« 米国SOX法の状況 FEI Survey: Management Drives Sarbanes-Oxley Compliance Costs Down, But Auditor Fees Virtually Unchanged | Main | 個人情報保護法は改正しない方向? »

2007.05.22

エンドユーザー・コンピューティングと内部統制の評価

 こんにちは、丸山満彦です。本日とあるセミナーで講演したのですが、決算等で利用しているスプレッドシートコントロールについてどの程度の内部統制を整備すればよいのか?という質問がありました。

 
とりあえず、IT Control Objectives for SOXとシステム管理基準追補版で該当する部分を抜き出してみました。。。

■IT Control Objectives for SOX
図表27 – エンドユーザ・コンピューティング
●統制に関する指針
エンドユーザ・コンピューティングに関する以下の統制の例は、図表15 から26 の統制指針から抜粋したものであり、代表的なエンドユーザ・コンピューティング環境の特徴に対応するために提示したものである。適切なCOBIT プロセスがエンドユーザ・コンピューティングに適用される。

統制の例

統制のテストの例

セキュリティおよび処理のインテグリティに関するエンドユーザ・コンピューティングの方針と手続きが存在し、これに従っている。

エンドユーザ・コンピューティングに関する方針と手続きを入手し、これらがセキュリティおよび処理のインテグリティに関する統制に対応していることを確かめる。

ユーザのサンプルを選び、エンドユーザ・コンピューティングの方針を認識しているか、これに従っているかを質問する。

スプレッドシートおよびユーザが開発した他のプログラムを含む、エンドユーザ・コンピューティングが文書化されており、正確なソート、要約、正確な報告能力を含む処理のインテグリティが定期的にレビューされている。

企業中で用いられているエンドユーザのプログラムに関する経営者の知識について質問する。

処理のインテグリティについてエンドユーザのプログラムをレビューする頻度と、その際に取った手法について質問する。そして、サンプルをレビューし、プログラム・レビューの有効性を確かめる。

ユーザが開発したシステムをレビューし、管理者の意図に従って、ソート、要約、報告する能力をテストする。

ユーザが開発したシステムとデータは、定期的にバックアップをとり、安全な領域に保存する。

エンドユーザ・システムのバックアップをとる方法と保存場所を質問する。

スプレッドシートや他のエンドユーザ・プログラムなどの、ユーザが開発したシステムは、不正使用から保護されている。

ユーザが開発したシステムへの不正アクセスを防ぐために用いるセキュリティをレビューする。

ユーザが開発したシステムへの不正アクセスをユーザが試みるところを観察することを検討する。

管理者がどのように不正アクセスを発見できるか、こうした不正アクセスの影響を評価するためにどのようなフォローアップの手続きがとられているかを質問する。

ユーザが開発したシステムのサンプルを選び、誰にアクセス権があるか、そのアクセスが適切であるかを確かめる。

ユーザが開発したシステムへの入力、処理、出力は、完全性と正確性について独自に検証されている。

管理者がどのように、ユーザが開発したシステムから処理、報告された情報の正確性と完全性を検証しているかを質問する。

後続処理または最終報告書を目的として提出される前に、ユーザ開発によるシステムからの出力を誰がレビューし、承認しているかを質問する。

ユーザ開発システムで用いたロジックを再実行、またはレビューすることを検討し、完全で正確な処理能力に関する結論を出す。


■システム管理基準追補版

第Ⅰ章 P3
●スプレッドシート等の利用
最近では、パーソナルコンピュータ(以下、PC という)を財務情報の計算や集計、連結決算等の目的で利用するケースが増加している。一般にはスプレッドシート等(表計算ソフトで作成した数式、マクロ、プログラム等を含む表やデータベースソフト等)が用いられることが多い。この場合の特徴は、入力される数式、処理を自動化するマクロの入力、作成や保守が情報システム部門ではなく、ユーザ部門により行われることである。したがって、改ざんやエラーに対する適切な統制機能がなければ、その結果として得られる財務情報は信頼できるものとならない。しかし、「システム管理基準」では、スプレッドシート等やエンドユーザコンピューティング(以下、EUC という)の管理項目について区別して扱っていない。それは、基本的な情報システム管理の考え方は同じであるという理解に基づいているからである。しかしながら、経理部門等で利用されているスプレッドシート等が財務報告に与える影響が大きいことを鑑みて、本追補版では「システム管理基準」とは異なりスプレッドシート等についての統制項目を独立させて述べる。

第Ⅱ章 IT 統制の概要について P12
④ スプレッドシート等について
多くの企業において、スプレッドシート等がユーザ部門によって使用されている。このようなスプレッドシート等は、利用者のPC の中でのみ利用されるため、全社的な管理から漏れていることがある。例えば、スプレッドシートや作成されたデータのバックアップが十分になされていないために、データを滅失するようなこともある。また、会計処理の結果をスプレッドシート等から出力し、別のアプリケーション・システムにこのデータを読み込み、財務報告を作成する場合もあり、データの欠落や改ざん等のリスクがある。
したがって、経営者は、スプレッドシート等を利用する場合には、データや処理の正確性を確保するために当事者以外による再計算等の手続を整備したり、利用者に対するスプレッドシート等のバックアップについて教育するとよい。また、スプレッドシート等の内容をアプリケーション・システムで利用する場合には、データの欠落や改ざんを防止するような機能が組み込まれているか確認するとよい。経営者は、虚偽表示のリスク、対策のコスト、統制の効果等を勘案して、自社に適した方法を選択する。

第Ⅲ章 IT 統制の経営者評価 P9
なお、「決算・財務報告プロセス」では、財務会計システム、連結決算システム等の専用ソフトウェアの利用の他に、スプレッドシート等を利用する場合があり、このような場合には、計算式のコピー忘れや計算式の誤りが財務報告の正確性や網羅性に直接影響する。したがって、スプレッドシート等の統制についても評価することになる。

第Ⅳ章 IT 統制の導入ガイダンス P46
(4) スプレッドシート等
【統制に関する指針】
スプレッドシート等の利用は、財務実務担当者の業務の効率化をもたらし、財務報告作成に欠かせないものとなっている。しかし、スプレッドシート等については、従来の設計、開発の過程を経たソフトウェアと同等の機能を有するものがあり、プログラムの内容を明確にして保守をすべきものは、情報システムの開発・運用・保守の統制に基づいて行われるとよい。しかし、スプレッドシート等については、開発の手順をふまずに個人が利用している。スプレッドシート等は、手軽な反面リスクを併せ持っている。例えば、スプレッドシートを扱うPC が全社的な情報システムとしての管理から漏れていることがある。また、財務報告を作成するという観点からは、スプレッドシート等の計算式等の誤りや決算データの恣意的な修正等、虚偽記載につながるリスクもある。そのため、以下のような対策が考えられる。
① スプレッドシート等で作成した表や数式の作成者と利用者が同一である場合、作成された表計算ソフトやマクロを第三者が検証していないと、不正や計算式の誤り等が見逃されるリスクがある。これを防ぐための対策として、例えば、作成者と利用者を分けるなど企業としての規則、仕組、チェック体制等の整備
が挙げられる。
② スプレッドシート等ではプログラムされた内容が文書として記録されず、不明になるリスクがある。これを防ぐための対策として、例えば、繰り返し利用するものについて、文書化することが挙げられる。
③ スプレッドシート等の管理では、アプリケーション・システムに比べると、バックアップが十分でなく、データが失われる可能性がある。これを防ぐための対策として、例えば、財務報告に係るスプレッドシート等については、定期的にバックアップすることが挙げられる。
④ スプレッドシート等は、財務担当者のPC が利用されることが多く、アプリケーション・システムに比べると、アクセス制御が十分でないことがある。このような環境では、財務報告にデータの改ざん、消失が生じるリスクがある。これを防ぐための対策として、例えば、財務担当者以外が財務報告のデータにアクセスして内容を変更できないような仕組が挙げられる。
⑤ スプレッドシート等の処理結果について、計算結果等の検証が適切になされないと処理結果としての財務報告に誤りや虚偽が発生するリスクがある。これを防ぐための対策として、単に集計等の計算機能を利用している場合には、電卓等を用いた手計算で確かめる等の代替的な手段がとられることが挙げられる。
【統制目標の例】
財務報告に影響を与えるスプレッドシート等については、以下のような適切な統
制を導入することにより、財務情報の信頼性を保証する。

a.

方針と手続

4-(4)-

スプレッドシート等を利用する場合の職務権限、利用権限が定められていること。

4-(4)-

スプレッドシート等の利用について承認されていること。

4-(4)-

スプレッドシート等を財務情報に利用する場合には、財務情報の完全性、正確性、正当性に関する方針と手続があり、順守されていること。

4-(4)-

作成したスプレッドシート等について文書化されており、処理の完全性、正確性、正当性が確保されていること。

b.

バックアップ

4-(4)-

作成したスプレッドシートとデータのバックアップを行い、安全に保管すること。

c.

改ざんを防止する機能や仕組

4-(4)-

利用者が、スプレッドシートの数式やマクロ等を変更できないようにしていること。

4-(4)-

スプレッドシート等に完全性、正確性、正当性を検証できる仕組(検算できる等)が組み込まれているか、もしくは手計算で検算すること。

(注:システム管理基準はスプレッドシート等を独立した項目として扱っていない。)

【統制の例と統制評価手続の例】

 

リスクの例

統制の例

統制評価手続の例

-()-

財務担当者が利用するスプレッドシート等で、財務情報の処理が適正に実施されていないため、結果が信用できない。

スプレッドシート等の完全性、正確性、正当性に関する方針と手続が存在し、これにしたがっている。

スプレッドシート等に関する方針や手続を入手し、これらが正当性、完全性、正確性に関する統制に対応していることを確かめる。(例えば、スプレッドシート等を利用している財務担当者を任意に選び、スプレッドシート等の方針を理解し、これにしたがっているかを質問する)。

-()-

承認を受けないスプレッドシート等( PC等のIT基盤を含む)で、財務報告が行われると、虚偽記載の可能性がある。

承認を受けたスプレッドシート等(PC 等のIT 基盤を含む)を利用する。

財務担当者が利用しているPC で財務情報が扱われているとして、管理され、承認されているかについて担当者ヘのヒアリング等で確かめる。

-()-、4-()-

スプレッドシート等では誤処理や改ざんが起こりやすい。

スプレッドシート等についてプログラムの内容が文書化されており、処理の完全性、正確性、正当性がチェックされている。

      実際に用いられているスプレッドシート等(PC 等のIT 基盤も含む)について調査する。

      完全性、正確性、正当性について表計算ソフトの数式や表等を見直す頻度、利用範囲について確かめる。

      スプレッドシート等で実施されている表計算ソフトの一部を入手して、処理内容を確認して、有効性を確かめる。・スプレッドシート( 表) の検算機能を確かめる。

-()-

スプレッドシートとデータ等がPC の故障等で損壊し、財務報告を適切に行えない。

スプレッドシートやデータ等はバックアップをとり、安全に保管する。

スプレッドシートやデータ等のバックアップの状況を確かめる。(例えば、バックアップの方法、タイミング、保管場所等について質問する)。

-()-

スプレッドシートとデータ等が無断で変更され、誤った財務報告が行われる。

スプレッドシートやデータ等は、アクセス制御により、不正アクセスによる改ざんや許可のない利用から保護されている。

      財務担当者のPC にアクセス制御が実施されていることを確かめる。また、スプレッドシートの計算式が利用者には変更できないことを確かめる。(例えば、財務担当者のPC ヘの不正アクセスを試みる)。

      スプレッドシートやデータ等ヘの不正な改ざんを発見する仕組があるかを確かめる。


【過去の今日】
・2006.05.22 JISの制定及び改定 Q13335-1, Q27001, Q27002, Q15001
・2005.05.22 監視社会? 監視カメラ設置増加

|

« 米国SOX法の状況 FEI Survey: Management Drives Sarbanes-Oxley Compliance Costs Down, But Auditor Fees Virtually Unchanged | Main | 個人情報保護法は改正しない方向? »

Comments

丸山 様

夏井です。

4-(4)-⑥についてですが,PCにアクセス制限がなされていても,そのPCがネットに接続された状態で利用可能な場合,アクセス権限のある利用者が気づかない間に誰かによってリモートで制御が奪われてしまうということがあり,最悪の場合にはゾンビマシンになってしまっていることがあり得る以上,そのような制御の奪取がなされないような防御が施されているかどうかをヒアリングや専用ソフトウェアを用いた検査などによって確認するという事項を含めないとあまり実効性がないのではないかという疑いが生じますね。

Posted by: 夏井高人 | 2007.05.23 07:45

塩尻明夫です。
ここには初書込します。

「決算等で利用しているスプレッドシートコントロールについてどの程度の内部統制を整備すればよいのか?」

という問いには、一応COBIT4SOXや追補版で丸山さんが挙げられてるような項目をお伝えすべきと思う反面、今の実務的な正解は

「原則コントロールが整備されてると思わないでください」

っていう認識で日々暮らしています(笑。

実際、IT全般統制に関する質問で「EUCについてはどうしましょう」っていう問い合わせが結構多いのですが、「何もしないでください(=他のコントロールでカバーしてください)」って答えることもママあります。

手抜きと見られるのが怖いですが、丸山さんいかがお考えでしょう?

Posted by: 塩尻明夫 | 2007.05.23 16:16

塩尻先生、コメントありがとうございます。スプレッドシートのコントロールは業務の効率化を考えると困難を伴うので、他のコントロールでカバーするほうがよい場合も多いと思います。
 思い切ってスプレッドシートで利用している部分をシステム化してしまうとか、紙に打ち出して検算(再実施)するという方法もあります。
 理想的な内部統制を整備しても、運用がむりなら、適切に運用されずに結局、不備となりますので、当然運用も考えて内部統制を整備することが重要となりますね。。。

Posted by: 丸山満彦 | 2007.05.24 08:39

決算等で使っているスプレッドシートに限らず、業務で使っているスプレッドシートは、業務プロセスの中で数字等をチェック・モニタリングしていくのがいいと思っています。
たいてい(ここが問題か?)、使っている人は中のロジックを理解している人が多いし、利用頻度も多いので、結構間違いがあってもすぐに気づくことも多いと思うのですが。

とはいえ、ファイルサーバーのフォルダレベルで部署単位レベルくらいのアクセス管理はやったほうがいいと思いますけど。

Posted by: なかじま | 2007.05.24 09:18

なかじまさん、コメントありがとうございます。スプレッドシートはどこの部署で使うにしても、プログラム(数式やマクロ)やデータの完全性を維持するのが難しいですよね。。。
 スプレッドシートは会社として提供する「プログラム」としてのスプレッドシートか、個人的に使う「電卓」がわりのスプレッドシートかをわけて考えると案外すっきりするかもしれませんね。

Posted by: 丸山満彦 | 2007.05.25 06:33

スプレッドシートについて安易に流れるのではとの危惧を抱いており、統制をもっと厳格にすべきだというのが私の意見です。
「使っている人は中のロジックを理解している人が多いし」という意見は理解できますが、「作った人しかわからない」スプレッドシートは多く、担当者が異動になってしまい、引継ぎを受けた者がだましだまし使っている「あぶない」ケースをよく見かけます。なので、スプレッドシートと言えども、複雑なものは「処理する機能、マニュアル類」といったドキュメント管理およびバージョン管理が大事であると思います。
また、計算式誤りといったロジックミスも多く見られるように思います。縦計、横計の検算チェックを式として組み込むなど簡単な検算ロジックを入れるだけでもかなり精度が向上すると思います。
スプレッドシートは間違いが十分あり得るとの認識で統制を考える必要があると思います。

Posted by: 監査現場 | 2007.05.30 10:06

監査現場さん、コメントありがとうございます。
「会社として提供する「プログラム」としてのスプレッドシート」というのは、プログラムとみなすわけですから、数式の保護等が必要となるでしょうね。開発環境から運用環境へのリリースについても同じでしょうね。。。
 経験として、行を追加したために合計する範囲が誤っていたり、プラスとマイナスを誤っていたりしているスプレッドシートを見たことがあります。
 とくに連結財務諸表(セグメント情報を含む)やCF計算書を作成する際に利用するスプレッドシートは問題となるかもしれませんね。。。
 それ以外にも、EUCの一環として大量のデータをACCESSで処理して決算に反映させる場合などにも注意が必要でしょうね。。。
 今までは監査人がチェックにより発見され決算上では誤りがなかったので、あまり問題にされていなかったかもしれませんが、監査人がチェックしなければ見つからないようでは内部統制に問題があるといわれかねないですから、財務報告の数字を作るようなスプレッドシート等に対する内部統制に十分に注意しなければならないでしょうね。。。
 

Posted by: 丸山満彦 | 2007.05.31 05:30

日本CFO協会が「スプレッドシートは悪者か?」というテーマで
調査をしているようですね。。。
http://www.cfo.jp:80/top_news/index.html

Posted by: 編集部 小泉 | 2007.06.01 10:13

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference エンドユーザー・コンピューティングと内部統制の評価:

« 米国SOX法の状況 FEI Survey: Management Drives Sarbanes-Oxley Compliance Costs Down, But Auditor Fees Virtually Unchanged | Main | 個人情報保護法は改正しない方向? »