ご依頼当時、N-1期で上場準備中であった通信事業会社様へIT統制のご支援として、IT関連規程の見直し、規程の沿ったルールの策定、管理台帳や仕様書等のドキュメント作成を行いました。結果として、2021年に無事上場を果たされました。
弊社が対応させていただいたご支援内容をご紹介いたします。
ご相談内容
「社内にIT部門がなく、IT統制への対応が不十分であるため、専門家の知識をお借りして対応を進めたい」とのご相談をいただきました。
IT部門がなく、総務部門の担当者が兼任でシステムを担当されていたため、内部統制への対応は出来ている状況でしたが、IT統制への対応が十分に出来ていませんでした。具体的には、IT関連規程は策定されていましたが、規程に沿った運用ルールの策定や整備、必要なドキュメント類が揃っておらず、このままではIT統制の観点で審査をクリアできない可能性が高かったため、弊社へご依頼をいただきました。
対応実績
弊社が対応させていただいた内容は大きく分類すると以下の5点です。
それぞれについて、詳しくご紹介いたします。
1.IT統制チェックリストに基づく現状の評価を実施
2.IT関連規程の確認
3.IT関連規程の修正および運用ルールの策定
4.管理台帳の作成
5.各種ドキュメントの作成
(1)IT統制チェックリストに基づく現状の評価を実施
まずはじめに、「IT全社的統制」「IT全般統制」の観点でどこまでIT統制が整備されているのか、現状を確認するために、チェックリストを用いて、評価を行いました。
既に監査法人様と質問書のやり取りをされている状況でしたが、対応の抜け漏れが発生しないように、弊社が用意したIT統制チェックリストを元に改めて評価を行い、「何が対応できているのか」「何が対応できていないのか」という点を明確にしました。
現状評価を行うことで、対応すべきタスクを洗い出すことができますので、タスクを洗い出した上で対応スケジュールを策定しました。
(参考)IT統制チェックリストによる評価資料
(2)IT関連規程の確認
次に、既に作成されていたIT関連規程を確認しました。
主に確認する観点としては、「①規程の内容として問題がないか」「②規程に定められた運用ルールが行われているか」という2点です。
「①規程の内容として問題がないか」については、記載内容が十分かどうかという観点だけではなく、過度な制約やルールを定義していないか、という観点でも確認を行いました。
IT統制においては、安全面だけ考えると、当然ながら制約やルールを厳しくすればよいのですが、安全面を重視しすぎると効率性が落ちてしまい、運用負荷が高くなってしまいます。運用負荷が高くなった結果、ルールが守られなかったとすると本末転倒ですので、安全面と効率面のバランスを取ることが重要です。
そのため、過度な制約やルールが定義されている箇所は、最低限の安全性は確保した上で、規程内容を一部削除したり、文言を変更します。
(参考)IT関連規程の確認結果資料
(3)IT関連規程の修正および運用ルールの策定
IT関連規程の確認結果を踏まえて、具体的に規程の修正文面を弊社で考え、ご提案しました。
弊社では、豊富な他社事例や、経済産業省・情報処理推進機構(IPA)等が公式に開示している内容を元に、一般的に記載すべき内容を把握していますので、お客様の手を煩わせることなく、規程の対応を行うことができます。
また、規程を修正するだけではIT統制の対応として不十分ですので、規程に沿った具体的な運用ルールの策定も行いました。
例えば、以下のような運用ルールを策定し、運用フローとしてドキュメントを作成しました。
・社外から社内ネットワークへ接続する際の申請フロー
・障害発生時の報告フロー(障害報告書のフォーマット作成を含む)
・システム開発・導入時に作成すべきドキュメントの定義(ドキュメントのフォーマット作成を含む)
・外部委託時に委託先に対して行う調査・評価の運用フロー及び報告資料の作成
など
(参考)策定した運用フローの一部
上記資料のように、運用フローを可視化し、申請時のフォーマット作成まで弊社で対応しました。ここまで具体的に運用ルールを整備しないと形骸化してしまい、定めた運用ルールが守られなくなってしまうためです。
(4)管理台帳の作成
IT統制の対応の中でも、最も手間がかかり、きちんと対応されていないケースが多い管理台帳の作成も行いました。
元々は、主要な基幹システムのアカウント管理は行われていましたが、管理台帳という形式でしっかりと記録を残し、棚卸しを定期的に行う運用まではできていなかったため、台帳を作成し、棚卸しを行うように運用ルールを整備しました。
具体的に作成した台帳は以下のとおりです。
アカウント・権限管理台帳
下記コラムでも解説しているとおり、監査法人から指摘を受けやすいのがアクセス管理であり、アカウントや権限の管理です。アカウント・権限管理台帳を作成し、各システム毎のアカウントおよび付与されている権限を一覧化しました。お客様には各システムからアカウント情報だけ出力していただき、その情報を元に弊社でゼロから台帳を作成しました。
ライセンス管理台帳
Officeなどの有償ライセンスも適切に一元管理しておく必要がありますので、ライセンス管理台帳を作成しました。
PC管理台帳
IT資産管理として、PC管理台帳を作成し、各PCの設置場所、利用者、契約満了日(レンタル/リースの場合)、シリアルNoなどを一覧化しました。また、PCだけでなく、携帯電話(スマートフォン)についても管理すべき対象ですので、台帳に記載して一覧化しました。
(5)各種ドキュメントの作成
最後に、規程の沿った運用ルールの整備として、必要なドキュメント類を作成しました。具体的に作成したドキュメントは以下のとおりです。
システム概要書(仕様書)
SaaSのシステムをカスタマイズして利用されていましたが、カスタマイズした設計内容が記されたドキュメントが残っていなかったため、システムの仕様をヒアリングして、弊社でシステム概要書(仕様書)を作成しました。
詳細仕様までは記載できませんが、当該システムの目的や主要や機能、データの連携先の情報などを可視化することで、システムのブラックボックス化を防ぎます。特に、会計システムへデータ連携しているシステムは、財務情報に影響があるため、ドキュメントを残しておく必要があります。
システム開発・導入用の各種ドキュメント
開発計画書、要件定義書、基本設計書、テスト計画書、テスト報告書、移行計画書など、システム開発・導入を新規で行う場合に必要となるドキュメント類のテンプレートを一式作成し、納品しました。
バックアップ復元手順書
IT統制上重要であり、また会社としてリスク回避のためにも非常に重要であるデータのバックアップについて、バックアップを取得する詳細な手順とバックアップデータから復元する手順を明確にして、システム毎に手順書を作成しました。
バックアップや復元に関しても、監査では特に確認される点ですし、何よりもデータが損失するリスクを回避するために必ず対応しておくべき事項でしたので、弊社が手順書を作成しました。
(6)監査法人から送付された質問書への回答作成
IT全般統制に関して、監査法人から約30個ほどの質問事項が送付されましたので、弊社で質問事項への回答を作成しました。
各質問事項に対して「評価結果」「コントロール状況」「根拠となる資料」を記載しました。
また、IT統制の対応スケジュールなど、監査法人から求められた資料や情報については、適宜弊社で準備してご提供することで、お客様側での対応負荷を下げました。
回答結果に関して、監査法人から大きな指摘などはなく、無事クリアすることができました。
導入効果(結果)
一部規程を改訂し、各種運用ルールや必要なドキュメントを整備することで、IT統制の対応を一通り完了することができました。
結果として、IT統制に関して大きな指摘などはなく、IPO監査をクリアし、2021年に無事上場を果たされました。
「IT統制サポート」について
資金調達後のベンチャー企業向けにIT統制の対応をまるっと引き受けます。
監査法人の指摘ゼロを実現した実績をもとに安全性と効率性を考慮したIT統制環境を整備します。
無料相談もお受けしておりますので、まずはお気軽にご相談ください。
弊社の提供するサービス
IT統制サポート
資金調達後のベンチャー企業向けに、IT統制の対応をまるっと引き受けます。 監査法人の指摘ゼロを実現した実績をもとに、安全性と効率性を考慮したIT統制環境を整備いたします。