IPOに重くのしかかる影の主役、ITガバナンス(後編)

執筆者:古見大介(監査法人A&Aパートナーズ IT部)

※所属・肩書は掲載当時のものです。

※前編はIPOかわら版 第49号【匠の論点解説】にて掲載しております。
 
4.ITガバナンスに最低限必要な組織や人材
では、実際にITガバナンスを整備構築するとして、大前提で必要なものを考えていきます。この辺りも明確なルールは有りませんが、上場前後の様々なIT課題に対して的確に対応するには「経営陣の主体性」が重要だと思います。このため、私は”CIO(最高情報責任者)”の設置は重要だと考えます。ITの導入可否と判断について経営陣と対等に「モノを言える」人がいないとあっという間にITは無法で身勝手なモンスターになってしまいます。利便性とリスクを天秤にかけて企業にとって最適なITによる価値を生み出せる人が重要です。
最近ではITによってプロフィットを得るべくプロダクトやサービスの開発を主導するCTO(最高技術責任者)が脚光を浴びていて、特にIT企業には配置されていることが多いので、CTOが兼任する場合も有ります。しかし厳密には「プロダクトやサービスの企画・開発能力の高い」CTOと「戦略やガバナンスに基づき適切な社内のIT利用や統制を推進する」CIOの役割や専門性は大きく異なります。
CIO直轄で存在すべき部門としては「情報システム部門」も専任で備えるべきです。クラウド時代なのでサーバの管理も無いし、規模次第で不要では?という意見も有りますが、情報システム部門の意義は単に業務システムを運用するSEが居る、ではなく、企業がアカウンタビリティ(説明責任)を持って利用するシステムの運用管理を行う人員を配置する役割も担っています。
もう一つの柱として、「牽制」の部門も規模に応じて必要になってきます。ITの専門性を勘案し、近年では内部監査だけでITへの保証と提言を全て賄うのではなく、情報セキュリティのチームを組成し、ITサービス導入時に委託先や開発ベンダに対してセキュリティリスクが存在しないかを審査・提言する役割を担ったり、IT統制の整備を情報システム部門に対して指導・支援したりすることも有ります。また、具体的なセキュリティソリューションの導入にも関与して、「守り」の戦略と施策を結びつける役割も担います。
これ以外にも「ステコミ」と呼ばれるようなIT運営委員会の設置やISMS(情報セキュリティマネジメント)の導入も規模や事業によっては必要ですが、IPOを考える企業が最低限整備すべき人材や組織については次項でまとめてみます。
 
5.IPOを計画する時に必要なIT人材・組織・施策
A:統括すべき人材
・CIO
→経営層に属し、IT戦略を策定の責任を担い、経営層には適切な意見と提言を、各IT部門に対しては適切な戦略と統制を落とし込む
B:整備すべき組織
・情報システム部門
→企業が選択・導入したシステムを適切に導入・管理・運用する
・情報セキュリティ、IT統制部門
→企業の(IT)ガバナンスに沿ったセキュリティやIT統制を推進・整備・導入していく
・内部監査部門
→上記に対して独立性を持って監査や評価を行い、それらを経営陣に報告する
C:IT施策
CIOを中心としたIT戦略に沿って、情報システム部門を中心に具体的なIT推進を行います。業務自体へのIT化(DX)等の機能的要件も有りますが、IPOに焦点を合わせるのであれば、定めたポリシーや守るべきIT統制の枠組みに基づき、ネットワークや各システムに対して適切な権限管理やセキュリティを備え、それらが適切なモニタリングを行える、「非機能要件」も満たさなくてはなりません。
 
ITガバナンスというテーマはとても幅が広いので、ここだけでは語り切れませんが、A&AパートナーズではITに対する内部監査、統制やセキュリティに対するアドバイザリー業務も行っておりますので是非ご相談ください。
 

2022/01/14 発行 IPOかわら版【第51号】掲載

東京事務所アクセス 会計監査人との”連携”豆知識 そろそろIFRS? 今さらながらの内部統制 木村さきの憂鬱 IPOかわら版 通年採用情報 嘱託採用情報
ページ上部へ戻る