日本公認会計士協会の「公開草案」へのコメント

スプレッドシート統制に関する指針は要修正

日本公認会計士協会(JICPA)が、2007年7月18日に公開した「財務報告に係る内部統制の監査に関する実務上の取扱い」の公開草案(以下、「公開草案」という)に、スプレッドシート統制に関する指針が盛り込まれました。

「公開草案」は、金融商品取引法監査に関して、スプレッドシート統制への対応を宣言したという意味で、スプレッドシート統制の発展にも、大きな意義を持つ指針です。

しかし、「公開草案」のスプレッドシート統制に関する指針の内容を見ると、監査の要点を誤りそうな記述になっている様に思えます。この指針によって、企業の統制方針を左右される現実を考えると、今後のスプレッドシート統制の整備及び運用の有効性にも不安を禁じ得ません。

以下に、「公開草案」のスプレッドシート統制に関する指針の問題点を挙げ、何が問題なのか、どうすべきなのかを論じてみます。スプレッドシート統制の在るべき姿に関する建設的な議論の出発点として、本稿が、少しでもお役に立てば幸いです。

管理人の不明による誤りもあるかと思います。誤りにお気付きの方は、ご指摘を、コメント(記事を参照する方全員の目に触れます)、またはメール(管理人のみが拝見します)でお送り下さい。勿論、ご意見も歓迎致します。

「公開草案」のスプレッドシート統制指針が抱える問題点

問題点1: 最重要指針の欠落

最も重要なことは、スプレッドシートを利用している業務であっても、妥当と認め得る理由が無い限り、他の業務と同様に、財務報告の信頼性に関するリスク(以下、リスクという)の評価、統制の整備及び運用、経営者による評価、外部監査人による監査の対象とすべきという点にあるのではないでしょうか。

リスクが高いと判断された業務プロセス或いは業務に対する統制の整備及び運用は、スプレッドシートを利用しているか否かにかかわらず、経営者による評価の対象となる筈です。何故ならば、スプレッドシートを利用する業務を例外とする旨の定めが、金融商品取引法、意見書、内閣府令のいずれにも無いからです。

スプレッドシートを利用する業務、スプレッドシートの開発及び保守(以下、これらの3業務を、「スプレッドシート取扱業務」と総称)にも、財務報告の信頼性に影響を与えるリスクを抱えた業務が在り得ます。事実、過去の企業不祥事及び学術研究に、このリスクの発現事例または検出報告を、多数、見い出すことができます(ハワイ大学Panko博士のスプレッドシート研究Webサイト"SSR"、EuSpRIGの問題事例集"Spreadsheet mistakes - news stories"、「スプレッドシート統制 研究室」の記事「PwC文献補足：事例の当事者企業・情報源」参照)。

しかし、現実には、「スプレッドシート取扱業務」に於けるリスクを、十分に評価しない、或いは十分に統制せずに見て見ぬ振りをする傾向が在ります。これこそが、指針を示すべき最も重要な問題ではないでしょうか。




問題点2: 決算・財務報告プロセスへの限定

スプレッドシート統制に関する記述が、「(3) 決算・財務報告プロセス」に配置されているため、スプレッドシートを利用する業務を統制対象とする内部統制及びその評価の必要性を、「決算・財務報告プロセス」に限定すると解釈される恐れがあります。

関連部分の「公開草案」目次

9. 業務プロセスに係る内部統制の評価の検討方法
(1) 業務プロセスに係る内部統制の整備状況の検討
(2) 業務プロセスに係る内部統制の運用状況の評価の検討
(3) 決算・財務報告プロセス
    ① 全社的な内部統制に準じて全社的な観点で評価される場合
    ② 財務報告への影響を勘案して個別に評価対象に追加する場合
    ③ スプレッドシート等が使用されている場合

実際には、スプレッドシートは、「決算・財務報告プロセス」以外の業務プロセスでも用いられ、その中には、財務報告の信頼性に影響を与えるものが在り得ます。

従って、「決算・財務報告プロセス」に限定せず、財務報告の信頼性に影響する「スプレッドシート取扱業務」を対象範囲として、経営者による統制評価を如何に監査すべきかを示すべきではないでしょうか。




問題点3: EUCの観点への限定

9.(3)①「スプレッドシート等が使用されている場合」に於いて、EUCの観点からの検討だけが語られており、スプレッドシートを利用する業務を対象とする統制の評価が、EUCの観点だけで検討されるべきものとの誤解を招きかねません。

「スプレッドシート取扱業務」に関するリスクは、EUCに限定されるべき問題ではありません。専門家が開発したスプレッドシートを利用している業務であっても、統制上の問題が生じることは、通常のコンピュータプログラムと同様です。




問題点4: EUCとスプレッドシート利用との混同

9.(3)①「スプレッドシート等が使用されている場合」に於いて、EUCに関する検討項目を示す文脈に於いて、EUCの場合に固有のリスクに対する統制策ではなく、スプレッドシート利用業務の全般に於いて必要とされる統制策が示されています。

上記の問題点3も考え、まず、「スプレッドシート取扱業務」について、EUCでなくとも検討すべき事項を示し、加えて、特に留意すべき事項として、EUCに固有の問題に関する指針を示すべきではないでしょうか。

尚、EUCでなくとも検討すべき事項には、スプレッドシート、或いは事実上の標準製品となっているMicrosoft Excelに固有の問題に関する指針を、過度の限定とならない範囲で、適切に盛り込む必要があると思います。




問題点5: 共通目標を示さずに不十分な統制策に限定

9.(3)①「スプレッドシート等が使用されている場合」に於いて、EUCに関する検討項目として示している統制策が、想定されるリスクに対して、必ずしも、十分な内容とは言えません。にもかかわらず、例示ではなく、限定的な要件と受け取ることのできる断定的な表現が用いられています。

如何なる統制策を必要とするかは、リスク評価の結果と統制方針に依るものです。まず、COBIT for SOXで言う「処理のインテグリティ」を保証することを共通目標として示し、その達成を阻害するリスクに応じた統制策の導入及び運用を監査すべきではないでしょうか。




問題点6: 原則を示さずに統制策を提示

上述の共通目標の次には、具体的な統制策の例示よりも、以下に示す様な原則を明らかにする方が重要ではないでしょうか。

• スプレッドシートを利用する業務に於いても、リスク評価を行い、その結果に基づいて、統制及び統制評価の対象範囲を設定すること。
• スプレッドシートのエラー検査だけでなく、利用業務全体、及びスプレッドシートのソフトウェア開発ライフサイクル全体をリスク評価の対象とすること。
• IT業務処理統制の観点と、IT全般統制の観点の両面から監査すること。

参考としての統制策例示は良いとしても、画一的に、それを充たせば十分という短絡的な判断につながらないように、上記の様な原則を示して、個別のケース毎にリスク評価の結果に基づく統制設計及び監査計画が為される様に指針を示すべきではないでしょうか。




---

【後　記】

■スプレッドシート統制に関する指針は、「公開草案」が示すべき実務指針のごく一部であることは明らかです。上述の問題点の解消に当たっては、他の指針とのバランスや整合を考慮しなければなりません。

■スプレッドシート統制に関する詳細な指針が必要であれぱ、JICPA発行のIT報告等の別紙で、詳細指針を示す必要があるかも知れません。




*  *  *   以    上   *  *  *

(C)2007 linkfinder All Rights Reserved.