PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠はじめに現在の情報システムはインターネットや無線通信の高速化コンピュータシステムの高性能化クラウドサービスの普及などにより企業のさまざまな業務に

Size: px

Start display at page:

Download "PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠はじめに現在の情報システムはインターネットや無線通信の高速化コンピュータシステムの高性能化クラウドサービスの普及などにより企業のさまざまな業務に"

あいねかんざとばる
7 years ago
Views:

1 PwC s View 特集 : 組織再編税制等に関する税制改正 Vol. 8 May

PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠はじめに現在の情報システムはインターネットや無線通信の高速化コンピュータシステムの高性能化クラウドサービスの普及などにより企業のさまざまな業務に利用されておりいまや情報システムなしでは業務が成り立たないほどその必要性

株式上場を目指す企業における情報システム管理の留意事項を解説いたします 1 IPO と情報システム 1.

2 PwC IPO 情報システム Autofacts( オートファクツ ) PwC あらた有限責任監査法人 IPO ソリューション部マネージャー加藤誠はじめに現在の情報システムはインターネットや無線通信の高速化コンピュータシステムの高性能化クラウドサービスの普及などにより企業のさまざまな業務に利用されておりいまや情報システムなしでは業務が成り立たないほどその必要性重要性が増しているといえます情報システムが便利になってくる反面システム改修システム導入のニーズが増えてくれば情報システムの保守運用再構築のための人員体制や予算が必要となりますしかし多くの企業では人材不足予算不足などの理由により十分な管理体制が整備できないまま情報システムを利用し続けていることも問題となっています以下では株式上場を目指す企業における情報システム管理の留意事項を解説いたします 1 IPO と情報システム 1. 情報システムに関する上場審査上場審査では有効な経営管理体制が確立できているかどうか企業内容等の開示を適正に行うことができるかどうかという観点からさまざまな事項が審査されますコンピュータシステムそのものは直接の対象となっていませんが決算業務をはじめほぼ全ての業務が IT システム化されている現在コンピュータシステムが有効に機能しているかどうかは上場審査上重要な項目となります 2. 情報システムを再構築する場合の留意事項情報システムを再構築する場合コンピュータシステムに内部牽制機能を持たせることが有用です取引の承認などの牽制機能を書面による手作業によって実施することもできますが社内ルールをコンピュータシステムの機能の一部に組み込むことによってデータ処理の一層の効率化を図ることが可能となります個人別の権限レベルログイン IDによる権限レベルの判断各権限レベルによる処理可能範囲上位権限者による承認機能等を社内ルールに準拠して設定することで手作業による非定型業務をコンピュータシステムによる定型業務にすることが可能となり業務処理を著しく効率化することができると考えられますただし社内ルールの全てをコンピュータシステムに実装しようとすると膨大な時間とコストを要することになり上場スケジュールに大きな影響を及ぼしかねません従ってどこまでをコンピュータシステムに実装しどこまでを手作業として残すのか情報システムの見直しの範囲と業務処理への影響を見極めかつ上場スケジュールを念頭に置いたシステム改善計画を策定実行することが重要となります 3. 情報システム再構築のプロセス情報システムを再構築する場合外部ベンダーを利用しパッケージ化されたシステムの導入を行うのが一般的と考えられますこうしたケースを前提にすると通常次のようなプロセスを経て情報システムの構築は行われます 1スコープとシステム要件の決定まずシステム化の対象業務システム要件の概要予算スケジュール等の基本的事項を明確にします 2 提案要求仕様書 (RFP) の作成処理機能のみならず承認手続き等の内部牽制機能セキュリティ機能やハードウエアについても明確にし RFPを作成します 40 PwC s View Vol. 08. May 2017

3 PwC IPO 情報システム 3 外部ベンダーの選定複数のベンダーに提案依頼を行い RFPへの適合性価格ベンダーの信頼性ベンダー側のメンバー等を総合的に勘案してベンダーを選定します 4 本格導入の準備会社側のメンバー体制を決定するとともにシステム再構築のための具体的なアクションプランを策定しますパッケージシステムに標準装備されていない機能についてはカスタマイズを行うのか計画上の機能要件を変更するのか決定しなければなりませんまた新たな業務処理方法への移行を円滑に行うために諸規程マニュアル等の改訂を行い関係部署へ周知徹底することが重要となります 2 上場を見据えた情報システムの開発導入における留意事項 1. 情報システム開発導入の一般的な留意事項 1 全体的な開発計画上場を契機として企業の業務領域業務量が飛躍的に増大する可能性があるため上場後の経営計画等を十分に斟酌して全体的な開発計画を検討することが必要となります 2 開発期間上場後の企業規模に見合うように全ての情報システムを上場前に開発しようとすると無理が生じ非効率が生じるとともにかえって上場準備に支障を来すことにもなりかねません上場後も情報システムの改善を続けていくような計画とするほうが良いと考えられます 3 柔軟な対応特に成長段階にある企業では情報システムについても環境変化に対応することが必要ですがシステム要件そのものが流動的となるためユーザー部門で柔軟に対応できるように配慮しておくことが重要となります 4 全体の最適化複数のコンピュータシステムを別々に開発する場合例えば二重にマスターが存在する異常時にシステム間の整合がとれない認証がコンピュータシステムごとに異なる等情報システム全体として見たときに非効率な事例がよく聞かれます計画段階から全体的な効率性を意識した要件の検討が最適化の上で重要となります 2. 内部統制機能自社開発の情報システムに必要な内部統制機能はそのシステムをどのように運用するかによって異なりますが上場審査のために ITに関して具体的な基準が明確に定められているわけではありません日本での上場の場合上場後ただちにいわゆる J-SOX 対応が求められることを考慮すると J-SOX 対応を意識して IT 全社統制 IT 全般統制 IT 業務処理統制の3つのレベルそれぞれについて検討しておくことが有用となります 1IT 全社統制 ITに関する全社統制とは企業全体で構築される内部統制であり情報システム担当部署およびユーザー部門というよりもむしろ経営者が主体となって構築すべき統制機能を意味しています PwC s View Vol. 08. May

PwC IPO 情報システム IT 全社統制の観点からは ITに関する適切な戦略計画等が定められているか ITに係る全般統制業務処理統制についての方針が定められているかといった事項が対象範囲となりシステム開発上経営計画事業計画との関連で想定される諸々のリスクが考慮されているかが重要となります 2IT 全般統制 ITに関する全般統制は

4 PwC IPO 情報システム IT 全社統制の観点からは ITに関する適切な戦略計画等が定められているか ITに係る全般統制業務処理統制についての方針が定められているかといった事項が対象範囲となりシステム開発上経営計画事業計画との関連で想定される諸々のリスクが考慮されているかが重要となります 2IT 全般統制 ITに関する全般統制は情報システムを利用して行われる業務が有効に機能する環境を保証するための統制活動を意味しシステムの開発保守に係る管理運用に係る管理安全性に係る管理外部委託に関する契約の管理の4つに区分されます IT 全般統制の観点からはシステム開発保守段階で実際に情報システムを運用する際に必要となる内部統制機能を組み込むとともにプログラムデータへの不正な改ざんや未承認の変更が行われないようにすることが重要となります 3IT 業務処理統制 ITに関する業務処理統制は承認された業務が漏れなく正確に情報システム上で処理記録されることを確保するために業務プロセスに組み込まれた内部統制を意味し網羅性正確性正当性ファイルの維持継続性の 4つに区分されます IT 業務処理統制の観点からはコンピュータシステムにログインする際に IDやパスワードの入力が要求されセキュリティが確保できているかコンピュータシステム間のデータが漏れなく正確にインターフェースされているかエディットチェックやバッチトータルチェック等のエラーチェックが行われることとなっているか等 I Tで制御する仕組み機能がコンピュータシステムに組み込まれ計算処理等が規則に沿った正確な処理記録が確保されていることが重要となります 3 情報セキュリティ対策昨今のFinTech( フィンテック ) やIoT(Internet of Things) 等 IT システム化の大きな潮流のなか企業経営における重要な営業情報や技術情報等を狙うサイバー攻撃は巧妙化し近年情報セキュリティへの脅威は増すばかりの状況にありますサイバー攻撃から企業を守る取り組みの必要性から 2015 年 1 月サイバーセキュリティ基本法が施行されさらに同年 12 月経営者のリーダーシップの下でサイバーセキュリティ対策が推進されることを期待して経済産業省独立行政法人情報処理推進機構はサイバーセキュリティ経営ガイドラインを公表しましたサイバーセキュリティ経営ガイドラインには経営者が認識すべきこととしてリーダーシップをもってビジネスパートナーを巻き込み平時および緊急時のいずれの場合においても関係者と適切なコミュニケーションを図る必要があることを謳い経営者が責任者に指示し着実に実施させることを要する重要 10 項目を掲げています ( 図表 1) サイバーセキュリティ対策も含めた情報セキュリティ対策は情報システムと同様上場審査項目に明示的に含まれていませんがセキュリティ事故事案がビジネスやレピュテーションに与える影響は計り知れません実際に2016 年には上場承認後に顧客情報の漏えいが明らかになったことによって上場延期となった例があります自社のみならずグループ会社や外部委託先を含む管理体制の整備と強化は上場準備における大きなテーマであるといえます 42 PwC s View Vol. 08. May 2017

5 PwC IPO 情報システム図表 1: 情報セキュリティ対策を実施する上での責任者となる担当幹部 (CISO 等 ) に指示すべき重要 10 項目指示 1 指示 2 指示 3 指示 4 指示 5 指示 6 指示 7 指示 8 指示 9 指示 10 サイバーセキュリティリスクへの対応について組織の内外に示すための方針 ( セキュリティポリシー ) を策定すること方針に基づく対応策を実装できるよう経営者とセキュリティ担当者両者をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築することその中で責任を明確化すること経営戦略を踏まえて守るべき資産を特定しセキュリティリスクを洗い出すとともにそのリスクへの対処に向けた計画を策定すること計画が確実に実施され改善が図られるよう PDCA を実施することまた対策状況については CISO 等が定期的に経営者に対して報告をするとともにステークホルダーからの信頼性を高めるべく適切に開示すること系列企業やサプライチェーンのビジネスパートナーを含め自社同様に PDCA の運用を含むサイバーセキュリティ対策を行わせること PDCA の運用を含むサイバーセキュリティ対策の着実な実施に備え必要な予算の確保や人材育成など資源の確保について検討すること IT システムの運用について自社の技術力や効率性などの観点から自組織で対応する部分と他組織に委託する部分の適切な切り分けをすることまた他組織に委託する場合においても委託先への攻撃を想定したサイバーセキュリティの確保を確認すること攻撃側のレベルは常に向上することから情報共有活動に参加し最新の状況を自社の対策に反映することまた可能な限り自社への攻撃情報を公的な情報共有活動に提供するなどにより同様の被害が社会全体に広がることの未然防止に貢献することサイバー攻撃を受けた場合迅速な初動対応により被害拡大を防ぐため CSIRT( Computer Security Incident Response Team: サイバー攻撃による情報漏えいや障害などコンピュータセキュリティにかかるインシデントに対処するための組織 ) の整備や初動対応マニュアルの策定など緊急時の対応体制を整備することまた定期的かつ実践的な演習を実施することサイバー攻撃を受けた場合に備え被害発覚後の通知先や開示が必要な情報項目の整理をするとともに組織の内外に対し経営者がスムーズに必要な説明ができるよう準備しておくこと 4 おわりに IPOにおいて情報システムの重要性は高い反面内部統制機能の見直し情報システムの再構築情報セキュリティ対策等に時間とコストがかかるため IPOを目指す企業にとっては無視できない負担となっています特に情報セキュリティ対策を全て自社の情報システム担当部署が対応する場合一般的に時間もコストも大きくなる傾向にありますので情報セキュリティ管理の一部を外部の専門のベンダーにアウトソースするも有効であると考えられます加藤誠 ( かとうまこと ) PwCあらた有限責任監査法人 IPOソリューション部マネージャー 2005 年 CISA( 公認情報システム監査人 ) 登録メールアドレス :[email protected] PwC s View Vol. 08. May

6 PwCあらた有限責任監査法人東京都中央区銀座住友不動産汐留浜離宮ビル Tel: Fax: PwC Japanグループは日本におけるPwCグローバルネットワークのメンバーファームおよびそれらの関連会社 (PwCあらた有限責任監査法人 PwC 京都監査法人 PwCコンサルティング合同会社 PwCアドバイザリー合同会社 PwC 税理士法人 PwC 弁護士法人を含む ) の総称です各法人は独立して事業を行い相互に連携をとりながら監査およびアシュアランスコンサルティングディールアドバイザリー税務法務のサービスをクライアントに提供しています 2017 PricewaterhouseCoopers Aarata LLC. All rights reserved. PwC Japan Group represents the member firms of the PwC global network in Japan and their subsidiaries (including PricewaterhouseCoopers Aarata LLC, PricewaterhouseCoopers Kyoto, PwC Consulting LLC, PwC Advisory LLC, PwC Tax Japan, PwC Legal Japan). Each firm of PwC Japan Group operates as an independent corporate entity and collaborates with each other in providing its clients with auditing and assurance, consulting, deal advisory, tax and legal services.

スピンオフに関する組織再編税制の改正 PwC 税理士法人国際税務 /M&A タックスグループディレクター原嵩はじめに 2017( 平成 29) 年度税制改正では事業再編の環境整備のために経営戦略に基づく先を見据えたスピード感のある事業再編等を加速するため特定事業を切り出して独立会社とするスピ

スピンオフに関する組織再編税制の改正 PwC 税理士法人国際税務 /M&A タックスグループディレクター原嵩はじめに 2017( 平成 29) 年度税制改正では事業再編の環境整備のために経営戦略に基づく先を見据えたスピード感のある事業再編等を加速するため特定事業を切り出して独立会社とするスピ PwC s View 特集 : 組織再編税制等に関する税制改正 Vol. 8 May 2017 www.pwc.com/jp スピンオフに関する組織再編税制の改正 PwC 税理士法人国際税務 /M&A タックスグループディレクター原嵩はじめに 2017( 平成 29) 年度税制改正では事業再編の環境整備のために経営戦略に基づく先を見据えたスピード感のある事業再編等を加速するため特定事業を切り出して独立会社とするスピンオフ等の円滑な実施を可能とする税制の整備を行う