《电子表格风险管理.ppt》由会员分享,可在线阅读,更多相关《电子表格风险管理.ppt(26页珍藏版)》请在三一办公上搜索。
1、电子表格风险管理甫瀚研讨会 2009年9月3日,内容,2,电子表格被广泛应用于当今企业运营中的重要业务流程(预算、现金流、贸易、管理层报告、公允价值计算、对账、奖金计算等等)电子表格的优势-解决方案灵活多变,可按个人要求配置-随时随地均可使用-轻松掌握使用方法-在IT部门不能提供快速支持的情况下,用户可以自行开发来得到“灵活”的、“实时”的数据信息,为何这是个热门话题?,95%的公司依赖电子表格进行财务报告工作,3,用户过度依赖电子表格已经形成趋势,并且电子表格中的错误经常未被察觉随着电子表格日益复杂,出现的错误数量也随之上升外部审计师也特别关注电子表格的使用状况,因此各个公司都面临着日益增加
2、的压力,来证明电子表格没有问题,为何这是个热门话题?,“94%的电子表格被发现有错误,而实际比例可能会更高,因为在许多调研分析中,只有重大错误才会被报告。”,4,Gartner同样在其最新研究报告中提到了以下话题:电子表格控制需要提升如果电子表格没有得到有效控制,代价高昂的意外很可能发生,并且几乎不可避免地会引起监管者,审计师,以及股东们不必要的关注审计师们正日益强调要求识别并追踪高风险的电子表格篡改电子表格数据是一种典型的内部舞弊方式电子表格风险管理已变得日益重要,因为监管合规要求中已经有相关规定实际业务中,电子表格的自动化控制解决方案已经出现,并且正在被持续改善,为何这是个热门话题?,“开
3、发并实施一个有效的策略,以用于最终用户计算(例如电子表格与个人数据库)的风险评估和使用控制。”Gartner 电子表格控制需要提升,2009年5月,Fidelity 由于漏输入了一个减号,Fidelity公司Magellan基金的项目盈利被误增了26亿美元,原本被寄予厚望的分红也流于东水。-CIO World,Fannie Mae 在披露了2003年3季度收益后,Fannie Mae不得不再次重述其有12亿美元的虚增利润,这是“在实施新会计准则过程中,在电子表格里犯的一个诚实的错误”而导致的结果。PC World,Provident Financial Provident公司在1997年到20
4、02年之间的收益必须被重述7000万美元,因为其用于计算贷款摊销的电子表格中出现了公式错误。NY Times,Trans Alta 一个剪切-粘贴错误使TransAlta在一个电力合同竞标中报价过低,结果导致了2400万美元的损失。The Register,Red Envelope Inc.一个单元格的输入错误导致整个成本预测表计算错误,并使股价下跌超过25%,因为其必须在第四季度大幅减少报表数字。,Kodak 公司在电子表格上发现了总值1100万美元的错误解聘金,该表格在计算某员工的预提离职金时添加了过多的“0”。Robert Brust,Kodak首席财务官,称其为“可能导致会计重组的实质
5、性内部控制缺陷。”MarketWatch,为何应引起关注?“简单”错误可能导致严重问题,为何应引起关注?舞弊举例,6,Allfirst 联合爱尔兰银行美国分行(AIB)一位货币交易员,John Rusnak,从1997年开始在其交易中出现亏损他使用一系列电子表格作假来掩盖损失,其报表上仍显示在盈利当舞弊行为被最终发现后,其损失已高达6亿9千万美元了虽然Allfirst和AIB均未进入破产清算程序,但这次亏损金额相当于AIB公司2001年度收入的60%,导致股价大跌此次丑闻后,AIB出售了其Allfirst系所有子公司,来源:(SarbanesOxley:What About All the S
6、preadsheets?Raymond R.Panko and Nicholas Ordway,University of Hawaii,presented at EuSpRIG 2005.),ProQuest CFO“电子表格欺诈者”公司前任CFO,Scott Hirth利用电子表格,在五年里录入了无数虚假会计分录。伪造文档以虚报会计余额建立隐藏行,使虚假会计分录未显示在打印件上将电子表格文字调为白色以掩藏虚假信息此次丑闻导致公司在资本市场上损失超过4亿3千万美元,股价下跌了58%,纽约证券交易所随即暂停了ProQuest股票的交易。,来源:CFO 杂志,电子表格风险控制职责,7,高级管理层
7、代表公司,对于有效的全面风险管理,包括管理电子表格风险,负有不可推卸的责任。这包括理解:什么是风险?风险存在于企业业务何处?风险的重要性如何?风险是否得到了管理?谁对风险管理负责?何时风险被控制在一个可接受的水平内?在实际操作中,有效的风险管理职责将在企业范围内进行分散委派。企业业务部门与IT部门的合作对于建立有效的电子表格风险管理体系至关重要。,电子表格风险控制职责,8,电子表格控制方法论,9,甫瀚的方法论可以被分解为4个关键阶段:,法规监管要求(例如 SOX)是催化剂,但是电子表格控制并不只是为了防范财务报告问题 其也针对相关的运营风险(决策所需的信息等)。每个关键阶段均代表在任一电子表格
8、控制项目中的关键步骤。,分 析,标准化/自动化,识别电子表格与评估风险,评估电子表格完整性和控制,实施控制框架,淘汰/重建选定的电子表格,范围与优先级,审 计,管 理,提 高,验证与监控,工作方法 第一阶段,10,识别电子表格识别,并进行风险评估项目目标和关键业务需求必须先要明确,这两点对于项目工作范围以及优先级的确定有直接影响;关注那些最依赖电子表格的业务流程;创建电子表格初始清单,并与流程负责人讨论或以调查问卷方式补充必要信息;评估电子表格风险,主要从对业务活动的重要性水平以及总体发生错误的可能性水平两方面进行;评估电子表格对财务与/或运营影响的重要性水平时,由于直接定量比较困难,实际工作
9、中通常用高、中、低或1-5来分段表示;,评估电子表格错误发生的可能性水平时,可结合使用定性与定量分析来确定。例如:-特殊的公式-外部链接-使用VBA-支持文档以及培训水平-使用标准化的方法论/设计规范,识别电子表格与评估风险,评估电子表格完整性和控制,实施控制框架,淘汰/重建选定的电子表格,工作方法 第二阶段,11,评估电子表格完整性和控制活动,并议定行动方案必须对关键电子表格的逻辑完整性进行评估,以确保其基本功能和逻辑性的充分有效;检查电子表格中的公式和逻辑错误以及设计缺陷;评估与确定电子表格风险类别相对应的控制活动要求 每个风险类别并不需要所有的控制,侧重点应放在设立恰当水平的控制活动上;
10、考虑关于访问权限、备份、变更管理、数据验证、数据完整与安全、存档、独立复核以及版本控制方面的控制活动;,关注流程 在使用电子表格的流程中考虑增加补偿控制,来检查电子表格错误;分析控制缺陷,制定路线图,明确实现改善电子表格总体控制水平的具体步骤。,识别电子表格与评估风险,评估电子表格完整性和控制,实施控制框架,淘汰/重建选定的电子表格,工作方法 第三阶段,12,实施控制框架为保证电子表格持续的完整性与可靠性,必须制定一整套电子表格管理政策、流程和控制框架;该控制框架应基于风险来制定的;政策制度只有在贯彻实施后才能有效降低风险;相应的培训程序与监控机制也是必不可少的;自动化技术解决方案可以帮助减少
11、日常控制与合规工作中的人工投入,提升效率。,电子表格政策,角色和职责,最低标准,控制流程,识别电子表格与评估风险,评估电子表格完整性和控制,实施控制框架,淘汰/重建选定的电子表格,工作方法 第四阶段,13,逐步淘汰、重建选中的电子表格对那些最关键和复杂的电子表格,可以考虑对其重新开发以实施最佳实践,必要时可将电子表格的功能迁移至IT应用系统中(例如ERP或BPM系统);以下情况下,可以考虑替换或迁移:电子表格包含了计算支持与报告所需的主数据电子表格大量使用Visual Basic程序代码同一张电子表格有多个用户电子表格被用作为两个系统间的数据接口电子表格运行缓慢,经常需要重新启动在电子表格开始
12、使用时就设立控制;尽早引入IT和关键的利益相关人,以决定最佳解决方案和评估成本效益;谨记 通常来说,电子表格是一个正确的解决方案。,识别电子表格与评估风险,评估电子表格完整性和控制,实施控制框架,淘汰/重建选定的电子表格,电子表格控制指引,14,下表是一个典型的电子表格控制框架和指引清单。请注意,任何方法都应是基于风险的,并不是每个电子表格都需要使用所有的控制。,电子表格控制指引,15,最佳实践 理论与实际,16,下面列示了电子表格设计、开发与安全方面的部分最佳实践,可供关键电子表格的管理参考。对电子表格进行定期检查和审计,可以大大降低发生错误的可能性。,设计标准:分离输入、计算与结果在每一行
13、或一列中仅使用一个公式布局逻辑清楚(像书本一样)尽量使用多张工作表包含支持文档(例如假设、限制条件、使用方法)遵守表达规范(例如编码颜色、公式表达符号等),开发标准:保持简单插入注释加上有意义的标签自动导入、导出数据使用输入范围限制删除冗余数据/表单,安全标准:保护单元格/工作表保护工作簿/VBA考虑密码保护安全存储,重新设计不仅能减少错误发生的可能性,而且还能有效提高业务流程效率。,17,有哪些可用的工具软件?,18,软件解决方案可大致分为以下三类:电子表格搜索/发现:能自动扫描网络或指定服务器上的所有电子表格,同时可以执行简单的分析工作以帮助处理大量数据。电子表格检查/审计:辅助进行电子表
14、格审计的自动工具。虽然人工审阅仍是必需的,但是这类工具可以大大提升审计工作效率。,功能、成本、方法以及对最终用户的影响都随不同的供应商和解决方案而不同。工具软件的使用正日益普及,帮助企业在提升管理水平的同时减少人工投入。我们与业内领先的软件供应商都保持着合作关系。,电子表格管理/控制:变更控制,版本管理,变更历史(审计索引)以及安全管理;同样用来限制对于某功能或特定单元格的访问。,有序管理状态 使企业可以持续地管理和强化电子表格控制,同时尽可能减少人工监控成本。,有哪些可用的工具软件?,19,电子表格风险管理软件供应商:ClusterSevenCIMCON SoftwareFinsbury S
15、olutions(ExChecker 前身为Compassoft)RedRoverProdianceLyquidityMOBIUSAuditWareSpreadsheet InnovationsSpreadsheet AdvantageSpreadsheet DetectiveActuateQtier,注:以上仅列示了主流的电子表格管理软件,且不能保证完整性。,案例分析,20,一家跨国保险公司,重点/关键成功因素评估成本效益/可行性:项目可能需要大量预算,特别是在时间较紧或者涉及复杂计算时。文化变更/用户的抵触情绪:通常在电子表格结构及控制上的集中监管很少,因此有效的沟通以及项目小组的互动十分
16、关键。项目负责人/发起人:决策层/管理层对于项目的支持,以及持续的、自上而下的关注能有效地克服文化变更及抵触情绪带来的困难。配置恰当的资源:一个项目完全由内部资源执行可能是不切实际的。应适当考虑外部专家和资源,尤其在知识传递、保证可持续性等方面。维护专业知识:企业可能没有对于新电子表格进行功能和逻辑测试的技术力量,对于测试范围以及测试充分性的审计判断可能也是一个挑战。另外,由于项目性质可能是临时的,企业很难为此招聘一个全职员工。,公司在进行了电子表格风险和控制整改效果评估后,启动了正式的项目,来应对财务上最终用户工具(End User Tools,EUT)的全局风险;最终用户工具包括电子表格与
17、微软Access数据库。该项目致力于实施一个灵活的,但又是可持续的控制框架,最终解决方案包含一系列人工与自动控制的组合。,案例分析,21,重点/关键成功因素(续)维护EUT清单:对于识别并维护一份完整准确的EUT清单而言,从财务报告入手进行全面分析是一个很重要的手段。会计政策变更、披露要求变更、关键人员变更以及兼并或多元化经营都可能会生成新的EUT。而穿行测试对于复核该清单的准确性也是非常重要的。考虑使用自动化软件:自动化软件可以大大提升电子表格的基准化及持续监督工作效率,而人工流程随着时间推移会逐渐失去效率。但也必须认识到,为了最大化自动化软件的功能效用,有些电子表格需要重新设计或进行使用方
18、式的变更。另外也必须认识到,软件不是“万能药”,一个经过深思熟虑、符合实际的控制框架及其配套流程也至关重要。同样,也不要忽视如何正确实施监控解决方案的重要性。实用的/基于风险的方法:控制框架应基于风险并切实可行的,并且控制的程度应与风险的级别相符。项目效益成本-收益分析:分析咨询费用、人力资源、培训以及其他相关成本对于理解整个组织内成本相当重要。对于管理层而言,平衡对控制的管理职责,以降低对相关重大问题的注意度也是非常重要的。,对贵企业的问题,22,贵公司是否知道在所有的业务子流程中,哪些关键流程点是使用电子表格来支持的?贵公司对于评估会计政策与合规要求变更所带来的影响是否已经做好了准备?贵公
19、司是否知道这些电子表格是如何被开发、管理和控制的?与这些电子表格相关的风险是否已经被控制在可承受的范围内?贵公司是否意识到组织的变化(人员流动等)会影响到贵公司维护电子表格以及相应控制水平的能力?电子表格是否有充分的支持文档以降低“个人依赖”风险?,总结,23,电子表格现在已经并且将来仍是企业管理过程中的关键工具之一;电子表格是一种应用程序,需要有配套的控制框架;在人员频繁流动,或者用户角色变化期间,电子表格风险都会增大(缺少文档,生硬的假设等);如果说合规压力是促使实施电子表格控制的动力,那么降低错误与舞弊发生的可能性,提高工作效率,则提供了额外的价值;工具软件日趋成熟,有越来越多的企业借助工具软件实现控制框架的自动化;电子表格是最终用户开发的应用程序之一我们今天所讨论的风险与原则同样适用于桌面数据库以及报告工具等其他最终用户计算程序。,24,非常感谢问题?,电子表格风险管理:常见问题指南,下载请前往:,Spreadsheet Risk Management:Frequently Asked Questions Guide,25,
