先日のEUC統制のエントリーでは管理責任部署がユーザー部門になる点にEUC統制の特徴=難しさがあるということと、EUCに対して何らかのリスク対応をしなければならないという前提のもと、EUC統制において情報システム部門とユーザの役割分担を次のように捉えるのが現実的な対応であると説明しました。
- 情報システム部門が、会社としてEUCに関する取扱いのポリシー(原理原則)を定めること
- ユーザ部門が、そのポリシーに従ってシステムを構築・運用すること
今回は金商法における内部統制評価報告制度(J-SOX)を前提に、社内に多く存在するスプレッドシートなどをどのような考えで整理(棚卸)し、統制対象を見極めるのが良いか検討をします。
EUCの統制対象を絞り込むステップ
まずは全体のステップからです。社内のいたるところに存在するスプレッドシートなどを漏れなく把握し、そこからEUC統制の適用範囲を段階的に絞り込むには、次のようなステップを踏むと思われます。
- 業務プロセスで利用するEUCを抽出する
- そこから財務報告プロセスに関連するEUCを抽出する
- さらに評価対象として識別された業務プロセスに関連するEUCを抽出する
- 最後にEUC統制の適用対象とすべきEUCを特定する
まず、ステップ1として会社全体の業務で利用しているスプレッドシートなどをピックアップします。ステップ2では、金商法における内部統制の目的である財務報告に絞りますので、そこから取引の開始から財務報告に反映されるまでの一連の業務処理過程で使用されているスプレッドシートなどをピックアップします。さらにステップ3で、そこから業務プロセスに係る内部統制の評価範囲とした業務プロセスで利用しているスプレッドシートなどをピックアップします。ここで評価範囲とする業務プロセスは具体的には次の2種類を指します。
- 事業目的に関連する勘定科目に至る業務プロセス
- 個別評価対象として追加した業務プロセス
前者は売上、売掛金、棚卸資産など事業目的と関連の深い主要な勘定科目の計上に至るプロセスを、後者は財務報告の虚偽記載リスクが高いとして評価対象に加えた個別の業務プロセスで、例えば経営者の予測・見積要素が入る各種引当金勘定(いわゆる決算財務報告プロセスの個別勘定)などを指します。
そして最後にステップ4で財務報告の虚偽記載リスクとの関係で重要なEUCを特定します。
管理対象とすべきEUCを棚卸するには
ここで統制対象とするEUCを絞り込むためには、まず現在利用しているEUCを「棚卸」しなければいけません。確かに理論的には上記4つのステップを踏むのですが、現実的に上記1や2の作業を実施するのは大変な労力が必要で、また個人的なワークシートなど会社の資産として管理する必要がないファイルもあると思います。
そこで考え方としてはステップ3の業務プロセスに係る内部統制の評価範囲とした業務プロセスで利用しているスプレッドシートなどからスタートすることをおすすめします。
これはJ-SOXの評価対象としている業務プロセスの場合、その評価目的で業務プロセスや点検シート(チェックリスト)が文書化されていて、その中で記載されているEUCを順に拾っていけば自然と漏れなく情報収集することができるからです。
棚卸したEUCを管理台帳に記載する
上記で棚卸したEUCは財務報告目的の観点から会社として管理すべきEUCとなります。複数の部門・業務プロセス・共有のドキュメントサーバー/ローカルPC・・・と広く社内で存在するために、それを一元的に管理しておくことも必要になってきます。下記はEUC管理台帳の例で、EUC管理責任部署として各ユーザー部門ごとに作成します。
EUC管理台帳
| No | 連番 | |
|---|---|---|
| 区分 | エクセル | 該当すればチェック |
| アクセス | 該当すればチェック | |
| EUC名 | ファイル名を記載 | |
| EUCに関連する業務プロセス名 | 関連する業務プロセスを記載 | |
| 影響 | 仕訳関連 | 該当すればチェック |
| 連結関連 | 該当すればチェック | |
| 開示関連 | 該当すればチェック | |
| 関連勘定目 | EUCが影響を及ぼす財務諸表上の勘定科目 | |
| EUCの機能・処理内容 | EUCの概要を記載 | |
統制対象のEUCを特定するには
ここまでで、管理対象とすべきEUCがリストアップされましたが、最後に財務報告の虚偽記載リスクとの関係で重要なEUCを特定し統制対象として絞り込みます。
スプレッドシートなどを含むEUCではワープロ的な使い方から四則演算、複雑な関数、自動計算のようなプログラム処理を行うものまで、その使い方は様々です。J-SOXにおいては自動化された業務処理統制等についてITの全般的な統制を整備・運用することを求めていますが、EUCにおいても同じようなIT特有のリスクが存在する場合には全般統制を考慮することが必要となります。
統制対象の絞り込み
考え方としては、業務プロセス上のリスク・コントロールとの関連で次の2つを統制対象とします。
-
-
- 管理対象EUCのうち、 決算財務報告プロセスで 利用しているもの
- その他業務に属するEUCのうち、 キーコントロールで利用する 情報の生成に直接関連するもの
-
上記2つとしたのは、1については決算処理手続・連結財務諸表の作成などではスプレッドシートが広く利用されており、一般に財務諸表の記載事項に直接的な影響を与える可能性が高いこと、2についてはキーコントロールとの関連で当該処理に大きく依存していることが理由です。
統制対象EUCのランク分け
管理対象としたEUCは全て部門内の共有資産として管理し、それぞれEUCの取扱いルールで定めた統制目標を満たすことが望ましいのですが、前述したようにワープロ的に使用したり、単純な四則演算のみ(電卓代わり、手作業と同等)のレベルでかつ担当者の個人PCで管理しても問題がないと判断できるもあります。そこで、EUC統制については一律に全般統制的な運用を求めるのではなく、その重要度に応じて統制目標を設定する方法が考えられます。下図AとBによるランク分けは内容と利用状況から切り分けている例です(ここは企業の実情に応じて基準を設定するところです)。
EUC管理台帳(つづき)
上記、統制対象のEUCを特定した過程をさきほどのEUC管理台帳に追加します。
| 統制対象 | 決算財務報告プロセス | 該当すればチェック |
|---|---|---|
| その他業務プロセス上のキーコントロール | 該当すればチェック | |
| ランク | (対象となった場合)AまたはB |
EUC管理台帳を利用した評価
EUC統制の評価は、EUC管理台帳上で統制対象の絞り込み・ランク分けを実施し、それぞれ評価項目に対して運用状況を確認していきます。管理責任部署ごとにある時点でまとめて、又は業務プロセス統制の運用テストを実施する時に合わせて、EUC統制の評価も実施するのが効率的と思われます。もし、実施できていない(EUCの管理基準を満たしていない)場合は、改善の対象となります。なお、EUC統制の評価項目については、日本公認会計協会から公表されている委員会報告などが参考になりますので、ここでは割愛していますが、一般的に「検証」「アクセス制御」「バックアップ」「文書化」がキーとなるチェック項目です。ランク付けのところでも触れましたが、社内のEUC取扱い方針において、例えばランク分けの結果、Aの区分に該当する単純で個人使用レベルのEUCに該当するものの統制目標は「検証」のみとするなどメリハリをつけると運用しやすくなります。
