スプレッドシート統制(スプレッドシートとうせい)とは、金融商品取引法で企業に要求される内部統制のうち、財務データを扱う場合にスプレッドシート(表計算ソフト)を使用する場合に必要とされる内部統制のことである。
スプレッドシート統制の重要性は、経済産業省が定めた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」において指摘されている。また、具体的な監査方法は、日本公認会計士協会が定めた「財務報告に係る内部統制の監査に関する実務上の取扱い」の中で、「業務プロセスにかかる内部統制の評価の検討方法」の「スプレッドシートを使用している場合」に定められている。
スプレッドシートのリスク
2007年3月30日に、経済産業省は、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を公表した。この基準によると、財務報告において指摘されているスプレッドシートを使用するリスクは以下の通り。
- (1)スプレッドシート等で作成した表や数式の作成者と利用者が同一である場合、 作成された表計算ソフトやマクロを第三者が検証していないと、不正や計算式の誤り等が見逃されるリスクがある。
- (2)スプレッドシート等ではプログラムされた内容が文書として記録されず、不明になるリスクがある。
- (3)スプレッドシート等の管理では、アプリケーション・システムに比べると、バックアップが十分でなく、データが失われる可能性がある。
- (4)スプレッドシート等は、財務担当者のPCが利用されることが多く、アプリケーション・システムに比べると、アクセス制御が十分でないことがある。このような環境では、財務報告にデータの改ざん、消失が生じるリスクがある。
- (5)スプレッドシート等の処理結果について、計算結果等の検証が適切になされないと処理結果としての財務報告に誤りや虚偽が発生するリスクがある。
具体的な監査方法
2007年10月24日に、日本公認会計士協会は、「財務報告に係る内部統制の監査に関する実務上の取扱い」(監査・保証実務委員会報告第82号)を公表した。この指針によると、スプレッドシート統制に必要な要件は以下の通り。
- (ア)スプレッドシートを使用し、財務報告の基礎資料を作成している場合、マクロや計算式等を検証していること
- (イ)スプレッドシートのマクロ、計算式等の検証が適切になされていない場合、手計算で確かめる等の代替的な手段がとられていること
- (ウ)スプレッドシートに対するアクセス制御、変更管理、バックアップ等の対応について検証していること
このうち、(ウ)については、ユーザー個人がデータを管理するスタンドアローン型の表計算ソフト(「Excel」や「Lotus 1-2-3」など)において実現することは事実上困難なため、インターネット上において一元的に管理できるオンライン型の表計算(「Google Docs」や「OnSheet」など)を使用する企業が徐々に増加している。
外部リンク