ガートナー松原氏が懸念
Excelのスプレッドシートが内部統制を壊す!?
2007/02/21
「IT統制ガイダンスの特徴はスプレッドシートについて言ってしまったこと。財務諸表を作る上で使われていて、触れざるを得なかった」。ガートナー ジャパンのガートナー リサーチ バイス プレジデントの松原榮一氏は自身が委員として作成に加わった経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス、参考記事)について特徴をこう説明する。ガイダンスは、日本版SOX法に対応するIT統制の基準を示した文書で、エンドユーザーコンピューティングについて言及したことで注目を集めている。
ガートナー ジャパンのガートナー リサーチ バイス プレジデントの松原榮一氏ガイダンスは1月19日に経産省が発表し、2月19日までパブリックコメントを受け付けていた。一般社員がデータを操作するエンドユーザーコンピューティングのリスクについて記述した内容があり、その中でもMicrosoft Excelなどで使うスプレッドシートの統制について指摘している。
IT統制の観点でスプレッドシードが問題になるのは文書のバージョン管理やマクロ、エンドユーザーが独自の式を使っている場合。ERPを導入している大企業でも子会社がスプレッドシートを中心に財務会計を行っているケースが多いといい、「そのスプレッドシートが正しいのかと公認会計士に問われると、答えられない」(松原氏)という事態になることが予想される。
会計士はSoDを要求する
松原氏は2月21日開催のガートナー主催のイベントで公演し、内部統制整備のポイントとして、内部統制の文書化と職務分掌(Segregation of Duties:SoD)、アクセス管理、起案書や決裁書、電子メールなどのコンテンツ管理、ERPの整備を挙げた。特に注目されているのはSoD。案件の起案者と承認者が同一人物ではいけないなどを定めたルールで、松原氏は「公認会計士は職務分掌を厳しく要求してくるだろう。職務分掌の徹底にはアクセス管理が必要だ」と説明する。
ただ、システムを整備すればSoDが整うというわけではない。そもそも多くの企業では何らかのアクセス管理システムが導入されているが、それでもチーム内で同一のID、パスワードを使うなどSoDで問題になるような運用を行っている。SoDを徹底するには「現場の人の頭を変える必要があるが、それが最も大変」と松原氏。IT統制の担当者は強い態度で挑む必要があるだろう。
SoDは米国SOX法の監査でも監査法人から問題が指摘された。日本企業は性善説を前提にSoDを整備してこなかった背景があり、整備状況は米国企業に劣ると見られる。松原氏は「日本企業の職務分掌は米国企業よりもひどい」と指摘する。
みすず解散で内部統制監査に影響も
米国SOX法が生まれた背景は企業の相次いだ会計不祥事だった。エンロン事件では名門とされた会計事務所のアーサー・アンダーセンが消滅した。アーサー・アンダーセンの二の舞を恐れたほかの会計事務所は顧客企業に対して厳しい対応を取ったといわれる。奇しくも国内ではみすず(旧中央青山)監査法人が高まる監査不信を受けて実質的に解散することを発表した。松原氏は「みすずの解散はアーサー・アンダーセン消滅に近い状況を巻き起こす。日本でも米国と同じ状況になるかもしれない」と話し、ほかの監査法人への影響を指摘した。
関連リンク
関連記事
情報をお寄せください:
最新記事
 |
|
|
|
|
