管理系部門がIPO準備でやること Part.08 - IT・情報システム編 その２／最強のサポートメンバー -

　「管理系部門がIPO準備でやること」について、数回に分けて説明・ご紹介しています。前回は「管理系部門がIPO準備でやること Part.07 - 情報システム編 その１ ／概要 -」を説明しました。
今回は、「情報システム編 その２／最強のサポートメンバー」です。
（＊着手する順序は時系列ではないので、その点はお許しください。）
（＊約8分程度でお読みいただけます。）

情報システム担当はサポートメンバーの立ち位置

　前回の記事で、IPO準備において情報システム担当は「サポートメンバーとして各準備タスクのサポートを行う」ことを説明しました。これは、情報システム担当には日頃の業務において作成・生成した社内の全業務に関する膨大なデータを適切に保管管理し、これをIPO準備で必要となった時にすぐに引き出せるようにする「情報の引き出し」として普段の業務の一環としてIPO準備の業務に携わっていただくという立ち位置となります。この理由として、社内の全業務はパソコン、情報システム（ソフトウェア・アプリケーション）を使用しますが、この全業務に関するデータ（アクセスログ、作業ログ等データベースに記録されるデータのすべて）の保管管理状況／方法が、IPO準備のキーポイントになるからです。

　US-SOXにおいても、ITに関することが重要視されていることをご存知でしょうか。

　以前の記事「IT統制とISMS認証」でも触れましたが、アメリカでは内部統制の仕組みについて、トレッドウェイ委員会組織委員会（COSO）が公表している国際的な内部統制の枠組み（COSOフレームワーク）に５つの基本的要素を示しています。日本のそれと比較してほぼ同一なのですが、ひとつだけアメリカのそれに無いものがあります。それは「ITへの対応」なのですが、これはITへの対応については必要無いのではありません。US-SOXの基本は、財務情報の正確性、信頼性等です。これを証明するためには、もちろん業務で情報システムに依存しているので、必然的に「情報システムの正確性、信頼性等」も証明する必要があるのです。US上場会社が提出・開示する資料に Form - 10K （年次報告書、日本の有価証券報告書に相当）がありますが、そのなかで Internal Control についての記述が求められ、財務情報の正確性と信頼性を保証する内部統制体制を構築している旨を宣言します。この「内部統制体制を構築している」内容に、「情報システムの正確性、信頼性」も含まれているのです。

　また、アメリカ証券取引委員会（SEC）が2007年6月27日に発表したSOXに関するガイダンス（Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934）では、経営者のIT統制への責任を明確に示しました（ガイダンスのp16参照）。これは、アメリカにおいてもIT統制は内部統制の基本的要素に含まれると理解できます。

　情報システムコントロール協会（ISACA）とITガバナンス協会（ITGI）が提唱しているITガバナンスに関するフレームワーク「COBIT」もこのIT統制に大きな影響を与えています。それは、経済産業省「システム管理基準」がCOBITの要素を取り入れて構築しているからです。SOX、内部統制の枠組みで、IT統制が重要視されており、これは上場会社にとっては大きな課題です。上場会社はこの大きな課題に、どのようように取り組んでいるのか？を公に明確に示す必要がありますので、もちろんIPO準備会社もこれと同等の準備と体制の構築をしなければなりませんし、「上場したばかりの会社には猶予が・・・」というものは全くありません。

　このように、IPO準備にあたっては、このIT統制の観点でそのITに関する管理状況が万全に実施され、日頃からのリスク・コントロールはもとより、いかなる内的／外的インシデントが発生したとしてもその対応が迅速かつ適切に実施できるのか等を求められますので、それに適した体制構築をしなければならない、ということになります。そのため情報システム担当は、日頃の本来の業務を疎かにはできないですし、IPO準備だけでなく会社が存続していくうえで、経営上においても非常に重要な業務と責任を負っていると言えるのです。

各種データの保管管理／いざという時のデータ閲覧

　IPO準備において、内部統制に関する準備が大変重要なことは皆さんもご存知のとおりですが、どのあたりの準備タスクに時間をかけられますか？おそらく月次決算の早期化等の経理・会計周り業務に関するタスクと、３点セット作成ではないでしょうか。これについては、会社によってはいままでのやり方をガラっと変えなければならなかったり、会社成長／業績向上に伴い会計システムの入れ替えタスクが発生するなど、成長著しい会社ではなおさら大変な時期になるかと思います。
　しかし、これらのタスクばかりに時間をかけてはいられません。もっと重要な準備タスクに時間をかけなければなりません。それは、内部統制に関する準備タスクとしては、ITに係る業務処理統制（ITAC）とIT全般統制（ITGC）です。理由は次のとおりです。

• 会社の業務の全部は、情報システムによって業務処理されること。

• 会社は、内部統制の目的（①業務の有効性および効率性、②財務報告の信頼性、③事業活動に関わる法令などの遵守、④資産の保全）を達成することで、会社を効率的かつ健全に運営している、と表明する必要があること。

• つまり会社は、会社を効率的かつ健全に運営していることを証明するため、業務処理を行うために使用している情報システムの業務処理状況、統制環境、統制内容、アクセス権限・ユーザー一覧及び権限付与の手続状況を十分に把握し、これを管理しなければならないこと。また、このデータが重要であること。

　この３点は、皆さんも十分に理解している内容ですが、一方でこれら業務処理データ・アクセス権限・ユーザー一覧及び権限付与の手続に関するデータが一朝一夕に蓄積・収集・管理できるものではないことも理解されていると思います。このことはIPO準備だけではなく、上場後においても重要なポイントであり、これによってITを含め「会社の内部管理体制が万全であること」を証明するための証憑のうち、その大部分が揃えられるのです。

　ただし、業務処理データ・アクセス権限・ユーザー一覧及び権限付与の手続に関するデータと一言で言いましたが、この分量は膨大なものです。この膨大な量のデータをすべて記録・蓄積するというとかなり気が遠くなってしまいますが、仮にすべて記録・蓄積するとしても、いざという時に各データの抽出・閲覧の際に探すのは、これも大変困難です。

　内部統制の評価監査（整備・運用）の際にこれらのデータを証憑として提出してもらうのですが、よくある例として、抽出するのが困難なために提出期限の猶予が欲しいとか、各データを見ても、それのどこを見たら各統制項目の証明ができるのか？が不明なことがあります。また、そもそものお話として、記録・蓄積されるデータは、各統制項目を証明するための必要項目を記録・蓄積していることを検証する必要があったりするなど、データを手当たり次第に記録・蓄積しているために混乱してしまうケースが多いです。なぜこのようなケースが多いのかといいますと、その理由として、

1. 各情報システムを業務使用する際に、その使用に関する要件定義が不完全なままで導入されてしまったため。

2. 個々の情報システムとしては優れているものだが、業務上連携する必要のあるにも関わらず、直接連携ではなくデータを手作業（ output→input ）しているため。

　特に２のケースでは、データをcsv形式等でoutputしたのちに他の情報システムにinputするような場合、抽出したデータの保管状況とデータのoutput→input時の手作業については、いずれも「マニュアル統制」としてみますので、IT統制の範囲ではなく並行して業務プロセス（PLC）での評価も必要となりますので、情報システムを使用しているにも関わらず、評価監査での手間が増えてしまう、というかたちになります。
　また、ローデータ（ raw data ）は、加工すればいくらでも見せ方を変えることができますので、記録・蓄積することに問題はありませんが、サーバー費用は高額となります。また内部統制体制を構築する際にデータの必要項目を検討していなかったり、さらにローデータ自体について、一見全部のログデータ等を蓄積しているハズが実は記録していない部分があったりするなど、初手から抜け漏れがあるケースが多いのです。

　最近では、SaaSサービスを利用する会社が多いと思いますが、その導入時にもこのSaaSサービス上で記録しているデータの内容・必要項目の有無について十分に注意／検討していただきたい点です。それは、そのパッケージの内容に、監査用のデータ管理としてログを記録しているというような機能をもつとあっても、その記録項目を確認していますか？SaaSによってはその記録項目がさまざまです。なぜなら、すべてのログを記録するとなると、もちろん容量の大きいサーバーが必要ですし、これにかかる費用は莫大です。顧客数の多いSaaSであれば尚更のことです。そうなるとサービス提供会社としては管理コストを圧縮するために、ある程度のログを記録しないことがあります。SaaSの会計システムでも、そのサービス提供会社によって違いがあります。そのため、ユーザーとしての会社は、どのようなデータが必要で、そのためにSaaSサービスでその必要としているデータのうち、どのデータをどの程度記録しているのか、を確認して検討し、そのうえで会社に導入する必要があるのです。このあたりは情報システム担当と内部統制評価者とで十分に検討して決めるタスクが必要となります。

　逆に言えば、ここの検討が不十分なために、導入後になってIT統制の観点で「このシステムでは十分ではなかった」ことがあとから発覚し、改めて他のサービスの導入を考えざるを得なかった、というケースも多く、この導入タスクが新たに出てきたためにIPO準備期間の延長を余儀なくされた会社の事例も多くあります。この延期によって、会社は導入に関するコスト、上場タイミングの機会損失など、目に見える損失に加えて目に見えない損失を被ることになります。これを防ぐためにも、IT統制に関しては十分な検討とその時間（期間）が必要であり、ここに情報システム担当の全力を投じていただきたい、ついては各IPO準備タスクのメインメンバーとして立つのではなく、情報システム担当としての普段の業務を万全に遂行したうえで “ 全部のIPO準備タスクのサポートメンバー ” として携わっていただきたいのです。

IT統制だけではない！情報システム担当の役割

　記事の内容がIT統制に偏ってしまいましたが、情報システム担当がサポートメンバーとして立っていただく場面は、まだまだたくさんあります。そのうちのひとつを挙げるとすれば、これも内部統制のお話になってしまいますが、業務プロセス（PLC）です。分かりやすく言うと、３点セット（業務フロー、業務記述、RCM）作成時です。

　ここでの情報システム担当の役割は、どの業務で、いつのタイミングで、どの情報システムを使用し、そこで作成する業務書面とその記録・蓄積データの内容とデータ格納場所（サーバー）。そしてBackup周期やその確認方法など、これらの実務状況と業務マニュアルの有無等を、日頃の業務として遂行している職務の立場から、作成時のサポートを行なっていただくことです。一見してITACと同じような内容にみえますが、PLCとITACそれぞれ評価する統制項目とその意味が違いますので、証憑ももちろん違います。３点セットのうち、特にRCMを作成するとき、評価者が必要としている証憑について、その証憑の内容、性質、またこれを必要とする意図など、口頭では説明しづらいことがあります。この点を正確に理解でき、的確なものとして提示できるのは、情報システム担当です。 “ 情報の引き出し ” としての役割を大いに発揮していただく場面です！

　もうひとつ、情報システム担当の役割として、IPO準備期だけでなく、会社が末長く存続するために大変重要な役割があります。それは情報セキュリティです・・・が・・・
　今回も記事の分量が多くなってしまいました。申し訳ございません。

　情報セキュリティについての情報システム担当の役割については、次回の記事で説明します。