:WhatAboutAlltheSpreadsheets?RaymondR.PankoandNicholasOrdway,UniversityofHawaii,presentedatEuSpRIG2005.)ProQuest–CFO“电子表格欺诈者〞公司前任CFO，ScottHirth利用电子表格，在五年里录入了无数虚伪会计分录。伪造文档以虚报会计余额建立隐藏行，使虚伪会计分录未显示在打印件上将电子表格文字调为白色以掩藏虚伪信息此次丑闻导致公司在资本市场上损失超越4亿3千万美圆，股价下跌了58%，纽约证券买卖所随即暂停了ProQuest股票的买卖。来源：CFO杂志电子表格风险控制职责7高级管理层代表公司，对于有效的全面风险管理，包括管理电子表格风险，负有不可推卸的责任。这包括了解：什么是风险？风险存在于企业业务何处？风险的重要性如何？风险能否得到了管理？谁对风险管理担任？何时风险被控制在一个可接受的程度内？在实践操作中，有效的风险管理职责将在企业范围内进展分散委派。企业业务部门与IT部门的协作对于建立有效的电子表格风险管理体系至关重要。电子表格风险控制职责8业务部门信息技术内部审计制定电子表格风险管理政策识别、评估并报告风险设计并评估恰当的控制确认电子表格按设计意图正常工作接受剩余风险嵌入更广的风险控制框架之中为电子表格用户提供了必要的IT基础架构确保环境是可用的并且足够安全企业可能依赖IT控制（例如访问权限、备份以及存档等）参与选择、实施自动化解决方案为管理层提供合理保证，确保风险已被有效控制：独立验证控制有效性独立验证逻辑完整性列为审计计划的一部分通常避免将完整性测试作为控制侧重发现并解决问题的根源，例如无效的电子表格风险管理流程和控制电子表格控制方法论9甫瀚的方法论可以被分解为4个关键阶段：法规监管要求〔例如SOX〕是催化剂，但是电子表格控制并不只是为了防备财务报告问题–其也针对相关的运营风险〔决策所需的信息等〕。每个关键阶段均代表在任一电子表格控制工程中的关键步骤。分析规范化/自动化识别电子表格与评价风险评价电子表格完好性和控制实施控制框架淘汰/重建选定的电子表格范围与优先级审计管理提高验证与监控任务方法–第一阶段10识别电子表格识别，并进展风险评价工程目的和关键业务需求必需先要明确，这两点对于工程任务范围以及优先级确实定有直接影响；关注那些最依赖电子表格的业务流程；创建电子表格初始清单，并与流程担任人讨论或以调查询卷方式补充必要信息；评价电子表格风险，主要从对业务活动的重要性程度以及总体发生错误的能够性程度两方面进展；评价电子表格对财务与/或运营影响的重要性程度时，由于直接定量比较困难，实践任务中通常用高、中、低或1-5来分段表示；评价电子表格错误发生的能够性程度时，可结合运用定性与定量分析来确定。 例如： -特殊的公式 -外部链接 -运用VBA -支持文档以及培训程度 -运用规范化的方法论/设计规范识别电子表格与评价风险评价电子表格完好性和控制实施控制框架淘汰/重建选定的电子表格任务方法–第二阶段11评价电子表格完好性和控制活动，并议定行动方案必需对关键电子表格的逻辑完好性进展评价，以确保其根本功能和逻辑性的充分有效；检查电子表格中的公式和逻辑错误以及设计缺陷；评价与确定电子表格风险类别相对应的控制活动要求–每个风险类别并不需求一切的控制，偏重点应放在设立恰当程度的控制活动上；思索关于访问权限、备份、变卦管理、数据验证、数据完好与平安、存档、独立复核以及版本控制方面的控制活动；关注流程–在运用电子表格的流程中思索添加补偿控制，来检查电子表格错误；分析控制缺陷，制定道路图，明确实现改善电子表格总体控制程度的详细步骤。识别电子表格与评价风险评价电子表格完好性和控制实施控制框架淘汰/重建选定的电子表格任务方法–第三阶段12实施控制框架为保证电子表格继续的完好性与可靠性，必需制定一整套电子表格管理政策、流程和控制框架；该控制框架应基于风险来制定的；政策制度只需在贯彻实施后才干有效降低风险；相应的培训程序与监控机制也是必不可少的；自动化技术处理方案可以协助减少日常控制与合规任务中的人工投入，提升效率。电子表格政策角色和职责最低规范控制流程识别电子表格与评价风险评价电子表格完好性和控制实施控制框架淘汰/重建选定的电子表格任务方法–第四阶段13逐渐淘汰、重建选中的电子表格对那些最关键和复杂的电子表格，可以思索对其重新开发以实施最正确实际，必要时可将电子表格的功能迁移至IT运用系统中〔例如ERP或BPM系统〕；以下情况下，可以思索交换或迁移：电子表格包含了计算支持与报告所需的主数据电子表格大量运用VisualBasic程序代码同一张电子表格有多个用户电子表格被用作为两个系统间的数据接口电子表格运转缓慢，经常需求重新启动在电子表格开场运用时就设立控制；尽早引入IT和关键的利益相关人，以决议最正确处理方案和评价本钱效益；谨记–通常来说，电子表格是一个正确的处理方案。识别电子表格与评价风险评价电子表格完好性和控制实施控制框架淘汰/重建选定的电子表格电子表格控制指引14索引控制目标控制指引1电子表格清单所有关键电子表格均维护在实时准确的清单中。对关键电子表格的界定标准进行定义；关注整个流程中的关键控制，而不仅仅是电子表格控制；考虑扩大控制范围以应对运营风险，例如非财务报告相关的电子表格；使用工具软件已经成为主流。2逻辑校验电子表格的基本功能需经过逻辑检查。发现的错误与重大缺陷均须加以整改。使用软件辅助进行逻辑检查是主要手段之一；同时需关注设计与公式逻辑的一致性。3版本控制规范文件命名规则以及存储地点，以强化版本控制。4输入控制实施输入控制以确保完整、准确的数据输入。总量程序控制与数据校验是主要手段之一。下表是一个典型的电子表格控制框架和指引清单。请留意，任何方法都应是基于风险的，并不是每个电子表格都需求运用一切的控制。电子表格控制指引15索引控制目标控制指引5变更控制所有变更有一个集中管理的日志进行变更记录，该日志需定期复核以确保电子表格的变更符合管理层意图。高风险/高复杂度电子表格的变更需进行测试和验证。6访问控制电子表格文件的访问权限应根据工作职责进行限制，以确保职责分工。对于文件、表单、单元格进行深层次的限制与密码控制是主要手段；使用文档管理以及电子表格管理解决方案也已日益兴起并成为主流。7备份管理电子表格进行定期备份以确保可恢复性。8文档管理关键电子表格应有完整并更新及时的支持文档。文档应包含电子表格的目的，使用方法，关键假设，授权用户，关键运算逻辑，VBA简介，输入/外部链接等。比较好的做法是将文档作为电子表格的一部分或并入文档管理/电子表格管理解决方案中。好的文档能大幅度地降低人员流动以及不充分继承所带来的风险。最正确实际–实际与实践16下面列示了电子表格设计、开发与平安方面的部分最正确实际，可供关键电子表格的管理参考。对电子表格进展定期检查和审计，可以大大降低发生错误的能够性。设计规范：分别输入、计算与结果在每一行或一列中仅运用一个公式规划逻辑清楚〔像书本一样〕尽量运用多张任务表包含支持文档〔例如假设、限制条件、运用方法〕遵守表达规范〔例如编码颜色、公式表达符号等〕开发规范：坚持简单插入注释加上有意义的标签自动导入、导出数据运用输入范围限制删除冗余数据/表单平安规范：维护单元格/任务表维护任务簿/VBA思索密码维护平安存储重新设计不仅能减少错误发生的能够性，而且还能有效提高业务流程效率。17有哪些可用的工具软件？18软件处理方案可大致分为以下三类：电子表格搜索/发现：能自动扫描网络或指定效力器上的一切电子表格，同时可以执行简单的分析任务以协助处置大量数据。电子表格检查/审计：辅助进展电子表格审计的自开工具。虽然人工审阅仍是必需的，但是这类工具可以大大提升审计任务效率。功能、本钱、方法以及对最终用户的影响都随不同的供应商和处理方案而不同。工具软件的运用正日益普及，协助企业在提升管理程度的同时减少人工投入。我们与业内领先的软件供应商都坚持着协作关系。电子表格管理/控制：变卦控制，版本管理，变卦历史〔审计索引〕以及平安管理；同样用来限制对于某功能或特定单元格的访问。有序管理形状使企业可以继续地管理和强化电子表格控制，同时尽能够减少人工监控本钱。有哪些可用的工具软件？19电子表格风险管理软件供应商：ClusterSevenCIMCONSoftwareFinsburySolutions(ExChecker–前身为Compassoft)RedRoverProdianceLyquidityMOBIUSAuditWareSpreadsheetInnovationsSpreadsheetAdvantageSpreadsheetDetectiveActuateQtier注：以上仅列示了主流的电子表格管理软件，且不能保证完好性。案例分析20一家跨国保险公司重点/关键胜利要素评价本钱效益/可行性：工程能够需求大量预算，特别是在时间较紧或者涉及复杂计算时。文化变卦/用户的抵触心情：通常在电子表格构造及控制上的集中监管很少，因此有效的沟通以及工程小组的互动非常关键。工程担任人/发起人：决策层/管理层对于工程的支持，以及继续的、自上而下的关注能有效地抑制文化变卦及抵触心情带来的困难。配置恰当的资源：一个工程完全由内部资源执行能够是不真实践的。应适当思索外部专家和资源，尤其在知识传送、保证可继续性等方面。维护专业知识：企业能够没有对于新电子表格进展功能和逻辑测试的技术力量，对于测试范围以及测试充分性的审计判别能够也是一个挑战。另外，由于工程性质能够是暂时的，企业很难为此招聘一个全职员工。公司在进展了电子表格风险和控制整改效果评价后，启动了正式的工程，来应对财务上最终用户工具〔EndUserTools，EUT〕的全局风险；最终用户工具包括电子表格与微软Access数据库。该工程努力于实施一个灵敏的，但又是可继续的控制框架，最终处理方案包含一系列人工与自动控制的组合。案例分析21重点/关键胜利要素〔续〕维护EUT清单：对于识别并维护一份完好准确的EUT清单而言，从财务报告入手进展全面分析是一个很重要的手段。会计政策变卦、披露要求变卦、关键人员变卦以及兼并或多元化运营都能够会生成新的EUT。而穿行测试对于复核该清单的准确性也是非常重要的。思索运用自动化软件：自动化软件可以大大提升电子表格的基准化及继续监视任务效率，而人工流程随着时间推移会逐渐失去效率。但也必需认识到，为了最大化自动化软件的功能成效，有些电子表格需求重新设计或进展运用方式的变卦。另外也必需认识到，软件不是“万能药〞，一个经过沉思熟虑、符合实践的控制框架及其配套流程也至关重要。同样，也不要忽视如何正确实施监控处理方案的