監査の状況

E社は、主に製造機械を取り扱う商社で、中堅の上場企業である。部長以下12名の経理部員は、ソフトウェアパッケージを利用した経理システムで対応しきれない部分については、表計算ソフトを活用して業務効率の向上を図っている。

使用している表計算ソフトは、集計機能のほかに関数、マクロ言語によるプログラミング機能、パスワードを用いてセルに対する入力・変更を禁止できるセキュリティ機能などを備えている。表計算ソフトに精通した部員5名が、これらの機能を使用して表計算ファイルを作成している。

E社では、個人用のPC内にファイルを保存しない運用が全社に定着していて、業務用のファイルはすべてファイルサーバ内に格納されている。ファイルは業務ごとに分類されたディレクトリに保管され、使用権限に合わせたアクセス権が設定されている。

財務諸表の重要な勘定科目に影響を与えるおそれのあるデータを取り扱う表計算ファイルについては、表計算ファイルの管理規程が制定されている。この管理規程が制定されて6か月が経過したので、見直しも視野に入れ、その運用状況を確認するために、監査室のF君が経理部の表計算ファイルの管理状態を監査することになった。

監査計画（抜粋）

• 業務に使用する表計算ファイルを新たに作成したり、機能を変更したりする場合、作成者は、部門長が任命した表計算ファイル管理者（以下、管理者という）に事前に申告しなければならない。
• 管理者は、表計算ファイルのうち、その処理結果が財務諸表の重要な勘定科目に影響を与えるものを管理対象とし、勘定科目に与える影響を評価してセキュリティ管理レベル（以下、管理レベルという）を決定する。
• 管理者は、管理対象となる表計算ファイルを表計算ファイル管理簿（以下、管理簿という）に登録し、作成者によって文書化された仕様を保管する。
• 管理者は、表計算ファイルの使用権限をもつ使用者を管理簿に記載する。
• 管理簿には、ファイル名、影響を与える勘定科目、作成者、作成日付、使用者、管理レベルなどを記載する。
• 表計算ファイルの作成者は、指定された管理レベルに応じたセキュリティ対策を講じ、使用者がその表計算ファイルを改ざんできないようにする。
• 管理対象の表計算ファイルについては、管理レベルに応じたバックアップを行う。

表計算ファイルの管理レベルと、各レベルにおいて採るべきセキュリティ対策を表1に示す。

監査の実施

監査計画に従って監査を実施した結果、F君は次の事実を確認した。

経理部では、G課長が管理者に任命され、作成された表計算ファイルを管理対象とするかどうかの判断と管理レベルの決定を任されている。

管理レベルが"高"の表計算ファイルはなく、レベル"中"と"低"がそれぞれ4本ずつ登録されている。ファイルは、すべて経理部のファイルサーバに保管され、毎週金曜日に定期的なバックアップが確実に実施されている。また、管理対象の各表計算ファイルの使用者と、ディレクトリのアクセス権の設定に不整合はない。

経理部のH係長は、ほぼ毎日、データを入力して管理レベル"中"の表計算ファイルを更新している。また、月1回使用される、①管理レベル"低"の表計算ファイルは、ほかの表計算ファイル中の一覧表内の係数を外部データとして参照している。参照先の表計算ファイルは管理対象外であった。

G課長が使用している管理レベル"中"の表計算ファイルは、入力部分以外のセルに対する入力・変更の禁止が設定されていない。G課長自身が作成したもので、登録時には入力・変更を禁止する設定をしていたが、内部処理の変更があったので設定を解除し、再度変更の予定があるので、その後は入力・変更を禁止する設定をせずに使用し続けている。

指摘事項（抜粋）

監査によって判明した事実に基づいて、F君は次の指摘を行った。

• eは定期的に実施されているが、fが使用する表計算ファイルのgに対しては、現在実施されているeでは適切とはいえない。
• 管理対象の表計算ファイルが参照している管理対象外の表計算ファイルの内容が、財務諸表の重要な勘定科目に影響を与えるおそれがある。
• セルに対する②入力・変更の禁止の設定が解除されているものがある。

改善提言（抜粋）

指摘事項について、監査室は次の改善提言を行った。

• 管理対象の表計算ファイルが参照している管理対象外の表計算ファイルも管理対象とすること。
• h