コンピュータシステムそのものは上場審査の直接の対象となっていませんが、決算業務はもちろんほぼ全ての業務がIT・システム化されている現在、情報システムが有効に機能しているかどうかは、上場審査上、非常に重要です。
情報システムは、ネットワーク、ソフトウェアを含めたコンピュータシステムそのものを指す場合もありますが、一般的には、情報の保存・管理・流通のための仕組みを意味し、コンピュータ、ネットワーク、ソフトウェアに加え、それらを一体として機能させるための運用体制までが含まれます。
上場準備を進める中で、有効な経営管理体制を確立するために、さまざまな業務改善が必要となりますが、この過程で情報システムの見直しを伴うことも多く、この意味では、通常、上場へ向けて情報システムに対する何らかの見直しが必要となります。運用体制の簡単な手直しで済むのか、あるいはコンピュータシステムそのものの入れ替えや改修を行わなければならないかは、現在の情報システムがどの程度整備されているかによって異なります。
情報システムを再構築する場合、コンピュータシステムに内部牽制機能を持たせることが有用です。取引の承認などの牽制機能を書面による手作業によって実施することもできますが、社内ルールをシステムの機能の一部に組み込むことによって、データ処理の一層の効率化を図ることが可能となります。個人別の権限レベル、ログインIDによる権限レベルの判断、各権限レベルによる処理可能範囲、上位権限者による承認機能などを社内ルールに準拠して設定することで、手作業による非定型業務をコンピュータシステムによる定型業務にすることができ、業務処理を著しく効率化することができます。
ただし、社内ルールの全てをコンピュータシステムに実装しようとすると、膨大な時間とコストを要することになり、上場スケジュールに大きな影響を及ぼしかねません。
従って、どこまでをコンピュータシステムに実装し、どこまでを手作業として残すのか、情報システムの見直しの範囲と業務処理への影響を見極め、かつ上場スケジュールを念頭に置いたシステム改善計画を策定し、実行することが重要です。
特にIPOを目指す企業では、外部ベンダーを利用し、パッケージ化されたシステムの導入を行うのが一般的と考えられます。こうしたケースを前提にすると、通常、次のようなプロセスを経て情報システムの構築は行われます。
まず、システム化の対象業務、システム要件の概要、予算、スケジュールなどの基本的事項を明確にします。
処理機能のみならず、承認手続きなどの内部牽制機能、セキュリティ機能やハードウェアについても明確にし、RFPを作成します。
複数のベンダーに提案依頼を行い、RFPへの適合性、価格、ベンダーの信頼性、ベンダー側のメンバー、さらには最新のIT技術への精通度合いなどを総合的に勘案して、ベンダーを選定します。近年においてはクラウドサービスの利用が主流となり、サービス継続性の観点からもベンダー評価の重要性は高まっています。
導入企業側のメンバーおよび体制を決定するとともに、システム再構築のための具体的なアクションプランを策定します。パッケージシステムに標準装備されていない機能については、カスタマイズを行うのか、計画上の機能要件を変更するのか決定しなければなりません。
また、新たな業務処理方法への移行を円滑に行うために、諸規程およびマニュアルなどの改訂を行い、関係部署へ周知徹底することが重要です。
上場審査において、業務に関連する情報システムを自社で開発していること自体は特に問題となりません。業務運営上、自社開発した情報システムが適切に機能することは当然必要ですが、ITに係る内部統制の観点からは、仕様書、設計書、システム運用マニュアルなどによってシステムの目的や構成、運用方法などを客観的に理解、把握することができる状態にあり、さらに、それらの文書に基づいた運用、整備、保守が適切に行われることも重要です。自社開発における一般的な留意事項を以下に挙げます。
上場を契機として、企業の業務領域、業務量が飛躍的に増大する可能性があるため、上場後の経営計画などを十分に斟酌して全体的な開発計画を検討することが必要です。
上場後の企業規模に見合うように、全ての情報システムを上場前に開発しようとすると無理が生じ、非効率が生じるとともに、かえって上場準備に支障を来すことにもなりかねません。上場後も情報システムの改善を続けていくような計画とする方が良いと考えられます。
特に成長段階にある企業では、情報システムについても環境変化に対応することが必要ですが、システム要件そのものが流動的となるため、ユーザ部門で柔軟に対応できるように配慮しておくことが重要です。
ITに関する全社統制とは、企業全体で構築される内部統制であり、(情報システム担当部署およびユーザ部門というよりも)経営者が主体となって構築すべき統制機能を意味しています。
IT全社統制の観点からは、ITに関する適切な戦略、計画などが定められているか、ITに係る全般統制、業務処理統制の方針が定められているかといった事項が対象範囲となり、システム開発上、経営計画・事業計画との関連で想定されるもろもろのリスクが考慮されているかが重要です。
ITに関する全般統制は、情報システムを利用して行われる業務が有効に機能する環境を保証するための統制活動を意味し、システムの開発保守に係る管理、運用に係る管理、安全性に係る管理、外部委託に関する契約の管理の4つに区分されます。
IT全般統制の観点からは、システム開発保守段階で、実際に情報システムを運用する際に必要となる内部統制機能を組み込むとともに、プログラムおよびデータへの不正な改ざんや不正アクセスが行われないようにすることが重要です。
ITに関する業務処理統制は、情報システム上、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれた内部統制を意味し、入力情報の完全性・正確性・正当性の確保、誤入力の修正・再処理、マスタデータの維持管理、システムへのアクセス管理の4つに区分されます。
IT業務処理統制の観点からは、システムにログインする際にIDやパスワードの入力が要求されることとなっているか、エディットチェックやバッチトータルチェックなどのエラーチェックが行われることとなっているかなど、ITで制御する仕組み・機能が情報システムに組み込まれ、計算処理などが規則に沿った正確な処理・記録が確保されていることが重要です。
近年ではクラウドサービスがかなり充実してきており、webベースのアプリケーション情報システムの一部をクラウドサービスに切り替える企業も増えてきています。現在、さまざまな形で提供されているクラウドサービスには、ネットワーク、サーバ、OSとその管理、および、アプリケーション保守、運用までが含まれたものから、ネットワークやサーバのようなハードウェアの提供に限定されるものまで、ユーザのニーズに応じたサービスがあります。
ここでは、主要な3種類(SaaS、PaaS、IaaS)について解説します。
ユーザ企業がインターネットを経由してアプリケーションを利用できるサービスであり、ユーザ企業はクラウドサービス企業に対してサービス料金を支払うだけで必要なアプリケーション機能が利用でき、サーバ、OS、アプリケーションの管理が不要となることがメリットといわれています。
アプリケーション開発に必要なサーバなどのインフラやOS、DBMSなどのプラットフォームをインターネット上に提供している仕組みです。SaaSと同様にユーザ企業はクラウドサービス企業に対してサービス料金を支払うだけで必要なプラットフォームが利用でき、サーバ、OSの管理が不要で、効率よくアプリケーション開発を行えることがメリットといわれています。
アプリケーション開発に必要となるサーバなどのインフラをインターネット上に提供している仕組みです。PaaSよりも限られた環境、サービスしか提供されないため、自社の情報システムに適した環境を選んで自由に開発ができることがメリットといわれていますが、一定の開発スキルなどが必要となります。
クラウドサービスにはSaaS、PaaS、IaaSなどのサービスがあり、ユーザ企業は用途に適したサービスを選ぶことができ、情報システムの一部をアウトソースすることができます。しかし、情報システムのアウトソースをしただけでは上場企業の情報システム管理としては不十分であり、アウトソース先における情報システムの管理状況を理解し、評価することまでが求められています。多くの場合は、アウトソース先の監査人が発行するSOC1レポート(委託会社の財務報告にかかる受託会社の内部統制報告書)を入手して評価することができますが、アウトソース先によっては入手できない場合もあります。SOC1レポートを入手できない場合は、クラウドサービス利用会社としてのアクションとして、次のような選択肢が考えられます。
(1)アウトソース先と費用負担などについて協議し、SOC1レポートを入手できるように働きかける
(2)SOC1レポートが入手できない代わりに、アウトソース先に対して(クラウドサービス利用会社の外部監査人、内部監査人が)内部統制監査を実施できるように働きかける
(3)(1)、(2)のいずれもアウトソース先から断られた場合、SOC1レポートの入手が可能なアウトソース先に変更する
SOCレポートとは、サービスを提供している受託会社において、サービスに関する内部統制を対象として、監査法人などが保証業務として評価を行い、発行したレポートの一つです。SOCレポートにはSOC1、2、3の3種類があり、それぞれ対象が異なります。
米国公認会計士協会(AICPA)において定めたSSAE18に従って、受託会社の提供するサービスのうち、財務報告にかかわる内部統制を対象として、監査人が評価した結果を詳細に取りまとめた報告書です。
米国公認会計士協会(AICPA)において定めたSSAE18に従って、受託会社の提供するサービスのうち、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーにかかわる内部統制を対象として、監査人が評価した結果を詳細に取りまとめた報告書です。
SOC2レポートと同様の目的で実施され、一般に公開される概要報告書になります。
SOC1、2のレポートにはタイプIとタイプIIが存在し、タイプIは時点評価(内部統制の整備状況評価)、タイプIIは期間評価(内部統制の整備状況評価+運用状況評価)となります。
これから上場を目指す企業としては、情報システムをアウトソースする場合は、アウトソース先の選定時において、SOC1レポート(タイプII)を入手できるかどうかを慎重に検討しておくことが重要になります。
SOC1レポートには、下記の報告書があり、いずれの報告書も利用目的に違いはありません。
昨今のFinTech(フィンテック)やIoT(Internet of Things)などIT・システム化の大きな潮流の中、企業経営における重要な営業情報や技術情報などを狙うサイバー攻撃は巧妙化し、近年情報セキュリティへの脅威は増すばかりの状況にあります。
サイバー攻撃から企業を守る取り組みの必要性から、2015年1月、サイバーセキュリティ基本法が施行されました。さらに、経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待して、経済産業省、独立行政法人情報処理推進機構は「サイバーセキュリティ経営ガイドライン」を公表しました。
セキュリティ事故事案がビジネスやレピュテーションに与える影響は計りしれず、自社のみならずグループ会社や外部委託先を含む管理体制の整備と強化は上場準備における大きなテーマといえます。
取引所審査上も、情報セキュリティや個人情報保護の取り組みについて説明を求めています。Ⅱの部や各種説明資料においては、情報セキュリティに関する管理体制の整備・運用状況(人員体制・社内ルール・研修方法等)、基幹システムにおける外部ベンダーの利用状況(利用クラウドベンダー等)、国際標準化機構(ISO)のISO27001や日本情報経済社会推進協会のプライバシーマークの取得・更新の状況、外部機関からの脆弱性調査実施の有無や実施方針など、情報セキュリティの状況についての記載が求められます。
ISMS(情報セキュリティマネジメントシステム)とは、ISO27001などの規格に従って、情報セキュリティを管理する仕組みのことです。ISMSの認証を受けるためには、資格を持った審査員がISMSの仕組みが十分に機能しているかについて審査を行い、合格すればISMSの認証を受けることができます。顧客の情報を預かるサービスなどを展開している企業では、情報セキュリティの規格に従って適切な情報管理が行われていることを対外的に示せることから、ISMS認証取得が進んでいます。
ISMSの考え方は、情報に関する3つの要素(機密性、完全性、可用性)を維持するため、体系的な規程や細則を整備するとともに、リスクを識別・分類し、リスク対応策を講じ、内部監査により評価し、是正すべき改善点があれば改善をすることにより、リスク低減を図っていきます。
近年では、クラウドサービスを提供する企業がISMSを認証取得するようになってきたものの、クラウド特有のリスクも識別されるようになり、クラウドサービス固有の情報セキュリティの国際規格としてISO/IEC 27017:2015が整備され、クラウドサービス企業では、ISMSクラウドセキュリティ認証の取得が進みつつあります。
IPOを目指す企業では、クラウドサービスを活用している企業も多く、サービスだけでなく情報セキュリティもいわばクラウドベンダーにアウトソースしているケースが多くなりますが、重要情報の情報管理、保護の観点から、業者選定の際には、ISMSの認証取得をしているクラウドベンダーなどの企業からサービスを受けるようにしている企業も増えています。
日本では、2003年に個人情報保護法が施行されたのち、プライバシーマーク(Pマーク)の認証取得が進み、2017年5月に個人情報の範囲に生体情報なども含めるよう個人情報のグレーゾーンをなくすとともに、個人情報を秘匿化すれば個人の同意を得なくても使用できるような緩和策を含めた改正が行われました。2022年4月施行の改正個人情報保護法では、事業者が漏洩などにより、個人の権利利益を害する恐れがある場合に、個人情報保護委員会および本人に対する通知が義務化されるなど、より一層個人情報保護の厳格化が進んでいます。
近年、米国大手プラットフォーム企業が行っているビジネスとして、蓄積されたビッグデータを独占的、かつ独自に個人の購買特性、嗜好性などを分析し、マーケティング、企業広告などに活用するサービスに対して、EU(欧州連合)では2018年5月にGDPR(General Data Protection Regulation:EU一般データ保護規則)が施行され、EEA(欧州経済領域)の個人情報の保有業者に対する多くのルールが整備されました。
例えば近年、日本でも来日する外国人観光客が年々増加していますが、欧州の観光客がインターネットで温泉旅館の予約サイトから直接予約する場合、その予約サイトを管理する企業や日本の温泉旅館もGDPRが適用される可能性が高いなど、ビジネスの一部にインターネットを使用している日本企業にも少なからず影響があります。
また、EUと同様の動きが、日本、中国、ロシアなどでも進んでおり、各企業が収集した個人情報の用途、保管、削除などについて、明確な手順やルールを整備し、管理していくことが重要となります。
サイバーセキュリティとは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下、「電磁的方式」という。)により記録され、または発信され、伝送され、もしくは受信される情報の漏えい、滅失または毀損の防止その他の当該情報の安全管理のために必要な措置ならびに情報システムおよび情報通信ネットワークの安全性および信頼性の確保のために必要な措置(情報通信ネットワークまたは電磁的方式で作られた記録に係る記録媒体(以下、「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていること(サイバーセキュリティ基本法 第2条)と定義され、経営者はサーバセキュリティを経営問題として捉え、セキュリティ対策を推進することを求めています。
前述の「サイバーセキュリティ経営ガイドライン」には、経営者が認識すべきこととして、“リーダーシップ”を持って、“ビジネスパートナー”を巻き込み、平時および緊急時のいずれの場合においても、“関係者と適切なコミュニケーション”を図る必要があることをうたい、経営者が責任者に指示し、着実に実施させることを要する「重要10項目」を掲げています。
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた事業継続・復旧体制の整備
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進
(出典:経済産業省、独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドラインVer3.0」)