เคยสงสัยกันบ้างไหมว่า แฟ้ม Excel ที่คุณใช้หรือสร้างขึ้นมากับมือนั้น คุณมั่นใจว่าถูกต้อง 100 เปอร์เซ็นต์หรือเปล่า ถ้ามั่นใจเต็มร้อยก็ต้องถามต่อไปอีกว่าแล้วทราบได้อย่างไรว่าไม่มีความผิดพลาดเลย ใช้วิธีการอะไรหรือจึงตอบออกมาอย่างมั่นใจได้เช่นนั้น เป็นไปได้แค่ไหนว่าในอนาคตจะยังคงความถูกต้องเช่นเดิมตลอดไป
วิธีการที่หลายคนใช้ดูว่าถูกต้องหรือไม่ก็มักจำกัดอยู่แค่การดู เมื่อดูเพียงแค่ผลลัพธ์ที่คำนวณออกมาได้ตรงกับคำตอบที่คาดหวังไว้จึงมั่นใจว่าถูกต้องแล้ว แต่ถ้าเป็นการคำนวณที่ซับซ้อนและไม่มีข้อมูลคำตอบที่ถูกต้องที่ทราบมาก่อนไว้เทียบล่ะ จะยืนยันได้อย่างไรว่าถูกต้องจริง
ที่น่าห่วงกว่านั้นหากใช้ Excel ถึงขั้นหาคำตอบที่บอกให้ตัดสินใจ เช่น สร้างสูตรให้แสดงประโยคออกมาให้เห็นชัดเจนว่า ลงทุนหรือไม่ลงทุน หรือกำหนดให้เซลล์เปลี่ยนเป็นสีเขียวเมื่อลูกค้าผ่อนเงินค่างวดหมดแล้ว แต่ตัวเลขที่แสดงคำตอบขึ้นมาให้ดูนั้นบอกว่าจ่ายชำระค่างวดครบเพราะยอดหนี้คงเหลือเท่ากับ 0 แต่สีในเซลล์ยังไม่ยอมเปลี่ยนเป็นสีเขียว ผู้ที่สร้างแฟ้มแล้วเกิดปัญหาแบบนี้เคยทราบหรือไม่ว่า ความเพี้ยนเช่นนี้เป็นพฤติกรรมปกติของ Excel ซึ่งผู้ที่ใช้ Excel โดยเฉพาะในงานวางแผนและตัดสินใจต้องทราบที่ไปที่มาเพื่อหาทางป้องกันไว้ก่อน
วิธีจัดการกับความเสี่ยงของสเปรดชีต
ตามแนวทางของผู้สอบบัญชีในอเมริกา ผู้บริหารควรจัดให้มีการตรวจสอบการใช้สเปรดชีตโดยใช้หน่วยงานตรวจสอบภายใน หน่วยงานประเมินความเสี่ยง หน่วยงานทางระบบข้อมูล ฝ่าย IT หรือหน่วยงานเฉพาะกิจ ซึ่งมีความเชี่ยวชาญในการออกแบบแฟ้มสเปรดชีต เชี่ยวชาญในการใช้สูตรและ VBA เพื่อดำเนินงาน ดังนี้
1. ระบุกลุ่มของแฟ้มสเปรดชีตทั้งหมดที่เข้าข่ายต้องตรวจสอบ โดยการสัมภาษณ์ผู้ใช้งาน หรือตรวจสอบขั้นตอนการปฏิบัติงานที่ต้องใช้สเปรดชีต หรือจัดหาโปรแกรมคอมพิวเตอร์มาสแกนหาชื่อแฟ้มที่ใช้งาน
1.1. สอบถามผู้ปฏิบัติงานอย่างไม่เป็นทางการว่ามีแฟ้มสเปรดชีตที่ใช้อะไรบ้าง วิธีนี้เป็นวิธีที่ง่ายและรวดเร็วที่สุดแต่มีโอกาสสูงที่จะไม่ได้รายชื่อแฟ้มทั้งหมดที่ใช้อยู่เนื่องจากเป็นการสอบถามอย่างไม่เป็นทางการ
1.2. สร้างแผนผังการดำเนินงานแล้วทำหมายเหตุไว้หากขั้นตอนนั้นเกี่ยวข้องกับสเปรดชีต วิธีนี้ต้องเสียเวลามาก แต่ให้ข้อมูลที่ละเอียดกว่าการสอบถามและยังมีความเสี่ยงว่ายังไม่สามารถรวบรวมชื่อสเปรดชีตครบทั้งหมด
1.3. ใช้โปรแกรมคอมพิวเตอร์ค้นหารายชื่อแฟ้มสเปรดชีตผ่านระบบเน็ตเวิร์คและแต่ละเครื่องคอมพิวเตอร์ที่มีอยู่ วิธีนี้ให้ข้อมูลที่ละเอียดที่สุดแต่ยังขาดแฟ้มที่จัดเก็บไว้ในสื่ออื่นๆ เช่น FlashDrive หรือบนระบบอินเตอร์เน็ต
2. รวบรวมรายละเอียดของแฟ้ม
2.1. ชื่อแฟ้มและขนาดแฟ้ม
2.2. ชื่อเจ้าของแฟ้มและชื่อผู้สร้างแฟ้ม
2.3. ชื่อผู้ใช้แฟ้ม
2.4. หน้าที่ของแฟ้มใช้สำหรับอะไร
2.5. แฟ้มเกี่ยวข้องกับด้านการเงินหรือการปฏิบัติงานทั่วไป
(พบว่ากว่าร้อยละ 70 ของบริษัทใช้สเปรดชีตในงานที่สำคัญของธุรกิจ)
2.6. ขนาดของมูลค่าเงินหรือปริมาณงาน
2.7. ระดับความลับของข้อมูลในแฟ้ม
2.8. ระดับความอ่อนไหว (sensitive) ของข้อมูล
3. กำหนดระดับความเสี่ยงให้กับแฟ้ม ตามระดับความซับซ้อนและความสำคัญ
ความซับซ้อน (complexity) เกี่ยวข้องการระดับความยากง่ายในการคำนวณจากการใช้งานง่ายๆเพื่อแสดงข้อมูลเฉยๆไปจนถึงขั้นยากซึ่งใช้เครื่องมือระดับสูงช่วยในการคำนวณ เช่น ใช้ macro หรือ pivot table หรือมีการลิงค์ข้อมูลข้ามแฟ้ม หรือลิงค์มาจากโปรแกรมอื่นหรือเว็บ
ความสำคัญ (magnitude) ตามมูลค่าของเงินหรือปริมาณทางการปฏิบัติงาน เช่น ปริมาณสินค้าหรือวัตถุดิบ หรือแบ่งตามระดับความเสียหายหากเกิดขึ้น เช่น เกิดความเสียหายต่อประเทศและสาธารณชน ละเมิดกฎเกณฑ์ เสียหายต่อการดำเนินธุรกิจ เสียหายต่อการปฏิบัติงานและความรับผิดชอบของบุคคลที่ใช้
นอกจากนี้สามารถกำหนดระดับความเสี่ยงตามความถี่ที่ใช้แฟ้มว่าใช้เป็นประจำหรือไม่บ่อยนัก หรือเป็นแฟ้มที่ใช้คนเดียวหรือใช้ร่วมกันหลายคนหลายหน่วยงาน แม้มูลค่าตามตัวเงินจะไม่สูงแต่เมื่อต้องนำมาใช้บ่อยๆหรือใช้ร่วมกันหลายหน่วยงานย่อมก่อให้เกิดผลเสียหายได้มากขึ้น อีกทั้งประเมินความเสี่ยงจากประวัติของแฟ้มว่าผู้สร้างแฟ้มมีพื้นฐาน Excel ขนาดไหน เข้าใจหลักการออกแบบสเปรดชีตหรือไม่ และเคยมีการทดสอบมากน้อยเพียงใดก่อนที่จะนำแฟ้มมาใช้งาน อย่างไรก็ตามแม้ผู้สร้างแฟ้มมั่นใจร้อยเปอร์เซ็นต์ว่าแฟ้มของตนถูกต้องแน่นอน แต่จากการวิจัยพบว่าหากใช้คนหลายคนช่วยกันตรวจสอบจะพบว่าในแฟ้มสเปรดชีตมีสิ่งผิดพลาดอยู่อีก
4. ตรวจสอบเงื่อนไขการใช้แต่ละแฟ้ม นำตารางข้อมูลในแฟ้มตรวจสอบกับฐานข้อมูลต้นทางว่าถูกต้องตรงกันหรือไม่ และทดสอบสูตรคำนวณว่าถูกต้องตรงตามเจตนาของผู้บริหารหรือไม่
5. ประเมินนโยบายและขั้นตอนการใช้แฟ้มว่ามีระบบการควบคุมและตรวจสอบความถูกต้องเรื่อยไปตราบเท่าที่ยังใช้งานอยู่
5.1. เมื่อมีการแก้ไขเปลี่ยนแปลงในแฟ้ม ต้องมีตัวชี้ให้เห็นว่าต่างจากเดิมแล้ว เช่น ตั้งชื่อแฟ้มให้ต่างไปจากเดิมหรือทำหมายเหตุ (comment) ไว้ที่เซลล์
5.2. การแก้ไขได้รับการตรวจสอบและอนุมัติแล้วโดยบุคคลอื่นซึ่งไม่ได้เป็นผู้แก้ไข
5.3. ควรเก็บแฟ้มไว้ในระบบ server เพื่อควบคุมตัวผู้ใช้งาน
5.4. มีการทำสำรองข้อมูลไว้เป็นประจำและแยกเก็บแฟ้มสำรองไว้ต่างหาก
5.5. ตัวแฟ้มมีรหัสป้องกันการเปิดแฟ้มและมีระบบป้องกันผู้อื่นที่ไม่เกี่ยวข้องให้เข้าไม่ถึงตัวแฟ้ม
5.6. ตารางคำนวณหรือเซลล์สูตรมีรหัสป้องกันไม่ให้มีการแก้ไข
