EUC統制の事例研究(1) -AIB Capital Market社-

1. 事例の概要

AIB Capital MarketでのEUC統制プロジェクト(以下、「プロジェクト」という)の概要を以下に示します。

取組会社	アイルランドの金融機関AIB Capital Market(AIBCM)。従業員22,000名以上、事業拠点750箇所を有するアイルランド最大手の金融グループAllied Irish Bank(AIB) Groupのトレジャリ、投資銀行、企業金融、金融資産管理を担当する事業会社。
取組目的	EUC形態で開発される重要アプリケーションに関するリスクに注目している事から、当該リスクを低減し、管理する事を目的とすると推定される。
取組範囲	スプレッドシートを中心とする重要EUCアプリケーション全体。
取組内容	●重要EUCアプリケーション台帳の確立 ●重要EUCアプリケーションの問題是正 ●「統制環境」の構築 ●EUCポリシーの改訂 ●ソフトウェアライフサイクル規程・ガイドラインの制定
取組期間・時期	2006年にプロジェクトに着手、2007年末に統制整備を終えて、2008年にEUCポリシーの改訂版をリリースしてEUC統制の運用を開始。

AIBCM EUC統制プロジェクト取組内容図
(PDF形式で拡大表示)

事例の詳細は、原資料""End User Computing in AIB Capital Markets: A Management Summary"(英文)"を参照して下さい(管理人による私的な調査結果のメモ「事例調査結果メモ(1) AIBCM」を公開して置きますので、英文が苦手な方は原資料と一緒にどうぞ)。

» 続きを読む

「スプレッドシート統制の事例研究」シリーズをスタート

シリーズのはじめに

「スプレッドシート統制の事例研究」シリーズをスタートします。

このシリーズでは、公開されている事例を材料として、Excelスプレッドシートの統制に取り組む際の留意点を探ります。このシリーズの事例研究が、これから本格的に統制を導入しようとする方、或いは、既に導入に着手して、進め方に悩んでいる方に、少しでも参考になれば幸いです。

課題認識

当初、スプレッドシートの開発及び運用に対する統制について、多くの関係者の関心は、監査人が何処に注目するのかにありました(「スプレッドシート統制について、一番、誰かに尋ねたいことは?」参照)。IT部門では、統制の手法、或いは、実現方法が関心事だった様に思います。「スプレッドシート統制 研究室」でも、これらの点に関する情報共有を図る記事や資料を公開して来ました(「記事目次」参照)。

しかし、実際に、統制を導入しようとすると、以下に示す様な問題に直面する場合が少なくありません。

• 経営層や業務現場の管理職層が、必要性や意義を理解しない。
• IT部門が、当事者になろうとしない。
• スプレッドシートをEUC形態によって開発及び運用する現場が協力的ではない。

その結果、取り組みの進め方や、組織の動かし方をどうすると良いのかが、推進実務者の最大の悩みとなります。現場が自発的に進めるEUCを、EUCに無関係だった第三者が主導して統制しようとするのであれば、問題が生じるのは必然です。主導部門が、IT部門でもないなら、尚更です。

実は、EUC形態で開発及び運用されるスプレッドシートの統制とは、統制に関する業務や情報システム機能の単純な追加ではなく、組織の機能分担や、仕事の仕方の変革を求める課題なのです。組織の設計及び運営、部門横断的な業務に関する問題であり、その変革に対する関係部門及び関係者の合意形成が無ければ、取り組みが立ち行かない事を覚悟する必要があります。

ところが、現実には、2009年度の内部統制監査対応を、「取り敢えず、初年度はこれで良しとしよう。」と形だけの統制策の導入だけで済ませ、本質的な対応を端折った企業が少なく無いと思われます。内部統制の枠組みには組み込んだものの、日々変化するEUCの実態に対応できる仕組みや体制を欠いていたり、業務現場の負担が重く、継続が危ぶまれたりというのが実情ではないでしょうか。

» 続きを読む

スプレッドシート統制関連ITソリューションの動向2010.2

SaaSも登場!! 2009年後半の動向をリストに反映

「スプレッドシート統制ソフトウェア製品リスト」と「Excel代替・補完ソフトウェア製品リスト」を更新しました。スプレッドシート統制では、世界初となるSaaSを含めて、両リスト合わせて、16点の製品を新たに収録。

「スプレッドシート統制ソフトウェア製品リスト」は、Excelの使用を前提として、スプレッドシート統制に関する機能を実現する事のみを目的とする専用ソフトウェア製品を掲載するリストです。

一方、「Excel代替・補完ソフトウェア製品リスト」は、スプレッドシート統制を目的として開発された製品ではないが、スプレッドシート統制に活用できるソフトウェア製品です。

以下に、これらのリストの更新に際して確認した、2009年後半の製品動向を、まずは、「スプレッドシート統制ソフトウェア製品リスト」、次いで、「Excel代替・補完ソフトウェア製品リスト」の順に、見て行きましょう。

「スプレッドシート統制ソフトウェア製品リスト」

「スプレッドシート統制ソフトウェア製品リスト」では、国産製品1点と海外製品5点を追加、海外製品1点を更新しました。

スプレッドシート統制にもSaaS形態が登場

今回のリスト更新で、最も注目すべきは、米国Valley Inception, LLCの「incisive .online」でしょう。同社は、米国RedRover Software Inc.を買収し、スプレッドシート統制ソフトウェア製品市場に新規参入した後発ベンダーです。しかし、後発と言えど、今後の動向が気になる会社です。

同社の「incisive .online」は、同社のサーバーに一時的にアップロードされたExcelスプレッドシート(サーバーに保存はしません)を検査し、スプレッドシートの構造、リスク、エラー等に関するレポートをオンラインで提供するサービスです。スプレッドシート統制用ソフトウェアの機能をSaaS(Software as a Service)形態で提供している例は、2009年に出現しましたが、暫く後続事例が現れていませんでした。

2010年5月17日訂正: スプレッドシート統制用ソフトウェアの機能をSaaS形態で提供するのは、incisive .onlineが世界初だと本稿に書きましたが、2009年2月11日付けで、英国ClusterSeven Services LimitedがSaaS形態でのサービス提供を発表していました。調査不足で誤った情報を公開してしまい申し訳ありませんでした。本稿本文も併せて訂正致しました。

同社の母体となったRedRover Software Inc.は、Oregon大学を中心として、スプレッドシートの開発やテストに関する研究に継続的に取組んでいるEUSES(End Users Shaping Effective Software) Consortiumの主要な研究者が設立した会社でした。2010年2月時点でも、Dr. Margaret Burnett, Dr. Martin Erwig, and Dr. Gregg Rothermelといった斯界の名士達が、Valley Inception, LLCのリサーチグループに名を連ねている様子です。学術的な知見が、実務の中で試され、洗練されて行く可能性が、同社にはあるかも知れません。

尚、旧RedRover Software Inc.のスプレッドシート監査ソフトウェア製品「RedRover Audit」は、「Xcellerator」と改名して販売が継続されています。

金融危機以降の難しい経済状況の中、同社の事業は、その先行きが見通せません。しかし、事業モデル、サービス提供技術、統制手法のいずれの点でも、この新たな試みに期待したいと思います。

» 続きを読む

「スプレッドシート統制ソフトウェア製品リスト」の国産製品が充実!!

「スプレッドシート統制ソフトウェア製品リスト」を改訂。海外製品に動きが少なく、国産製品が一挙に4点増加。その原因を考察し、国産製品に対する期待を込めてエールを送る。

» 続きを読む

「スプレッドシート統制の参考文献リスト」を更新しました!!

「スプレッドシート統制参考文献リスト」を更新しました。最近の話題への追随と、観点拡大の両面から文献を追加し、記載文献を72点に増強。

» 続きを読む

「IT委員会研究報告第31号」(再改正版)の注釈

はじめに

2008年11月20日付けで、日本公認会計士協会(JICPA)から、ＩＴ委員会研究報告第３１号『ＩＴ委員会報告第３号「財務諸表監査における情報技術(ＩＴ)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ』(以下、IT研31号という)の再改正版が発行されています。

この改正の一部として、「スプレッドシートに関する統制リスクの評価手続の留意点」に関する補足説明が、IT研31号に追加されました。この追加によって、IT研31号は、JICPAが公開している文書の中では、スプレッドシート統制に関する最も具体的な記述を持つ文書となりました。

以下に、IT研31号に追加されたスプレッドシート統制に関する記述(以下、「追加記述」という)を対象として、その追加の背景及び目的を掘り起こした上で、内容を吟味し、記述の意味を読み解いて行きます。加えて、「追加記述」を利用する際の留意点を確認し、記述不足の補完を試みます。

» 続きを読む

【図解】スプレッドシート統制に関するJICPA公開文書の系譜が一目瞭然!!

「【図解】スプレッドシート統制に関する日本公認会計士協会の監査実務指針・監査研究報告の系譜」と題した一覧図を作成しました。謂わば、スプレッドシート統制に関する記述の有るJICPA公開文書の系図兼年表です。

» 続きを読む

スプレッドシート統制に関するJICPA委員会報告・調査報告の全体像

はじめに

日本公認会計士協会(JICPA)は、会員である公認会計士に向けて、実務指針を初めとする多数の文書を発行しています。財務報告に係る内部統制の整備・運用・評価に携わる立場であれば、公認会計士でなくとも、これらの文書の恩恵に預かっていることでしょう。

しかし、沢山の文書が公表され、頻繁に改正されるため、しばしば、参照すべき文書を特定できなかったり、旧版を参照してしまうという様な問題が起きます。文書間の関係、或いは、個々の文書の位置付けが、分かり易いとは言えない事も一因です。

スプレッドシート統制に関する記述の有る文書(以下、「スプレッドシート統制記述文書」という)も例外ではありません。例えば、皆さんは、以下に示す質問に、自信を持って答える事ができますか?

• どの文書にスプレッドシートに関する記述があるのか?
• 各文書には、どんな指針や参考情報が示されているのか?
• 最新版は何時発行された文書か?
• 最新版によって置き換えられた文書はどれか?

以下に、JICPAがこれ迄に公表した「スプレッドシート統制記述文書」を対象に、2009年3月7日時点に於ける最新版の構成及び内容を示し、その系譜及び公表経緯を辿りる事によって、文書間の関係を整理します。

» 続きを読む

スプレッドシート統制関連ソフトウェア製品の傾向2008.10

突然の訃報にリスト更新

スプレッドシート統制専用のITソリューションを開発及び販売していた米国のCompassoft社が倒れてしまった様子です。

EuSpRIGのメーリングリストに第一報が流れ、同社HPにアクセスしようとしたところ、"Bad Request (Invalid Hostname)"と素っ気無く表示されるばかり。ソフトウェアベンダには、M&Aの対象となる例が多いのですが、2008年10月25日現在、依然として、M&Aの発表もありません。

【追記】2009年2月に、同業の英国Finsbury Solutions社がCompassoft社を買収し、同社の製品の開発及びサポートが継続されることになりました。

詳しくは後述しますが、Compassoftは、この分野では存在感のあるベンダだったので、とても残念です。同時に、この分野の発展を考えると、管理人も少し不安になりました。

「スプレッドシート統制ソフトウェア製品リスト」の更新と、「Excel代替・補完ソフトウェア製品リスト」の追加公開は、実は、この「事件」が切っ掛けでした。

以下に、この2つのリストを編集していて気付いた、スプレッドシート統制用関連ソフトウェア製品の傾向を、2008年10月時点の最新動向を織込みながら概観します。

» 続きを読む

ITを活用したスプレッドシート統制の検討材料を追加

「スプレッドシート統制ソフトウェア製品リスト」を改訂しました。さらに、「Excel代替・補完ソフトウェア製品リスト」を併せて公開。新たに追加した「Excel代替・補完ソフトウェア製品リスト」は、必ずしも、スプレッドシート統制だけを目的としている製品ではないが、Excelを代替するか、または、スプレッドシート統制の観点で、Excelを補完するソフトウェア製品を、同様にリストしたものです。

» 続きを読む

スプレッドシート統制・EUC統制に関する資料集めはここから!!

「リソース集」欄にある「スプレッドシート統制参考文献リスト」を更新しました。スプレッドシート統制、或いはEUC統制に関する国内外55点の参考文献を掲載。殆どの参考文献に、当該資料本体、または、当該資料入手手続きのページにアクセスできるURLリンクを付けてあります。

» 続きを読む

スプレッドシート統制の先にあるもの(2)スプレッドシートの「資産運用」

概要

企業内に散在するスプレッドシートには情報資産価値が集積されている。しかし、多くの場合、この情報資産を、業務或いは経営に幅広く役立つ価値として活用できていない。情報資産から、より高い価値を生む活用機会の拡大、即ち、「資産運用」を考えることが重要だ。その前提として、スプレッドシート統制が必要となる。スプレッドシート統制の先には、スプレッドシートが持つ情報資産価値を、業務や経営の革新につなげる「資産運用」がある。

論点

• 内部統制監査への対応以外にスプレッドシート統制から得るものがあるか?
• スプレッドシート統制の先に目指すべき目標は何か?

結論

• スプレッドシート統制によって、スプレッドシートに集積された情報資産価値の活用機会を拡大できる。
• スプレッドシートに集積された情報資産価値を、業務或いは経営に役立てる「資産運用」を目指すべき。

以下に、スプレッドシートの「資産運用」について、その対象となる情報資産価値の内容、活用機会の拡大により何が可能となるのか、前提となるスプレッドシート統制及びその実現に向けたアプローチを論じます。

スプレッドシートに集積された価値に注目すべき

エンドユーザにより開発される事も多いスプレッドシートの価値は、開発費用や無形固定資産として認識されていない場合が多いと考えられます。

しかし、実は、少なからぬスプレッドシートには、著作物と呼ぶに相応しい程の価値が詰まっています。多くのスプレッドシートが、以下に示す貴重な情報資産の集積である点に注目すべきです。

• 他では入手できない、自社に固有の、収集及び入力に膨大な手間の掛るデータ
• 専門性の高い、或いは独自の計算論理を含む計算式
• 高度な業務知識に基づく、長年の最適化により得られたモデル

エンドユーザが、自らのプライドを賭け、こだわり抜いて改良或いはデータ収集を続けているスプレッドシートも少なくありません。そんなスプレッドシートには、「他では手に入らない」と自負して然るべき価値がある筈です。

» 続きを読む

代表的な指針文書のスプレッドシート統制に関する例示統制を一覧・比較

エンド・ユーザ・コンピューティング(EUC)、或いはスプレッドシートの統制に関する指針を示す文書が例示する統制を、表形式で一覧・比較する。統制文書は、どんな統制内容を例示しているのか？例示する統制の構成に、統制文書間で、どんな違いがあるのか？国内で発行されている統制文書と、海外で発行されたものに違いはあるのか？いずれの疑問も一目で解決。

» 続きを読む

「スプレッドシート統制 研究室」開設一周年：この一年間の動向を振り返って

スプレッドシート統制認知の年

「スプレッドシート統制 研究室」のオープンから、今日、2008年3月28日で、ちょうど一年が経ちました。早いものです。ご支援頂いた皆様、有難うございました。

管理人は、以前に書いた記事(「国内Webサイトはスプレッドシート統制をどう伝えているか?」)の中で、2006年を、国内に於ける「スプレッドシート統制の元年」と位置付けました。「スプレッドシート統制 研究室」の公開は、その翌年に当たる2007年の3月28日でした。それからの一年を振り返ると、「スプレッドシート統制認知の年」だったと思います。

以下に、これまでのスプレッドシート統制に関する動向を整理すると共に、その傾向と今後の予想、残された課題について、眺めてみたいと思います。

» 続きを読む

スプレッドシート統制指針にも国産時代が到来?

純国産の指針文書現る

2008年2月27日付けで日本CFO協会から、「企業の経理財務業務におけるスプレッドシート管理指針 － スプレッドシート利用のための規定と管理モデル －」(以下、「管理指針」という)が発表されました。

意外と知られていない様子なので、「スプレッドシート統制 研究室」で、改めて、お知らせ致します。

「管理指針」は、NTTビジネスアソシエ(間接業務アウトソーサ)、新日本監査法人、マイクロソフト、日本CFO協会の共著です。金商法が求める内部統制の一部と位置付けられるスプレッドシート統制を対象とした、純国産の指針文書です。

純国産というのは、その内容が、SOX法を対象として発行された海外の指針文書を単純に流用したものではないという意味です。金商法の内部統制が、SOX法とは異なる方針を採用している以上、スプレッドシート統制の指針についても、国内での指針が検討されるべき筈です。「管理指針」は、この課題にどこまで対応できているでしょうか。

「管理指針」には、結局、何が書かれているかというと、以下の2点に要約する事ができます。

• 統制対象とするスプレッドシートを選択する手法
• スプレッドシート区分別の想定リスク及び「管理規定」(注)の構成例

以下に、この興味深い「管理指針」の概要と意義、特長、改善が求められる点等を概観してみます。

注: 「管理規定」には、何故か、統制のテストを示す様な表現で記載されていますが、内容は、管理規定というよりも、統制策または統制目標といったところ。

» 続きを読む

「スプレッドマート」を巡る議論に学ぶ(2)明快な問題整理と落とし穴

概要: Microsoftの製品責任者の問題認識と潜在する落とし穴

今回は、データの管理及び活用に関する専門誌である米DM Review誌2007年9月号の"SQL Server Executive"欄に掲載された記事から、「スプレッドマート」の問題と対策に関する興味深い論考を紹介します。

この記事の題は、「スプレッドマートが問題なのではない」(注1)、執筆者は、Bill Bakerです。Bakerは、米Microsoftで、ビジネスインテリジェンス(BI: Business Intelligence)ソフトウェア製品の責任者(General Manager)を務める人物です。

Bakerは、この記事の中で、我々が、「スプレッドマート」及び「スプレッドシート統制」の問題を整理して、周囲に説明する際に役立ちそうな考え方を示しています。

Bakerは、まず、とても簡単なマトリクスを用いることによって、「スプレッドマート」の問題を、実に明快に整理しています。

また、Bakerは、個々のユーザが、Excelを用いて、自らの問題を解決しようとする際に発揮する創造性に着目しています。この創造性を損なう事無く、「スプレッドマート」に関する問題が解決できると主張しています。

Bakerは、さらに、ユーザの創造性を組織的に活用する事迄も構想しようとしています。

以下に、これらの要点を説明し、一見すっきりと問題を整理したかに見えるBakerの主張に対して、「『スプレッドマート』を巡る議論に学ぶ(1) 『マネージドBI環境』の限界」で示した問題切分け方法を応用して、Bakerの議論に潜在する落とし穴を検討します。

問題と可能性を切り取るマトリクス

Bakerは、BIの利用形態を、下図に示す2つの軸で分類しています(下図は、記事中に掲げられた図を、管理人が分かり易くなる様に改良したもの)。

図1 BIの利用形態: 問題と方法の組合せ

縦軸は、BIを用いる対象となる問題が、会社や部門等の組織内で共有されている問題か、個人の問題かによる切り口です。横軸は、問題の解決に用いられるBIのプロセスが、個人が自由に選択できるものか、組織内で標準化されたものかを示しています。

この図は、とても簡単なものです。しかし、その簡単な図が、Bakerが示そうとしている考え方を、実に分かり易くしてくれています。

» 続きを読む

「スプレッドマート」を巡る議論に学ぶ(1)「マネージドBI環境」の限界(後編)

「『スプレッドマート』を巡る議論に学ぶ(1) 「マネージドBI環境」の限界(前編)」では、「スプレッドマート」及びその問題とは何か、どんな対策が提言されているかを、元祖「スプレッドマート」のEckersonによる調査報告書をガイドにして概観しました。

後編となる今回は、Eckersonが、「スプレッドマート」の問題に対する推奨策として提言する「マネージドBI環境」の問題点に迫ります。

尚、前編を未読の方には、まず、「『スプレッドマート』を巡る議論に学ぶ(1) 「マネージドBI環境」の限界(前編)」を一読することをお奨めします。

「マネージドBI環境」の何が問題か?

「スプレッドマートを管理する為の戦略: マネージドBI環境への移行」(注)は、これまで見て来た様に、興味深い調査結果も多数記載されており、示唆に富む文献です。しかし、「マネージドBI環境」の実現によって、「スプレッドマート」の問題が解決できるとするその主張は、大切な点で、重大な問題を抱えていると言わざるを得ません。

さて、「マネージドBI環境」の実現による「スプレッドマート」問題の解決の何が問題なのでしょうか? 以下に、問題の構造を読み解き、処方箋を探ってみます。

» 続きを読む

「スプレッドマート」を巡る議論に学ぶ(1)「マネージドBI環境」の限界(前編)

「スプレッドマート」の問題は必修科目

今回は、データ管理及びデータ分析の分野から見たエンドユーザコンピューティング(EUC: End User Computing)の問題について、「スプレッドマート」(Spreadmart)を巡って展開されて来た議論を辿ってみたいと思います。

「スプレッドマート」の問題の多くは、「スプレッドシート統制」上の問題と同根です。従って、「スプレッドマート」に関する議論には、「スプレッドシート統制」に関する取組み、及びその先の姿を構想する上でも、示唆に富むものが少なくありません。

その一方で、「スプレッドマート」の問題を巡る議論には、「スプレッドシート統制」に関する取組みに於いても留意すべき重大な問題点もあります。

「スプレッドシート統制」に取り組もうとする際には、同時に、同根の問題である「スプレッドマート」への対策との関係についても問われることが予想されます。また、「スプレッドシート統制」の全体構想を検討する上でも、「スプレッドマート」の問題を、考慮せざるを得ない筈です。

以下に、「スプレッドマート」及びその問題とは何か、それを巡ってどんな議論が展開され、どんな対策が提言されているのかを、元祖「スプレッドマート」の手による最新の調査報告書をガイドにして見て行きます。

» 続きを読む

「スプレッドシート統制」の先にあるもの(1) 「マネージドEUC」

概要

「スプレッドシート統制」は、仕方無しに制度対応を行うだけで終わるのか、或いは、情報システムの効果的で効率的な開発及び運用を目指すのか? ニーズに即応できない情報システム部門に大政奉還しても、問題は解決しない。短期的には、内部統制監査対応を優先する必要があっても、その先に「マネージドEUC」(Managed End User Computing)の実現を追求する事が、継続的で実効を伴う管理及び統制につながる。それは、同時に、情報システムの活用形態として、企業に新たな改革機会をもたらすのではないか?

論点

• 「野放しEUC」にどう対処すべきか？
• 「スプレッドシート統制」の先に何を求めるべきか?

結論

• 「野放しEUC」を、「マネージドEUC」へ変革することを、「スプレッドシート統制」のグランドデザインとすべき。
• 内部統制強化に対する経営者の支持が得られる今こそ、部門横断的な「マネージドEUC」の実現を提言する好機。

以下に、「マネージドEUC」の背景、コンセプト、利点、特徴、要件等を論じます。

» 続きを読む

グランドデザインに必要なコンセプト提案の公開予告

スプレッドシート統制の先に設定すべき、より良い情報システムの開発及び運用の仕方を提案する記事を、何回かに分けて公開することを予告。スプレッドシート統制のグランドデザインへのコンセプト提案。

» 続きを読む