基本情報 平成27年度 春期 問69：ストラテジ系に関する問題

答えは a「作成者と利用者が同一であること」です（※公式解答に従う）。

スプレッドシート（Excel等）の処理ロジック監査では、誰が作って誰が使うかを管理することが基本チェックポイント。

もし作成者と利用者が異なるなら、ロジックの意図がきちんと伝わるよう文書化されているか、間違いがないか確認が必要です。「同じ人が作って使う」状況なら、少なくとも“誰が責任を持っているか”は明確になります。

👉 覚え方：エクセル業務は「誰が作って誰が使うかを管理」が監査の出発点。

ほかの選択肢：b バックアップ＝可用性／c 文書化＝重要だが本問の選択肢では a が指定／d 文字化け。

なぜこれが正解か

正解は a（公式解答に従う）。エンドユーザコンピューティング（EUC）におけるスプレッドシートのリスク管理では、「作成者と利用者の管理」が処理ロジックの正確性を担保する基本コントロール。同一人物が作成・利用する場合は意図の伝達誤差がなく、ロジックが業務に即している可能性が高い。

各選択肢の解説

• b バックアップ：可用性・完全性の観点。処理ロジックの正確性とは別軸。
• c 内容文書化と検証：処理ロジック正確性の重要要素だが、本問では選択肢aが公式正解。
• d 文字化け選択肢。

覚え方・ひっかけ注意

スプレッドシート監査の主要観点：(1) 作成者・利用者・承認者の明確化、(2) バージョン管理、(3) 計算式の保護（セルロック）、(4) 検算・サンプリングテスト、(5) バックアップ。「処理ロジック正確性＝作成・利用責任の明確化と検証」と紐付けて記憶。

理論的背景

EUC（End-User Computing）リスクは、IT部門外で業務遂行のためにユーザが構築するスプレッドシート・データベース・スクリプトに固有のリスク。米国でのJ-SOX前身であるSOX法（2002年）以降、EUCツールも内部統制の対象となり、特に財務報告関連スプレッドシートは「EUCツール」として識別・統制が義務化された。代表事例：JPモルガンチェースの「ロンドン・ホエール事件」（2012年・60億ドル損失）はExcelの集計式バグが一因とされる。

実務での使われ方

EUCリスク管理のフレームワーク：(1) インベントリ化（重要スプレッドシートの棚卸し）、(2) 格付け（リスクベースで重要度分類）、(3) コントロール実装（アクセス制御・変更管理・検証・ログ）、(4) 継続モニタリング（定期レビュー）。専用ツール（ClusterSeven、CIMCON XLAuditor等）でスプレッドシートの依存関係・変更履歴を可視化する例も多い。

近年は脱EUC（Microsoft Power BI、Power Automate、Tableau、kintone等）の動きが加速し、ガバナンス強化と業務効率化を両立する流れ。「シチズンデベロッパー」概念の普及でローコード開発が主流化。

試験での位置づけ

システム監査・内部統制分野の頻出論点。基本情報・応用情報・システム監査技術者・公認情報システム監査人（CISA）で出題。J-SOX関連の「IT業務処理統制（ITAC）」「IT全般統制（ITGC）」と関連する。

選択肢の発展補足

• 作成者・利用者の責任分界（a）：RACIマトリクスで責任明確化が基本。
• バックアップ（b）：可用性確保。OneDrive・Google Drive等のクラウド保存で世代管理を自動化する例が現代的解。
• 文書化と検証（c）：仕様書添付、計算式コメント、テストケース、ピアレビュー、ベンチマーク比較。
• 関連リスク：(1) シャドーIT（IT部門が把握しないツール）、(2) シングルポイントオブナレッジ（特定個人依存）、(3) バージョン散乱（最新版不明）、(4) ロジックエラー（数式バグ、参照範囲ミス）、(5) コピペ事故。