スプレッドシート統制をもっと楽に実施する方法は、逆説的ながら真正面からその対策に取り組むことだ。大変そうに聞こえるかもしれないが、正しい方向性を認識したうえで、必要最小限のことをやればよい。
実は、スプレッドシート統制にどのように取り組むべきかを監査人の立場から示した興味深い資料が、日本公認会計士協会から発表されている(IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A 2008年11月5日改正)。
この中で、統制手続きの例として、以下が挙げられている(番号は筆者による)。
つまり、監査をする際にはこれらの対策がなされているかが見られるということだ。このリストを企業内で改善するべきポイント、つまりスプレッドシートによるシステムの運用におけるリスクと対応させると、下記のようになる(カッコ内のローマ数字は、会計士協会の統制手続きとの対応を表す)。
これらのリスクを回避できる運用方法を伴えば、いままでどおりのスプレッドシートの活用と内部統制との両立を図ることは可能なのである。
ただこれらは多くの場合、リスクとして認識されておらず、その結果、リスクを回避・低減するための対策(ヘッジ)が取られていない。もちろん、上記のリスクを放置した無防備な状態では、内部統制を実施することはできない。そればかりか、システムを作り上げた人の異動によってそのシステムがまったく使えなくなったり、作り上げたシステムをみんなで使っているうちに、当初の想定と異なる計算結果にされたりするなど、日々の業務も困難なほどの悲惨な状態に陥ることは必至である。
筆者の知る限りでも、こうした例は枚挙にいとまがない。スプレッドシート統制に対応することは、企業が無意識のうちに抱えている大きなリスクをヘッジし、より使いやすくすることでもあるのだ。
多くの企業が内部統制の初対応を迫れられた2008年3月期決算では、ほとんどの企業は内部統制への対応が精いっぱいで、スプレッドシートの監査までをじっくり行うと、期限内に決算処理が終わらないような状況にあっただろう。このため、スプレッドシートについては比較的簡単なチェックだけで済ませたケースが多いようだ。
ただし、スプレッドシート統制なくして、内部統制本来の目的を達成することはできない。施行2年目となる2009年度は、より本質的な対応が求められようとしている。破滅的な状況に陥る前に、早い段階から準備を始めることが、楽な対応につながる。
そこで次回は、筆者がこれまでに見てきた中から、現状と原因の因果関係がよく分かる事例を挙げ、あまり苦労せずにできるスプレッドシート統制対策について紹介したい。
村中 直樹(むらなか なおき)
株式会社クレッシェンド 代表取締役
システムコンサルティング会社や金融機関を経て独立。現場主導のITにこだわり、Excelによるシステム開発に特化したベンチャー企業を設立。これまでに700以上のシステム構築にかかわる。顧客に上場企業と連結対象企業が多いことから、スプレッドシート統制対策の実績も多い(http://drams.jp)。経済産業省認定システムアナリスト、中小企業診断士。著書に『企業活動トラブルQ&A』(共著、第一法規)などがある。
Copyright © ITmedia, Inc. All Rights Reserved.