内部統制の転職・求人ガイド > IT統制 > スプレッドシート統制

IT統制に有効なスプレッドシート統制、シンクライアントほか

スプレッドシート統制は、エクセルに代表される社内の業務や会計データ作成に利用される表計算ソフトに対する統制のことです。エクセルなどの表計算ソフトは業務を効率的に行ううえで欠かせないツールとなっていますが、内部統制の面から見ると「アクセス制限が掛けられない」、「計算式の変更履歴が残らないため改竄が可能」、「ファイルを誤って削除してしまうと元に戻せない」、「監査のエビデンスが無く、スプレッドシートの内容の信頼性が保証できない」などの問題があり、その結果として財務報告の正確性に直接影響を与える可能性があります。

IT分野でのセキュリティー対策が急務

スプレッドシートに対する統制の必要性は、経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」においても、その重要性が指摘されています。

2007年に日本公認会計士協会が公表した「財務報告に係る内部統制の監査に関する実務上の取扱い」において、スプレッドシートは決算・財務報告プロセスで評価すべき対象して取り上げられており、以下の要件が求められています。

  • マクロや計算式などを検証していること
  • 検証が適切になされていない場合は、手計算などの代替手段がとられていること
  • 経理担当者のPCを使う場合、アクセス制御やバックアップなどの対応について検証していること

近年は、ID、パスワードによる認証で、登録されたExcelテンプレートへのアクセス制御を実行したり、登録済みのファイルやレポートを新規に生成されたものと比較し、マクロ、計算式が改竄されていないか自動的にチェックし、バックアップするなど、日本版SOX法における内部統制や金融庁検査で求められる統制環境を実現するためのソフトウェアが多く発売されています。

情報漏洩の防止や事後の信頼回復に重要なデジタルフォレンジック

インターネットの急速な普及に伴い、個人情報や企業秘密に対する不正アクセス被害、あるいは社員による不正な情報の持ち出し、Winnyなどのファイル交換ソフトを介して情報漏洩事件が連日のように新聞やニュースで報道されています。これらの不正や犯罪が起きた場合、企業や組織は被害範囲の迅速な特定、原因の究明が求められます。こうした中、近年注目を浴びているのが「デジタルフォレンジック」です。

デジタルフォレンジックとは、クライアントPCやサーバーを介した犯罪や不正行為に対して行う調査手法や技術のことです。削除されたデータやメールなどの不正や犯罪に関わる重要な情報を復元したり、クライアント捜査ログから、起動アプリケーションやドキュメント操作などの各ログを調査することで、原因を特定します。また、被害を受けた企業や組織が加害者とされてしまう「なりすまし」や「踏み台」などの外部からの不正行為も、フォレンジックの活用により事実関係を明らかにし、潔白を証明することができます。

コンプライアンスの遵守を掲げる企業や官公庁にとって、情報漏洩やデータ改竄などのインシデントの防止はもとより、早急な対応による被害拡大の防止、事後の信頼回復も大切な課題とされている今日、デジタルフォレンジックは今後より一層普及していくと考えられています。

また、日本版SOX法の特徴である「ITへの対応」においても、ITによる内部統制の重要性が強調されています。電子データは改竄が容易なため、日本版SOX法に対応するには記録段階でデータの改竄を防止したり、記録したデータが捏造されたものかどうかを監査するなどのデジタルフォレンジックの活用が必要となります。

シンクライアントで内部統制を強化

情報システム担当者にとって、クライアントPCからの情報漏洩対策は重要な課題となっていますが、近年、この解決策として注目されているのが、アプリケーションやデータをデータセンターで一元管理する「シンクライアント」です。情報の一元管理をデータセンターで行いますので、ハードディスクやCD-ROM等の外部記憶装置は必要ありません。

つまり、PC本体に記録したデータが盗難されたり、社員による不要な持ち出しになどによる情報漏洩を防ぐことができるのです。また、従来はエンドユーザーが実行していたOSのパッチファイルの更新やウイルス・スキャンといった作業も、情報システム部門が一括して適用しますので、「OSの脆弱性が長期間放置される」、「ウイルス・スキャンが定期的に実行されていない」といったこともなくなります。

さらに、既存のPCに差し込むだけで、シンクライアント端末化できるUSB型シンクライアントなら、オフィスだけでなく出先や自宅のPCでも安全に利用することができますし、ノート型PCにおいてもモビリティ性を犠牲にすることなく、高いセキュリティを確保することができます。

CRM(顧客情報管理)システムを利用するコールセンター、従業員の人事情報を管理する人事システムや会計システムなどにアクセスできる部署など、個人情報や機密データを取り扱う部署が、シンクライアントの導入に適しているといえます。

以上のことから、シンクライアントは、情報システム面の特にインフラについての内部統制を指す「IT全般統制」を強化するものとして、その導入を進める企業が一層増加すると考えられています。

XBRLは監査業務の効率化を図る切り札

インターネットにおける画面表示には、「HTML」という言語が使われていますが、「XBRL(拡張版の業務報告言語)」はコンピューター上の共通言語として開発された「XML」という言語を財務・会計事務向けに特化かつ標準化したものです。XBRLは、企業の財務データをソフトウェアやベンダーに依存することなく、標準的に財務報告書を作成、開示、交換、加工ができるようにすることを目的としています。

XBMLはHTMLと異なり、ひとつひとつのデータに、項目の表示順を表すもの、計算式を表すもの、レファレンスを意味するもの等、さまざまに定義づけを行なうことができるので、会計データのさまざまな情報を全てこのXBRLで記録、表現、蓄積することが可能になります。つまり会計・財務に係る一切の業務がこのXBRLをベースに処理することができるのです。

従来は会計監査の際、会計士の要求に応じて、その都度、ファイルを検索して電子情報を印刷しなければならないわずらわしさがありましたが、XBRLはこの監査業務を大幅に効率化することができます。監査以外の分野でも既に利用されており、ディスクロージャや情報共有化の面で威力を発揮しています。

平成20年4月1日移行、金融庁(EDINET)や東京証券取引所(TDnet)に提出する財務諸表データはXBRL化することが義務付けられています。

分野 具体的なメリット
情報公開 財務情報の記述言語として全世界に情報発信できます。
投資家に対して決算情報の早期開示を進めることができます。
ペーパーレスのディスクロージャーや財務報告、諸税申告が可能です。
情報連携 情報加工が可能であるため情報の二重入力が不要となります。
社内外のシステム間の情報連携がスムーズになります。
取引データ、財務データをそのまま税務申告に利用できます。
情報の内部統制 データのライフサイクルの一貫性を容易に把握できます。
監査証跡の把握が容易になります。
監査人への情報提供が容易かつスピーディになります。

XBRLは財務情報における世界共通語という位置づけですので、もっともメリットを享受できるのは決算処理における関係会社との連結処理です。このSOX法関係の対応が義務付けられる企業で子会社を持っていない企業はほとんどないはずです。その子会社との連結決算においてXBRLベースで処理ができる場合の省力化は、SOX法対応の文書化等の作業をするうえで非常に効果を発揮します。子会社に親会社と同じハイコストのERPを導入する必要はないわけです。

XBRLをベースに財務情報を統合管理すると共通の会計基準、統一された財務管理基準の採用が容易になり、全く同じ思想の会計システムを構築することが可能となります。監査業務においても、総勘定元帳から原始データまでの監査証跡の追跡が容易になりますので、大幅な効率化を図ることができます。