Excelを悪者にしない「スプレッドシート統制」日本版SOX法で注目高まる

» 2009年03月03日 00時00分 公開
[垣内郁栄,@IT]

 日本版SOX法への対応に関して、多くの企業の実務で使われている表計算シート(スプレッドシート)についての統制が注目されている。実務に欠かせないITツールでありながら、その管理が十分でないケースが多いからだ。財務経理部門だけでなく、一般従業員まで広く浸透しているだけに、その管理は難しい。

 企業においてスプレッドシートとはつまり「Microsoft Excel」を指すのが一般的だ。いわゆる事務職従業員でExcelを使ったことがない人は少ないだろう。いわゆる日本版SOX法(金融商品取引法の一部)は財務報告の作成に関わる業務プロセスについての統制を求めるが、スプレッドシートはその業務プロセスでも多く使われている。会計システムとしてERPを導入していても、そのインターフェイスにExcelを使っている企業もある。

 例えば売り上げデータやコスト管理をスプレッドシートで行っているケースもあるし、現場部門が経費精算や各種日報、帳票に使うケースもある。それらのスプレッドシートには計算式、マクロが設定されていて、フォーマットに沿った形で効率的な入力ができるようにしてある。

 しかし、スプレッドシートを複数のユーザーが関わる業務プロセスで利用するのは、統制上のリスクがある。日本オラクルのアプリケーション事業統括本部 ビジネス推進本部 EPM担当シニアマネジャー 箕輪久美子氏は、「スプレッドシートの弊害」として、更新履歴管理ができないことや、計算式やマクロが改変されること、電子メールでスプレッドシートを配布することのリスクなどを指摘する。スプレッドシートが会計システムと連携していない場合は、業務プロセスのある段階でスプレッドシートのデータを手作業で再入力する必要があり、やはり入力ミスの可能性がある。電子メールで配布することが多いスプレッドシートは、複数ユーザーでやりとりする間にその最新版が分からなくなったり、漏えいする危険もある。

日本オラクルのアプリケーション事業統括本部 ビジネス推進本部 EPM担当シニアマネジャー 箕輪久美子氏

スプレッドシート統制の監査ポイントは

 日本公認会計士協会は1月23日、実際に監査を行う上での会計士向けガイドラインである「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正案を公表した(リンク)。この中ではスプレッドシートについて「システムの利用者であるユーザー自らが業務システムを構築し運用に直接携わるEnd User Computingの観点からのリスクの評価が重要になると考えられ、これに対する内部統制の有効性の評価の検討を行う監査手続が特に重要になる場合がある」と指摘している。

 その上で監査上の要点として、「スプレッドシートを使って財務報告の基礎資料を作成している場合、マクロや計算式を検証していること」「検証が行われていない場合、手計算による検討等の代替作業がとられていること」「スプレッドシートに対するアクセス制御、変更管理、バックアップ等の対応について検証していること」などを挙げている。

 企業の実務と考えるとまずは財務報告作成に関わる業務プロセスで使用しているスプレッドシートの棚卸が必要になる。そのうえで業務に必要なシートを確定して、そのマクロや計算式を検証することになるだろう。手間はかかるがここまでは手作業で可能だ。問題は継続的に取り組む必要があるスプレッドシートに対するアクセス制御、変更管理、バックアップ等の対応だ。

アクセス制御、変更管理、バックアップ

 マイクロソフトはExcel単体ではなく、サーバ製品を組み合わせることでこれらのニーズに応えようとしている。「Office SharePoint Server 2007」を使えば、スプレッドシートの更新履歴管理やファイルのポリシー管理、文書を暗号化した上でのライフサイクル管理が可能だ。また、1カ所に集めたスプレッドシートの内容をWebブラウザで確認できる「Excel Services」もあり、情報の一元管理につなげることができる。企業にとってはSharePoint Serverを導入することで、スプレッドシート統制を一定レベルまで引き上げることができる。

 対して、オラクルなどが提案するのはスプレッドシート自体の流通を少なくするというアプローチだ。オラクルの経営管理アプリケーション「Hyperion Planning」は関連するデータを多次元データベースの「Hyperion Essbase」で一元管理し、このデータについて経営層や財務経理部門、一般事業部門がアクセスして事業計画作成などの業務プロセスを回すことを提案している。「現場にはExcelへのニーズがあるので、Hyperion製品でもExcelとの親和性を確保している」(日本オラクル 箕輪氏)といい、Excelをインターフェイスとして使うことができるようにしてある。

 ただ、Hyperionはある一定の投資が必要で中堅中小規模の上場企業が利用するにはハードルが高い。そのためベンダの中にはスプレッドシート統制に特化した製品を提供するところもある。日立ソフトウェアエンジニアリングは1月13日、Excelスプレッドシートの計算式とマクロの変更履歴を監査証跡として取得し、監査レポートを出力するソフトウェア「iCOT SSLogger」の販売を開始すると発表した(リンク)。スプレッドシートに対する操作履歴を収集したり、管理しているスプレッドシートの一覧を作成することも可能で、スプレッドシートを使った業務プロセスの信頼性向上を図れる。

 スプレッド統制を巡る議論では、Excelの機能不足やスプレッドシートのブラックボックス化を指摘する“Excelレガシー”との用語も登場している。しかし、Excelが想定しているユーザーは、スプレッドシートを単一で利用するユーザー。複数ユーザーでスプレッドシートを共有する使い方はその範囲外ではなかったのだろうか。つまりExcelは個人の生産性を向上させるためのツールで、それ以上ではないということだ。基本機能以上を求めるなら、やはり追加のソフトウェアが必要になるだろう。日本オラクルのシステム事業統括本部 シニアディレクターの入江宏志氏は「Excelが悪いというわけではない。Excelの仕組みを生かしつつ、アクセス制御や変更管理、バックアップなどの仕組みを設けることが重要だ」と説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ