电子表格风险管理.ppt

内容 为何应引起关注? “简单”错误可能导致严重问题 Fidelity – 由于漏输入了一个减号， Fidelity公司Magellan基金的项目盈利被误增了26亿美元，原本被寄予厚望的分红也流于东水。 - CIO World 电子表格风险控制职责 * 高级管理层代表公司，对于有效的全面风险管理，包括管理电子表格风险，负有不可推卸的责任。 这包括理解： 什么是风险？ 风险存在于企业业务何处？ 风险的重要性如何？ 风险是否得到了管理？ 谁对风险管理负责？ 何时风险被控制在一个可接受的水平内？ 在实际操作中，有效的风险管理职责将在企业范围内进行分散委派。 企业业务部门与IT部门的合作对于建立有效的电子表格风险管理体系至关重要。 电子表格风险控制职责 * 业务部门 信息技术 内部审计 制定电子表格风险管理政策 识别、评估并报告风险 设计并评估恰当的控制 确认电子表格按设计意图正常工作 接受剩余风险 嵌入更广的风险控制框架之中 为电子表格用户提供了必要的IT基础架构 确保环境是可用的并且足够安全 企业可能依赖IT控制（例如访问权限、备份以及存档等） 参与选择、实施自动化解决方案 为管理层提供合理保证，确保风险已被有效控制： 独立验证控制有效性 独立验证逻辑完整性 列为审计计划的一部分 通常避免将完整性测试作为控制 侧重发现并解决问题的根源，例如无效的电子表格风险管理流程和控制 电子表格控制方法论 * 甫瀚的方法论可以被分解为4个关键阶段： 法规监管要求（例如 SOX）是催化剂，但是电子表格控制并不只是为了防范财务报告问题 – 其也针对相关的运营风险（决策所需的信息等）。 每个关键阶段均代表在任一电子表格控制项目中的关键步骤。 分 析 标准化 / 自动化 识别电子表格与评估风险 评估电子表格完整性和控制 实施控制框架 淘汰/重建选定的电子表格 范围与优先级 审 计 管 理 提 高 验证与监控 工作方法 – 第一阶段 * 识别电子表格识别，并进行风险评估 项目目标和关键业务需求必须先要明确，这两点对于项目工作范围以及优先级的确定有直接影响； 关注那些最依赖电子表格的业务流程； 创建电子表格初始清单，并与流程负责人讨论或以调查问卷方式补充必要信息； 评估电子表格风险，主要从对业务活动的重要性水平以及总体发生错误的可能性水平两方面进行； 评估电子表格对财务与/或运营影响的重要性水平时，由于直接定量比较困难，实际工作中通常用高、中、低或1-5来分段表示； 评估电子表格错误发生的可能性水平时，可结合使用定性与定量分析来确定。 例如： - 特殊的公式 - 外部链接 - 使用VBA - 支持文档以及培训水平 - 使用标准化的方法论 / 设计规范 识别电子表格与评估风险 评估电子表格完整性和控制 实施控制框架 淘汰/重建选定的电子表格 工作方法 – 第二阶段 * 评估电子表格完整性和控制活动，并议定行动方案 必须对关键电子表格的逻辑完整性进行评估，以确保其基本功能和逻辑性的充分有效； 检查电子表格中的公式和逻辑错误以及设计缺陷； 评估与确定电子表格风险类别相对应的控制活动要求 – 每个风险类别并不需要所有的控制，侧重点应放在设立恰当水平的控制活动上； 考虑关于访问权限、备份、变更管理、数据验证、数据完整与安全、存档、独立复核以及版本控制方面的控制活动； 关注流程 – 在使用电子表格的流程中考虑增加补偿控制，来检查电子表格错误； 分析控制缺陷，制定路线图，明确实现改善电子表格总体控制水平的具体步骤。 识别电子表格与评估风险 评估电子表格完整性和控制 实施控制框架 淘汰/重建选定的电子表格 工作方法 – 第三阶段 * 实施控制框架 为保证电子表格持续的完整性与可靠性，必须制定一整套电子表格管理政策、流程和控制框架； 该控制框架应基于风险来制定的； 政策制度只有在贯彻实施后才能有效降低风险；相应的培训程序与监控机制也是必不可少的； 自动化技术解决方案可以帮助减少日常控制与合规工作中的人工投入，提升效率。 电子表格政策 角色和职责 最低标准 控制流程 识别电子表格与评估风险 评估电子表格完整性和控制 实施控制框架 淘汰/重建选定的电子表格 工作方法 – 第四阶段 * 逐步淘汰、重建选中的电子表格 对那些最关键和复杂的电子表格，可以考虑对其重新开发以实施最佳实践，必要时可将电子表格的功能迁移至IT应用系统中（例如ERP或BPM系统）； 以下情况下，可以考虑替换或迁移： 电子表格包含了计算支持与报告所需的主数据 电子表格大量使用Visual Basic程序代码 同一张电子表格有多个用户 电子表格被用作为两个系统间的数据接口 电子表格运行缓慢，经常需要重新启动 在电子表格开始使用时就设立控制； 尽早引入IT和关键的利益相