PR

高,中,低の3段階でリスクを評価

 Excelなどに対し、どこまで基幹系システムと同じ統制を適用するかについては、「SOX法を施行した米国でも最近噴出した議論だ」とIBMビジネスコンサルティング サービス(IBCS)の守屋光博ビジネスアソシエーツは説明する。企業におけるITガバナンスの確立を目指した評価基準の体系である「COBIT for SOX」においても、この4月に公開された第2版の草案で初めて、その基準が明示された。「EUC(エンドユーザー・コンピューティング)統制」という名称で記載されている。Excelが主な対象となるため、「スプレッドシート統制」とも呼ばれる。

 COBIT for SOX第2版は、Excelファイルが持つリスク・レベルを「高」、「中」、「低」の3段階に分けたうえで、それぞれへの対策を示す(図3)。リスク・レベルは、「そのExcelファイルが原因で不正が発生する確率」と「そのExcelファイルが間違っていたときに、どれだけビジネスに影響を及ぼすかの度合い」の二つの観点から算定する。

図3●統制の対象になるExcelファイルを選定するための目安と、実施すべき統制内容
図3●統制の対象になるExcelファイルを選定するための目安と、実施すべき統制内容
COBIT for SOX 第2版が示すEUC統制の指針を基に作成
[画像のクリックで拡大表示]

 発生確率は、Excelファイルで使用している機能の複雑性、利用者数、更新頻度の三つの要素から判断する。一方、ビジネスへの影響度は、Excelファイルの使用目的と、扱う金額の二つの要素で判断する。いずれの指標も、「高」、「中」、「低」の3段階に分かれている。発生確率とビジネスへの影響度の両指標が高ければ、Excelファイルのリスク・レベルは「高」。いずれか一方の指標が低であれば「低」と見なす。それ以外の場合が「中」である。

Excelの一元管理も必要に

 しかし、現実問題として、Excelと基幹系システムを同等に扱うには、相当の工夫が必要になる。

 例えば、マクロが改ざんされていないことを証明するためには、CA(認証局)サーバーを構築したうえで、Excelのマクロの設定を「電子署名によって認証されたマクロでなければ実行できない」にする(ツール・オプションのセキュリティの中で、利用できるマクロを制限する)。

 マクロの実行を制御する機能は、「もともとはマクロ・ウイルスを実行させないための機能」(マイクロソフトの細井智インフォメーションワーカービジネス本部IWソリューションマーケティンググループマネージャ)である。これを、「内部統制のために利用する」(同)わけだ。

 ただし、マクロのセキュリティ・レベルは利用者が変更できてしまう。それを禁止するためには、企業向けOffice製品に搭載されている「カスタムインストレーションウイザード」という機能を使う。Excelをパソコンに導入する際に、セキュリティ・レベルなどを事前に設定する機能である。この機能で設定したセキュリティ・レベルは、利用者が勝手に変更することはできなくなる。

 それでも、リスク・レベルが「中」以上のExcelに適用しなければならない、アクセス管理や変更管理、バックアップの作成は実現できない。ベリングポイントの新井マネージング ディレクターは、「対象となるExcelファイルを現場で運用すると、変更管理やバックアップの作業は現場担当者に委ねることになるため、それを徹底させることは事実上不可能だ」と指摘する。

 これを回避するためには、Excelファイルを個人のパソコン上で管理するのではなく、「ファイル・サーバーに一元的に格納するなどの処置が必要」(プロティビティの安藤アソシエイトディレクター)という。コマツの場合も、アクセス管理やバックアップを実現するために、クライアント・パソコン上でのExcelファイルの管理は原則禁止し、システム部が管理するファイル・サーバー上に集約した。

現場の効率が下がる危険も

 こうした一連の統制を進めると、Excelはもはや現場担当者が自らの業務効率を上げるために利用するツールではなくなってしまう可能性がある。利用部門にすれば、自分が必要なツールを、必要なときに自らが作れるというEUC本来のメリットが失われる。システム部門にしても、「企画・運用しなければならないシステムが増えることもある」(ベリングポイントの新井マネージングディレクター)。

 内部統制は本来、業務効率の向上も求めている。SOX法対応を優先しすぎて、業務効率が悪化しては元も子もない。

 それだけに、「果たして、COBITなどの指針にそのまま従うだけでよいのだろうか」と、異を唱える向きは少なくない。リコーの鈴木敏廣IT/S企画室長もその一人。鈴木室長は、「現場が欲しいシステムを現場が作ることが業務効率の向上に寄与してきた」と語る。同社は、現場の改善活動に、グループウエアの「Lotus Notes/Domino」を利用するEUCの先進企業である。

 1995年からNotesによる現場システムの開発を奨励してきたリコーでは現在、現場が開発したシステムが2万種類以上、稼働している。リコー本体の社員1万数千人のうち、約1500人がNotes上のプログラミングに長けているという。

 リコーも今、米SOX法対応を進めている。だが、鈴木室長は、「SOX法対応は現場の効率性を犠牲にしない方向で考える必要があるのではないか」と考えている。現状でも、Notesのシステムは、財務報告に関係するシステムとは切り離して運用している。EUCから生まれた定型業務は、その企画・運用をシステム部門に移管することで内部統制は保てるとみている。

 Excelファイルをサーバーで一元管理することにしたコマツも、現場の効率性を犠牲にしないための工夫を凝らしたい考えだ。「現在は原則を決めた段階なので問題になっていない。ただ、もしかすると、ファイル・サーバーに集約できないExcelファイルがあるかもしれない。どのような場合を例外とするか、その場合はどのような統制で代替するか、などは今後個別に判断していく」(橋本主査)という。

EUCならではの統制の仕組みを

 ユーザー企業の不安に対し、IBCSの守屋ビジネスアソシエーツは、「そもそもExcelなどを使ったEUCでは、作った人と運用する人が同じ。両者の職責を分離することを求めるIT統制の大前提が崩れている」と指摘する(図4)。公認会計士の資格を持ち、システム開発経験もある同氏によれば、「現在のIT統制の指針がメインフレーム環境を前提にしている。EUC統制も例外ではない」のがその理由である。

図4●EUC(エンドユーザー・コンピューティング)統制がIT部門に投げかける課題の例
図4●EUC(エンドユーザー・コンピューティング)統制がIT部門に投げかける課題の例
[画像のクリックで拡大表示]

 守屋ビジネスアソシエーツはさらに、「要件を決める人とプログラミングする人が同じだから、委託先管理もない。一人一台のパソコンで処理されているということが考慮されていない」と話す。メインフレーム環境の不足点を補うために利用しているExcelなどを、メインフレーム前提の考え方で統制しようとしても無理が生じるというわけだ。「こうした違和感を、システム担当者が抱かないことが問題」とも語る。

 内部統制には手作業の統制とIT統制の2種類がある。Excelはいわばその中間。やっていることは手作業と同じだが、電卓などの代わりに個人利用を想定したITを使っている。それだけに、組織を前提にしたIT統制の指針だけをよりどころにするのではなく、「当社のやり方であれば、正しさを証明できる」と監査法人を説得するくらいの取り組みが必要かもしれない。

(矢口 竜太郎=日経コンピュータ)

出典:日経コンピュータ 2006年11月13日号 60ページ NIKKEI COMPUTER