电子表格风险管理

电子表格风险管理甫瀚研讨会2009年9月3日©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。内容为何这是个热门话题？为何应引起关注？电子表格风险控制职责电子表格控制方法论电子表格控制指引最佳实践–理论与现实有哪些可用的工具软件？案例分析总结问题与讨论©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。2•电子表格被广泛应用于当今企业运营中的重要业务流程（预算、现金流、贸易、管理层报告、公允价值计算、对账、奖金计算等等）•电子表格的优势-解决方案灵活多变，可按个人要求配置-随时随地均可使用-轻松掌握使用方法-在IT部门不能提供快速支持的情况下，用户可以自行开发来得到“灵活”的、“实时”的数据信息为何这是个热门话题？95%的公司依赖电子表格进行财务报告工作–©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。3•用户过度依赖电子表格已经形成趋势，并且电子表格中的错误经常未被察觉•随着电子表格日益复杂，出现的错误数量也随之上升•外部审计师也特别关注电子表格的使用状况，因此各个公司都面临着日益增加的压力，来证明电子表格没有问题为何这是个热门话题？“94%的电子表格被发现有错误，而实际比例可能会更高，因为在许多调研分析中，只有重大错误才会被报告。”©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。4•Gartner同样在其最新研究报告中提到了以下话题：电子表格控制需要提升–如果电子表格没有得到有效控制，代价高昂的意外很可能发生，并且几乎不可避免地会引起监管者，审计师，以及股东们不必要的关注–审计师们正日益强调要求识别并追踪高风险的电子表格–篡改电子表格数据是一种典型的内部舞弊方式•电子表格风险管理已变得日益重要，因为监管合规要求中已经有相关规定•实际业务中，电子表格的自动化控制解决方案已经出现，并且正在被持续改善为何这是个热门话题？“开发并实施一个有效的策略，以用于最终用户计算（例如电子表格与个人数据库）的风险评估和使用控制。”Gartner–电子表格控制需要提升,2009年5月©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。Fidelity–由于漏输入了一个减号，Fidelity公司Magellan基金的项目盈利被误增了26亿美元，原本被寄予厚望的分红也流于东水。-CIOWorldFannieMae–在披露了2003年3季度收益后，FannieMae不得不再次重述其有12亿美元的虚增利润，这是“在实施新会计准则过程中，在电子表格里犯的一个诚实的错误”而导致的结果。–PCWorldProvidentFinancial–Provident公司在1997年到2002年之间的收益必须被重述7000万美元，因为其用于计算贷款摊销的电子表格中出现了公式错误。–NYTimesTransAlta–一个剪切-粘贴错误使TransAlta在一个电力合同竞标中报价过低，结果导致了2400万美元的损失。–TheRegisterRedEnvelopeInc.–一个单元格的输入错误导致整个成本预测表计算错误，并使股价下跌超过25%，因为其必须在第四季度大幅减少报表数字。–Biz.Yahoo.comKodak–公司在电子表格上发现了总值1100万美元的错误解聘金，该表格在计算某员工的预提离职金时添加了过多的“0”。RobertBrust，Kodak首席财务官，称其为“可能导致会计重组的实质性内部控制缺陷。”–MarketWatch为何应引起关注?“简单”错误可能导致严重问题©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。为何应引起关注?舞弊举例6Allfirst–联合爱尔兰银行美国分行（AIB）•一位货币交易员，JohnRusnak，从1997年开始在其交易中出现亏损•他使用一系列电子表格作假来掩盖损失,其报表上仍显示在盈利•当舞弊行为被最终发现后，其损失已高达6亿9千万美元了•虽然Allfirst和AIB均未进入破产清算程序，但这次亏损金额相当于AIB公司2001年度收入的60%，导致股价大跌•此次丑闻后，AIB出售了其Allfirst系所有子公司来源：(Sarbanes–Oxley:WhatAboutAlltheSpreadsheets?RaymondR.PankoandNicholasOrdway,UniversityofHawaii,presentedatEuSpRIG2005.)ProQuest–CFO“电子表格欺诈者”•公司前任CFO，ScottHirth利用电子表格，在五年里录入了无数虚假会计分录。•伪造文档以虚报会计余额–建立隐藏行，使虚假会计分录未显示在打印件上–将电子表格文字调为白色以掩藏虚假信息•此次丑闻导致公司在资本市场上损失超过4亿3千万美元，股价下跌了58%，纽约证券交易所随即暂停了ProQuest股票的交易。来源：CFO杂志©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。电子表格风险控制职责7•高级管理层代表公司，对于有效的全面风险管理，包括管理电子表格风险，负有不可推卸的责任。•这包括理解：–什么是风险？–风险存在于企业业务何处？–风险的重要性如何？–风险是否得到了管理？–谁对风险管理负责？–何时风险被控制在一个可接受的水平内？•在实际操作中，有效的风险管理职责将在企业范围内进行分散委派。•企业业务部门与IT部门的合作对于建立有效的电子表格风险管理体系至关重要。©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。电子表格风险控制职责8业务部门信息技术内部审计•制定电子表格风险管理政策•识别、评估并报告风险•设计并评估恰当的控制•确认电子表格按设计意图正常工作•接受剩余风险•嵌入更广的风险控制框架之中•为电子表格用户提供了必要的IT基础架构•确保环境是可用的并且足够安全•企业可能依赖IT控制（例如访问权限、备份以及存档等）•参与选择、实施自动化解决方案•为管理层提供合理保证，确保风险已被有效控制：–独立验证控制有效性–独立验证逻辑完整性•列为审计计划的一部分•通常避免将完整性测试作为控制•侧重发现并解决问题的根源，例如无效的电子表格风险管理流程和控制©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。电子表格控制方法论9甫瀚的方法论可以被分解为4个关键阶段：•法规监管要求（例如SOX）是催化剂，但是电子表格控制并不只是为了防范财务报告问题–其也针对相关的运营风险（决策所需的信息等）。•每个关键阶段均代表在任一电子表格控制项目中的关键步骤。分析标准化/自动化识别电子表格与评估风险评估电子表格完整性和控制实施控制框架淘汰/重建选定的电子表格范围与优先级审计管理提高验证与监控©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。工作方法–第一阶段10识别电子表格识别，并进行风险评估•项目目标和关键业务需求必须先要明确，这两点对于项目工作范围以及优先级的确定有直接影响；•关注那些最依赖电子表格的业务流程；•创建电子表格初始清单，并与流程负责人讨论或以调查问卷方式补充必要信息；•评估电子表格风险，主要从对业务活动的重要性水平以及总体发生错误的可能性水平两方面进行；•评估电子表格对财务与/或运营影响的重要性水平时，由于直接定量比较困难，实际工作中通常用高、中、低或1-5来分段表示；•评估电子表格错误发生的可能性水平时，可结合使用定性与定量分析来确定。例如：-特殊的公式-外部链接-使用VBA-支持文档以及培训水平-使用标准化的方法论/设计规范识别电子表格与评估风险评估电子表格完整性和控制实施控制框架淘汰/重建选定的电子表格©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。工作方法–第二阶段11评估电子表格完整性和控制活动，并议定行动方案•必须对关键电子表格的逻辑完整性进行评估，以确保其基本功能和逻辑性的充分有效；•检查电子表格中的公式和逻辑错误以及设计缺陷；•评估与确定电子表格风险类别相对应的控制活动要求–每个风险类别并不需要所有的控制，侧重点应放在设立恰当水平的控制活动上；•考虑关于访问权限、备份、变更管理、数据验证、数据完整与安全、存档、独立复核以及版本控制方面的控制活动；•关注流程–在使用电子表格的流程中考虑增加补偿控制，来检查电子表格错误；•分析控制缺陷，制定路线图，明确实现改善电子表格总体控制水平的具体步骤。识别电子表格与评估风险评估电子表格完整性和控制实施控制框架淘汰/重建选定的电子表格©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。工作方法–第三阶段12实施控制框架•为保证电子表格持续的完整性与可靠性，必须制定一整套电子表格管理政策、流程和控制框架；•该控制框架应基于风险来制定的；•政策制度只有在贯彻实施后才能有效降低风险；相应的培训程序与监控机制也是必不可少的；•自动化技术解决方案可以帮助减少日常控制与合规工作中的人工投入，提升效率。电子表格政策角色和职责最低标准控制流程识别电子表格与评估风险评估电子表格完整性和控制实施控制框架淘汰/重建选定的电子表格©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。工作方法–第四阶段13逐步淘汰、重建选中的电子表格•对那些最关键和复杂的电子表格，可以考虑对其重新开发以实施最佳实践，必要时可将电子表格的功能迁移至IT应用系统中（例如ERP或BPM系统）；•以下情况下，可以考虑替换或迁移：–电子表格包含了计算支持与报告所需的主数据–电子表格大量使用VisualBasic程序代码–同一张电子表格有多个用户–电子表格被用作为两个系统间的数据接口–电子表格运行缓慢，经常需要重新启动•在电子表格开始使用时就设立控制；•尽早引入IT和关键的利益相关人，以决定最佳解决方案和评估成本效益；•谨记–通常来说，电子表格是一个正确的解决方案。识别电子表格与评估风险评估电子表格完整性和控制实施控制框架淘汰/重建选定的电子表格©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。电子表格控制指引14索引控制目标控制指引1电子表格清单所有关键电子表格均维护在实时准确的清单中。对关键电子表格的界定标准进行定义；关注整个流程中的关键控制，而不仅仅是电子表格控制；考虑扩大控制范围以应对运营风险，例如非财务报告相关的电子表格；使用工具软件已经成为主流。2逻辑校验电子表格的基本功能需经过逻辑检查。发现的错误与重大缺陷均须加以整改。使用软件辅助进行逻辑检查是主要手段之一；同时需关注设计与公式逻辑的一致性。3版本控制规范文件命名规则以及存储地点，以强化版本控制。4输入控制实施输入控制以确保完整、准确的数据输入。总量程序控制与数据校验是主要手段之一。下表是一个典型的电子表格控制框架和指引清单。请注意，任何方法都应是基于风险的，并不是每个电子表格都需要使用所有的控制。©2009上海甫瀚投资管理咨询有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。电子表格控制指引15索引控制目标控制指引5变更控制所有变更有一个集中管理的日志进行变更记录，该日志需定期复核以确保电子表格的变更符合管理层意图。高风险/高复杂度电子表格的变更需进行测试和验证。6访问控制电子表格文件的访问权限应根据工作职责进行限制，以确保职责分工。对于文件、表单、单元格进行深层次的限制与密码控制是主要手段；使用文档管理以及电子表格管理解决方案也已日益兴起并成为主流。7备份管理电子表格进行定期备份以确保可恢复性。8文档管理关键电子表格应