J-SOX、内部統制関連で当初見落としだったのが、スプレッドシートである。企業の中で広く使われている実態を考慮すると、スプレッドシートに関しては「監査の実務上、監査対象とするかどうか判断に迷う」ということで、盛り込まれたそうだ。
スプレッドシートといわれているものの、ほぼExcelのことを指すことは間違いない。
つまり、スプレッドシートに関しても「システムである」という認識であるわけで、当然「説明責任」を負うことになる。
なのにExcelに関してきちんとした方策がとられているのか?属人的であったり、改変が行えたり、と、統制とかけ離れている場合も多いだろう。
更に、Excelの保護に精通している人も少ない。つまり、監査基準にも漏れがないとは言い切れないのではないか?ここは検証してみる必要があるとは思っている。