主張・講演エンドユーザ・コンピューティング(EUC)の光と影

ユーザの過度自作愛好症

ローカルな業務をエンドユーザが情報検索系システムを利用したり、Excelなどでシステム化したりするのは、非常に望ましいことですが、留意しなければならないこともあります。

ブラックボックスになる危険

エンドユーザが作成したシステムには非常に便利なものがあります。しかし、エンドユーザは自分だけが使うことを前提にしていますので、仕様書を作成することは思ってもいませんし、ロジックの不備をデータ入力の工夫でカバーしていることもあります。また、長年改良を重ねている間に複雑になり、自分でも処理ロジックがわからないような状況になっていることもあります。

自分だけが使っているのであれば、それでもよいのでしょうが、人事異動があります。業務に適したシステムなので新任者もこれを必要とします。前任者は、このシステムの使い方は説明しましたが、内部ロジックは自分でもよくわからないので説明をしません。そのうちに、このシステムの変更が必要になりましたが、新任者は手がつけられません。IT部門に依頼をしても新規に開発したほうがよいといいます。
 このようなケースはよくあることです。ある程度の規模になったローカルシステムをどのように管理するか、利用部門とIT部門で相談することが大切です。

内部統制への対処

日本版SOX法により、財務報告に関する内部統制が義務になっており、財務に関係するシステムが機密性や完全性などリスク対策が適切に行われていることを要求しています。
 それで、エンドユーザが作成したシステムが、基幹業務系システムの入力データに直結したり、基幹業務系システムのデータを直接使って会計的な帳票を作成したりすることは、禁止するのが適切です。
 経済産業省「システム管理基準 追補版」では、Excel や Access など(以下「表計算ソフト」という)を用いた(特にマクロを用いた)EUCによる処理について、リスク対策を講じるように求めています。現実には、このようなシステムは膨大であり、IT部門どころか利用部門すら正確に把握していないし、処理の内容がわからないものも多くあり、「レガシーExcel問題」ともいわれてます。

そのため、現行の情報検索系システムや表計算ソフトによる処理をすべて廃棄し、基幹業務系システムとして再構築する動きがあります。なかには拡大解釈して、情報検索系システムや表計算ソフトの利用まで消極的になっていることすらあります。それではIT活用の効果が大きく低減してしまいます。

当然ながら、内部統制の対象になるのは、財務報告にかかわるものに限定されています。EUCに関係するのは、次の3つになります。

1 公式な財務関係書類の作成
 財務諸表や請求書に関係するデータをEUCで作成したり、基幹業務系システムで処理したデータからEUCで財務諸表や請求書に加工したりするのは、その間でリスクが生じるので基幹業務系システムとして扱うべきである。
2 財務に関係するデータの前処理
 例えば、売上や購入の実績をスプレッドシートに記録しておき、それから基幹業務系システムに自動的に入力するようなシステムは対象になる。そのスプレッドシートの記録に関するリスクが存在するからである。この典型的なシステムに、起票→承認→基幹業務系システムへの入力を行うワークフロー管理システムがある。
3 財務に関係するルール
 例えば、販売費や一般管理費の製品への配賦をする基準を作成し、それにより配賦計算をする処理は、財務に密着するので、基幹業務系システムとして取り扱う必要がある。

情報検索系システムのファイル分離をせよ

逆に、これ以外のことは対象外です。例えば、今期末の予想財務諸表を作成して、販売が増大したら、価格が下落したらどうなるかといったシミュレーションをするシステムや、配賦基準を決定するために、多様な仮基準を用いて計算してみて、どれが最も適切であるかを検討するシステムは対象外になります。また、得意先を何らかの基準でグループ化し、得意先区分コードを設定して、そのコードを用いて、売上や利益の構成比をみるというような、財務報告に関係がない意思決定のための資料作成処理も対象外です。

すなわち、次の2原則を厳格に行うことにより、内部統制の対象となるシステムやデータを小規模に局所化できます。

  1. 基幹業務系システムのファイルと情報検索系システムのファイルを分離し、財務に関係する公式帳票は、すべて基幹業務系システムのファイルから基幹業務系システムにより出力すること。
  2. 情報検索系システムは基幹業務系システムのファイルにアクセスできない。基幹業務系システムのファイルから情報検索系システムのファイルにデータを転送するのは自由だが、情報検索系システムのファイルから基幹業務系システムのファイルへ転送することはできない。

この2原則は、内部統制以外にも大きな効果があります。

  1. 情報検索系システムのファイルが過失あるいは故意により破壊や改ざんなどのトラブルが生じても、社外への責任は生じない(機密漏洩の問題はあるが)。トラブルが生じたら、基幹業務系システムから比較的容易に復旧できる。
  2. そもそも、基幹業務系システムのファイルは、修正履歴データが含まれていたり、配賦計算が財務会計にしばられていて意思決定用途に不向きだったりする。システム間のコード体系が異なるため連携が面倒なこともある。情報検索系システムでは、小さな数値のもとはまとめて「その他」とすることにより、データ量を小さくして処理効率向上を図ることも必要である。
  3. 基幹業務系システムの対象分野は、内部統制や企業会計基準の改正などがあるにせよ、比較的少ないし緩やかである。それに対して、内部の意思決定などのための要求、すなわち情報検索系システムの分野での要求は、非常に多く迅速な対応が求められる。その観点からも分離して運営することが重要なのである。