EUC統制の事例研究(1) -AIB Capital Market社-

1. 事例の概要

AIB Capital MarketでのEUC統制プロジェクト(以下、「プロジェクト」という)の概要を以下に示します。

取組会社 アイルランドの金融機関AIB Capital Market(AIBCM)。従業員22,000名以上、事業拠点750箇所を有するアイルランド最大手の金融グループAllied Irish Bank(AIB) Groupのトレジャリ、投資銀行、企業金融、金融資産管理を担当する事業会社。
取組目的 EUC形態で開発される重要アプリケーションに関するリスクに注目している事から、当該リスクを低減し、管理する事を目的とすると推定される。
取組範囲 スプレッドシートを中心とする重要EUCアプリケーション全体。
取組内容 ●重要EUCアプリケーション台帳の確立
●重要EUCアプリケーションの問題是正
●「統制環境」の構築
●EUCポリシーの改訂
●ソフトウェアライフサイクル規程・ガイドラインの制定
取組期間・時期 2006年にプロジェクトに着手、2007年末に統制整備を終えて、2008年にEUCポリシーの改訂版をリリースしてEUC統制の運用を開始。


AIBCM EUC統制プロジェクト取組内容図

AIBCM EUC統制プロジェクト取組内容図
(PDF形式で拡大表示)

事例の詳細は、原資料""End User Computing in AIB Capital Markets: A Management Summary"(英文)"を参照して下さい(管理人による私的な調査結果のメモ「事例調査結果メモ(1) AIBCM」を公開して置きますので、英文が苦手な方は原資料と一緒にどうぞ)。

» 続きを読む

| | コメント (0) | トラックバック (0)

「スプレッドシート統制の事例研究」シリーズをスタート

シリーズのはじめに

「スプレッドシート統制の事例研究」シリーズをスタートします。

このシリーズでは、公開されている事例を材料として、Excelスプレッドシートの統制に取り組む際の留意点を探ります。このシリーズの事例研究が、これから本格的に統制を導入しようとする方、或いは、既に導入に着手して、進め方に悩んでいる方に、少しでも参考になれば幸いです。


課題認識

当初、スプレッドシートの開発及び運用に対する統制について、多くの関係者の関心は、監査人が何処に注目するのかにありました(「スプレッドシート統制について、一番、誰かに尋ねたいことは?」参照)。IT部門では、統制の手法、或いは、実現方法が関心事だった様に思います。「スプレッドシート統制 研究室」でも、これらの点に関する情報共有を図る記事や資料を公開して来ました(「記事目次」参照)。

しかし、実際に、統制を導入しようとすると、以下に示す様な問題に直面する場合が少なくありません。

  • 経営層や業務現場の管理職層が、必要性や意義を理解しない。
  • IT部門が、当事者になろうとしない。
  • スプレッドシートをEUC形態によって開発及び運用する現場が協力的ではない。

その結果、取り組みの進め方や、組織の動かし方をどうすると良いのかが、推進実務者の最大の悩みとなります。現場が自発的に進めるEUCを、EUCに無関係だった第三者が主導して統制しようとするのであれば、問題が生じるのは必然です。主導部門が、IT部門でもないなら、尚更です。

実は、EUC形態で開発及び運用されるスプレッドシートの統制とは、統制に関する業務や情報システム機能の単純な追加ではなく、組織の機能分担や、仕事の仕方の変革を求める課題なのです。組織の設計及び運営、部門横断的な業務に関する問題であり、その変革に対する関係部門及び関係者の合意形成が無ければ、取り組みが立ち行かない事を覚悟する必要があります。

ところが、現実には、2009年度の内部統制監査対応を、「取り敢えず、初年度はこれで良しとしよう。」と形だけの統制策の導入だけで済ませ、本質的な対応を端折った企業が少なく無いと思われます。内部統制の枠組みには組み込んだものの、日々変化するEUCの実態に対応できる仕組みや体制を欠いていたり、業務現場の負担が重く、継続が危ぶまれたりというのが実情ではないでしょうか。


» 続きを読む

| | コメント (0) | トラックバック (0)

スプレッドシート統制関連ITソリューションの動向2010.2

SaaSも登場!! 2009年後半の動向をリストに反映

スプレッドシート統制ソフトウェア製品リスト」と「Excel代替・補完ソフトウェア製品リスト」を更新しました。スプレッドシート統制では、世界初となるSaaSを含めて、両リスト合わせて、16点の製品を新たに収録。

スプレッドシート統制ソフトウェア製品リスト」は、Excelの使用を前提として、スプレッドシート統制に関する機能を実現する事のみを目的とする専用ソフトウェア製品を掲載するリストです。

一方、「Excel代替・補完ソフトウェア製品リスト」は、スプレッドシート統制を目的として開発された製品ではないが、スプレッドシート統制に活用できるソフトウェア製品です。

以下に、これらのリストの更新に際して確認した、2009年後半の製品動向を、まずは、「スプレッドシート統制ソフトウェア製品リスト」、次いで、「Excel代替・補完ソフトウェア製品リスト」の順に、見て行きましょう。


「スプレッドシート統制ソフトウェア製品リスト」

スプレッドシート統制ソフトウェア製品リスト」では、国産製品1点と海外製品5点を追加、海外製品1点を更新しました。

スプレッドシート統制にもSaaS形態が登場

今回のリスト更新で、最も注目すべきは、米国Valley Inception, LLCの「incisive .online」でしょう。同社は、米国RedRover Software Inc.を買収し、スプレッドシート統制ソフトウェア製品市場に新規参入した後発ベンダーです。しかし、後発と言えど、今後の動向が気になる会社です。

同社の「incisive .online」は、同社のサーバーに一時的にアップロードされたExcelスプレッドシート(サーバーに保存はしません)を検査し、スプレッドシートの構造、リスク、エラー等に関するレポートをオンラインで提供するサービスです。スプレッドシート統制用ソフトウェアの機能をSaaS(Software as a Service)形態で提供している例は、2009年に出現しましたが、暫く後続事例が現れていませんでした。

2010年5月17日訂正: スプレッドシート統制用ソフトウェアの機能をSaaS形態で提供するのは、incisive .onlineが世界初だと本稿に書きましたが、2009年2月11日付けで、英国ClusterSeven Services LimitedがSaaS形態でのサービス提供を発表していました。調査不足で誤った情報を公開してしまい申し訳ありませんでした。本稿本文も併せて訂正致しました。

同社の母体となったRedRover Software Inc.は、Oregon大学を中心として、スプレッドシートの開発やテストに関する研究に継続的に取組んでいるEUSES(End Users Shaping Effective Software) Consortiumの主要な研究者が設立した会社でした。2010年2月時点でも、Dr. Margaret Burnett, Dr. Martin Erwig, and Dr. Gregg Rothermelといった斯界の名士達が、Valley Inception, LLCのリサーチグループに名を連ねている様子です。学術的な知見が、実務の中で試され、洗練されて行く可能性が、同社にはあるかも知れません。

尚、旧RedRover Software Inc.のスプレッドシート監査ソフトウェア製品「RedRover Audit」は、「Xcellerator」と改名して販売が継続されています。

金融危機以降の難しい経済状況の中、同社の事業は、その先行きが見通せません。しかし、事業モデル、サービス提供技術、統制手法のいずれの点でも、この新たな試みに期待したいと思います。

» 続きを読む

| | コメント (0) | トラックバック (0)

「スプレッドシート統制ソフトウェア製品リスト」の国産製品が充実!!

国内外の製品化動向は「外低内高」

スプレッドシート統制ソフトウェア製品リスト」を改訂しました。海外製品に動きが少なく、国産製品が一挙に4点増えている点が、今回の更新に於ける特徴です。

欧米では、米SOX法404条対応が落ち着きつつあるのに加えて、金融危機に端を発した不況に見舞われています。なかなか、新製品を開発したり、ベンチャー企業を起こしたりできない状況です。

これに対して、日本国内では、同様の不況の只中に在りながら、金商法による内部統制報告の初年度対策から、どう継続的に運用するかに関心が移ろうとしている時期です。

この様な背景の違いが、スプレッドシート統制ソフトウェアの製品化動向に反映されているのだと思われます。


ユーザ企業が抱える問題を先取り

何故、国内では、スプレッドシート統制ソフトウェアの製品化が相次いだのでしょうか? 「スプレッドシート統制 研究室」の管理人(以下、管理人という)は、スプレッドシート利用の特徴と、統制及び統制評価の継続に対する不安が、相次ぐ製品化の根底に在ると考えています。

少なからぬExcelスプレッドシートは、ユーザのニーズに対する即応性を求めるエンドユーザコンピューティング(EUC)形態で利用されています。

ニーズへの即応を求められるが故に、Excelスプレッドシートは、変更され易い、或いは、派生し易いと言えます。しかも、変更や派生を把握する事が困難な場合も少なくありません。

そのExcelスプレッドシートを利用する業務を統制しようとすれば、ユーザ企業は、以下の様な問題に直面すると予想されます。

  • スプレッドシートの棚卸を一度終えても、いつ在庫状況が変わっているか分からない。
  • 一度整備した統制が、維持されているのか分からない。
  • スプレッドシートの変更や派生に対して、一度整備した統制を追随させるには、大変な手間が掛かる。
  • スプレッドシートの開発や保守に伴い必要となる統制手続きの定着も心許無い。
  • 頻度の増している組織変更や人事異動の後にも、統制が維持できるのか心配だ。

監査人は、定型化されていない業務や、情報システムの確立されていない業務に注目する傾向があります。そんな業務でこそ、Excelスプレッドシートが重要な役割を果たしている事が多いものです。そこに、この様な問題が有るのでは、不安に成ります。

ユーザ企業のこの不安を見て取った業者が、これを新たな事業機会と捉えて、ITソリューションを製品化した。それがリストに表れたのだと考えられます。


国内特有の発展に期待

優れたITソリューションは、統制手続きを自動化するだけではなく、スプレッドシートの変更や派生程度では揺らぐ事の無い統制の枠組みを提供してくれます。管理人は、海外のスプレッドシート統制ソフトウェア製品に、実に多くを教えられました。

どんなソフトウェアでも、発売されてから、実運用の中で磨かれて、初めて完成度の高い製品に育って行くものです。海外製品の一部に、完成度の高い製品が有るのは、「スプレッドシート統制の発展経緯・現状」シリーズの記事で紹介した歴史が有るからです。

一方、国産のスプレッドシート統制ソフトウェア製品は、高い完成度を誇る段階に至っている訳ではありません。先進ユーザ企業の声を聞き、試行錯誤を続けている段階に在る製品が多い様子です。

しかし、管理人は、国産製品が、海外製品の単なる模倣ではない点に注目しています。例えば、国産製品には、海外製品には見られない機能セットや、程良い統制簡略化を見出す事ができます。これらは、開発元各社が、「ユーザ企業の声を聞き」(ユーザ企業とのコラボレーション!!)、独自の要求分析に基づいて、製品コンセプトを模索した結果だと思われます。

一定以上の導入実績を積めば、これらの国産製品にユーザ企業の知恵が集積されて行く筈です。そうなれば、その中の幾つかは、国内事情に適応した合理的な機能や統制の枠組みを提供する製品に育つと期待できます。既に、発売当初から機能強化されている製品も現れています。顧客志向と改善は、日本のお家芸です。

また、管理人は、スプレッドシート統制は、法令順守以外の目的に対する有効な方策と成る機会があると考えています。この点についても、ユーザ企業とのコラボレーションの中で具体化されて行く可能性が有ると期待しています。期待し過ぎでしょうか?


製品完成の鍵はユーザ企業の手中に?

多くのソフトウェア製品は、特定ユーザ企業に於ける要求に対する開発成果物を元にして製品化され、改善されて行きます。未成熟な製品は、ユーザ企業の要求が未成熟である事を反映しているのかも知れません。

ユーザ企業も、自社のスプレッドシート統制戦略を明確にして、何をITソリューションに求めるのか、開発元に要望をぶつけて行くべきです。そうすれば、開発元との議論の中で統制戦略が洗練され、同時に、実現手段が具体化する筈です。

製品が発展途上であるとしても、ユーザ企業が上記の問題に直面するのであれば、製品の導入効果を評価する価値が有ります。、「人手で本当に十分に統制できるか?」、「人手では却ってコストが掛かる事にならないか?」、「過剰統制とならない方策は無いか?」等、今後、継続的に統制を運用する上で、ユーザ企業が自問すべき時期に差し掛かっているのではないでしょうか?



【後記】

●前回の更新の際に消息不明となっていた米Compassoft社は、英Finsbury Solutions社に買収され、製品の開発及びサポートが継続される事になりました。

●今回リストに加えた製品以外にも、スプレッドシート統制に有効な製品を開発中だと管理人にお知らせ頂いている会社が幾つか在ります。次回のリスト更新が今から楽しみです。

*  *  *   以    上   *  *  *

| | コメント (0) | トラックバック (0)

「スプレッドシート統制の参考文献リスト」を更新しました!!

参考文献リストの掲載文献数を74点に拡充

当サイトの人気ページの一つに、「スプレッドシート統制の参考文献リスト」があります。その「スプレッドシート統制の参考文献リスト」を更新しました。

新たに、国内文献を6点、海外文献を11点追加し、日本公認会計士協会の改正された監査指針文書1点を更新しました。前回の更新で55点になった文献数は、今回の更新によって72点になりました。

Webブラウザから文献本体、書誌情報、購入案内等にアクセスできる文献は、リスト中の「タイトル」欄がリンクになっています。ご活用下さい。


アップデートと観点拡大の両面で強化

今回の更新では、最近の話題への追随と、観点拡大の両面から追加文献を選んでみました。

前者には、以下に示す文献の内、スプレッドシート統制に関する記述がある文献を記載対象としました。

  • 追加公開或いは改正された公的な指針文書
  • 所謂「J-SOX」の内部統制要求に関連する動向報告

後者には、スプレッドシート統制に関する以下に示す内容の文献を盛り込みました。

  • 規制当局の担当者による状況報告
  • 実践に基づく留意点の説明文書や事例報告
  • 今でも示唆に富む監査法人による解説の古典
  • ビジネスインテリジェンス視点での問題認識報告
  • 医療・製薬等の個別業界に於ける問題報告
  • 不正行為や情報漏洩に関する報告

尚、ITソリューションベンダが発行する文献にも、勉強になるものがありますが、特定製品の利用が唯一の正解の様に書かれている事が多いため、原則として除外しています。


「リソース集」の案内

スプレッドシート統制の参考文献リスト」の他にも、画面右側の「リソース集」欄に各種リストのリンクが在ります。個別の検討に先立つ情報収集や、先行研究の調査に、お役立て下さい。

また、「スプレッドシート統制の参考文献リスト」に掲載すべき文献の推薦も受け付けています。その他のリストも同様です。お気軽にご連絡下さい(管理人へのメール)。


* * *  以  上  * * *

| | コメント (0) | トラックバック (0)

「IT委員会研究報告第31号」(再改正版)の注釈

はじめに

2008年11月20日付けで、日本公認会計士協会(JICPA)から、IT委員会研究報告第31号『IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A』(以下、IT研31号という)の再改正版が発行されています。

この改正の一部として、「スプレッドシートに関する統制リスクの評価手続の留意点」に関する補足説明が、IT研31号に追加されました。この追加によって、IT研31号は、JICPAが公開している文書の中では、スプレッドシート統制に関する最も具体的な記述を持つ文書となりました。

以下に、IT研31号に追加されたスプレッドシート統制に関する記述(以下、「追加記述」という)を対象として、その追加の背景及び目的を掘り起こした上で、内容を吟味し、記述の意味を読み解いて行きます。加えて、「追加記述」を利用する際の留意点を確認し、記述不足の補完を試みます。


» 続きを読む

| | コメント (0) | トラックバック (0)

【図解】スプレッドシート統制に関するJICPA公開文書の系譜が一目瞭然!!

スプレッドシート統制に関するJICPA公開文書の系図・年表を公開

【図解】スプレッドシート統制に関する日本公認会計士協会の監査実務指針・監査研究報告の系譜」と題した一覧図を作成しました。謂わば、スプレッドシート統制に関する記述の有るJICPA公開文書の系図兼年表です。

先日公開した「スプレッドシート統制に関するJICPA委員会報告・調査報告の全体像」と題する記事で、日本公認会計士協会(JICPA)の公開している委員会報告及び委員会研究報告の内、スプレッドシート統制に関する記述を含む文書の全体像について書きました。

この記事の中で、公開文書の改正や置換え及び公表経緯を辿る事によって、文書間の関係を確認してみました。しかし、書いている最中から、文章だけでは、文書の系譜や関係が、どうにも分かり辛いと感じました。

そこで、作成したのが、今回公開する一覧図です。

スプレッドシート統制に関するJICPA委員会報告・調査報告の全体像」を読む際に、この一覧図を一緒にご覧下さい。きっと、当該記事が、格段に分かり易くなると思います。

<<以下のリンクをクリックすると一覧図を表示>>
【図解】スプレッドシート統制に関する日本公認会計士協会の監査実務指針・監査研究報告の系譜



【「スプレッドシート統制 研究室」ワンポイント利用案内】
トップ画面の右側に配置した「クイックアクセス」欄の「記事目次」を使うと、「スプレッドシート統制 研究室」の全ての記事の一覧表を表示します。記事概要を読んで、興味が有ればタイトルのクリックで、記事に一発アクセス。ご利用下さい。

*  *  *   以    上   *  *  *

| | コメント (0) | トラックバック (0)

スプレッドシート統制に関するJICPA委員会報告・調査報告の全体像

はじめに

日本公認会計士協会(JICPA)は、会員である公認会計士に向けて、実務指針を初めとする多数の文書を発行しています。財務報告に係る内部統制の整備・運用・評価に携わる立場であれば、公認会計士でなくとも、これらの文書の恩恵に預かっていることでしょう。

しかし、沢山の文書が公表され、頻繁に改正されるため、しばしば、参照すべき文書を特定できなかったり、旧版を参照してしまうという様な問題が起きます。文書間の関係、或いは、個々の文書の位置付けが、分かり易いとは言えない事も一因です。

スプレッドシート統制に関する記述の有る文書(以下、「スプレッドシート統制記述文書」という)も例外ではありません。例えば、皆さんは、以下に示す質問に、自信を持って答える事ができますか?

  • どの文書にスプレッドシートに関する記述があるのか?
  • 各文書には、どんな指針や参考情報が示されているのか?
  • 最新版は何時発行された文書か?
  • 最新版によって置き換えられた文書はどれか?

以下に、JICPAがこれ迄に公表した「スプレッドシート統制記述文書」を対象に、2009年3月7日時点に於ける最新版の構成及び内容を示し、その系譜及び公表経緯を辿りる事によって、文書間の関係を整理します。


» 続きを読む

| | コメント (0) | トラックバック (0)

スプレッドシート統制関連ソフトウェア製品の傾向2008.10

突然の訃報にリスト更新

スプレッドシート統制専用のITソリューションを開発及び販売していた米国のCompassoft社が倒れてしまった様子です。

EuSpRIGのメーリングリストに第一報が流れ、同社HPにアクセスしようとしたところ、"Bad Request (Invalid Hostname)"と素っ気無く表示されるばかり。ソフトウェアベンダには、M&Aの対象となる例が多いのですが、2008年10月25日現在、依然として、M&Aの発表もありません。

【追記】2009年2月に、同業の英国Finsbury Solutions社がCompassoft社を買収し、同社の製品の開発及びサポートが継続されることになりました。

詳しくは後述しますが、Compassoftは、この分野では存在感のあるベンダだったので、とても残念です。同時に、この分野の発展を考えると、管理人も少し不安になりました。

スプレッドシート統制ソフトウェア製品リスト」の更新と、「Excel代替・補完ソフトウェア製品リスト」の追加公開は、実は、この「事件」が切っ掛けでした。

以下に、この2つのリストを編集していて気付いた、スプレッドシート統制用関連ソフトウェア製品の傾向を、2008年10月時点の最新動向を織込みながら概観します。


» 続きを読む

| | コメント (0) | トラックバック (0)

ITを活用したスプレッドシート統制の検討材料を追加

ソフトウェア製品リストの改訂・関連リストの追加

Excel代替・補完ソフトウェア製品リスト」を公開しました。画面右側にある「リソース集」欄にリンクを配置してあります。さらに、同じ「リソース集」欄にリンクのある「スプレッドシート統制ソフトウェア製品リスト」を改訂しました。

是非、これらのリストを眺めてみて下さい。「スプレッドシート統制にも、結構沢山のITソリューションがあるものだ。」と喜ぶか、「まだ、この位しか無いのか?」と嘆くか、皆さんはどちらでしょうか?

従来から公開している「スプレッドシート統制ソフトウェア製品リスト」は、Excelスプレッドシートの利用を前提として、その開発や運用を統制する事を目的とするソフトウェア製品を対象として、その製品名とベンダをリストしています。

一方、新たに追加した「Excel代替・補完ソフトウェア製品リスト」は、必ずしも、スプレッドシート統制だけを目的としている製品ではないが、Excelを代替するか、または、スプレッドシート統制の観点で、Excelを補完するソフトウェア製品を、同様にリストしたものです。

勿論、どちらもベンダのホームページ及び製品紹介ページへのリンク付きです。ITを活用したスプレッドシート統制を検討する際に、参考情報としてご活用下さい。

ベンダ提供情報の活用に関する基本姿勢

ソフトウェア製品のベンダから提供される情報は、自社製品の販売を目的としたものである点に注意が必要です。しかし、ベンダから提供される調査結果、製品利用事例、製品哲学等には、製品を購入しなくても、参考になる考え方が示されていますので、活用しない手はありません。

また、国産製品もあるものの、やはり、海外製品が数の上では多く、これらの製品に関する情報は、製品が開発された背景が異なる場合があることにも、注意を忘れないで下さい。類似法令でも国が違えば、要件も同じとは限りません。まして、自社とは異なる法令へのコンプライアンスを目的としている場合には要注意。違いを考慮した上で、先行事例として学ぶべきは学ぶことが大切だと思います。

リストの対象範囲についての注意事項

上記の2つのリストは、スプレッドシートまたはExcelを念頭に置いたパッケージソフトウェアとして販売されている製品を対象範囲としています。海外製品については、国内で販売元が無い製品を含んでいます。

現実のスプレッドシート統制には、これ以外にも、より汎用的なソフトウェアを用いる事も少なくないと思いますが、「スプレッドシート統制 研究室」以外から、十分な情報が得られるので、これらはリスト記載の対象外としてあります。

汎用的なソフトウェア製品が、スプレッドシート統制に役に立たない訳ではない点には、ご注意下さい。汎用も専用も原則的な要件は同じ。ただ、セル単位でのデータの扱いが必要な点等、Excelに固有な事情には、別途、手段を考えなければならない場合があるというだけです。その手段が、リストに記載されている位はあるのです。

*  *  *   以    上   *  *  *

| | コメント (0) | トラックバック (0)

スプレッドシート統制・EUC統制に関する資料集めはここから!!

「スプレッドシート統制参考文献リスト」を更新

画面右側に表示している「リソース集」欄にある「スプレッドシート統制参考文献リスト」を更新しました。

今回の更新では、スプレッドシート統制に関する指針・基準、論文、書籍、記事、プレゼンテーション資料等の参考文献12点を追加、同1点を削除(注1)しました。この更新により、参考文献リストに記載された参考文献は、55点になりました。

殆どの参考文献は、タイトルがURLリンクになっています。URLリンクをクリックすると、文献の本体、または、入手手続きのページにアクセスできます。

スプレッドシート統制、或いはEUC統制の整備、運用、評価、監査に関する調査・研究の第一歩となる資料収集に、このリストをお役立て下さい。


国産比率は漸増、ITに関する実務資料はこれから

このリストを2007年に公開した際には、記載文献は、英文文献ばかりでした。ところが、今回追加された参考文献12点の内、国内で発行された資料は、過半数の7点に上ります。これも、スプレッドシート統制、或いはEUC統制への関心の高まりを映していると言えそうです。

但し、Excelスプレッドシートの設計、保守及び監査、更に、ITを利用したスプレッドシート統制等、ソフトウェア開発技術や、Excelをはじめとするソフトウェア製品に関する知見を要する課題については、国内では依然として具体的な参考文献が少ない状況です。

ソフトウェア製品ベンダによる販促資料は国内でもあるのですが、一部雑誌記事を除いて、客観的な調査・研究の成果を報告する参考文献は、(金商法の内部統制監査対応が一巡する)今後に期待しなければならない様です。

今のところは、「スプレッドシート統制参考文献リスト」に記載の海外文献や、「スプレッドシート統制 研究室」の「スプレッドシート統制ソフトウェア製品リスト」、それに、「記事目次」に記載の記事を出発点としてご利用下さい。


注1: 削除した参考文献は、日本公認会計士協会の監査・保証実務委員会報告「財務報告に係る内部統制の監査に関する実務上の取扱い」の公開草案です。正式に承認された指針の発行に伴い、正式版と置換えました。


* * * 以  上  * * *

| | コメント (0) | トラックバック (0)

スプレッドシート統制の先にあるもの(2)スプレッドシートの「資産運用」

概要

企業内に散在するスプレッドシートには情報資産価値が集積されている。しかし、多くの場合、この情報資産を、業務或いは経営に幅広く役立つ価値として活用できていない。情報資産から、より高い価値を生む活用機会の拡大、即ち、「資産運用」を考えることが重要だ。その前提として、スプレッドシート統制が必要となる。スプレッドシート統制の先には、スプレッドシートが持つ情報資産価値を、業務や経営の革新につなげる「資産運用」がある。


論点

  • 内部統制監査への対応以外にスプレッドシート統制から得るものがあるか?
  • スプレッドシート統制の先に目指すべき目標は何か?

結論

  • スプレッドシート統制によって、スプレッドシートに集積された情報資産価値の活用機会を拡大できる。
  • スプレッドシートに集積された情報資産価値を、業務或いは経営に役立てる「資産運用」を目指すべき。

以下に、スプレッドシートの「資産運用」について、その対象となる情報資産価値の内容、活用機会の拡大により何が可能となるのか、前提となるスプレッドシート統制及びその実現に向けたアプローチを論じます。


スプレッドシートに集積された価値に注目すべき

エンドユーザにより開発される事も多いスプレッドシートの価値は、開発費用や無形固定資産として認識されていない場合が多いと考えられます。

しかし、実は、少なからぬスプレッドシートには、著作物と呼ぶに相応しい程の価値が詰まっています。多くのスプレッドシートが、以下に示す貴重な情報資産の集積である点に注目すべきです。

  • 他では入手できない、自社に固有の、収集及び入力に膨大な手間の掛るデータ
  • 専門性の高い、或いは独自の計算論理を含む計算式
  • 高度な業務知識に基づく、長年の最適化により得られたモデル

エンドユーザが、自らのプライドを賭け、こだわり抜いて改良或いはデータ収集を続けているスプレッドシートも少なくありません。そんなスプレッドシートには、「他では手に入らない」と自負して然るべき価値がある筈です。


» 続きを読む

| | コメント (0) | トラックバック (0)

代表的な指針文書のスプレッドシート統制に関する例示統制を一覧・比較

誰しも考える事の共有:例示されている統制は指針文書によってどう違うのか?

エンド・ユーザ・コンピューティング(EUC)、或いはスプレッドシートの統制に関する指針を示す文書(以下、指針文書という)が、国内外で幾つも発表されています。それらの指針文書は、いずれも、典型的な統制の例示を読者に提供しています。

皆さんも、スプレッドシートを利用する業務或いはスプレッドシートのライフサイクルを評価するときや、必要な統制策を検討する際に、これらの指針を参考やガイドラインとして活用している場合も少なくないと思います。

そんな時に、以下に示す様な点を確かめたいと思ったことはありませんか?

  • 統制文書は、どんな統制内容を例示しているのか?
  • 例示する統制の構成に、統制文書間で、どんな違いがあるのか?
  • 国内で発行されている統制文書と、海外で発行されたものに違いはあるのか?

該当する方の為に、「スプレッドシート統制に関する指針文書比較 (例示統制の構成を比較)」を公開してみました。リンク先の一覧表で、画面幅いっぱいに、各指針文書が示す統制構成を一覧及び比較することができます。

比較対象は、2008年4月現在時点に於いて、スプレッドシート統制に関する国内外の代表的な指針文書と考えられる以下に示す4点です。


注1: 関係者によると、2008年4月現在時点では試案の位置付け。

注2: 原題は、"COBIT for SOX"と略称される"IT Controls for Sarbanes and Oxley 2nd. Edition"。上記タイトル及びURLリンクは、日本ITガバナンス協会による日本語訳。

注3: 原題は、"The Use of Spreadsheets: Considerations for Section 404 of the Sarbanes-Oxley Act*"。



【後  記】最近は、内部統制に関する取組みに於いて、リスク・ベースの考え方を採用することが大分一般的になってきました。その一方で、統制策のリストを用いると、「コントロール・ベース」の悪しき慣行の様に言われることがあります。本当にそうでしょうか?大切なのは、合目的々な作業計画かどうか。効率的且つ効果的に目的達成を図ることができれば良く、統制リストも必要に応じて使えば良い筈。

管理人も、リスク・ベースの考え方を推奨して来たので、その普及は嬉しいのですが、上述の混乱については、問題と感じています。


*  *  *   以    上   *  *  *

| | コメント (0) | トラックバック (0)

「スプレッドシート統制 研究室」開設一周年:この一年間の動向を振り返って

スプレッドシート統制認知の年

「スプレッドシート統制 研究室」のオープンから、今日、2008年3月28日で、ちょうど一年が経ちました。早いものです。ご支援頂いた皆様、有難うございました。

管理人は、以前に書いた記事(「国内Webサイトはスプレッドシート統制をどう伝えているか?」)の中で、2006年を、国内に於ける「スプレッドシート統制の元年」と位置付けました。「スプレッドシート統制 研究室」の公開は、その翌年に当たる2007年の3月28日でした。それからの一年を振り返ると、「スプレッドシート統制認知の年」だったと思います。

以下に、これまでのスプレッドシート統制に関する動向を整理すると共に、その傾向と今後の予想、残された課題について、眺めてみたいと思います。

» 続きを読む

| | コメント (0) | トラックバック (0)

スプレッドシート統制指針にも国産時代が到来?

純国産の指針文書現る

2008年2月27日付けで日本CFO協会から、「企業の経理財務業務におけるスプレッドシート管理指針 - スプレッドシート利用のための規定と管理モデル -」(以下、「管理指針」という)が発表されました。

意外と知られていない様子なので、「スプレッドシート統制 研究室」で、改めて、お知らせ致します。

「管理指針」は、NTTビジネスアソシエ(間接業務アウトソーサ)、新日本監査法人、マイクロソフト、日本CFO協会の共著です。金商法が求める内部統制の一部と位置付けられるスプレッドシート統制を対象とした、純国産の指針文書です。

純国産というのは、その内容が、SOX法を対象として発行された海外の指針文書を単純に流用したものではないという意味です。金商法の内部統制が、SOX法とは異なる方針を採用している以上、スプレッドシート統制の指針についても、国内での指針が検討されるべき筈です。「管理指針」は、この課題にどこまで対応できているでしょうか。

「管理指針」には、結局、何が書かれているかというと、以下の2点に要約する事ができます。

  • 統制対象とするスプレッドシートを選択する手法
  • スプレッドシート区分別の想定リスク及び「管理規定」(注)の構成例

以下に、この興味深い「管理指針」の概要と意義、特長、改善が求められる点等を概観してみます。

注: 「管理規定」には、何故か、統制のテストを示す様な表現で記載されていますが、内容は、管理規定というよりも、統制策または統制目標といったところ。

» 続きを読む

| | コメント (0) | トラックバック (0)

「スプレッドマート」を巡る議論に学ぶ(2)
明快な問題整理と落とし穴

概要: Microsoftの製品責任者の問題認識と潜在する落とし穴

今回は、データの管理及び活用に関する専門誌である米DM Review誌2007年9月号の"SQL Server Executive"欄に掲載された記事から、「スプレッドマート」の問題と対策に関する興味深い論考を紹介します。

この記事の題は、「スプレッドマートが問題なのではない」(注1)、執筆者は、Bill Bakerです。Bakerは、米Microsoftで、ビジネスインテリジェンス(BI: Business Intelligence)ソフトウェア製品の責任者(General Manager)を務める人物です。

Bakerは、この記事の中で、我々が、「スプレッドマート」及び「スプレッドシート統制」の問題を整理して、周囲に説明する際に役立ちそうな考え方を示しています。

Bakerは、まず、とても簡単なマトリクスを用いることによって、「スプレッドマート」の問題を、実に明快に整理しています。

また、Bakerは、個々のユーザが、Excelを用いて、自らの問題を解決しようとする際に発揮する創造性に着目しています。この創造性を損なう事無く、「スプレッドマート」に関する問題が解決できると主張しています。

Bakerは、さらに、ユーザの創造性を組織的に活用する事迄も構想しようとしています。

以下に、これらの要点を説明し、一見すっきりと問題を整理したかに見えるBakerの主張に対して、「『スプレッドマート』を巡る議論に学ぶ(1) 『マネージドBI環境』の限界」で示した問題切分け方法を応用して、Bakerの議論に潜在する落とし穴を検討します。


問題と可能性を切り取るマトリクス

Bakerは、BIの利用形態を、下図に示す2つの軸で分類しています(下図は、記事中に掲げられた図を、管理人が分かり易くなる様に改良したもの)。

BIの利用形態: 問題と方法の組合せ

図1 BIの利用形態: 問題と方法の組合せ

縦軸は、BIを用いる対象となる問題が、会社や部門等の組織内で共有されている問題か、個人の問題かによる切り口です。横軸は、問題の解決に用いられるBIのプロセスが、個人が自由に選択できるものか、組織内で標準化されたものかを示しています。

この図は、とても簡単なものです。しかし、その簡単な図が、Bakerが示そうとしている考え方を、実に分かり易くしてくれています。

» 続きを読む

| | コメント (0) | トラックバック (0)

「スプレッドマート」を巡る議論に学ぶ(1)
「マネージドBI環境」の限界(後編)

『スプレッドマート』を巡る議論に学ぶ(1) 「マネージドBI環境」の限界(前編)」では、「スプレッドマート」及びその問題とは何か、どんな対策が提言されているかを、元祖「スプレッドマート」のEckersonによる調査報告書をガイドにして概観しました。

後編となる今回は、Eckersonが、「スプレッドマート」の問題に対する推奨策として提言する「マネージドBI環境」の問題点に迫ります。

尚、前編を未読の方には、まず、「『スプレッドマート』を巡る議論に学ぶ(1) 「マネージドBI環境」の限界(前編)」を一読することをお奨めします。


「マネージドBI環境」の何が問題か?

「スプレッドマートを管理する為の戦略: マネージドBI環境への移行」(注)は、これまで見て来た様に、興味深い調査結果も多数記載されており、示唆に富む文献です。しかし、「マネージドBI環境」の実現によって、「スプレッドマート」の問題が解決できるとするその主張は、大切な点で、重大な問題を抱えていると言わざるを得ません。

さて、「マネージドBI環境」の実現による「スプレッドマート」問題の解決の何が問題なのでしょうか? 以下に、問題の構造を読み解き、処方箋を探ってみます。

» 続きを読む

| | コメント (0) | トラックバック (0)

「スプレッドマート」を巡る議論に学ぶ(1)
「マネージドBI環境」の限界(前編)

「スプレッドマート」の問題は必修科目

今回は、データ管理及びデータ分析の分野から見たエンドユーザコンピューティング(EUC: End User Computing)の問題について、「スプレッドマート」(Spreadmart)を巡って展開されて来た議論を辿ってみたいと思います。

「スプレッドマート」の問題の多くは、「スプレッドシート統制」上の問題と同根です。従って、「スプレッドマート」に関する議論には、「スプレッドシート統制」に関する取組み、及びその先の姿を構想する上でも、示唆に富むものが少なくありません。

その一方で、「スプレッドマート」の問題を巡る議論には、「スプレッドシート統制」に関する取組みに於いても留意すべき重大な問題点もあります。

「スプレッドシート統制」に取り組もうとする際には、同時に、同根の問題である「スプレッドマート」への対策との関係についても問われることが予想されます。また、「スプレッドシート統制」の全体構想を検討する上でも、「スプレッドマート」の問題を、考慮せざるを得ない筈です。

以下に、「スプレッドマート」及びその問題とは何か、それを巡ってどんな議論が展開され、どんな対策が提言されているのかを、元祖「スプレッドマート」の手による最新の調査報告書をガイドにして見て行きます。


» 続きを読む

| | コメント (0) | トラックバック (0)

「スプレッドシート統制」の先にあるもの(1) 「マネージドEUC」

概要

「スプレッドシート統制」は、仕方無しに制度対応を行うだけで終わるのか、或いは、情報システムの効果的で効率的な開発及び運用を目指すのか? ニーズに即応できない情報システム部門に大政奉還しても、問題は解決しない。短期的には、内部統制監査対応を優先する必要があっても、その先に「マネージドEUC」(Managed End User Computing)の実現を追求する事が、継続的で実効を伴う管理及び統制につながる。それは、同時に、情報システムの活用形態として、企業に新たな改革機会をもたらすのではないか?


論点

  • 「野放しEUC」にどう対処すべきか?
  • 「スプレッドシート統制」の先に何を求めるべきか?

結論

  • 「野放しEUC」を、「マネージドEUC」へ変革することを、「スプレッドシート統制」のグランドデザインとすべき。
  • 内部統制強化に対する経営者の支持が得られる今こそ、部門横断的な「マネージドEUC」の実現を提言する好機。

以下に、「マネージドEUC」の背景、コンセプト、利点、特徴、要件等を論じます。

» 続きを読む

| | コメント (1) | トラックバック (0)

グランドデザインに必要なコンセプト提案の公開予告

スプレッドシート統制の終着点が描けているか?

「スプレッドシート統制 研究室」を訪れる方の殆どが、金融商品取引法による内部統制監査に対応することを目前の課題としていると思います。当該監査対応ができた後には、何が残るのでしょうか? 単に、監査で問題指摘を受けないことだけが、目指すべき成果なのでしょうか?


グランドデザインに必要なコンセプト提案を公開

「スプレッドシート統制 研究室」の管理人は、スプレッドシート統制の先に、何通りかの、情報システムのより良い開発及び運用の仕方を実現することを思い描いています。

トップの指示を得て、部門横断的な取組みができる機会は、なかなか得られません。当面は、監査対応を優先せざるを得ないにしても、在るべき姿を示すグランドデザインを描き、関係部門との基本合意を得て置く好機ではないでしょうか。

2008年の念頭に当たり、スプレッドシート統制の先にあるもの、スプレッドシート統制の終着点について、幾つかのコンセプトを、何回かに分けて書いてみたいと思います。


初回は「マネージドEUC」を提案

近日公開予定の初回では、「マネージドEUC」(Managed End User Computing)を提案します。管理人は、「マネージドEUC」は、昨年話題になった「Excelレガシー」問題の視点からも目標に設定されるべき概念だと思います。

今後提案するコンセプトは、いずれも全ての企業に当てはまるものではなく、未完成な点もあると思います。しかし、議論には叩き台があった方が良いと考え、敢えて皆さんに問い掛けてみるために公開してみることにしました。記事をお読みの上、ご意見がある方は、お気軽に、コメントをお寄せ下さい。

尚、「マネージドEUC」は、普通に言葉を並べただけですが、恐らく、一般的に共有されている概念ではなく、Googleで検索してもヒットしない様なので、管理人の造語になると思います。


*  *  *   以    上   *  *  *

| | コメント (0) | トラックバック (0)

«経団連調査に見るスプレッドシート統制実務に関する問題