スプレッドシート統制

スプレッドシート統制とは

スプレッドシート統制とは、金融商品取引法に基づき企業に義務付けられている内部統制の一環として、財務データを取り扱う際にスプレッドシート（表計算ソフト）を使用する場合に必要となる統制活動のことです。

経済産業省が定める「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」では、スプレッドシート利用のリスクについて指摘しており、日本公認会計士協会が定める「財務報告に係る内部統制の監査に関する実務上の取扱い」では、具体的な監査方法が示されています。

スプレッドシートのリスク

経済産業省のガイドラインでは、財務報告におけるスプレッドシート利用には以下のリスクがあるとされています。

1. 作成者と利用者の同一性: スプレッドシートの作成者と利用者が同一人物の場合、第三者による検証が不足し、不正や計算ミスが見過ごされる可能性があります。
2. 記録の不明確性: スプレッドシート上のプログラムされた内容が文書化されないため、内容が不明確になるリスクがあります。
3. バックアップの不備: アプリケーションシステムに比べてバックアップが不十分な場合が多く、データ損失のリスクがあります。
4. アクセス制御の脆弱性: 個人のPCで利用されることが多く、アプリケーションシステムに比べてアクセス制御が不十分なため、データの改ざんや消失のリスクがあります。
5. 検証の不備: 計算結果等の検証が適切に行われない場合、財務報告に誤りや虚偽が生じるリスクがあります。

スプレッドシート統制の具体的な監査方法

日本公認会計士協会の指針では、スプレッドシート統制に必要な要件として以下を挙げています。

マクロや計算式の検証: スプレッドシートを使用して財務報告の基礎資料を作成する場合、マクロや計算式などを検証する必要があります。
代替手段の実施: マクロや計算式などの検証が適切に行えない場合、手計算による確認などの代替手段を講じる必要があります。
アクセス制御、変更管理、バックアップ: スプレッドシートに対するアクセス制御、変更管理、バックアップなどの対応状況について検証する必要があります。

特に、スタンドアローン型の表計算ソフト（例：Excel）では、（ウ）のアクセス制御などを実現することが困難なため、近年では、オンライン型の表計算ソフト（例：Google スプレッドシート）を利用する企業が増加しています。オンライン型では、インターネット上で一元的に管理できるため、より強固な統制が実現可能です。

まとめ

スプレッドシートは業務効率化に不可欠なツールですが、財務報告においてはリスクも伴います。適切な統制を行うことで、これらのリスクを軽減し、財務データの信頼性を確保することが重要です。企業は、ガイドラインに沿ったスプレッドシートの利用と管理を徹底する必要があります。

参考資料

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)
財務報告に係る内部統制の監査に関する実務上の取扱い
日本公認会計士協会

もう一度検索