EUC(エンド・ユーザー・コンピューティング)とは、情報システム部門ではなく、システムを利用して業務を行うユーザー部門が、システムの構築や運用、管理に直接的に関与するデータ処理形態やシステム等をいいます。
EUCの代表的なものとしてスプレッドシートが挙げられますが、もしユーザー部門で構築・利用されているスプレッドシートが財務報告の信頼性に影響を与え得るものであれば、それらにも統制が必要になります。
この記事では、EUC(エンド・ユーザー・コンピューティング)に対するリスクや統制について簡単にまとめました。
EUC(エンド・ユーザー・コンピューティング)とは
EUCとは、冒頭のとおり、情報システム部門ではなく、実際にシステムを利用するユーザー部門(経理部門等)が業務効率化のために、システムの構築や運用、管理に直接的に関与するデータ処理形態やシステム等をいいます。
よく見られるEUCの例としては、Excel等のスプレッドシートやAccess等のデータベースソフト、Microsoft Power Automate等のPRA(ロボティック・プロセス・オートメーション)があります。
特にスプレッドシート(数値データの計算・集計・分析・加工等に利用される計算シート)は様々な局面で多用されています。
<スプレッドシートの利用例>
- 業務システムから出力したデータをスプレッドシートで加工して、会計システムにアップロードする
- 子会社において会計システムから財務データをダウンロードし、そのデータを利用してスプレッドシートで連結決算用のデータを作成し、親会社に送付する
- スプレッドシートにあらかじめ組み込んだ計算式により、貸倒引当金を算定する
これより以下の記述においては、スプレッドシートの利用による財務情報の作成・管理等を想定してEUCのリスクと統制について説明します。
スプレッドシートの特徴
EUCの代表例であるスプレッドシートは、ユーザーが自由に作成・加工ができるため、業務の現場でそれぞれの状況に合わせた多様なやり方で利用されています。
ただし、使い勝手が良い分、ユーザーの管理意識に委ねられる部分が多いため、組織的な管理基準が定まっていない場合が多く、不正やミスが入り込みやすくなります。
もしスプレッドシートで作成される情報が財務報告の信頼性に重要な影響を与えるものであれば、当然ながらスプレッドシートの利用においても統制が必要になります。
統制については、IT全般統制やIT業務処理統制と大差はありませんが、スプレッドシート特有のリスクを考慮してIT統制を整備・運用することが重要です。
スプレッドシートのリスク
スプレッドシートを利用するにあたり、財務報告の虚偽記載リスクを大別すると以下の2つが挙げられます。
- データ処理が正しく行われないリスク
- 適切なデータや手続の記録が残されないリスク
データ処理が正しく行われないリスク
- スプレッドシートに使用されている計算式やマクロに誤りがあり、正確でない処理結果が利用・保管される
- スプレッドシートの内容が改ざんされ、不適正な処理結果が利用・保管される
適切なデータや手続の記録が残されないリスク
- スプレッドシートのプログラム内容が文書として記録されず、属人化やブラックボックス化する
- 一つの処理について複数のスプレッドシートが保管され、最終的な処理結果が不明になり、正確性等の検証ができなくなる
- スプレッドシートを誤って消失させてしまう
スプレッドシートの統制の検討ポイント
スプレッドシートの統制の整備・運用を検討するにあたり、主に以下のようなポイントがあります。
- 統制が必要なスプレッドシートの識別
- スプレッドシートの複雑性
統制が必要なスプレッドシートの識別
すべてのスプレッドシートに統制の整備が必要なわけではなく、財務報告に利用される情報の構成に関連するスプレッドシートが管理される対象となります。
管理すべきスプレッドシートの一覧表等を作成し、管理者や利用者、バージョン情報等を記載します。
また、あわせてファイルのネーミングや保管等のルールを定め、周知しておくことも重要です。
スプレッドシートの複雑性
スプレッドシートの統制の整備を検討する際に、スプレッドシートの複雑性を確認する必要があります。
スプレッドシートに複雑な計算式やマクロが数多く利用されていると、自動的な処理の設定に誤りや不正があったとしても、見過されるリスクが高くなるためです。
複雑性の高いスプレッドシートには、処理内容の明確化や、処理結果の正確性等の検証等、より多くの統制の検討が求められます。
スプレッドシートの統制項目
スプレッドシートにおいても、当然のことながら、データの完全性、正確性、正当性が確保されなければなりません。
そのことを考慮して、スプレッドシートの統制項目の例として、主に以下のようなものが挙げられます。
- 処理結果の正確性の検証
- アクセスコントロール
- バックアップ
- 手続きの定義・運用
- マニュアル等による処理内容の明文化
処理結果の正確性の検証
スプレッドシートに組み込まれた計算式やマクロ、集計範囲、参照先等の誤りによって、処理結果が不正確なものになっていないかを確認します。
スプレッドシートの作成者以外のチェック担当者や、上長等の承認者を設けたり、別の方法で算出した数値と照合する等の方法が考えられます。
アクセスコントロール
不適切な者がスプレッドシートに手を加えた結果、処理内容の改ざんやデータ消失等が起こらないように、共有フォルダ等のアクセス権限を管理したり、シートやセルの保護をします。
バックアップ
スプレッドシートの利用中にアプリケーションソフトの不具合によってファイルが破損する場合があります。
また、個々のPCでスプレッドシートを利用している場合、PCのクラッシュ等によってファイルが損なわれることもあります。
そのような事態に備えて、管理対象のスプレッドシートのバックアップを定期的に行います。
手続きの定義・運用
前述のスプレッドシートの一覧表作成と合わせて、統制対象となるスプレッドシートの作成、閲覧、変更および保管等についての手続きや方針を定めます。
例えば、前述の統制項目「アクセスコントロール」や「バックアップ」では、スプレッドシートを共有フォルダ等の管理可能な場所に保管していることが前提になります。
また、スプレッドシートは業務担当者が個々に保管している場合もあるため、管理すべきスプレッドシートが一覧表から漏れないように注意が必要です。
マニュアル等による処理内容の明確化
スプレッドシートは業務担当者が各々で作成することが多いため、作成者以外の者にとってはその処理手順が不明瞭で、処理結果の正確性の検証が困難になる場合があります。
そのため、操作マニュアルや留意点等の明文化によって、スプレッドシートの処理結果の正確性をより確認しやすく、また、業務の引継やメンテナンスが容易になります。