对于企业安全来说，如今的电子表格就如同洪水猛兽一般，尽管它们看起来是那么的无辜——只是一些行列、数字和公式而已。如果没有严格的控制，电子表格上的数据可能会给企业带来毁灭性的打击。而且，同样的假设也适用于任何员工用来追踪、计算、存储和汇报信息的应用软件。

　　大部分企业都大量使用终端用户计算应用，即EUC（end-user computing applications）。这些应用通常由诸如微软Excel、Access和SAS之类的常用工具构建而成，用于进行各种简单或复杂的计算。除此之外，企业还用这些应用来进行财务计算、战略开发和业务分析。

　　不幸的是，EUC类软件从本质上来说是缺乏控制的。即便是在管理最为严格的企业中，EUC的开发和使用也缺少文档记录、测试和管理。

　　从2010年开始，Fannie Mae开始对EUC软件进行梳理。基于Mae手头复杂的基础架构，我们知道传统的管理方法无法达成预期的目标——对创建EUC的用户进行限制、强制所有的EUC开发都经过技术部门或者对所有EUC加以统一的控制都注定会以失败告终。因此，我们试图在EUC所带来的价值和风险之间达成一种微妙的平衡。

　　EUC应用的质量和风险控制

　　我们知道终端用户需要不停地创建EUC软件，而在服务于公司业务目标的前提下，Mae的技术团队也需要和用户一起来推进EUC的开发、测试和控制工作。对于具有类似情况的企业，我们的方法都是有效的。

　　我们主要从下面几个角度开展工作：

　　了解自己企业的环境和文化

　　充分评估风险，制定简单明了的规则

　　提供新的工具和服务，让终端用户在合规的前提下更加轻松地处理所需信息

　　首先，我们整理出了所有EUC软件的目录，以此作为评估的基础。随后，我们同业务团队一起紧密合作，为所有EUC标识出风险级别并为每种风险级别制定相应的控制方法。比如，相比那些用于内部数据处理的应用，与财务相关的EUC就处于更高的风险级别，因而需要更严格的控制。

　　在开发和管理EUC方面，我们还为终端用户提供了更高级的功能和自动化控制机制。我们与IBM一起在密歇根州的East Lansing建立了一个集中化的EUC“工厂”。该组织其实就是一个IBM的团队，接受Mae的IT部门管理，主要致力于评估、开发、提升和支持EUC软件。

　　在该工厂中，EUC基于我们制定的标准而构建，并且在投产前经过充分的测试，上线之后由IBM进行运维。虽然并未要求所有EUC都由这里出产，但是我们已经通过实践证明了这样做的价值：错误率降低、控制更加完善以及效率不断提升。

　　我们还同IBM一起简化EUC环境，比如是否能融合到大型应用中或者何处有提升的空间。同时，我们还帮助终端用户更新到高级的分析和汇报工具–在设计中就强调了对数据的严格控制。

　　最终，通过以上针对EUC的工作，我们帮助Mae构建了一个更加有效、管控更严格的环境。我们已提升了25%的EUC软件，以最小的投资达成了更完善的风险管理。

　　对于那些拥有不同用户和合作伙伴的大企业来说，应该在EUC管控方面做出开拓性的贡献。基于正确的EUC战略，企业将更具弹性，管控将更加完善并且环境也会随之而简化——驯服电子表格这头野兽将使你受益匪浅。