管理系部門がIPO準備でやること Part.07 - IT・情報システム編 その１ ／概要 -

　「管理系部門がIPO準備でやること」について、数回に分けて説明・ご紹介しています。前回は「管理系部門がIPO準備でやること Part.06 - 知財管理編 -」を説明しました。
今回は情報システム編・その１です。
　なお、IPO準備期に情報システム担当が担っていただく業務範囲は広く、また細かく多岐にわたりますので、ポイントを絞りつつ、数回に分けて説明したいと考えております。
　まずは概要から説明します。
（＊着手する順序は時系列ではないので、その点はお許しください。）
（＊約8分程度でお読みいただけます。）

IPO準備期での情報システム部門の立ち位置

　これまで管理系部門がIPO準備でやることを、部署ごとにご紹介しております。まだまだ続きます。こちらをお読みの皆さんのなかでも「まだ、私の部署のことが出てきていない」と思われているかもしれません。もう少々お待ちください。
　今回は、情報システムについてご紹介します。

　皆さんの会社の中で、情報システム部門を他の部門から独立して設置していたり、管理系部門の中、または、分けているが管理系部門の部門長が情報システム部門長を兼務していたり、いろいろ組織上のかたちを取られているかと思います。また、その情報システム部門のメンバーについても、元はシステムエンジニアとして熟練の方がいたり、アプリケーションについての知識が深いが情報システムに関する業務自体は未経験に近い方や、他の業務と兼務している方などがいたりするかもしれません。その、どのかたちであっても、私は良いと思いますし、まったく正解というかたちは無いものと考えます。

　特にIPO準備期において情報システム部門または情報システム担当の方は、これまで私が説明してきました他の部署とは違い、「普段の業務＋IPO準備のための業務」ではなく、普段の業務の一環としてIPO準備の業務に携わっていただく、というかたちになります。そのため、一概に「システム関連の経験が必要である」とか「システム、情報セキュリティの知識が豊富である」ことが前提になる職種ではなく、仕事の進め方がシステマティック（ systematic / 体系的、計画的）であることが必要かと考えますので、これからその説明していきます。

　先の説明のとおり、どの部署でもIPO準備中は「普段の業務＋IPO準備のための業務」というかたちになり、その分、業務上の負担となってしまい、そのような意味で「辛い経験」をしたとおっしゃる方が多いと思います。情報システムの方でも「大変だった」とおっしゃる方がいますが、よく聞いてみると、例えば内部統制のうちIT統制の準備時期にたくさんの証憑（システム環境に関する資料、情報システムへのアクセスログデータなど）の提出要求があったとか、IT統制のチェックリストを作成する時期に、各種システムの使用状況、業務マニュアルと実務の整合確認のためのヒアリングに多くの時間を割いた、というもので、これ自体は普段の業務の一環として情報システムの方が把握しておくべき情報内容なので、IPO準備期だから必要というものではありません。逆に普段の業務としてこのような情報内容を把握していたら、さほどのご苦労は無かったでしょう。

　ちなみに、以前私は「IT統制とISMS認証」を説明しました。ここで私は「ISMS認証取得されている企業はIPOを検討・準備するにあたり、比較的検討・準備しやすくなります」と説明しています。この理由は、ISMS認証取得の審査の際の資料と、先のIT統制の準備時期に証憑には、高い親和性があることです。さらに言いますと、この資料と証憑は、じつは情報システムの方が普段の業務の一環で “ 持っているべきデータ ” なのです。そのため、情報システムの業務担当として最適な方は、あえて申しあげますと、情報システム担当としての業務の一環として普段から持っているべきデータを、適切に管理し、必要に応じてPickupすることができる手段を持ち、可視化している方だと考えます。

　話は外れましたので、元に戻しましょう。

　情報システムの方は、普段の業務の一環としてIPO準備の業務に携わっていただくと説明しましたが、それではそのIPO準備期において、情報システムの方はどのような立ち位置でIPO準備メンバーとして携わるのでしょうか？
　それは、IPO準備のほぼすべての準備タスクに常に携わっていただくが、「社内の全業務に関する情報の引き出し」としてのサポートメンバーとしての立ち位置です。その理由は、次の段落で説明します。

情報システム担当は「社内の全業務に関する “ 情報の引き出し ” 」

　会社の全業務に、必ずパソコンを使用します。
　会計システムはもちろん、販売管理、在庫管理、原価管理、購買管理などで必ずパソコンと各業務のソフトウェア・アプリケーションを使用して業務処理や情報管理をします。そうなると内部統制の業務プロセスを構築する際、間違いなくPLCと並行して各業務のソフトウェア・アプリケーションに関するIT業務処理統制（ITAC）についても構築します。また財務報告プロセス（FCRP）を構築する際も、財務諸表は会計システムによって作成しますので、会計業務処理はこの会計システムを使用することから、ITACの観点からFCRPをみていく必要があります。ここでもITACが関わりますね。

　もうひとつ、IPO準備のタスクで「月次決算の早期化」は必須条件となりますが、これを進めるうえで、ここでも各業務を処理するうえでソフトウェア・アプリケーションを使用します。そうするとここでもITACを構築するため、当該各業務とソフトウェア・アプリケーションとの適合性や業務処理内容を検証することとなります。

　このように、会社の全業務において必ずパソコンを使用しますし、その全業務を処理するために各種のソフトウェア・アプリケーションを使用しますので、そうなると、情報システム担当は、必然的に、会社の全業務の流れとその内容を知る立場になるわけです。ここまで説明しますと、小見出しに挙げました「情報システム担当は、社内の全業務に関する情報の引き出し」である意図がおわかりになるかと思います。

　さて、私がこう説明しますと、情報システム担当は、IPO準備メンバーといってもメインメンバーに立っていただくほうが良いのではないか、と思われるかもしれません。それもひとつの方法ですが、私としては、メインメンバーではなく、IPO準備のほぼすべての準備タスクに常に携わっていただきつつも、「社内の全業務に関する情報の引き出し」としてメインメンバーのサポート役に立っていただくことをお勧めしています。実際に私もクライアント先でそのように実行しましたところ、とてもスムーズにIPO準備ができました。

　繰り返しになりますが、会社の全業務は、必ずパソコンを使用し、業務処理・情報管理をするうえで、各種のソフトウェア・アプリケーションを使用します。そのため、それらをシステム管理者として、また蓄積データの保管管理者として、日頃から業務処理をする情報システム部門／担当者の存在は重要ですし、今回の記事のテーマである、IPO準備期の準備メンバーとしても大変貴重な存在です。ただし、私のおすすめは、その情報システム担当を準備メンバーのメインではなく、ほぼすべてての準備タスクのサポートメンバーとして立っていただくことです。その理由は、IPO準備の全準備タスクを遂行していく際に、膨大な証憑／データを取り揃える必要がありますが、これらはすべて、情報システム担当が日頃の業務として把握・収集しておくべき証憑／データであり、これを適切に管理し、必要に応じてPickupすることができる手段を持ち、可視化する業務が情報システム部門／担当者の職務分掌ですので、これに専念していただく必要があるからです。

　ご存知のように、この証憑／データは、すぐに用意できるものではありません。また、量も多いことに並行してそのデータの質も問われます。例えば、情報システムのアクセスログ／トラフィックのデータは、その情報システムによってはほぼ全社員がアクセスするような場合、１日単位といえども膨大です。そのため、その生データを逐次Backupするようなことをせず、月次程度のBackupか、または万一インシデント発生時に、ピンポイントにそのインシデント発生前後のログを抽出することができるような手段を講ずることが求められます。

　またアクセス権限の少ない会計システムの場合でも、日次・月次のアクセスログ／トラフィックのデータはかなりの量となりますが、これを保管管理または保管管理するサーバの運用管理するのは、情報システム担当です。これは、その会計システムがSaaS等の場合、アクセスログデータは当該会計システムのベンダーで管理していますが、ITACの観点では月次程度で作業ログのBackupをとることが求められます。そのBackupデータは会社の任意のサーバに格納することになりますので、必然的に情報システム担当の管理下に置かれるためです。

　会社内で、万一インシデントが発生した場合、情報システム担当はこのインシデント発生前後のログを抽出する作業を実施しますが、これに長時間は掛けられません。しかし、これに長い時間がかかってしまう状況だったら、どうでしょう。情報システム業務が正常に遂行されているとは言えませんし、会計監査（財務諸表監査）はもちろん、上場審査においても、とても上場できるような体制、業務処理状況になっていないと判断されるでしょう。

　そこで、情報システム担当には、IPO準備ではかなり重要で貴重なメンバーではありますが、日頃の業務を圧迫・差し置いてまでIPO準備に携わっていただきたくはないのです。それに前述のように、日頃の全業務の業務処理に関するデータが不完全な管理の元で保管管理されてしまっては、会社の一大事です。まずは、IPO準備という意味だけではなく、会社の全業務を普段から円滑に使用できるよう、また社内の全業務に関する業務処理データを適切かつ完全に保管管理するための万全の業務処理体制を構築し、運営していただきたいと考えます。

　このように情報システム担当は、会社の全業務の業務処理データを把握し、これを理解していますので、IPO準備タスクを進めるうえで、データがあるか？どのように管理しているか？情報システムにアクセスできるユーザー管理、権限付与状況、その権限付与のための稟議制度があるか？など、さまざまな情報を持っているので、IPO準備メンバー自らが当該情報システムを都度確認する必要はありませんし、当該情報システムのベンダーに確認する必要もありません。それら社内の全業務の情報を把握・管理している情報システム担当に確認すれば良いのです。
　情報システム担当にはぜひともIPO準備メンバーのサポートメンバーの立ち位置で「社内の全業務に関する “ 情報の引き出し ” 」として、活躍していただきましょう。

他にもある！情報システム担当の役回り

　冒頭、この記事の紹介文章に「IPO準備期に情報システム担当が担っていただく業務範囲は広く、また細かく多岐にわたります」と記しました。私の経験上、内部統制・IT統制の評価担当を除き（＊）、IPO準備のほぼすべての準備タスクに携わっていただくこととなります。それほど頼りになる担当者です。逆に言えば、この情報システム担当の “ 縁の下の力 ” があるからこそ、会社の全業務が円滑に遂行することができ、この情報システム担当としての業務にその力を集中していただくことで、IPOが果たせる、と言っても過言ではないでしょう。
（＊情報システム担当がIT統制の評価監査を実施することはできません。自己監査になるからです。）

　ただ・・・本当にごめんなさい。
　IPO準備期に情報システム担当が担っていただく業務範囲はかなり広く、また細かく多岐にわたりますので、次回以降記事を数回に分けて、情報システム担当が担っていただく業務を説明します。しかし、かなり業務範囲が広く、多岐にわたるため、私の記事ではそのごく一部になりますが重要なポイントを絞ってPickupして、少々深掘りしたいと考えています。

　また、次回以降で触れますが、IPO前後でこの情報システム担当または情報システム部門は、その組織上の立ち位置、メンバー構成、担うべき業務分担などが大きく変化します。ここではその会社の規模や業績内容、さらに業種・業界等さまざまな会社の経営環境にもよりますが、情報システムに関する業務の内製化が一段と難しくなる状況が出てきますので、一部業務の外注化等を検討することも必要になるでしょう。特に情報セキュリティーあたりは相当難しいものと考えます。

　この続きは、記事の文章ボリュームの関係上、次回以降とさせていただきます。