基于财务报告可靠性目标的Excel应用管控
来源:财务 发布日期:2018-02-28
2006年我国发布新审计准则,要求审计师对企业的内部制约设计和执行进行评价。2008年财政部发布了《企业内部制约基本规范》,要求企业逐步实施。无论出于外部合规的要求还是内部管理改善的需要,目前很多企业正在建设和完善内控体系。本文所探讨的是内控体系中的一个容易被忽视却非常重要的部分,即关于Excel应用的管控策略理由。由于管控策略设计与管控目标的设定有密切关系,本文以财务报告可靠性为目标设计Excel应用管控策略,这一项研究内容无论对于审计师或是内部管理者都具有很好的应用价值。
1 Excel应用及其分类
Excel是微软开发的Office办公软件套件中的一个产品,它和其他类似的软件都属于电子表格计算软件(Spreadsheet),例如Lotus1-2-3。“电子表格计算软件”是以表格方式进行数据编辑,具有分类、排序、筛选、汇总以及公式、函数、宏等运算功能的IT工具软件。从IT发展的演进过程看,最初IT应用软件的设计和使用都由IT工程师来完成,业务部门将信息处理需求(包括数据的自动运算)连同数据提交给IT部门来处理,IT部门处理完成后反馈给业务部门使用,由此造成IT使用效率低,甚至成为业务运营的瓶颈。但是当PC普及到个人以后,很多IT工具被开发出来,这些工具软件可以由非IT专业的用户自行进行简单开发和运转,这就大大提高了IT效率和灵活性。这种思想及其成果被称为最终用户计算(EUC,End-User Computing),Excel工具就是成果之一,它被运用到各种具体的企业业务场景和流程中,由用户自行进行数据归集和处理,形成各种各样具有特定功能的具体应用。这种应用的具体形式可能是单个Excel表,也可能是由一组关联表构成的一个工作簿,例如报价单就是一项Excel应用。本文关注的正是这些具体的Excel应用。
Excel应用可以根据用途分为业务文件编制和数据归集、业务跟踪和监控、分析决策等。还可以根据其复杂性分为以下3类。
(1)复杂度低:执行记录功能,例如 执行状况记录表、库存台账等。
(2)复杂度中:执行简单计算功能。进行简单分类、汇总、排序和简单运算,或者进行标准化格式转化以用于合并或者系统输入接口。例如销售收入月趋势分析表、收入地区分布表、标准记账凭证等。
(3)复杂度高:支持复杂计算功能,其典型特点就是运用复杂公式、函数、宏、规划求解等高级计算功能,并涉及表格内单元格和多个表间引用、嵌套和链接,通过输入区域、加工区域和输出区域的标准格式化定义,将Excel设计成一个小的信息系统。这种类型的应用一般具有特殊目标,例如投资决策模型、银行付息还款模型等,还可以作为确定交易金额的支持性文件或将会计分录登入总账或财务报表披露时的复杂基础文件。对于Excel进行复杂度归类是风险分析手段之一,复杂度越高则Excel应用的风险越大。
2 Excel应用与财务报告可靠性关系的分析
Excel应用与财务报告可靠性关系的分析涉及以下两个层次。
2.1 日常业务操作层次
(1)业务数据的编制和归集。例如在Excel表中编制报价单、订单、生产计划、订货计划,编制 商销售返点计算单、销售人员绩效工资计算单,在财务工作中编制预算、凭证,在合并会计报表时处理抵消分录等。在Excel表中记录了进入总账或者财务报表的数量和金额,包括交易层次的发生金额和账户层次的余额数据等。
(2)交易的跟踪和监督。Excel可用来跟踪和监督日常工作以便支持业务操作流程,包括流水记录和日志。例如登记 的开列和结算状况的列表,记录合同的基本信息和执行状态的列表,记录项目立项和执行状态的列表等,它替代了传统的纸质书面记录方式。聚焦于财务报告循环来看,Excel可用于记录与财务有关的数据监督和制约。
2.2 分析决策层次
Excel的亮点是便于用户自己进行灵活的数据加工处理分析工作,而不需要时时求助于IT开发人员。例如应用于内审的分析性工作,为理由或者舞弊的发现提供线索,为理由解决提供思路;应用于决策模型的编制,为管理决策提供支持。在财务领域则用于财务分析和决策支持,评价财务数据的合理性。
从上述分析可以看出,在财务报告循环中Excel应用可能直接构成财务报告系统输入的源文件(Source Document)数据,也可能构成凭证输入的支持性文件数据(Support Document),因此其正确性将直接影响财务报告可靠性;Excel编制的日志文件可能构成从交易到报告整个链条的审计线索,或者在评估财务数据合理性过程中发现舞弊线索,从而间接影响财务报告可靠性。
3 Excel应用的总体风险状况
Excel应用风险来自许多方面,例如数据输入错误、公式设定错误、使用过程中被随意地不当篡改等。按照一般风险评估策略,风险大小是发生风险的概率和可能造成损失的乘积。从风险发生概率视角分析,由于Excel软件功能强大和使用方便,大多数员工都具备Excel操作的基本技能,因此在企业日常工作中的应用十分广泛,而Excel使用的广泛性和目前实务界Excel制约缺失的普遍性为风险发生的大概率提供了客观的环境基础。从数量规模看,在一个Excel文件的众多编辑单元格中,哪怕仅存在极少量没有被察觉的错误,但对于一个整体Excel文件来说,就不是讨论错误存在性理由,而是存在多少个错误的理由了,审计师则需要评价这些错误累计的审计重要性大小,实证研究表明事实上在Excel应用中发生错误的数量规模是任何一个组织无法接受的。从风险造成损失的视角来看,由于Excel数据错误造成决策失误,造成财报数据错误,造成组织声誉的下降,其损失无法准确估计。在普华永道(PWC)2004年发布的一份关于电子表格计算的文件中提到一个案例:由于使用Excel时发生了“剪切和粘贴”小错误导致一家公用事业公司用远远超过预期的价格购买了一份套期保值合约,造成2 400万美元损失。由于Excel在实际应用中的广泛性和无序性造成潜在的高风险,且该类应用对财务报告产生直接和间接影响,这使得对Excel的管控显得重要而迫切。
4 Excel管控策略设计
Excel应用的管控将被纳入企业内部制约体系的IT制约分支部分,可以借鉴使用相关IT制约框架体系,在许多和IT制约相关的文献中关于EUC和电子表格计算的制约内容都适用于Excel应用的管控。其中ITGI①于2006年发布“IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting(2nd Edition)”。这个框架专门针对美国2002年发布的萨班斯法案合规要求而设计,其制约目标锁定于财务报告可靠性。该框架中涉及了EUC和电子表格软件相关的管控策略。本文以此为基础,吸纳业界相关成果,设计Excel应用管控策略的总体框架(如图1所示)和具体的制约策略。
4.1 实体层次的管控策略
实体层次管控关注企业整体的制约环境、风险评估、信息沟通和监控等要素,其中和Excel应用管控相关的主要涉及以下几点:
(1)设定企业对于Excel应用的风险态度基调和氛围,提高员工对Excel应用风险防范的整体意识。
(2)制定Excel应用的开发制作、更改、使用和保存等管理规定,设定相关流程。
(3)明确Excel应用中相关环节的责任,确定责任人。Excel应用的制约责任涉及最终用户、业务部门和IT部门,一般来说,对存放Excel应用的文件服务器的管控责任由IT部门承担,但是对于具体的某个Excel应用的开发制作、更改、授权使用、审批等,由业务部门和最终用户来承担。具体的责任划分需要根据企业实际情况按效率和成本原则进行调整。
(4)加强员工的Excel技能培训,尤其是和Excel安全管控相关功能的学习。
(5)设定Excel应用风险评价策略和流程,以便明确该Excel应用的管控策略。
(6)进行Excel应用管控有关政策、策略、流程和责任等方面的沟通交流。
