基于財(cái)務(wù)報(bào)告可靠性目標(biāo)的Excel應(yīng)用管控策略研究
2012-12-31 00:00:00胡燕鴻
中國(guó)管理信息化 2012年17期
[摘 要]在企業(yè)信息化過(guò)程中Excel應(yīng)用廣泛,卻是內(nèi)控體系中易被忽視的部分,且目前國(guó)內(nèi)文獻(xiàn)鮮少涉及。本文首先詳細(xì)分析企業(yè)目前Excel應(yīng)用狀況以及與財(cái)務(wù)報(bào)告可靠性之間的關(guān)系;然后構(gòu)建由實(shí)體層控制、IT一般控制和應(yīng)用層控制組成的總體管控架構(gòu),并設(shè)計(jì)每一層次中具體的管控方法、流程和活動(dòng);最后描述Excel管控策略設(shè)計(jì)步驟。
[關(guān)鍵詞] Excel;管控; IT控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 17. 015
[中圖分類號(hào)] F239.1 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194(2012)17- 0026- 04
2006年我國(guó)發(fā)布新審計(jì)準(zhǔn)則,要求審計(jì)師對(duì)企業(yè)的內(nèi)部控制設(shè)計(jì)和執(zhí)行進(jìn)行評(píng)價(jià)。2008年財(cái)政部發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,要求企業(yè)逐步實(shí)施。無(wú)論出于外部合規(guī)的要求還是內(nèi)部管理改進(jìn)的需要,目前很多企業(yè)正在建設(shè)和完善內(nèi)控體系。本文所探討的是內(nèi)控體系中的一個(gè)容易被忽視卻非常重要的部分,即關(guān)于Excel應(yīng)用的管控策略問題。由于管控策略設(shè)計(jì)與管控目標(biāo)的設(shè)定有密切關(guān)系,本文以財(cái)務(wù)報(bào)告可靠性為目標(biāo)設(shè)計(jì)Excel應(yīng)用管控策略,這一項(xiàng)研究?jī)?nèi)容無(wú)論對(duì)于審計(jì)師或是內(nèi)部管理者都具有很好的應(yīng)用價(jià)值。
1 Excel應(yīng)用及其分類
Excel是微軟開發(fā)的Office辦公軟件套件中的一個(gè)產(chǎn)品,它和其他類似的軟件都屬于電子表格計(jì)算軟件(Spreadsheet),例如Lotus1-2-3。“電子表格計(jì)算軟件”是以表格方式進(jìn)行數(shù)據(jù)編輯,具有分類、排序、篩選、匯總以及公式、函數(shù)、宏等運(yùn)算功能的IT工具軟件。從IT發(fā)展的演進(jìn)過(guò)程看,最初IT應(yīng)用軟件的設(shè)計(jì)和使用都由IT工程師來(lái)完成,業(yè)務(wù)部門將信息處理需求(包括數(shù)據(jù)的自動(dòng)運(yùn)算)連同數(shù)據(jù)提交給IT部門來(lái)處理,IT部門處理完成后反饋給業(yè)務(wù)部門使用,由此造成IT使用效率低,甚至成為業(yè)務(wù)運(yùn)營(yíng)的瓶頸。但是當(dāng)PC普及到個(gè)人以后,很多IT工具被開發(fā)出來(lái),這些工具軟件可以由非IT專業(yè)的用戶自行進(jìn)行簡(jiǎn)單開發(fā)和運(yùn)行,這就大大提高了IT效率和靈活性。這種思想及其成果被稱為最終用戶計(jì)算(EUC,End-User Computing),Excel工具就是成果之一,它被運(yùn)用到各種具體的企業(yè)業(yè)務(wù)場(chǎng)景和流程中,由用戶自行進(jìn)行數(shù)據(jù)歸集和處理,形成各種各樣具有特定功能的具體應(yīng)用。這種應(yīng)用的具體形式可能是單個(gè)Excel表,也可能是由一組關(guān)聯(lián)表構(gòu)成的一個(gè)工作簿,例如報(bào)價(jià)單就是一項(xiàng)Excel應(yīng)用。本文關(guān)注的正是這些具體的Excel應(yīng)用。
Excel應(yīng)用可以根據(jù)用途分為業(yè)務(wù)文件編制和數(shù)據(jù)歸集、業(yè)務(wù)跟蹤和監(jiān)控、分析決策等。還可以根據(jù)其復(fù)雜性分為以下3類。
(1)復(fù)雜度低:執(zhí)行記錄功能,例如發(fā)票執(zhí)行狀況記錄表、庫(kù)存臺(tái)賬等。
(2)復(fù)雜度中:執(zhí)行簡(jiǎn)單計(jì)算功能。進(jìn)行簡(jiǎn)單分類、匯總、排序和簡(jiǎn)單運(yùn)算,或者進(jìn)行標(biāo)準(zhǔn)化格式轉(zhuǎn)化以用于合并或者系統(tǒng)輸入接口。例如銷售收入月趨勢(shì)分析表、收入地區(qū)分布表、標(biāo)準(zhǔn)記賬憑證等。
(3)復(fù)雜度高:支持復(fù)雜計(jì)算功能,其典型特點(diǎn)就是運(yùn)用復(fù)雜公式、函數(shù)、宏、規(guī)劃求解等高級(jí)計(jì)算功能,并涉及表格內(nèi)單元格和多個(gè)表間引用、嵌套和鏈接,通過(guò)輸入?yún)^(qū)域、加工區(qū)域和輸出區(qū)域的標(biāo)準(zhǔn)格式化定義,將Excel設(shè)計(jì)成一個(gè)小的信息系統(tǒng)。這種類型的應(yīng)用一般具有特殊目標(biāo),例如投資決策模型、銀行付息還款模型等,還可以作為確定交易金額的支持性文件或?qū)?huì)計(jì)分錄登入總賬或財(cái)務(wù)報(bào)表披露時(shí)的復(fù)雜基礎(chǔ)文件。對(duì)于Excel進(jìn)行復(fù)雜度歸類是風(fēng)險(xiǎn)分析手段之一,復(fù)雜度越高則Excel應(yīng)用的風(fēng)險(xiǎn)越大。
2 Excel應(yīng)用與財(cái)務(wù)報(bào)告可靠性關(guān)系的分析
Excel應(yīng)用與財(cái)務(wù)報(bào)告可靠性關(guān)系的分析涉及以下兩個(gè)層次。
2.1 日常業(yè)務(wù)操作層次
(1)業(yè)務(wù)數(shù)據(jù)的編制和歸集。例如在Excel表中編制報(bào)價(jià)單、訂單、生產(chǎn)計(jì)劃、訂貨計(jì)劃,編制代理商銷售返點(diǎn)計(jì)算單、銷售人員績(jī)效工資計(jì)算單,在財(cái)務(wù)工作中編制預(yù)算、憑證,在合并會(huì)計(jì)報(bào)表時(shí)處理抵消分錄等。在Excel表中記錄了進(jìn)入總賬或者財(cái)務(wù)報(bào)表的數(shù)量和金額,包括交易層次的發(fā)生金額和賬戶層次的余額數(shù)據(jù)等。
(2)交易的跟蹤和監(jiān)督。Excel可用來(lái)跟蹤和監(jiān)督日常工作以便支持業(yè)務(wù)操作流程,包括流水記錄和日志。例如登記發(fā)票的開列和結(jié)算狀況的列表,記錄合同的基本信息和執(zhí)行狀態(tài)的列表,記錄項(xiàng)目立項(xiàng)和執(zhí)行狀態(tài)的列表等,它替代了傳統(tǒng)的紙質(zhì)書面記錄方式。聚焦于財(cái)務(wù)報(bào)告循環(huán)來(lái)看,Excel可用于記錄與財(cái)務(wù)有關(guān)的數(shù)據(jù)監(jiān)督和控制。
2.2 分析決策層次
Excel的亮點(diǎn)是便于用戶自己進(jìn)行靈活的數(shù)據(jù)加工處理分析工作,而不需要時(shí)時(shí)求助于IT開發(fā)人員。例如應(yīng)用于內(nèi)審的分析性工作,為問題或者舞弊的發(fā)現(xiàn)提供線索,為問題解決提供思路;應(yīng)用于決策模型的編制,為管理決策提供支持。在財(cái)務(wù)領(lǐng)域則用于財(cái)務(wù)分析和決策支持,評(píng)價(jià)財(cái)務(wù)數(shù)據(jù)的合理性。
從上述分析可以看出,在財(cái)務(wù)報(bào)告循環(huán)中Excel應(yīng)用可能直接構(gòu)成財(cái)務(wù)報(bào)告系統(tǒng)輸入的源文件(Source Document)數(shù)據(jù),也可能構(gòu)成憑證輸入的支持性文件數(shù)據(jù)(Support Document),因此其正確性將直接影響財(cái)務(wù)報(bào)告可靠性;Excel編制的日志文件可能構(gòu)成從交易到報(bào)告整個(gè)鏈條的審計(jì)線索,或者在評(píng)估財(cái)務(wù)數(shù)據(jù)合理性過(guò)程中發(fā)現(xiàn)舞弊線索,從而間接影響財(cái)務(wù)報(bào)告可靠性。
3 Excel應(yīng)用的總體風(fēng)險(xiǎn)狀況
Excel應(yīng)用風(fēng)險(xiǎn)來(lái)自許多方面,例如數(shù)據(jù)輸入錯(cuò)誤、公式設(shè)定錯(cuò)誤、使用過(guò)程中被隨意地不當(dāng)篡改等。按照一般風(fēng)險(xiǎn)評(píng)估方法,風(fēng)險(xiǎn)大小是發(fā)生風(fēng)險(xiǎn)的概率和可能造成損失的乘積。從風(fēng)險(xiǎn)發(fā)生概率視角分析,由于Excel軟件功能強(qiáng)大和使用方便,大多數(shù)員工都具備Excel操作的基本技能,因此在企業(yè)日常工作中的應(yīng)用十分廣泛,而Excel使用的廣泛性和目前實(shí)務(wù)界Excel控制缺失的普遍性為風(fēng)險(xiǎn)發(fā)生的大概率提供了客觀的環(huán)境基礎(chǔ)。從數(shù)量規(guī)模看,在一個(gè)Excel文件的眾多編輯單元格中,哪怕僅存在極少量沒有被察覺的錯(cuò)誤,但對(duì)于一個(gè)整體Excel文件來(lái)說(shuō),就不是討論錯(cuò)誤存在性問題,而是存在多少個(gè)錯(cuò)誤的問題了,審計(jì)師則需要評(píng)價(jià)這些錯(cuò)誤累計(jì)的審計(jì)重要性大小,實(shí)證研究表明事實(shí)上在Excel應(yīng)用中發(fā)生錯(cuò)誤的數(shù)量規(guī)模是任何一個(gè)組織無(wú)法接受的。從風(fēng)險(xiǎn)造成損失的視角來(lái)看,由于Excel數(shù)據(jù)錯(cuò)誤造成決策失誤,造成財(cái)報(bào)數(shù)據(jù)錯(cuò)誤,造成組織聲譽(yù)的下降,其損失無(wú)法準(zhǔn)確估計(jì)。在普華永道(PWC)2004年發(fā)布的一份關(guān)于電子表格計(jì)算的文件中提到一個(gè)案例:由于使用Excel時(shí)發(fā)生了“剪切和粘貼”小錯(cuò)誤導(dǎo)致一家公用事業(yè)公司用遠(yuǎn)遠(yuǎn)超過(guò)預(yù)期的價(jià)格購(gòu)買了一份套期保值合約,造成2 400萬(wàn)美元損失。
由于Excel在實(shí)際應(yīng)用中的廣泛性和無(wú)序性造成潛在的高風(fēng)險(xiǎn),且該類應(yīng)用對(duì)財(cái)務(wù)報(bào)告產(chǎn)生直接和間接影響,這使得對(duì)Excel的管控顯得重要而迫切。
4 Excel管控策略設(shè)計(jì)
Excel應(yīng)用的管控將被納入企業(yè)內(nèi)部控制體系的IT控制分支部分,可以借鑒使用相關(guān)IT控制框架體系,在許多和IT控制相關(guān)的文獻(xiàn)中關(guān)于EUC和電子表格計(jì)算的控制內(nèi)容都適用于Excel應(yīng)用的管控。其中ITGI①于2006年發(fā)布“IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting(2nd Edition)”。這個(gè)框架專門針對(duì)美國(guó)2002年發(fā)布的薩班斯法案合規(guī)要求而設(shè)計(jì),其控制目標(biāo)鎖定于財(cái)務(wù)報(bào)告可靠性。該框架中涉及了EUC和電子表格軟件相關(guān)的管控策略。本文以此為基礎(chǔ),吸納業(yè)界相關(guān)成果,設(shè)計(jì)Excel應(yīng)用管控策略的總體框架(如圖1所示)和具體的控制策略。
4.1 實(shí)體層次的管控策略
實(shí)體層次管控關(guān)注企業(yè)整體的控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息溝通和監(jiān)控等要素,其中和Excel應(yīng)用管控相關(guān)的主要涉及以下幾點(diǎn):
(1)設(shè)定企業(yè)對(duì)于Excel應(yīng)用的風(fēng)險(xiǎn)態(tài)度基調(diào)和氛圍,提高員工對(duì)Excel應(yīng)用風(fēng)險(xiǎn)防范的整體意識(shí)。
(2)制定Excel應(yīng)用的開發(fā)制作、更改、使用和保存等管理規(guī)定,設(shè)定相關(guān)流程。
(3)明確Excel應(yīng)用中相關(guān)環(huán)節(jié)的責(zé)任,確定責(zé)任人。Excel應(yīng)用的控制責(zé)任涉及最終用戶、業(yè)務(wù)部門和IT部門,一般來(lái)說(shuō),對(duì)存放Excel應(yīng)用的文件服務(wù)器的管控責(zé)任由IT部門承擔(dān),但是對(duì)于具體的某個(gè)Excel應(yīng)用的開發(fā)制作、更改、授權(quán)使用、審批等,由業(yè)務(wù)部門和最終用戶來(lái)承擔(dān)。具體的責(zé)任劃分需要根據(jù)企業(yè)實(shí)際情況按效率和成本原則進(jìn)行調(diào)整。
(4)加強(qiáng)員工的Excel技能培訓(xùn),尤其是和Excel安全管控相關(guān)功能的學(xué)習(xí)。
(5)設(shè)定Excel應(yīng)用風(fēng)險(xiǎn)評(píng)價(jià)方法和流程,以便明確該Excel應(yīng)用的管控策略。
(6)進(jìn)行Excel應(yīng)用管控有關(guān)政策、方法、流程和責(zé)任等方面的溝通交流。
4.2 IT一般控制層次的管控策略
IT一般控制層次的管控對(duì)所有的Excel應(yīng)用都產(chǎn)生影響,包括具體的管控流程和控制活動(dòng),包括對(duì)于存放Excel應(yīng)用的文件服務(wù)器、傳輸數(shù)據(jù)的網(wǎng)絡(luò)等軟硬件的控制等。其中和Excel應(yīng)用相關(guān)的主要管控流程包括以下內(nèi)容:
(1)開發(fā)周期管理(SDLC)。制定并執(zhí)行標(biāo)準(zhǔn)的系統(tǒng)開發(fā)方法,以管理關(guān)鍵的復(fù)雜的電子表格的開發(fā)過(guò)程。該開發(fā)周期應(yīng)包括確認(rèn)詳細(xì)需求說(shuō)明書、設(shè)計(jì)、編制和測(cè)試、發(fā)布和后期維護(hù)等。測(cè)試是確保輸出正確和完整的關(guān)鍵控制,有時(shí)需要獨(dú)立于該業(yè)務(wù)流程的人員執(zhí)行,其中對(duì)于涉及計(jì)算和數(shù)據(jù)變換等的邏輯需要開發(fā)者、使用者或者獨(dú)立人員深入檢查和測(cè)試,確保該應(yīng)用的處理和輸出與業(yè)務(wù)需求一致。復(fù)雜性程度較低的電子表格不需要此項(xiàng)控制。
(2)變更控制。對(duì)于需要變更的電子表格,制定并遵守變更控制程序,確保對(duì)該電子表格的變更進(jìn)行測(cè)試,并就該變更獲取獨(dú)立于變更執(zhí)行人之外的適當(dāng)人員的正式授權(quán)。變更的相關(guān)信息需在Excel表中進(jìn)行記錄。
(3)版本控制。在共享用戶較多的Excel應(yīng)用中,版本控制尤其重要。該控制確保所有用戶在某一時(shí)間點(diǎn)開始使用更新后的最新版本的Excel應(yīng)用,以保證數(shù)據(jù)一致性。根據(jù)統(tǒng)一的命名習(xí)慣對(duì)電子表單進(jìn)行命名編號(hào),在文件服務(wù)器設(shè)定文件保存路徑結(jié)構(gòu)以確保僅有最新版本應(yīng)用表格可以被訪問,進(jìn)行版本發(fā)布的宣傳和其他管理活動(dòng)。充分利用Excel軟件自帶的版本修訂信息記錄功能。
(4)訪問控制。將Excel應(yīng)用存放在文件服務(wù)器,訪問控制根據(jù)需要可以在服務(wù)器接入層、文件目錄層和Excel文件層次設(shè)置,經(jīng)過(guò)授權(quán)的人員才能訪問到具體的Excel應(yīng)用。文件需要進(jìn)行口令保護(hù)操作,如果沒有口令保護(hù)時(shí)電子表格需設(shè)置為“只讀”。
(5)文件記錄管理。部門應(yīng)在某Excel表格投入使用起始及時(shí)在應(yīng)用列表中記錄該應(yīng)用的相關(guān)基礎(chǔ)信息,并定期審視目前本部門維護(hù)的清單列表。對(duì)于單個(gè)應(yīng)用,開發(fā)者和修訂者需將該Excel表格的使用說(shuō)明在表格的適當(dāng)區(qū)域進(jìn)行維護(hù)和及時(shí)更新,明確其要達(dá)到的業(yè)務(wù)目標(biāo)和特定功能,必要時(shí)需詳細(xì)描述具體的使用注意事項(xiàng),以便使用人據(jù)此評(píng)估文檔資料來(lái)源的可靠性,正確地使用該應(yīng)用。
(6)備份管理。建立流程來(lái)定期備份文件服務(wù)器和用戶電腦中存放的重要Excel表,以便在數(shù)據(jù)破壞時(shí)能夠迅速恢復(fù),確保財(cái)務(wù)報(bào)告所需信息的完整性及準(zhǔn)確性。
(7)歸檔管理。歷史文檔歸檔到單獨(dú)的硬盤,并將其鎖定為“只讀”文件,指定專人管理。
(8)分析檢查。運(yùn)用分析檢查方法作為事后控制手段來(lái)檢查用于計(jì)算的Excel表是否存在錯(cuò)誤,并正式記錄這一核查的相關(guān)信息,可以由內(nèi)審部門來(lái)執(zhí)行該項(xiàng)工作。
4.3 應(yīng)用控制層次的管控策略
應(yīng)用控制是指針對(duì)于某個(gè)具體的Excel應(yīng)用的控制活動(dòng)。
(1)輸入控制。數(shù)據(jù)輸入可通過(guò)手工方式或者從其他系統(tǒng)導(dǎo)入的方式,輸入時(shí)需核對(duì)輸入的數(shù)據(jù)和源文檔是否一致,確定數(shù)據(jù)來(lái)源的可靠性與準(zhǔn)確性。對(duì)輸入數(shù)據(jù)進(jìn)行合理性、邏輯性和格式等的校驗(yàn)和編輯等。Excel的單元格格式設(shè)置等較多功能可以對(duì)輸入加以控制。
(2)數(shù)據(jù)的安全性和完整性控制。充分利用工具菜單中的“保護(hù)”和“選項(xiàng)”中安全性設(shè)置功能,可對(duì)Excel應(yīng)用中的關(guān)鍵主控?cái)?shù)據(jù)或重要公式的單元格進(jìn)行“鎖定”和“隱藏”,通過(guò)對(duì)用戶及用戶可編輯區(qū)域的具體操作權(quán)限設(shè)置,以防止無(wú)意或有意更改。對(duì)于關(guān)鍵性的Excel應(yīng)用設(shè)置表格和工作簿層次的保護(hù)口令,以保護(hù)數(shù)據(jù)的安全性和完整性。
(3)處理控制。運(yùn)用各種測(cè)試方法驗(yàn)證某個(gè)具體Excel應(yīng)用的運(yùn)算邏輯是否符合要求。
(4)輸出控制。Excel應(yīng)用的輸出格式和內(nèi)容要符合賬務(wù)處理和財(cái)務(wù)報(bào)表的要求。
5 Excel應(yīng)用管控策略的設(shè)計(jì)步驟
目前比較通行的內(nèi)控設(shè)計(jì)思路是采用ORCA(Objective/Risk/Control/Alignment)模式,即確定控制目標(biāo),識(shí)別和評(píng)估導(dǎo)致目標(biāo)無(wú)法實(shí)現(xiàn)的風(fēng)險(xiǎn),根據(jù)風(fēng)險(xiǎn)大小設(shè)計(jì)控制活動(dòng),保證控制活動(dòng)和控制目標(biāo)之間的一致。針對(duì)Excel應(yīng)用管控的設(shè)計(jì)步驟如下所述:
(1)調(diào)查Excel應(yīng)用現(xiàn)狀,編制應(yīng)用的清單目錄。這一步驟的主要工作任務(wù)是調(diào)查業(yè)務(wù)流程中正式使用的Excel應(yīng)用以及相關(guān)信息,為后續(xù)的風(fēng)險(xiǎn)評(píng)估和控制活動(dòng)設(shè)計(jì)服務(wù)。這一工作內(nèi)容看似簡(jiǎn)單,其實(shí)工作量大。其中關(guān)鍵環(huán)節(jié)是設(shè)計(jì)者需要熟悉整個(gè)管控設(shè)計(jì)過(guò)程,才能設(shè)計(jì)出完整的調(diào)研表格。調(diào)研表格中部分內(nèi)容涉及是否和財(cái)務(wù)報(bào)告可靠性相關(guān),部分內(nèi)容用于風(fēng)險(xiǎn)評(píng)估,部分內(nèi)容涉及管控現(xiàn)狀,以便于評(píng)價(jià)未來(lái)是否需要改進(jìn)。表1列舉了部分調(diào)研的內(nèi)容以供參考。
備注:
a.用途分類涉及審核、披露、過(guò)賬、核對(duì)復(fù)核、狀態(tài)跟蹤、單據(jù)編制等。
b.功能分類如單據(jù)類、清單日志類、分析復(fù)核類等。
c.復(fù)雜性評(píng)價(jià)的規(guī)則涉及公式復(fù)雜性、宏的數(shù)量、嵌套表格數(shù)量等。
d.?dāng)?shù)據(jù)來(lái)源方式包括來(lái)自其他系統(tǒng)導(dǎo)出、其他電子文件復(fù)制粘貼、手工輸入等。
(2)控制范圍的設(shè)定。根據(jù)Excel應(yīng)用的功能、用途和輸出結(jié)果使用的描述,以及對(duì)財(cái)務(wù)報(bào)告項(xiàng)目的影響來(lái)確定是否納入財(cái)務(wù)報(bào)告可靠性控制的范圍。
(3)風(fēng)險(xiǎn)評(píng)估。對(duì)于控制范圍內(nèi)的Excel應(yīng)用,根據(jù)影響風(fēng)險(xiǎn)大小因素的調(diào)研結(jié)果,以及所涉及的金額的大小等信息,使用本文闡述的風(fēng)險(xiǎn)評(píng)估方法對(duì)相關(guān)應(yīng)用進(jìn)行風(fēng)險(xiǎn)評(píng)估,其中重要的工作是確定哪些屬于影響財(cái)務(wù)報(bào)告可靠性的關(guān)鍵Excel應(yīng)用,即高風(fēng)險(xiǎn)應(yīng)用。
(4)確定關(guān)鍵應(yīng)用需要達(dá)到的控制水平。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)不同風(fēng)險(xiǎn)等級(jí)的Excel應(yīng)用設(shè)計(jì)不同的控制策略,即時(shí)高風(fēng)險(xiǎn)的關(guān)鍵Excel應(yīng)用進(jìn)行嚴(yán)格的管控,對(duì)中低等風(fēng)險(xiǎn)的應(yīng)用采取適當(dāng)寬松的控制,或者不采取控制措施。這一步驟的重要任務(wù)是確定對(duì)關(guān)鍵Excel應(yīng)用的控制策略基線,具體的管控策略可以參考本文第四部分內(nèi)容。
(5)評(píng)估關(guān)鍵Excel應(yīng)用的控制現(xiàn)狀。
(6)根據(jù)基線和現(xiàn)狀之間的差距制訂彌補(bǔ)控制缺陷的行動(dòng)計(jì)劃。
有新的觀點(diǎn)認(rèn)為,降低Excel應(yīng)用風(fēng)險(xiǎn)的方法之一是減少Excel的使用,將Excel應(yīng)用合并入IS系統(tǒng)以便于管理控制,軟件供應(yīng)商正在探索基于此種觀點(diǎn)的系統(tǒng)解決方案,其未來(lái)應(yīng)用前景和發(fā)展尚不明確。但是就目前企業(yè)使用狀況分析,這種EUC 分布式處理特點(diǎn)既能降低對(duì)IT資源的需求,又能提高業(yè)務(wù)靈活性和適應(yīng)性,短期內(nèi)要減少Excel的使用非常困難。但是如果管控跟不上,則如同雙刃劍一樣,應(yīng)用越靈活,風(fēng)險(xiǎn)越大。權(quán)衡利弊,我們需要設(shè)計(jì)和實(shí)施一套符合成本效益原則的Excel應(yīng)用管控策略來(lái)提高收益,降低風(fēng)險(xiǎn)。
主要參考文獻(xiàn)
[1]Price Waterhouse Coopers.The Use of Spreadsheets: Considerations for Section 404 of the Sarbanes-Oxley Act[R].2004.
[2]ITGI.COBIT4.1:Framework for IT Governance and Control[Z].2007.
[3]ITGI.IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control over Financial Reporting(2nd Edition)[Z].2006.
