2006年我國發布新審計準則,要求審計師對企業的內部控制設計和執行進行評價。2008年財政部發布了《企業內部控制基本規范》,要求企業逐步實施。無論出于外部合規的要求還是內部管理改進的需要,目前很多企業正在建設和完善內控體系。本文所探討的是內控體系中的一個容易被忽視卻非常重要的部分,即關于Excel應用的管控策略問題。由于管控策略設計與管控目標的設定有密切關系,本文以財務報告可靠性為目標設計Excel應用管控策略,這一項研究內容無論對于審計師或是內部管理者都具有很好的應用價值。
1 Excel應用及其分類
Excel是微軟開發的Office辦公軟件套件中的一個產品,它和其他類似的軟件都屬于電子表格計算軟件(Spreadsheet),例如Lotus1-2-3。“電子表格計算軟件”是以表格方式進行數據編輯,具有分類、排序、篩選、匯總以及公式、函數、宏等運算功能的IT工具軟件。從IT發展的演進過程看,最初IT應用軟件的設計和使用都由IT工程師來完成,業務部門將信息處理需求(包括數據的自動運算)連同數據提交給IT部門來處理,IT部門處理完成后反饋給業務部門使用,由此造成IT使用效率低,甚至成為業務運營的瓶頸。但是當PC普及到個人以后,很多IT工具被開發出來,這些工具軟件可以由非IT專業的用戶自行進行簡單開發和運行,這就大大提高了IT效率和靈活性。這種思想及其成果被稱為最終用戶計算(EUC,End-User Computing),Excel工具就是成果之一,它被運用到各種具體的企業業務場景和流程中,由用戶自行進行數據歸集和處理,形成各種各樣具有特定功能的具體應用。這種應用的具體形式可能是單個Excel表,也可能是由一組關聯表構成的一個工作簿,例如報價單就是一項Excel應用。本文關注的正是這些具體的Excel應用。
Excel應用可以根據用途分為業務文件編制和數據歸集、業務跟蹤和監控、分析決策等。還可以根據其復雜性分為以下3類。
(1)復雜度低:執行記錄功能,例如發票執行狀況記錄表、庫存臺賬等。
(2)復雜度中:執行簡單計算功能。進行簡單分類、匯總、排序和簡單運算,或者進行標準化格式轉化以用于合并或者系統輸入接口。例如銷售收入月趨勢分析表、收入地區分布表、標準記賬憑證等。
(3)復雜度高:支持復雜計算功能,其典型特點就是運用復雜公式、函數、宏、規劃求解等高級計算功能,并涉及表格內單元格和多個表間引用、嵌套和鏈接,通過輸入區域、加工區域和輸出區域的標準格式化定義,將Excel設計成一個小的信息系統。這種類型的應用一般具有特殊目標,例如投資決策模型、銀行付息還款模型等,還可以作為確定交易金額的支持性文件或將會計分錄登入總賬或財務報表披露時的復雜基礎文件。對于Excel進行復雜度歸類是風險分析手段之一,復雜度越高則Excel應用的風險越大。
2 Excel應用與財務報告可靠性關系的分析
Excel應用與財務報告可靠性關系的分析涉及以下兩個層次。
2.1 日常業務操作層次
(1)業務數據的編制和歸集。例如在Excel表中編制報價單、訂單、生產計劃、訂貨計劃,編制代理商銷售返點計算單、銷售人員績效工資計算單,在財務工作中編制預算、憑證,在合并會計報表時處理抵消分錄等。在Excel表中記錄了進入總賬或者財務報表的數量和金額,包括交易層次的發生金額和賬戶層次的余額數據等。
(2)交易的跟蹤和監督。Excel可用來跟蹤和監督日常工作以便支持業務操作流程,包括流水記錄和日志。例如登記發票的開列和結算狀況的列表,記錄合同的基本信息和執行狀態的列表,記錄項目立項和執行狀態的列表等,它替代了傳統的紙質書面記錄方式。聚焦于財務報告循環來看,Excel可用于記錄與財務有關的數據監督和控制。
2.2 分析決策層次
Excel的亮點是便于用戶自己進行靈活的數據加工處理分析工作,而不需要時時求助于IT開發人員。例如應用于內審的分析性工作,為問題或者舞弊的發現提供線索,為問題解決提供思路;應用于決策模型的編制,為管理決策提供支持。在財務領域則用于財務分析和決策支持,評價財務數據的合理性。
從上述分析可以看出,在財務報告循環中Excel應用可能直接構成財務報告系統輸入的源文件(Source Document)數據,也可能構成憑證輸入的支持性文件數據(Support Document),因此其正確性將直接影響財務報告可靠性;Excel編制的日志文件可能構成從交易到報告整個鏈條的審計線索,或者在評估財務數據合理性過程中發現舞弊線索,從而間接影響財務報告可靠性。
3 Excel應用的總體風險狀況
Excel應用風險來自許多方面,例如數據輸入錯誤、公式設定錯誤、使用過程中被隨意地不當篡改等。按照一般風險評估方法,風險大小是發生風險的概率和可能造成損失的乘積。從風險發生概率視角分析,由于Excel軟件功能強大和使用方便,大多數員工都具備Excel操作的基本技能,因此在企業日常工作中的應用十分廣泛,而Excel使用的廣泛性和目前實務界Excel控制缺失的普遍性為風險發生的大概率提供了客觀的環境基礎。從數量規模看,在一個Excel文件的眾多編輯單元格中,哪怕僅存在極少量沒有被察覺的錯誤,但對于一個整體Excel文件來說,就不是討論錯誤存在性問題,而是存在多少個錯誤的問題了,審計師則需要評價這些錯誤累計的審計重要性大小,實證研究表明事實上在Excel應用中發生錯誤的數量規模是任何一個組織無法接受的。從風險造成損失的視角來看,由于Excel數據錯誤造成決策失誤,造成財報數據錯誤,造成組織聲譽的下降,其損失無法準確估計。在普華永道(PWC)2004年發布的一份關于電子表格計算的文件中提到一個案例:由于使用Excel時發生了“剪切和粘貼”小錯誤導致一家公用事業公司用遠遠超過預期的價格購買了一份套期保值合約,造成2 400萬美元損失。
