主張・講演> エンドユーザ・コンピューティング(EUC)の光と影
ローカルな業務をエンドユーザが情報検索系システムを利用したり、Excelなどでシステム化したりするのは、非常に望ましいことですが、留意しなければならないこともあります。
エンドユーザが作成したシステムには非常に便利なものがあります。しかし、エンドユーザは自分だけが使うことを前提にしていますので、仕様書を作成することは思ってもいませんし、ロジックの不備をデータ入力の工夫でカバーしていることもあります。また、長年改良を重ねている間に複雑になり、自分でも処理ロジックがわからないような状況になっていることもあります。
自分だけが使っているのであれば、それでもよいのでしょうが、人事異動があります。業務に適したシステムなので新任者もこれを必要とします。前任者は、このシステムの使い方は説明しましたが、内部ロジックは自分でもよくわからないので説明をしません。そのうちに、このシステムの変更が必要になりましたが、新任者は手がつけられません。IT部門に依頼をしても新規に開発したほうがよいといいます。
このようなケースはよくあることです。ある程度の規模になったローカルシステムをどのように管理するか、利用部門とIT部門で相談することが大切です。
日本版SOX法により、財務報告に関する内部統制が義務になっており、財務に関係するシステムが機密性や完全性などリスク対策が適切に行われていることを要求しています。
それで、エンドユーザが作成したシステムが、基幹業務系システムの入力データに直結したり、基幹業務系システムのデータを直接使って会計的な帳票を作成したりすることは、禁止するのが適切です。
経済産業省「システム管理基準 追補版」では、Excel や Access など(以下「表計算ソフト」という)を用いた(特にマクロを用いた)EUCによる処理について、リスク対策を講じるように求めています。現実には、このようなシステムは膨大であり、IT部門どころか利用部門すら正確に把握していないし、処理の内容がわからないものも多くあり、「レガシーExcel問題」ともいわれてます。
そのため、現行の情報検索系システムや表計算ソフトによる処理をすべて廃棄し、基幹業務系システムとして再構築する動きがあります。なかには拡大解釈して、情報検索系システムや表計算ソフトの利用まで消極的になっていることすらあります。それではIT活用の効果が大きく低減してしまいます。
当然ながら、内部統制の対象になるのは、財務報告にかかわるものに限定されています。EUCに関係するのは、次の3つになります。
逆に、これ以外のことは対象外です。例えば、今期末の予想財務諸表を作成して、販売が増大したら、価格が下落したらどうなるかといったシミュレーションをするシステムや、配賦基準を決定するために、多様な仮基準を用いて計算してみて、どれが最も適切であるかを検討するシステムは対象外になります。また、得意先を何らかの基準でグループ化し、得意先区分コードを設定して、そのコードを用いて、売上や利益の構成比をみるというような、財務報告に関係がない意思決定のための資料作成処理も対象外です。
すなわち、次の2原則を厳格に行うことにより、内部統制の対象となるシステムやデータを小規模に局所化できます。
この2原則は、内部統制以外にも大きな効果があります。