如何对Excel实施内部控制
2022年第4期 1928 < 返回目录
从分析数据到生成报告,财务人员一直都很依赖Excel完成所有这些工作。有鉴于此,管理层必须确保对Excel的运用实施内部控制。

  2013年,摩根大通银行发布报告称,因在将数据剪切粘贴到一张用于风险建模的电子表格时出现错误,该行损失了60亿美元。同年,美国消费者新闻与商业频道报道称,电子表格中的错误给企业造成了数十亿美元损失。咨询公司F1F9估计,88%的电子表格存在错误,而在大型企业使用的电子表格中,50%存在重大缺陷。另一咨询公司Hackett集团的一位高管提到,新冠肺炎疫情使财务团队因长期依赖Excel而导致的决策问题显露出来。

  据部分财务高管反映,Excel使用者难以跟踪Excel的修改记录和核实相关信息,从而限制了Excel的有效性。据调查,即使在今天,使用者平均每年会在Excel上犯118个错误,其中部分错误是因输入了错误数据引起的。这些错误不仅会导致企业声誉受损、客户与投资人流失,还会让企业耗费大量资金和时间来重建利益相关者对企业的信任。

  随着近年来网络安全事件的增长,管理层也越来越认识到需要对信息系统实施控制。但已在其他软件和技术应用中得到推广的文档记录、变更管理控制及内控措施的设计与实施,尚未在Excel运用中完全开展。Excel文件在内控评价中常常被忽视,一个可能的原因是Excel是面向终端用户的应用程序。尽管Excel的安装和维护是集中进行的,但却是终端用户在使用,IT部门对Excel的使用方式、所处理的数据、Excel文件的存储方式等没有任何控制。另一个常见的误解是,认为创建电子表格本身就是文档记录。


为何实施内部控制?

  内部控制能够确保企业在以下方面实现自己的目标:有效及高效运营;披露可靠的财务报表;遵守相关法律、法规和政策。

  2002年出台的《萨班斯—奥克斯利法案(SOX)要求所有美国上市公司必须向美国证券交易委员会(SEC)报告其内部控制架构,并在报告公布前90天验证其有效性。SOX审计重点关注这四个领域:IT安全、访问控制、数据备份和变更管理。因此,企业应当清楚敏感数据的存储位置;谁有权限访问该数据;数据是否已妥善备份和存储;在数据、员工和软件出现变化时,数据能得到安全维护。

  尽管现在的审计项目会因企业和地点的不同而有所不同,但每家企业都应该考虑以下三个基本问题:

  是否制定了会计系统(包括财务数据处理软件)创建、修改和维护的制度?

   是否有防范数据篡改的保障措施?

  ■ 是否对敏感数据的访问进行监督和记录?

  出于各种原因,大多数员工不愿使用复杂的自动化系统,而是重新回归到Excel电子表格。正因如此,Excel中的数据和相关控制程序不容忽视。借助Excel,我们可以将信息系统中的数据进行转储和分析,而无需等待IT部门编写查询程序。即使企业资源规划(ERP)程序可提供经过清洗的数据,员工仍可通过Excel电子表格轻松合并和分析来自不同源头的数据。Excel本身具有的灵活性、功能性、易用性等特点,相关培训多且访问便捷,加之来自使用者社区的各类在线支持,都促进了Excel在企业中的广泛应用。

  鉴于使用电子表格分析的庞大数据量和电子表格中出现的错误数量,董事会、管理层、监管机构和审计人员应当对电子表格实施内部控制。与其他内部控制一样,电子表格的内部控制也应把文档记录作为第一步。


记录的重要意义

  文档记录是指记录事件、交易或协议的证据的行为,有多种形式。有的事件记录在正式的、结构化的源文件中,如发票、采购订单、日记账、分类账,而其他事件则记录在篇幅较长的合同中。此外,我们可使用各类技术(如流程图、数据流图和业务流程图)来记录流程。SOX法案认识到了记录的好处,故而强调并要求在美上市公司做好有关内控评价情况的文档记录。基于对财务报告进行内控评价的要求,越来越多的会计人员意识到需要对企业的政策、程序、流程和信息系统进行记录。

  文档记录可让企业将内部形成的知识保留下来。因为设计实施流程与系统的员工可能会离职,而这些员工的知识可以通过详细记录相关设计实施方案和决策而保留下来,并随着系统和业务环境的变化而更新。文档记录也为企业内发生的各个事件提供了证据,可用于防范、检测和纠正舞弊与错误。尽管企业一直在强调应用程序层面内控措施相关记录的重要性,Excel电子表格却总是被忽视。 


记录电子表格相关信息

  不重视对Excel运用的内部控制源于管理人员面对的挑战,即Excel是终端用户工具。不同于其他信息系统,企业无法对Excel的使用进行集中管理。不过,管理人员可以采取一些措施来管控Excel在企业的使用方式,以下措施供管理人员参考。

  创建Excel文件列表。与IT部门维护的IT资产清单类似,部门管理人员也应创建并维护一份本部门使用的主要Excel文件列表,同时,还应鼓励每名员工对其每周使用的电子表格创建一份列表。Excel文件列表应记录以下事项:

  ■ Excel文件名称

  ■ 文件创建者的姓名及职务

   文件创建日期

   文件创建目的

   共享Excel文件的员工的姓名与职务

  记录上述细节信息有助于管理人员确定类似的电子表格之间是否存在不一致和重复情况。此外,在员工离职的情况下,管理人员能够保留该部分知识,并高效地盘点其工作与职责。之后,电子表格中记录的信息可用来培训新员工,帮助他们了解工作职责。

  鼓励员工维护Excel工作簿文件,而非单个工作表文件。与其为每项任务创建单独的工作表文件,不如鼓励员工对工作簿中多个具有相似目的的工作表分类,并维护整个工作簿。这样做有助于减少所需维护的工作簿数量、数据错误和冗余。即便需要在每周或每月创建特定目的的文件,这样做也能最大程度减少不同类型文件的数量,从而可对Excel文件进行更多控制。


WechatIMG1971.jpeg

  

  鼓励员工提交电子表格进行独立审核。工作簿创建后,鼓励员工将其进行独立审核,以确保工作簿中没有任何错误。独立审查可由内部审计部门或企业风险管理部门(如有)开展,中小企业则可由主管实施。

  记录每个Excel文件/工作簿的相关细节。鼓励员工在创建文件列表的基础上再进一步,将每个主要的Excel工作簿记录在案,方法是创建并维护一个包含以下细节的新工作簿(如图1所示,该工作表文件可用于维护工作簿):

   Excel文件/工作簿的名称

   创建者的姓名及职务

   工作簿创建的日期

   后续更新:更新人、更新时间、更新内容

   创建工作簿的目的

   共享电子表格的其他员工的姓名/职位(如适用)

   有关工作表的信息,如:

   ● 工作簿中包含的工作表列表

   ● 每张工作表的简要说明

   ● 输入每张工作表的数据及其来源

   ● 工作表所需的操作或具体指令


WechatIMG1970.jpeg


Excel内置控制工具

  内部控制应通过设计来实施。在构建信息系统时,我们会嵌入各种控制措施和功能,以在数据采集、处理、存储和输出过程中防范、检测并纠正错误。在创建Excel电子表格时,我们也可以采取类似方法,将控制措施嵌入电子表格的设计中。而要在Excel工作簿中设计控制措施,可以考虑将一些Excel函数作为控制措施。设计时具备内控思维,我们就可以使用某些内置函数来减少数据输入和计算中的错误,从而提高电子表格数据的完整性。可以通过以下几个问题来鼓励员工建立内控思维:

  如何限制未经授权查看Excel电子表格数据的行为?给电子表格设置密码,有助于减少在设备(如笔记本电脑)被盗情况下,数据丢失造成的损失。可以对Excel工作簿设置不同级别的密码。文件级别的密码可以通过制止未经授权的使用者打开文件,来阻止未经授权访问;工作表级别的密码保护可防止其他使用者操作特定工作表上的数据。

  Excel允许使用者锁定特定单元格。在设计工作表时,工作表的创建者应该考虑是否锁定某些单元格,如那些包含公式的单元格,防止任何操作和无意识的错误。在未对工作表采取保护措施的情况下锁定单元格,可允许其他使用者编辑工作表中未锁定的单元格,并在其他工作表中引用已锁定的单元格,而无法修改已锁定的单元格。

  要锁定工作表中的特定单元格,首先选择整个工作表,点击“开始”选项卡,单击“字体”功能组内右侧的小箭头,打开“设置单元格格式”对话框,选择“保护”选项卡,取消“锁定”选项,点击“确定”。然后选择要锁定的单元格,重新打开“设置单元格格式”对话框,点击“锁定”选项。接下来,对工作表设置密码保护。

  除了对整个工作簿设置密码或加密,还可以通过锁定和保护工作表来尽可能减少有意无意的数据操作。Excel提供了文件、工作簿、工作表和单元格级别的保护。当工作簿被其他使用者共享时,需要留意是否每个使用者都需要查看工作表中的所有详细信息。如果使用者需要汇总后的文件,可以使用Excel中的数据分级等功能,为相应的使用者提供汇总视图。使用者在设计Excel工作簿时,可以通过Excel函数来防止出现错误和他人的后续操作。

  如何在Excel中创建更好的审计跟踪?通常情况下,使用者在分析数据时是不保留操作的历史记录的。例如,使用者可能将一个文件导入Excel并清洗数据,而不会保留源数据。如果在清洗数据时出现错误,该错误将继续出现在输出结果中。为尽可能地减少此类错误,并通过审计跟踪提高数据的完整性,请注意以下几点:

  将源数据与在处理数据分开。创建一个单独的工作表来维护工作表的源数据。员工通常将数据导入或复制粘贴到工作表中,然后开始清洗、整理和处理此表中的数据。但是,这会让跟踪一个错误变得更加困难,因为可能难以确定该错误是员工工作的结果,还是在清洗源数据时产生的。将源数据保存在单独的文件中,可为后续工作提供审计线索。

  此外,将源数据与在处理数据分开,还可通过宏、公式和其他Excel函数,自动化后续的数据清洗、整理和计算工作。只要在设计和创建第一张Excel工作簿时多花点时间,就可以在日后应用电子表格时节省更多的时间和精力。

  考虑引用数据。Excel中有多个引用数据的函数。相较于把原始数据复制粘贴到后续的工作表中,使用“(=)等号”和要复制数据的位置更为简便,且源数据中的任何更改将会自动反映在引用数据的工作表中。这将有助于维护数据的完整性,减少未来使用工作簿时的遗漏错误。

  另外,还要为重要的单元格命名。右键单击某一单元格或单元格范围,选择“定义名称”即可。工作表或工作簿都可以使用单元格命名,使用惟一的单元格名称有助于在工作簿的任何位置引用该单元格。单元格引用有几个优点,如在插入新的行和列时,引用单元格名称就能检索到原始数据。此外,单元格名称也可用于公式,这将有助于使用者理解公式、审查公式的准确性。

  将输入数据与公式分开。创建公式时,要单独维护输入的数据。不要在Excel公式中使用硬编码数字。有时,在Excel中使用公式向导,在公式向导中输入数字和条件,可能比引用数据单元格更容易。在公式中输入硬编码,会使公式转换为静态值,而若输入数据发生更改,使用者将不会察觉到更改,而是继续使用原输出结果。用于公式的输入数据要单独维护,可以在公式中使用单元格引用或单元格命名进行引用,以确保对输入数据的任何更改都将反映在后续的计算中。

  将输入数据分开,一方面提升了计算的透明度,另一方面可让使用者保持数据的完整性。为提高数据的完整性、避免数据操纵或错误带来的舞弊,使用者可以通过锁定单元格和设置密码保护来限制访问。将输入数据和公式分开,为实现更多层级的保护提供了可能。

  如何防止计算中的错误?要注意公式所用条件的有效性。Excel的一大优势是能执行各种数据分析。通过Excel内置的公式向导,使用者能轻松使用高级公式进行各类计算,公式的使用相对直观和直接。而在创建Excel工作表时结合内控思维,可以使输入的条件更加充分,提高工作表的安全性和完整性。以下问题非常有助于创建公式:

   条件是否适用于整列,而无需选择特定单元格?

   条件未来会发生变化吗?

   条件是硬编码,还是可以单独维护以便未来进行更改?

   计算结果总是正数吗?

   如果输入数据是负数,计算是否成立?

  如何定期评估公式的准确性?在工作表设计完成后,接下来很重要的一点是判断工作簿数据的完整性。Excel“公式”选项卡下的“公式审核”功能组,可以以图示方式显示公式与单元格之间的关系。“公式审核”功能,如追踪引用单元格、追踪从属单元格和错误检查,可以评估哪些单元格参与了活动单元格中的计算,或者哪些公式引用了活动单元格。图示通过使用箭头指向或离开单元格,可以轻松实现可视化,帮助识别工作表中是否存在错误。“公式审核”功能组的“公式求值”功能,可以帮助使用者分解复杂的公式,一步步进行复杂的计算。求值功能会以下划线形式显示下一个要求值的表达式。


WechatIMG1974.jpeg

  

  工作表设计完成后,最好进行错误检查。通过“公式审核”功能组的“错误检查”功能,使用者能够确保工作表中没有循环引用和跟踪错误,如有的话,可以获得帮助来改正错误。

  另一个基本的控制措施是定期检查工作表。仔细检查工作表,看看是否有改进信息分析与展示的方法。如果条件允许,可以请主管对工作表进行独立审核。


Excel仍将持续使用

  企业仍将继续使用和依赖Excel。虽然企业内部部署的复杂信息系统可以查询必要数据,为决策生成各种报告,但企业仍然会依赖Excel开展各类分析,及时获得决策所需的数据。

  这种依赖出于以下两个原因。首先,企业内部使用者所需的信息为非标准报告格式时,必须通过适当的渠道向IT部门提出请求,而向IT部门申请报告的过程可能非常耗时。此外,IT部门不可能为每项业务需求发起查询。因此,这些使用者可能发现更方便的做法是,从现有系统转储数据,再结合内外部数据来解答不同的战略及运营问题。其次,Excel有许多易于使用的高级功能和工具。Excel内置的向导、帮助功能、庞大的用户社区和各种分析工具,都对企业使用者具有吸引力。  

  但企业对Excel的这种依赖会对企业产生意想不到的后果。第一,员工离职后,如何将知识保留下来成为一大挑战。大多数情况下,使用者创建的Excel电子表格不易被发现,甚至会被遗忘。由于不了解现有的电子表格,新员工可能会创建一套新的电子表格;另外,新员工即使知道有电子表格,但因为缺少文件目的、进度、使用者及使用方法等文档记录,也可能无法理解这些现成的电子表格。而创建一套新的电子表格会导致信息没有连续性,进而对企业产生负面影响。因此,要解决连续性问题并把知识保留下来,一个方法是各个部门创建一个Excel工作簿列表,记录正在进行的工作,以及企业或部门内部是如何使用每个Excel工作簿的。

  第二,Excel电子表格的使用带来了越来越多的数据安全漏洞。未受保护的Excel文件可能包含大量的敏感数据。在移动设备丢失或被盗的情况下,如果工作簿没有加密或设置密码保护,网络犯罪分子可能很容易在未经授权的情况下访问敏感数据。

  第三,有意或无意的数据操纵生成误导性信息。在讨论系统完整性时,我们常常会使用“垃圾进,垃圾出”这句话来强调采用预防性控制措施的重要性,其可确保所采集数据的准确性和完整性。如果采集的数据没有错误,那么得到没有错误和遗漏的准确结果的概率也更高。因此,我们需要在使用Excel电子表格时采取这一视角。

  最后,电子表格对审计的影响。如果使用Excel保存敏感信息,审计时就需要考虑与Excel相关的访问控制、IT安全、数据备份及变更管理等问题。表1总结了控制目标和Excel相关的控制措施,及其与SOX法案重点关注领域的关系。通过创建文档记录,企业能够确定敏感数据的存储位置和数据维护人,进而可以在数据泄露的情况下及时采取纠正措施。在数据丢失或中断的情况下,文档记录可帮助企业检索到正确的版本。因此,记录电子表格的相关信息可以提高数据的完整性和合规性,降低施行SOX审计的成本。


WechatIMG1972.jpeg


  如果员工选择继续使用Excel来维护和分析数据,生成用于决策和财务报告的信息,管理层应该考虑对Excel实施控制,以确保所生成数据的完整性。依赖Excel会产生意想不到的后果,但实施相应的内部控制,将有助于尽可能地减少错误,同时更好地运用电子表格。



                           

Nishani Edirisinghe Vincent,博士、ACMA,田纳西大学查塔努加分校会计学副教授。联系方式:nishanivincent@utc.edu。

于婕 译,郭强 校

< 返回目录