現場の知恵生かすツールにも内部統制の網

マクロやスクリプト言語を使って現場がアプリケーションを開発し、業務効率を高める――。そんなExcelやAccess、Lotus/Notesなどが持つ簡易開発の仕組みが自由に使えなくなるかもしれない。日本版SOX法への対応では、Excelなどで開発したシステムも統制の対象になるからだ。現場の生産性向上と内部統制の両立に向けた工夫が必要になる。

 「現場で使っているExcelも内部統制の対象になると聞き、急いで対応を進めている。対象になるExcelの漏れがないように、すべての事業部が業務で使っているExcelファイルをすべて洗い出し、精査した」。建機大手コマツでITに関する内部統制を推進する大森良雄主査はこう語る。

 コマツは現在、米SOX法に対応するために、社内ITの内部統制の確立を進めている最中。基幹システムを統制するための文書化を先行させていたが、SOX法対応のコンサルタントから次のように指摘されたのだ。「財務報告に関連する仕組みであれば、ExcelやAccess、Lotus/Notesなどを使って利用部門が開発したシステムやファイルも統制の対象となる」と。現場でExcelを多数利用していたコマツは、重点的に調査する必要に駆られた。

確からしさの証明が必要

 Excelのマクロが、社内のどこで使われているかをすべて把握するのは容易ではない。コマツはまず、Excelファイルを棚卸しするために、マクロと他のファイルを参照するファイル・リンクの機能を使っているExcelを、ツールを利用して自動抽出した。

 ツール自体はExcelのプログラム。コンサルティング企業のプロティビティがコンサルの一環としてコマツ向けに作成した。このツールを、ユーザー部門で業務プロセスを主管している「プロセス・オーナー」に配布し、その結果を集めた。

 コマツ全体では、「少なくとも1万は下回らない」(大森主査)だけのExcelファイルを調査。その中から、どのExcelファイルが財務報告に関係するのかを一つひとつ確認した。

 統制の対象となるかどうかは、そのExcelファイルが、「どれだけ複雑な機能を使っているか」と「財務報告にどの程度関係するか」を基準にした(図1)。基準の策定には、プロティビティから助言を得た上で、その基準による統制で問題ないことを、あずさ監査法人から了承を得た。その結果、約170のExcelファイルが内部統制の対象になった。

図1●コマツが内部統制強化で採用した、スプレッドシート統制の基準と棚卸しツールの画面例
図1●コマツが内部統制強化で採用した、スプレッドシート統制の基準と棚卸しツールの画面例
[画像のクリックで拡大表示]

 コマツだけではない。企業のSOX法対応状況に詳しいベリングポイントの新井聡マネージング ディレクターによると、「基幹系システムだけでなく、Excelなども統制の対象になることはあまり知られていない。その必要性を聞き、驚く企業が多い」という。

 日本版SOX法への対応に向け統制が必要なExcelファイルは、財務報告にかかわるもの。具体的には、貸倒引当金の計算、販売費および一般管理費(販管費)の自動配分、税金の計算、労務費の調整など、会計システムに入力するためのデータの前処理用途に利用されている(図2)。会計システムから必要なデータをいったんExcelなどに取り込み、Excelのマクロなどで計算した後に再度、会計システムにその結果を入力するといった使い方だ。

図2●SOX法対応において注意が必要なExcelマクロの例
図2●SOX法対応において注意が必要なExcelマクロの例
[画像のクリックで拡大表示]

 こうしたExcelファイルで実行しているマクロ処理は、本来重要な計算であるにもかかわらず、企業独特の処理だったり、変更頻度が高かったりを理由に、会計システムに盛り込めていない機能が中心である。それだけに、「経理部では特に、Excelが随所で利用されている」(アビームコンサルティングの永井孝一郎プリンシパル)。

 SOX法対応においてExcelファイルが問題になるのは、マクロには、それを開発した担当者でなければ説明できないロジックが隠れているためだ。例えば、貸倒引当金の計算であれば、その企業の倒産リスクを見込んだ係数をどうやって決めたのか。販管費の計算なら、原価計上する割合はなぜその割合なのかといった点である。

 しかも、そのロジックの正しさが検証されていないことが少なくない。アビームの永井プリンシパルは、「数年前の在籍者が作ったExcelのマクロを、今の契約社員が意味も分からず利用している、というケースが多い。そのマクロを検証すると間違いが含まれていたこともある」と明かす。

“Excelの達人”もリスク

 特に、「経理部に、“Excelの達人”がいるような場合はさらに注意が必要」(アビームの永井プリンシパル)になる。“達人”が作ったマクロには、経理の専門知識が含まれている。システム部門の担当者に会計知識がなければ、その正確性を一目で判断することは難しい。

 Excelが算出した数字がそのまま財務報告にかかわるのに、担当者一人しか分からないロジックがあると、不正や間違いが起こるリスクが高い。担当者が悪意を持って係数を操作したりすることも可能になる。こうした事態をSOX法は許さない。

 では、SOX法に対応するためには、Excelをどう統制すればよいのだろうか。基本的には、「一般的な情報システムが求められるのと同じ対策が必要になる」(プロティビティの安藤徹也アソシエイトディレクター)。

 一般に、SOX法対応におけるIT統制には、システムを開発・運用する過程で誤りが起きないように手順を整える「IT全般統制」と、システムの処理内容の正しさを証明するための仕組みを整える「IT業務処理統制」がある。

 前者では、不正が起きにくいように、システムの開発者と運用者を明確に分けたり、システムの開発/運用手順をマニュアルとして文書化したりする必要がある。後者では、アプリケーションに不正や間違いを起こしにくいような機能を持たせなければならない。具体的には、認可された担当者しかアクセスできないようにするアクセス管理や、入力チェックの機能などだ。

 こうした統制を、Excelにも適用する。例えば、あるExcelファイルで実施している処理が正しいことを証明するためには、その処理の内容を示した文書・マニュアルを作成する必要がある。その上で、アクセス管理を実施し、権限のある人でなければExcelファイルを利用できないようにしたり、マクロを変更したことを記録に残したりする。

 マクロ変更時には、変更後も正しい結果が得られるということが証明できるように第三者のチェックを経る、などの手順を整備する必要もある。