2016年9月16日掲載
成長著しい新興企業が、資金調達やブランディングのために実施するIPO(Initial Public Offering)。IPOにはどのようなタスクが必要であり、その実現のために優先的に導入すべきシステムにはどのようなものがあるのでしょうか? 今回は内部統制について考えていきます。
埼玉県にあるYMC電子工業の顧問ITコンサルタント・美咲いずみは、同社の山田昭(仮名)CIOの紹介で、東京都港区にあるスマイルソフト(仮名)を訪れていた。
スマイルソフトは、中堅企業向けのCRM(顧客管理システム)パッケージソフトKIZUNA(仮称)で成長したソフトハウスで、ここ数年間は前年度比150%の急成長を続けている。
いずみは、同社の神谷隆介(仮名)社長から、「数年以内に東証マザーズへの上場を実現するにはITシステムをどうすればいいか」ということを相談され、ソフトウェアとしては会計、業務としては内部統制が大変であることを説明。
会計ソフトに関するレクチャーが終了し、今から内部統制に関するレクチャーが始まる。
「それでは、内部統制に関してご説明したいと思います」といずみが言うと、神谷社長が口を挟んだ。
「どうも『内部統制』という言葉の響きが好きになれないんですよ。“Internal Control”の訳ということは分かるのだけど……」
「『管理強化』というイメージがおありなんでしょうか?」
「そうですね。創業期を経験しているからかな。みんなでワイワイと開発を進めて、時には怒鳴りあいになることもあったけど、管理なんて概念はなく全員がベストを尽くしていたらビジネスが軌道に乗り始めた。そういう思い出が強いからかもしれませんね」
「今は、社員は何名ですか?」
「先月150名を超えました。3年後にIPOを実現できたとして、その頃には500人を超えるでしょう」
「全員の顔と名前は一致していますか?」
「今はまだ大丈夫ですね。でも500人を超えるときついでしょう。なので、管理の仕組みが必要なことは分かるのです。でも、自由な社風は残したいなあ…」
「神谷社長。お言葉ですが、内部統制は管理強化とは少し違います。少なくとも、自由な社風と両立するものです」
神谷はいずみの言葉に意外そうな顔をした。
「内部統制については、IPOコンサルタントか監査法人の担当者が詳しくレクチャーされると思いますので、私からは概略だけお話しします。最初に、ご存知とは思いますが、内部統制が厳しく言われるようになった背景を簡単にまとめておきます」
発端は2001年から2002年にかけて、アメリカで相次いで起こった、エンロンとワールドコムの破綻だった。アメリカ史上でも類を見ない莫大な規模の破綻だったのだが、問題は粉飾決算に監査法人が手を貸していたことだった。
このままでは株式市場への投資家の信頼が失われ、アメリカ経済の基盤が崩れると危機感を覚えたアメリカ政府は、上場企業の財務報告の厳格化、コーポレートガバナンス(企業統治)の強化、そして財務情報の正しさを保証するための「内部統制」の義務化を打ち出したSOX法を制定した。
この影響は日本にもおよび、SOX法を手本として日本版SOX法(J-SOX法)が整備され、2009年3月期の決算から上場企業に適用されることになった。このため、現在ではIPO前に内部統制の仕組みを整えることが必要となったのである。
いずみは、ホワイトボードに、「J-SOX法の3つの要件」という表を書いた。
「J-SOX法には3つの要件があります。1つめは、経営者率先して内部統制の枠組みを作ること。2つめは、これも経営者が責任を持って「内部統制をきちっとやっています」という報告をすること。3つめは、外部の監査法人が「内部統制の仕組みがきちっと回っています」という監査報告をすることです」
「なるほど。会社側が内部統制をやっていると言うだけではダメで、きちっとした報告書を作ると同時に、外部監査を受けて監査人も報告書を書くという厳しい二重チェックが必要なんですね。しかし、やはり管理強化のイメージが拭えないが……」
「これだけ聞くとそうですね。では、内部統制の目的と中身を見ていきましょう」
いずみはホワイトボードに、「内部統制の4つの目的と6つの基本要素」という図を描いた。
「図の左の4つが内部統制の目的、右の6つが基本要素、つまり内部統制とは具体的に何をするかということです。歴史的経緯から『財務報告の信頼性』と『事業活動に関わる法令などの順守』という2つの目的は分かりますよね?」
神谷は黙ってうなずく。
「残りの2つのうち、先に『資産の保全』を説明します。資産とはいわゆるリソース、すなわち『ヒト・モノ・カネ・情報』です。情報は主にノウハウも含めた広い意味での知的財産とお考えください。資産は入手・運用・廃棄というプロセスを必ず通ります。そのプロセスにおける手続きや承認の仕組みを整備することが資産の保全にあたります」
「これも管理ですが、必要なことは認めざるを得ないですね」
「最後に残ったのが、『業務の有効性および効率化』です。これが1番めに来ているのは、これこそが最大の目的だからです。ところで、神谷社長が考える、業務が最も有効で効率的な状態とはどのようなものでしょう?」
「有効かどうかは企業の存在目的や目標と比べるわけだから、当社の理念である『“ホンモノ”を提供している企業が顧客との関係力を高めることで、社会により大きく貢献するための支援をする』ことが、どれぐらいしっかり行われているかですね。要するに、すばらしい製品やサービスを提供している企業が儲かっていれば、我々のビジネスが有効だということです。効率的とは、残業が少なかったり、利益率が高かったり、そのことで社員に高い給料が払えたり……。いや、何よりも社員が生き生きと働いている状態が、1番効率的だと思います。みんながワクワクしながら新しいアイデアをどんどん出していき、お客さまからダイレクトに感謝され、それがまた次の活力につながっていく。そんな『社風』ができあがることですね!」
神谷社長は、言っているうちに自身もワクワクしてきたようだ。
「『業務の有効性および効率化』ということは、まさにそういうことなのです。もちろん経営者によって考え方は違っていいのですが、神谷社長がそのように捉えるのなら、そういう会社を作るために内部統制をデザインすればいいのです。
『6つの基本要素』に関しては、あまり説明は要らないと思いますが、一番上の『統制環境』という要素については補足が必要でしょう。これはどのような会社をめざしていくか、つまり企業理念や社風などをどう設定するかということなのです」
「要するに、内部統制が単なる管理強化になるのか、私がめざす理想の会社の実現と社員の幸福に結びつくかは、最終的には私次第ということなんですね?」
「ご明察です」
「責任重大だ。しかしやる気が出てきました」
いずみが、その言葉に応えるようにニッコリほほえんだ。
「それでは、本題である内部統制に関わるITについて考えていきたいと思います。ポイントは2つです。ITによる文書管理、もう1つはITそのものの内部統制です」
「文書管理というのは?」
「内部統制がしっかり行われているかどうかは、業務手順が文書として定義されていて、その手順が正しく、またその正しい手順とおりに実施されているかどうかでしか判定できません」
「ということは、全社の全部門・業務のマニュアルや業務フローを作るということですね」
「おっしゃるとおりです」
「これが本当にいやなんだよなあ」と神谷社長が本音を漏らす。
「しかし業務マニュアルや業務フローを作るメリットもあります。作成手順として一般的なのは、まず各部門で草案を作ってもらい、それをIPO準備室でまとめ直し、最終的に監査人にチェックしてもらって修正するというものです。
この一連の手順の中で、非効率な業務や不必要な業務が見つかるので、それらを改善・抹消することで業務の効率化が実現します」
「しかし煩雑になる業務もあるでしょう?」
「今までかなりいいかげんにやっていたなら、そうなるかもしれません。とはいえ、業務マニュアルや業務フローが整備されるわけですから、IT化も容易になりますよね?」
「IPOに数年かかると聞いていますが、ここが一番大変なんでしょうね?」
「ご明察です。ですので、業務マニュアルや業務フローを作成し、それを管理する部分にITを活用するのです。成果物が電子化されるため、変更管理もアクセス制限も廃棄処理も容易になります」
「これはやるしかないんですよね。分かりました。できるだけ使い勝手のいいソフトを選ぶことにします」
「次にITそのものの内部統制について考えていきましょう。ITの内部統制とは、ITそのものがしっかりと内部統制の対象になっていて、内部統制に則って運用されているという監査証跡が取れるようになっているということです。
監査人から指摘されることが多いのが『アクセス管理』と『開発と運用の分離』の2つです」
「アクセス管理についてはどういう指摘が多いのですか?」
「多いのは特権IDの管理と、全般的なパスワード管理ですね。特権IDを知っている人が多すぎるというケースもありますし、使用ログを取っていない会社もあるようです。パスワードが変更されず退職者でもアクセス可能というケースもありました。パスワードの定期的な変更は特権IDだけではなく一般IDでも必要ですが、これは行われていない会社のほうが多いかもしれません。
こういったパスワード運用だけでなく、社内のあらゆるIT資産へのアクセスログを取得し、不正使用と思われる場合には早急にアラートを上げる仕組みがほしいですね」
「情報セキュリティーと絡めて考える話ですね。もう1つの『開発と運用の分離』とは?」
「多くの会社では情報システム部内で開発要員が運用保守もやっています。そうすると、本番環境を気軽に変更してしまう人が出てくるかもしれません。
例えばバグの修正をしたら、承認なしに本番環境に適用してしまう。しかし別のバグを作り込んだり、リリース手順を間違えたりして、本番環境を停止させてしまう。このようなことを防ぐために、開発と運用をきちっと分離しなさいという指摘がされることが多いのです」
「それは理解できますが、当社の情報システム部門は派遣社員を入れて3名で回しています。それを開発と運用に分けるのは現実的ではありません」
「それは大企業でも同様で、少ない要員でシステムを見ている会社はたくさんあります。また、2010年頃から『DevOps』(デブオプス)といって開発と運用が連携協力してシステム構築や保守をしていこうと機運が盛り上げっています」
「『DevOps』は私も知っています。だからなおさら開発と運用の分離と言われても困りますよね?」
「だからこその『開発と運用の分離』でもあるのです。先ほどお話ししたような経緯で本番環境が停まってしまったら困りますよね? 『DevOps』で開発と運用が連携すれば、いいかげんに本番環境を触る開発要員が出てくるおそれもあるでしょう? そこでルールを明確にし、本番環境を変更する手続きを明確に定め、誰がアクセスしたかも分かるようにしておく――これが『開発と運用の分離』です」
「要員を分けなくてもいいということですか?」
「可能であればそうするほうがいいでしょう。しかし現実的に要員を完全に分けることができない企業のほうが多いのです。無理を考えるよりは、ルールと仕組みを明確にすることが大切です」
「分かりました。おかげさまでかなりすっきりしたうえ、IPOの全体像も見えました。コンサルタントや監査法人を選択する基準も作れそうです。本当にありがとうございました。これからも弊社のITに関して、ときおり相談に乗ってもらえますか?」
神谷が差し出す手を強く握り返したいずみは「もちろんです。よろしくお願いいたします」と返事をするのだった。
まとめ
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。