ตามแนวทางของผู้สอบบัญชี ผู้บริหารควรจัดให้มีการตรวจสอบการใช้สเปรดชีตโดยใช้หน่วยงานตรวจสอบภายใน หน่วยงานประเมินความเสี่ยง หน่วยงานทางระบบข้อมูล ฝ่าย IT หรือหน่วยงานเฉพาะกิจ ซึ่งมีความเชี่ยวชาญในการออกแบบแฟ้มสเปรดชีต เชี่ยวชาญในการใช้สูตรและ VBA เพื่อดำเนินงาน ดังนี้
- ระบุกลุ่มของแฟ้มสเปรดชีตทั้งหมดที่เข้าข่ายต้องตรวจสอบ โดยการสัมภาษณ์ผู้ใช้งาน หรือตรวจสอบขั้นตอนการปฏิบัติงานที่ต้องใช้สเปรดชีต หรือจัดหาโปรแกรมคอมพิวเตอร์มาสแกนหาชื่อแฟ้มที่ใช้งาน
- สอบถามผู้ปฏิบัติงานอย่างไม่เป็นทางการว่ามีแฟ้มสเปรดชีตที่ใช้อะไรบ้าง วิธีนี้เป็นวิธีที่ง่ายและรวดเร็วที่สุดแต่มีโอกาสสูงที่จะไม่ได้รายชื่อแฟ้มทั้งหมดที่ใช้อยู่เนื่องจากเป็นการสอบถามอย่างไม่เป็นทางการ
- สร้างแผนผังการดำเนินงานแล้วทำหมายเหตุไว้หากขั้นตอนนั้นเกี่ยวข้องกับสเปรดชีต วิธีนี้ต้องเสียเวลามาก แต่ให้ข้อมูลที่ละเอียดกว่าการสอบถามและยังมีความเสี่ยงว่ายังไม่สามารถรวบรวมชื่อสเปรดชีตครบทั้งหมด
- ใช้โปรแกรมคอมพิวเตอร์ค้นหารายชื่อแฟ้มสเปรดชีตผ่านระบบเน็ตเวิร์คและแต่ละเครื่องคอมพิวเตอร์ที่มีอยู่ วิธีนี้ให้ข้อมูลที่ละเอียดที่สุดแต่ยังขาดแฟ้มที่จัดเก็บไว้ในสื่ออื่นๆ เช่น FlashDrive หรือบนระบบอินเตอร์เน็ต
- รวบรวมรายละเอียดของแฟ้ม
- ชื่อแฟ้มและขนาดแฟ้ม
- ชื่อเจ้าของแฟ้มและชื่อผู้สร้างแฟ้ม
- ชื่อผู้ใช้แฟ้ม
- หน้าที่ของแฟ้มใช้สำหรับอะไร
- แฟ้มเกี่ยวข้องกับด้านการเงินหรือการปฏิบัติงานทั่วไป (พบว่ากว่าร้อยละ 70 ของบริษัทใช้สเปรดชีตในงานที่สำคัญของธุรกิจ)
- ขนาดของมูลค่าเงินหรือปริมาณงาน
- ระดับความลับของข้อมูลในแฟ้ม
- ระดับความอ่อนไหว (sensitive) ของข้อมูล
- กำหนดระดับความเสี่ยงให้กับแฟ้ม ตามระดับความซับซ้อนและความสำคัญ
ความซับซ้อน (complexity) เกี่ยวข้องการระดับความยากง่ายในการคำนวณจากการใช้งานง่ายๆเพื่อแสดงข้อมูลเฉยๆไปจนถึงขั้นยากซึ่งใช้เครื่องมือระดับสูงช่วยในการคำนวณ เช่น ใช้ macro หรือ pivot table หรือมีการลิงค์ข้อมูลข้ามแฟ้ม หรือลิงค์มาจากโปรแกรมอื่นหรือเว็บ
ความสำคัญ (magnitude) ตามมูลค่าของเงินหรือปริมาณทางการปฏิบัติงาน เช่น ปริมาณสินค้าหรือวัตถุดิบ หรือแบ่งตามระดับความเสียหายหากเกิดขึ้น เช่น เกิดความเสียหายต่อประเทศและสาธารณชน ละเมิดกฎเกณฑ์ เสียหายต่อการดำเนินธุรกิจ เสียหายต่อการปฏิบัติงานและความรับผิดชอบของบุคคลที่ใช้
นอกจากนี้สามารถกำหนดระดับความเสี่ยงตามความถี่ที่ใช้แฟ้มว่าใช้เป็นประจำหรือไม่บ่อยนัก หรือเป็นแฟ้มที่ใช้คนเดียวหรือใช้ร่วมกันหลายคนหลายหน่วยงาน แม้มูลค่าตามตัวเงินจะไม่สูงแต่เมื่อต้องนำมาใช้บ่อยๆหรือใช้ร่วมกันหลายหน่วยงานย่อมก่อให้เกิดผลเสียหายได้มากขึ้น อีกทั้งประเมินความเสี่ยงจากประวัติของแฟ้มว่าผู้สร้างแฟ้มมีพื้นฐาน Excel ขนาดไหน เข้าใจหลักการออกแบบสเปรดชีตหรือไม่ และเคยมีการทดสอบมากน้อยเพียงใดก่อนที่จะนำแฟ้มมาใช้งาน อย่างไรก็ตามแม้ผู้สร้างแฟ้มมั่นใจร้อยเปอร์เซ็นต์ว่าแฟ้มของตนถูกต้องแน่นอน แต่จากการวิจัยพบว่าหากใช้คนหลายคนช่วยกันตรวจสอบจะพบว่าในแฟ้มสเปรดชีตมีสิ่งผิดพลาดอยู่อีก - ตรวจสอบเงื่อนไขการใช้แต่ละแฟ้ม นำตารางข้อมูลในแฟ้มตรวจสอบกับฐานข้อมูลต้นทางว่าถูกต้องตรงกันหรือไม่ และทดสอบสูตรคำนวณว่าถูกต้องตรงตามเจตนาของผู้บริหารหรือไม่
- ประเมินนโยบายและขั้นตอนการใช้แฟ้มว่ามีระบบการควบคุมและตรวจสอบความถูกต้องเรื่อยไปตราบเท่าที่ยังใช้งานอยู่
- เมื่อมีการแก้ไขเปลี่ยนแปลงในแฟ้ม ต้องมีตัวชี้ให้เห็นว่าต่างจากเดิมแล้ว เช่น ตั้งชื่อแฟ้มให้ต่างไปจากเดิมหรือทำหมายเหตุ (comment) ไว้ที่เซลล์
- การแก้ไขได้รับการตรวจสอบและอนุมัติแล้วโดยบุคคลอื่นซึ่งไม่ได้เป็นผู้แก้ไข
- ควรเก็บแฟ้มไว้ในระบบ server เพื่อควบคุมตัวผู้ใช้งาน
- มีการทำสำรองข้อมูลไว้เป็นประจำและแยกเก็บแฟ้มสำรองไว้ต่างหาก
- ตัวแฟ้มมีรหัสป้องกันการเปิดแฟ้มและมีระบบป้องกันผู้อื่นที่ไม่เกี่ยวข้องให้เข้าไม่ถึงตัวแฟ้ม
- ตารางคำนวณหรือเซลล์สูตรมีรหัสป้องกันไม่ให้มีการแก้ไข
