|
|
スプレッドシート統制 (J-Sox対応)
Excelのファイルは、日常的にほぼ全員が操作しています。
1人が1日に4ファイルずつ作ったとして、年間で1000ファイル増えます。社員が1000人いれば、100,000ファイル増えることになります。
これを全て管理しようとするから、管理不能に陥ってしまう(いわゆる「Excelレガシー」状態)のであり、
「管理が必要なファイルのみを抽出すれば、100分の1以下に圧縮できる」
というのが、当社の考え方です。
以下、絞り込みの考え方です。 |
|
EUC(End User Computing:エンドユーザ・コンピューティング)における内部統制の目的を「業務の有効性・効率性」「財務報告の信頼性」ととらえると、やるべき事として、
(1) 結果が正しいと、確認できること
(2) 結果に至るプロセスが正しいと、確認できること |
が必要になります。
IT統制の中でも、EUCは利用者側がそれぞれの基準で運用していることもあり、最も統制が困難な分野の1つです。
当社はこれまで積み重ねてきたExcelシステムに特化した運用ノウハウを蓄積してきました。
こうした過程を経て、以下の様に対策を考えています。
- Excelのファイルは、以下の5つに分けて考えることができます。
(1) アイデアを書き留めたり、構想段階のファイル(メモと同等)
(2) 売上データなどの登録(いわゆる、データ)
(3) 顧客リストや仕入れ先台帳など(いわゆる、マスタ)
(4) 関数によって一定の計算を行うもの
(5) マクロによって高度な計算を行うもの |
- このうち、数的には(1)が最も多いのですが、通常統制する必要は無いと考えられます。
- 内部統制における課題を「リスク評価」ととらえると、
a.機密性(情報漏洩対策)
b.完全性(正確性)
c.可用性(常時稼働) |
の3つに分類(定義)できますが、上記(1)〜(5)は、
機密性が問題になる ・・・ (2)(3)
完全性が問題になる ・・・ (4)(5) |
の様に分類できます。
- 上記より、データとして重要な意味があるもの、機能を含むものを中心に管理すればよいと考えられることから、(4)(5)を中心にドキュメント化対応する(他は一覧程度で、詳細なドキュメントは不要)という発想でとらえています。
|
まともに全てを管理しようとすると「ウチの部だけで10000個を超えた」「同じファイル名が各自のマシンに存在する」などの理由で、話が先に進みません。
J-Sox対応で重視されるのは、決算数値が改竄されるリスクです。
このような観点から、スプレッドシート統制とは、何らかの計算処理を行っている部分に対して、その処理結果(正しいデータで正しい計算プロセス)が妥当であると保証できるかどうかと言い換えられます。
この考えに基づけば、全てのファイルを管理する必要はありませんし、管理の仕方も「内容の正しさについてどうやって客観性を持たせるか」に落ち着きます。
すなわち、
のような手順で対策することになります。
なお、「どのように保証するか」については、仕様書(設計書)類(いわゆるドキュメント)の整備が必須となります。どのようなドキュメントが必要になるかについては、こちらをご覧下さい。
日頃スプレッドシートに慣れていないIT部門等がこれを統制するのは、面倒に思えるかも知れません。 また、確実に統制できる自信がなければ、使わせるのを止めようと考えるところが出てきても不思議はありません。 しかし、こうした考えにも、以下の点で問題があります。
1.Saasやクラウドコンピューティング等への待避
新しい考えに基づITの活用が提案されていますが、「与えられたものを使うだけ」といった受け身の姿勢になってしまうと、IT活用のノウハウが定着しません。
ちょうど、工場に同じような機械を導入しても、急成長する会社もあれば売上が落ち込む会社もあるのと同様、 ITも結局は使いこなしのノウハウが差別化要因となります。
2.クラウド統制/Saas統制
スプレッドシート統制を避ければ全て解決する訳ではなく、新たに統制対象が現れてしまいます。
こうした第三者のリソースを活用するやりかたは、自前で検証が行えなかったり、予告なしに仕様変更になったりサービス中止になるリスクを抱えています。
このように、スプレッドシート統制から「逃れる」発想で他の選択肢を選ぶと、新たな統制問題や 組織の弱体化といった問題を誘発する可能性もあるので、十分留意する必要があります。
●A協会概要
A協会は、業界全体の広報・技術交流などをすすめる、非営利団体です。
活動の一環として、技術資料の販売、交流会の開催などを行っており、これらの一部は営利事業としての扱いを受けており、営利事業と非営利事業の明確な区分が求められています(本支店会計、もしくは他会計)。
公益法人であることから、会計監査も厳密な内容が求められており、定期的に会計監査やシステム監査を行っています。 |
●B社概要
B社は、ネットを使って売買を仲介するシステムを提供する、ITベンチャーです。
メーカーなど大量に商材を抱える企業と小売りを仲介する”ネットマーケットプレイス”を運営し、多くの取引を仲介しています。特定の業界に特化した戦略が奏功し、利用者もうなぎ登りで増えているところです。 |
●C社概要
C社は、特に金融商品に関する情報提供に特化した、ベンチャー企業です。
分かりづらい金融商品の解説等をわかりやすくかみ砕いて提供する独自のビジネスモデルが好評で、毎年倍々以上の成長を遂げ、今や上場を視野に拠点を日本各地に広げています。C社は、わかりやすく説明するためのツールにExcelを利用していますが、顧客ごとにフォルダを作成し、名前で識別する運用をとっていました。 |
内部統制やスプレッドシート統制についての情報を定期的に取り扱っているメディアとして、下記のものがあります。
経理部門や公認会計士を主な読者層とした雑誌で、10日ごとに発売されます。
内部統制だけでなく、スプレッドシート統制の特集記事などもあり、参考になります。
原則定期購読ですが、個別の号も交渉すれば販売してくれるようです。 |
    |
主にIT部門向けの人向けの内容です。
基幹系システムのみならず、EUCの視点からの記事も特集されることがあります。
1冊だけ、試読もできます。 |
  |
|
|
