9．情報システムおよび情報セキュリティ

1．情報システム

1．情報システムに関する上場審査

コンピュータシステムそのものは上場審査の直接の対象となっていませんが、決算業務はもちろんほぼ全ての業務がIT・システム化されている現在、情報システムが有効に機能しているかどうかは、上場審査上、非常に重要です。

2．上場と情報システムの再構築

情報システムは、ネットワーク、ソフトウェアを含めたコンピュータシステムそのものを指す場合もありますが、一般的には、情報の保存・管理・流通のための仕組みを意味し、コンピュータ、ネットワーク、ソフトウェアに加え、それらを一体として機能させるための運用体制までが含まれます。

上場準備を進める中で、有効な経営管理体制を確立するために、さまざまな業務改善が必要となりますが、この過程で情報システムの見直しを伴うことも多く、この意味では、通常、上場へ向けて情報システムに対する何らかの見直しが必要となります。運用体制の簡単な手直しで済むのか、あるいはコンピュータシステムそのものの入れ替えや改修を行わなければならないかは、現在の情報システムがどの程度整備されているかによって異なります。

3．情報システムを再構築する場合の留意事項

情報システムを再構築する場合、コンピュータシステムに内部牽制機能を持たせることが有用です。取引の承認などの牽制機能を書面による手作業によって実施することもできますが、社内ルールをシステムの機能の一部に組み込むことによって、データ処理の一層の効率化を図ることが可能となります。個人別の権限レベル、ログインIDによる権限レベルの判断、各権限レベルによる処理可能範囲、上位権限者による承認機能などを社内ルールに準拠して設定することで、手作業による非定型業務をコンピュータシステムによる定型業務にすることができ、業務処理を著しく効率化することができます。

ただし、社内ルールの全てをコンピュータシステムに実装しようとすると、膨大な時間とコストを要することになり、上場スケジュールに大きな影響を及ぼしかねません。

従って、どこまでをコンピュータシステムに実装し、どこまでを手作業として残すのか、情報システムの見直しの範囲と業務処理への影響を見極め、かつ上場スケジュールを念頭に置いたシステム改善計画を策定し、実行することが重要です。

特にIPOを目指す企業では、外部ベンダーを利用し、パッケージ化されたシステムの導入を行うのが一般的と考えられます。こうしたケースを前提にすると、通常、次のようなプロセスを経て情報システムの構築は行われます。

（1）スコープとシステム要件の決定

まず、システム化の対象業務、システム要件の概要、予算、スケジュールなどの基本的事項を明確にします。

（2）提案要求仕様書（RFP）の作成

処理機能のみならず、承認手続きなどの内部牽制機能、セキュリティ機能やハードウェアについても明確にし、RFPを作成します。

（3）外部ベンダーの選定

複数のベンダーに提案依頼を行い、RFPへの適合性、価格、ベンダーの信頼性、ベンダー側のメンバー、さらには最新のIT技術への精通度合いなどを総合的に勘案して、ベンダーを選定します。近年においてはクラウドサービスの利用が主流となり、サービス継続性の観点からもベンダー評価の重要性は高まっています。

（4）本格導入の準備

導入企業側のメンバーおよび体制を決定するとともに、システム再構築のための具体的なアクションプランを策定します。パッケージシステムに標準装備されていない機能については、カスタマイズを行うのか、計画上の機能要件を変更するのか決定しなければなりません。

また、新たな業務処理方法への移行を円滑に行うために、諸規程およびマニュアルなどの改訂を行い、関係部署へ周知徹底することが重要です。

4．システムを自社開発する場合の留意事項

上場審査において、業務に関連する情報システムを自社で開発していること自体は特に問題となりません。業務運営上、自社開発した情報システムが適切に機能することは当然必要ですが、ITに係る内部統制の観点からは、仕様書、設計書、システム運用マニュアルなどによってシステムの目的や構成、運用方法などを客観的に理解、把握することができる状態にあり、さらに、それらの文書に基づいた運用、整備、保守が適切に行われることも重要です。自社開発における一般的な留意事項を以下に挙げます。

（1）全体的な開発計画

上場を契機として、企業の業務領域、業務量が飛躍的に増大する可能性があるため、上場後の経営計画などを十分に斟酌して全体的な開発計画を検討することが必要です。

（2）開発期間

上場後の企業規模に見合うように、全ての情報システムを上場前に開発しようとすると無理が生じ、非効率が生じるとともに、かえって上場準備に支障を来すことにもなりかねません。上場後も情報システムの改善を続けていくような計画とする方が良いと考えられます。

（3）柔軟な対応

特に成長段階にある企業では、情報システムについても環境変化に対応することが必要ですが、システム要件そのものが流動的となるため、ユーザ部門で柔軟に対応できるように配慮しておくことが重要です。

（4）IT全社統制

ITに関する全社統制とは、企業全体で構築される内部統制であり、（情報システム担当部署およびユーザ部門というよりも）経営者が主体となって構築すべき統制機能を意味しています。

IT全社統制の観点からは、ITに関する適切な戦略、計画などが定められているか、ITに係る全般統制、業務処理統制の方針が定められているかといった事項が対象範囲となり、システム開発上、経営計画・事業計画との関連で想定されるもろもろのリスクが考慮されているかが重要です。

（5）IT全般統制

ITに関する全般統制は、情報システムを利用して行われる業務が有効に機能する環境を保証するための統制活動を意味し、システムの開発保守に係る管理、運用に係る管理、安全性に係る管理、外部委託に関する契約の管理の4つに区分されます。

IT全般統制の観点からは、システム開発保守段階で、実際に情報システムを運用する際に必要となる内部統制機能を組み込むとともに、プログラムおよびデータへの不正な改ざんや不正アクセスが行われないようにすることが重要です。

（6）IT業務処理統制

ITに関する業務処理統制は、情報システム上、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれた内部統制を意味し、入力情報の完全性・正確性・正当性の確保、誤入力の修正・再処理、マスタデータの維持管理、システムへのアクセス管理の4つに区分されます。

IT業務処理統制の観点からは、システムにログインする際にIDやパスワードの入力が要求されることとなっているか、エディットチェックやバッチトータルチェックなどのエラーチェックが行われることとなっているかなど、ITで制御する仕組み・機能が情報システムに組み込まれ、計算処理などが規則に沿った正確な処理・記録が確保されていることが重要です。

5．クラウドサービスの利用

近年ではクラウドサービスがかなり充実してきており、webベースのアプリケーション情報システムの一部をクラウドサービスに切り替える企業も増えてきています。現在、さまざまな形で提供されているクラウドサービスには、ネットワーク、サーバ、OSとその管理、および、アプリケーション保守、運用までが含まれたものから、ネットワークやサーバのようなハードウェアの提供に限定されるものまで、ユーザのニーズに応じたサービスがあります。

ここでは、主要な3種類（SaaS、PaaS、IaaS）について解説します。

（1）SaaS（Software as a Service）

ユーザ企業がインターネットを経由してアプリケーションを利用できるサービスであり、ユーザ企業はクラウドサービス企業に対してサービス料金を支払うだけで必要なアプリケーション機能が利用でき、サーバ、OS、アプリケーションの管理が不要となることがメリットといわれています。

（2）PaaS（Platform as a Service）

アプリケーション開発に必要なサーバなどのインフラやOS、DBMSなどのプラットフォームをインターネット上に提供している仕組みです。SaaSと同様にユーザ企業はクラウドサービス企業に対してサービス料金を支払うだけで必要なプラットフォームが利用でき、サーバ、OSの管理が不要で、効率よくアプリケーション開発を行えることがメリットといわれています。

（3）IaaS（Infrastructure as a Service）

アプリケーション開発に必要となるサーバなどのインフラをインターネット上に提供している仕組みです。PaaSよりも限られた環境、サービスしか提供されないため、自社の情報システムに適した環境を選んで自由に開発ができることがメリットといわれていますが、一定の開発スキルなどが必要となります。

6．クラウドサービスを利用する場合の留意事項

クラウドサービスにはSaaS、PaaS、IaaSなどのサービスがあり、ユーザ企業は用途に適したサービスを選ぶことができ、情報システムの一部をアウトソースすることができます。しかし、情報システムのアウトソースをしただけでは上場企業の情報システム管理としては不十分であり、アウトソース先における情報システムの管理状況を理解し、評価することまでが求められています。多くの場合は、アウトソース先の監査人が発行するSOC1レポート（委託会社の財務報告にかかる受託会社の内部統制報告書）を入手して評価することができますが、アウトソース先によっては入手できない場合もあります。SOC1レポートを入手できない場合は、クラウドサービス利用会社としてのアクションとして、次のような選択肢が考えられます。

（1）アウトソース先と費用負担などについて協議し、SOC1レポートを入手できるように働きかける

（2）SOC1レポートが入手できない代わりに、アウトソース先に対して（クラウドサービス利用会社の外部監査人、内部監査人が）内部統制監査を実施できるように働きかける

（3）（1）、（2）のいずれもアウトソース先から断られた場合、SOC1レポートの入手が可能なアウトソース先に変更する

7．SOC（Service Organization Control）

SOCレポートとは、サービスを提供している受託会社において、サービスに関する内部統制を対象として、監査法人などが保証業務として評価を行い、発行したレポートの一つです。SOCレポートにはSOC1、2、3の3種類があり、それぞれ対象が異なります。

（1）SOC1レポート

米国公認会計士協会（AICPA）において定めたSSAE18に従って、受託会社の提供するサービスのうち、財務報告にかかわる内部統制を対象として、監査人が評価した結果を詳細に取りまとめた報告書です。

（2）SOC2レポート

米国公認会計士協会（AICPA）において定めたSSAE18に従って、受託会社の提供するサービスのうち、セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーにかかわる内部統制を対象として、監査人が評価した結果を詳細に取りまとめた報告書です。

（3）SOC3レポート

SOC2レポートと同様の目的で実施され、一般に公開される概要報告書になります。

SOC1、2のレポートにはタイプIとタイプIIが存在し、タイプIは時点評価（内部統制の整備状況評価）、タイプIIは期間評価（内部統制の整備状況評価＋運用状況評価）となります。

これから上場を目指す企業としては、情報システムをアウトソースする場合は、アウトソース先の選定時において、SOC1レポート（タイプII）を入手できるかどうかを慎重に検討しておくことが重要になります。

SOC1レポートには、下記の報告書があり、いずれの報告書も利用目的に違いはありません。

• SSAE18（米国保証業務基準書第18号）
• 保証実3402（監査・保証実務委員会 保証業務実務指針3402）
• ISAE3402（国際保証業務基準3402）