スプレッドシート統制は、手を抜きつつまじめに：楽して実施スプレッドシート統制（後編）（1/2 ページ）

スプレッドシート統制を楽に実施するためには、早い段階で真正面から取り組むことだ。ではいかにスプレッドシート統制を実施していくのかを、3つの事例からヒントを探る。

[村中直樹，クレッシェンド]

　スプレッドシート統制に楽に取り組むコツは、早い段階から真正面から取り組むことだ。ただし、まじめに取り組み過ぎると、あまりの面倒さに続かなくなってしまいかねない。要は、継続的に行えることが重要である。ここでは、スプレッドシート統制に困っていた企業が、それぞれ抱えていた問題をちょっとした工夫で解決し、いかにスプレッドシート統制への準備を行ったかを、3つのケーススタディで紹介したい。

多過ぎるファイルを管理できない

　A社は、さまざまな専門分野の文書の翻訳を手掛けている。お客さまからメールで送られてくる依頼内容によって専門分野ごとに分類し、外部の専門家に委託する。専門分野が多岐にわたり、また委託先の同意を必要とすることもあり、業務の流れは複雑である。

　そんなときに同社のベテラン社員が、Microsoft Office Excelの「マクロの自動記録」を利用して、対象分野別に委託者を検索したり、納期や進ちょく状況、支払いから請求までを管理したりできるシステムを構築した。

　少しずつマクロを修正しながら使っていたが、修正前のファイルもすべて保存していたため、サーバには古いファイルが大量に残っている。しかも、専門分野の異なる5名の担当者が自分用のファイルをカスタマイズし、修正しながら使っているため、膨大な量のファイルはそれぞれ機能が少しずつ異なり、すべての機能を網羅しているファイルは存在しない。

　あるとき、お客さまが発注メールの依頼内容を細分化することになった。またマクロを修正する必要があったが、すでにファイルは5000個を超え、どのファイルに対して手を加えるべきか分からなくなってしまっていた。

A社の問題の原因は？

　A社が不正確なファイルをたくさん抱えている原因は、主に3つあった。

　1つ目は、明確なルールもなしに「みんなで力を合わせて」もしくは「複数人が互いに競合しながら」システムの改訂を進めたことだ。

　2つ目は、こうして改訂を進めた結果、正しく動作しなかった場合に備えて過去のファイルをすべて保存していたことが、ファイルの増殖に拍車を掛ける原因となった。

　3つ目は、計算結果の検証ルールが定められていなかったことだ。作成者本人が検証しない限り、誰も動作検証を行わないため、いまある5000個のファイルのすべてについて、計算結果が正確である保証ができない状態にあった。

A社がすぐにできる対策は？

　業務の変化に対応するためには、早急にシステムを一本化するしかない。そこで、以下の手順で、大量の不完全なファイルの中からリファレンスとなるファイル（修正を加える対象のファイル）を1つ決めることにした。

　まず、各担当者が現在使っているファイルの中から、最新と思われるものを集める。

　次に、このファイルのマクロや関数の設定状況などを一覧表にする。そして「最も設定数の多いものが最新バージョン候補である」という前提でいくつかを抽出する。

　最後に、抽出したファイルを各担当者の実際の業務に使用できるかを確認することでファイルに絞り込み、リファレンスとなるファイルを1つ選ぶ。

　こうしてリファレンスとなるファイルを決め、依頼内容の細分化という業務の変化に対応でき、このシステムを日常業務に利用できる状況が戻ってきた。

A社のスプレッドシート統制の対応準備

　本システムは請求を含む幅広い業務を担っているため、スプレッドシート統制の対象となる。そこでA社は、スプレッドシート統制に対応するための準備を検討した。その結果、主に運用ルールの整備が必要であるということが分かった。

　ここで、前回の「スプレッドシートの統制は面倒か？」で紹介したIT委員会報告第3号「財務諸表監査における情報技術（IT）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A 2008年11月5日改正）の統制手続きの例を、再度紹介しておく（番号は筆者による）。

1. ロジックの検証：組み込まれたロジックの正確性は検算などにより適切に確認されているか
2. アクセス管理：スプレッドシートへのアクセスは適切に制限されているか
3. 変更管理：仕様の確定、テスト、責任者による承認などの手続きが正式に定められているか
4. バックアップ：バックアップの頻度、対象、保管場所、保存期間は適切か
5. バージョン管理：命名規則などの最新のバージョンのみが使用されるための仕組みはあるか
6. データの完全性とセキュリティ：数式やマスタ・データなどのデータ処理にとって重要な項目が、不正又は不注意な変更から保護されているか
7. 文書化：スプレッドシートの仕様などは文書化され、適切に更新されているか

　そこで次のようなプロセスで、スプレッドシート統制対応を進めようとした。なお、カッコ内は公認会計士協会の統制手続きとの関連を表す。

正規版を決めよう（2のアクセス管理、5のバージョン管理）

　正式稼働用のファイルを登録するフォルダを決め、ここにあるファイルは絶対に変更を行わないようにする。フォルダのアクセス権限を読み取り専用にするだけで、容易に実現が可能だ。こうすることで、正規版は常に1つになる。

　なお、A社のように担当者ごとに分野が異なるような場合でも、機能とデータを分け、データを入れ替えれば同じファイルを利用できる作りにしておけば、マスタの管理は可能だ。

機能追加のルールを決めよう（1のロジックの検証、3の変更管理、7の文書化）

　機能を追加・修正する場合は、まず方針を決める。そのうえで、正式稼働用のフォルダから、あらかじめ決めておいた修正用のフォルダへファイルをコピーし、特定の担当者のみが行うようにする。

　作業が終わったら、必ず第三者のチェックを通じて正常に動作することの確認を行う。このプロセスを経てから、新しいファイルを正式稼働用フォルダに登録し直すようにすれば、検算の必要はなくなる。

　このとき、どこにどのような修正を加えたか、メモ程度でもいいので残しておくと次回以降の生産性に大きく寄与できる。本体にメモ用のシートを追加して、概要を記録する運用にすれば、手軽に実現できる。

利用ルールを決めよう

　改訂版を登録したら、利用者全員が最新版を使うようなコンセンサスを得ておこう。自由にカスタマイズできてこそのスプレッドシートだが、利用者全員が最新版を使うという条件を付けないと、同じ目的のファイルが多数できてしまう。