IPO支援(株式上場支援)
「そのままでは通らない」、IT全般統制領域の盲点とは?
IPO準備においては、「経理」や「事業計画」に注目が集まりがちですが、実はIT全般統制も上場審査・監査における大きなハードルの一つです。CTOやCIOの方々のなかには、「今時、内部統制なんてシステム任せで問題ない」とお考えの方もいらっしゃるかもしれませんが、それは大きな落とし穴となり得ます。とくに、以下のような項目は、審査・監査において高い確率でチェックされます。
1.アクセス権限管理が“形骸化する”リスク
上場審査・監査では、「誰が、どのシステムに対し、どのレベルの権限を持っているか」が詳細に確認されます。
よく見られる問題としては、以下のようなケースがあります。
- 退職者や異動者のIDが削除されずに残っている
- 開発者が本番環境に自由にアクセスできる
- 取締役などの役員が管理者権限を保持している
- 共有IDが運用されている
監査法人からは、「権限の付与・変更・削除に関するルールが整備されているか」「整備された権限のルールは適切な職務分掌となっているか」「定期的な棚卸しが実施されているか」「申請・承認の証跡が残っているか」といった点が問われます。とくにSaaSの導入が進んでいる企業では、複数のシステムが乱立し、管理が煩雑になりがちであるため、注意が必要です。
2.システム変更管理プロセスが“記録されていない”リスク
開発環境から本番環境への移行プロセスが曖昧で記録も残っていない場合、監査対応で大きな問題となります。たとえ「開発者がコードをGitHubにプッシュし、自動テストを経て本番環境にリリースされる」といったCI/CD体制が整っていても、「誰が、いつ、何を」本番環境にリリースしたのかが明確でなければ、統制が効いていないと判断される可能性があります。CTOには、「スピード感を重視した開発体制」と「内部統制の要請」との両立が求められます。
3.システム運用が“親会社依存・ベンダー任せになっている”リスク
グループ会社が親会社と同じ基幹システムを利用している場合、親会社がアクセス権限や設定変更を一元的に管理しているケースがあります。このような場合、「自社で管理できていない=統制が効いていない」と判断され、IT全般統制における不備とされるリスクがあります。ベンダーに設定や作業を委託しており、その内容を社内で把握していないケースも問題です。「誰が、どのような作業を、どの権限で行っているか」を把握・管理できていない場合、統制上の重大な懸念事項となります。
IPO後に後悔しないために
ITガバナンスへの対応は、「一夜漬け」でできるものではありません。ルール整備、体制構築、証跡の整備には、最低でも半年から複数年程度の準備期間が必要です。まずはIPO準備の早期段階から、経理部門と連携しながら以下のような点を明確にしておくことが重要です。
- どのシステムをIT全般統制の評価対象に設定するか
- 誰がどの範囲を管理するか
- 監査法人との確認をどのように進めるか
BBSの会計士コンサルタントは、監査人の視点と現場の実務をつなぐ役割を果たすことができます。
また、CTO・CIOにおいては、IT統制の整備を「IPO監査を通過するための消極的対応」と捉えるのではなく、IPO後の「持続的な成長を支える基盤」として位置付けることが、求められるリーダーシップであると考えます。
関連コラム記事
-
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年6月)(3)
-
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年6月)(2)
-
サステナビリティ情報開示:SSBJハンドブックの概要と実務上の影響(2025年6月)(1)
-
サステナビリティ情報開示:補足文書と実務上の影響(2025年6月)(4)
-
SOCレポート利用上の留意点
-
サステナビリティ情報開示:補足文書と実務上の影響(2025年6月)(3)
-
総勘定元帳における相手科目表示の再考
-
サステナビリティ情報開示:補足文書と実務上の影響(2025年6月)(2)
-
サステナビリティ情報開示:補足文書と実務上の影響(2025年6月)(1)
-
サステナビリティ情報開示:企業経営とサステナビリティの関係