สืบเนื่องจากกฎ SOX ผู้สอบบัญชีต้องแสดงความเห็นรับรองในรายงานทางการเงินประจำปีด้วยว่าบริษัทมีระบบควบคุมภายในที่มีประสิทธิภาพหรือไม่ ผู้สอบบัญชีจึงนำเสนอแนวทางการจัดระบบการใช้ Excel หรือสเปรดชีต ซึ่งองค์กรควรนำไปดัดแปลงให้เหมาะสมกับกิจการของตน กล่าวคือ
ผู้บริหารระดับสูงและคณะกรรมการบริหารต้องเป็นผู้รับผิดชอบต่อความมีประสิทธิผลของระบบควบคุมภายในเพื่อจัดการกับความเสี่ยงทุกประเภทขององค์กรรวมทั้งความเสี่ยงจากสเปรดชีต โดยต้องเข้าใจในความหมายของความเสี่ยง ตระหนักในความสำคัญและความรุนแรงของความเสี่ยง รับรู้ถึงตัวบุคคลที่กำลังจัดการกับความเสี่ยง และกำหนดวิธีการที่จะจัดการกับความเสี่ยงให้อยู่ในระดับที่พอรับได้ โดยดำเนินการดังนี้
- จัดให้มีนโยบายและดำรงไว้ซึ่งระบบการควบคุมภายในที่เพียงพอตลอดรอบระยะเวลาที่ออกรายงานทางการเงิน
- จัดให้มีคณะกรรมการตรวจสอบที่เป็นอิสระและมีหน้าที่จัดทำรายงานกำกับดูแลกิจการ โดยเปิดเผยในรายงานประจำปี
- ประเมินความมีประสิทธิผลของระบบควบคุมภายในโดยใช้หลักเกณฑ์ที่เหมาะสม
- สนับสนุนผลการประเมินด้วยหลักฐานอย่างเพียงพอ
- สอบทานการควบคุมภายในและการปฏิบัติตามกฎของบริษัทให้มีประสิทธิผล
- ยืนยันประสิทธิผลของระบบการควบคุมภายในอย่างเป็นลายลักษณ์อักษรในการรายงานของผู้สอบบัญชีและหนังสือรับรองของผู้บริหารต่อผู้สอบบัญชี
- รายงานจุดอ่อนและการปฏิบัติตามระบบ โดยถือเป็นส่วนหนึ่งของรายงานประจำปี
แม้ฝ่าย IT มีหน้าที่จัดซื้อจัดหาโปรแกรมสเปรดชีตและเตรียมเครื่องมืออื่นเพื่อให้ใช้สเปรดชีตได้ก็ตาม แต่ฝ่าย IT ไม่สามารถรับผิดชอบในการจัดการกับความเสี่ยงของสเปรดชีตที่ใช้อยู่ของพนักงานแต่ละคน เจ้าของแฟ้มสเปรดชีตต้องรับรู้ถึงปัญหาความเสี่ยงของสเปรดชีตที่อาจจะเกิดขึ้นและต้องรับผิดชอบเป็นตัวหลักเพราะตัวเองเป็นผู้ออกแบบ ทดสอบ และนำมาใช้
เมื่อเกิดความเสียหายขึ้น ต้องกำหนดตัวเงินที่ผู้ที่เกี่ยวข้องต้องรับผิดชอบ เช่น ผู้สร้างแฟ้มรับผิดชอบในวงเงินไม่เกินกว่า 100,000 บาท ถ้ามีความเสียหายมากกว่านั้นให้หัวหน้าระดับถัดไปแบ่งความรับผิดชอบ แต่วิธีนี้มักทำให้ผู้สร้างแฟ้มประเมินความเสี่ยงต่ำไว้ก่อนเสมอจึงควรให้ฝ่ายควบคุมภายในร่วมในการประเมินความเสี่ยงและกำหนดวงเงิน
