IT資産管理の監査対策！経営者が知っておくべきポイントと事例

【公認会計士 椎名 潤 氏監修】

IPO審査基準上、新規上場を申請した企業が、円滑な経営活動を行うために構築が必要となる内部管理体制の中で、「内部監査」と呼ばれる仕組みがあります。

内部監査とは、企業が自社の事業活動を客観的に評価し、問題点の発見や改善を図るための仕組みです。 具体的には、企業の経営目標達成や不正防止のために、社内の独立した立場にある担当者が、日々の業務プロセスや財務状況などをチェックし、改善策を提案します。

内部監査の体制が適切に整備され、有効に運用されている状況にあると認められることが、新規上場のための要件として定められています。

参照：Ⅳ 上場審査の内容（有価証券上場規程第 219 条関係

本記事では、IPOに向けて対応が必要となる内部監査の審査基準や、内部監査の有効な進め方について解説します。

IT資産管理

昨今では、企業の経営活動にITを導入することが主流になってきており、システムやデータ等のIT資産は企業における重要な経営資源の一つと言えます。よって企業のIT資産が適切に管理されていることを内部監査により確認・評価することは、IPO審査上重要なテーマであると考えられます。

企業のIT資産管理は、IPO審査において非常に重要です。 管理対象は多岐に渡り、PCやサーバーなどのハードウェア、Excelなどのソフトウェア、プリンターやネットワーク機器なども含まれます。

これらの資産を適切に管理することは、企業の安定的な事業継続はもちろんのこと、情報漏えいリスクの軽減にもつながり、投資家からの信頼獲得に不可欠です。 具体的には、資産台帳を作成し、各機器の購入日、設置場所、利用状況などを記録しておくことが重要です。

構成管理と性能管理

IT資産に関する重要な管理手法として、「構成管理」と「性能管理」があります。

構成管理

構成管理とは ハードウェア及びソフトウェアに関するシステム構成を把握し管理することを言います。ハードウェアは通常、機器ごとにメーカーが様々であり、またメーカーが同一でも、製造時期によって部品の仕様が異なることが想定されます。

またソフトウェアについては、バージョンアップやバグの補正等により、度々アップデートが行われます。このように、ハードウェアやソフトウェアに関するシステム構成については、度々変更が生じます。

ハードウェアやソフトウェアに関するシステム構成の管理対象を明確にし、その構成に変更や廃棄等が生じた場合は適宜アップデートを行う等の管理が重要です。

性能管理

性能管理とは システムの稼働状況を把握・分析し、計画された性能を維持できるように調整することを言います。ハードウェアやソフトウェアのシステム構成に変更が無くても、機器の劣化によるレスポンスの低下や、データ量急増によるバッチ処理の遅延など、システムの性能を悪化させる要因は様々です。
構成管理だけでなく、性能評価の指標を明確にし、閾値を設定し監視する等の管理も重要です。

構成管理・性能管理に関する内部監査の進め方

システム構成や性能が適切に管理されていない場合、思わぬシステムトラブルなどの問題が生じる恐れがあります。

「構成管理」の内部監査上のチェックポイント

「構成管理」の内部監査では、以下のような観点でチェックを行うと効果的であると考えられます。

・各システムの構成要素ごとの管理に関する、責任者を定めているか
・ハードウェア、ソフトウェア、ネットワーク機器等のシステムに関する構成要素ごとの管理手続を定めているか
・ハードウェア構成図、ソフトウェア構成図、ネットワーク構成図を作成し、責任者が承認しているか
・ハードウェア等に関する最新のシステム構成図へアップデートしているか
・システムメンテナンスを定期的に行っているか
・システム構成要素の変更・廃棄について、正確に記録しているか

「性能管理」の内部監査上のチェックポイント

「性能管理」の内部監査では、以下のような観点でチェックを行うと効果的であると考えられます。

・システムの性能に関する数値を測定し、閾値を超えた場合の対応方法を内規等で定めているか
・システムの性能について、例えば CPU ・メモリディスクの使用率、オンラインの応答時間、バッジの処理時間等、具体的な指標を定めているか
・システム性能を分析・評価し、適宜調整を行っているか
・システム要件・環境の変化に応じて、適宜性能評価の指標を見直しているか

参考：システム監査とは？目的や流れ、義務、範囲などを網羅的に解説

情報セキュリティ対策

上述のIT資産管理に不備が生じた結果、企業が情報漏洩等の不祥事を起こした場合、その企業に対する周囲からの信用は大きく低下すると考えられます。情報セキュリティ対策は、企業が信頼性を高め、経営活動を円滑に行っていくためにも、IPO準備段階で対応すべき事項と言えます。

情報セキュリティの定義

情報セキュリティとは、情報の機密性、完全性、可用性を維持・確保することを言います。

情報セキュリティの3要素

ここでは、情報セキュリティの3要素である、「機密性」「完全性」「可用性」について解説します。

機密性

重要な情報が、権限の無い者に知られることがないように保護されている状態を言います。

完全性

不正や障害等により、情報が改ざん・破壊されない状態にあることを言います。

可用性

必要な情報が必要なときに利用可能であり、またシステム等の情報資源を継続的に使える状態にあることを言います。

情報セキュリティに関する内部監査の進め方

IPO審査基準を満たすレベルの情報セキュリティを確保するための内部監査の実施においては、以下の点を確認することが有効と考えられます。

・情報セキュリティに関するポリシーや内規等を、各従業員に周知徹底・教育しているか
・重要なシステムを設置しているサーバー室への入退管理を行い、夜間及び休日等の時間外の入退記録をチェックしているか
・アクセス権限の棚卸を定期的に実施し、不要な権限を削除しているか
・重要なシステムへのアクセス状況の監視及びログを保存し、適宜分析しているか
・機密情報及び外部記録媒体の取り扱いに関する、社内管理規程が整備されているか
・情報セキュリティの事故発生時における、報告及び対処ルールを定めているか

なお、内部監査で確認すべき具体的なポイントについては、経済産業省が公表の「情報セキュリティ管理基準」を参照ください。

参照：情報セキュリティ管理基準(平成28年改正版)

関連記事：情報セキュリティポリシーの雛形（サンプル）を公開

労務監査

IPO準備段階における内部監査の重要なテーマとして「労務監査」があります。労務監査は、社内の人事規程等に定められた労働条件、労働契約、福利厚生等が、労務諸法令に照らして適法かどうかの観点で行われます。IPO審査においても、同様の観点でチェックされる可能性が高いテーマであると考えられます。

IPO審査時にチェックされやすいテーマ

昨今のIPO審査における労務関連のトレンドとしては、①給与未払い問題、②過重労働、③適正な労働時間の把握、④社内コンプライアンス体制の維持・構築等の観点でチェックされやすいと考えられます。

①給与未払い問題

給与未払いに関する問題は、以下のように複数の要因で発生するものと考えられます。

要因(1):労働時間管理の未実施

上場前の中小企業のなかには、業績優先で社内管理体制の構築が後回しになり、労働時間管理自体を行っていない企業があります。

そもそも労働時間管理を実施していない企業については、まず労働時間を正確に把握し、正確な労働時間に基づいた給与計算が行われる体制作りが急務です。労働時間及び給与計算に関する適切な内部管理体制の構築が行われない限り、給与未払いの問題は解決されず、ひいては上場申請も認められない可能性が高いと考えられます。

要因(2):誤った計算方法に基づく割増賃金

割増賃金率は、労働基準法37条に根拠規定があります。例えば時間外労働の割増利率は25%以上と規定されているにも関わらず、25%未満の割増率を不当に設定して賃金計算が過小に行われるケースが想定されます。

要因(3):みなし残業手当制度

近年ベンチャー企業を中心に、月の実際に稼働した残業時間に満たない場合でも、定額の残業代を支給する「みなし残業手当」の制度を採用する企業が増えています。その名称は「固定残業手当」「特別手当」「職務手当」など、企業によって様々です。中でも「特別手当」「職務手当」のように、その名称だけではみなし残業手当であることが読み取れない場合もあります。

IPO審査における内部監査上の観点は、例えば給与規程上でみなし残業手当が定義付けられ、労働者が理解できるような形で明文化されるかどうかを確認することが有効であり、労務トラブル防止にも効果的であると考えられます。

②過重労働

日本国内では、依然として長時間労働が問題となっており、長時間労働の削減は早急に解決すべき課題と位置付けられています。

行政機関では、当課題へ対応するため「長時間労働削減推進本部」が設置されました。同本部では「※「過労死当ゼロ」緊急対策」を公表し、働き方の見直しに向けた企業への要請や、長時間労働が常態化する企業に対しての監督指導を遂行しています。また、月の長時間労働が80時間超の事業所の調査、是正指導が必要な企業名の公表などの取り組みも行われています。

IPO審査においては、従業員の過重労働について細かく内容が問われやすいと考えられます。内部監査上は、例えば36協定を上回る長時間労働を未然に防ぐための社内施策が合理的であるかの検討を行うことが有効と考えられます。

③適正な労働時間の把握

平成30年6月に労働安全衛生法が改正され、使用者が、従業員の労働時間を「客観的な」方法で把握することを義務付けられました。具体的な施策としては、(1)日次の始業・終業時刻の記録、(2)賃金台帳の作成が義務付けられています。

(1)日次の始業・終業時刻の記録
使用者が、タイムカード・PC使用時間の記録等に基づき、労働時間が適正であるかどうかを確認すること

(2)賃金台帳の作成
使用者が、各従業員の月の労働日数及び時間数や、休日・時間外労働時間数を、適切に賃金台帳に記録すること

IPO審査に向けた内部監査上も、これらの労働時間を客観的に把握するための仕組みが有効に機能しているかどうかを確認することが重要です。

④社内コンプライアンス体制の維持・構築

平成30年度の新規株式公開社数は、97社と高水準にあったのに対し、同年度のIPO審査において上場申請後に承認されなかった会社数は46件となり、前年度比で大幅増となりました。

参照：IPO Forum-2018年、46社が上場承認に至らず。IPO審査で何が起きているのか？

また日本取引所グループ(JPX)が公表した内容によると、平成30年度においてIPO審査の結果承認に至らなかった理由として、内部管理体制のレベルが上場審査基準を満たさない企業が多かった旨のコメントがありました。

昨今、内部管理体制が重要視されている背景としては、2,000年代において東芝等の大手上場企業において不正会計が発覚し、投資家の信頼を損なう事案が相次いで発生した点にあることが考えられます。

上場企業は社会的影響力が大きいので、法令や内規等を常に遵守したコンプライアンス経営が行われることが大変重要です。上場後に不祥事が起きるような脆弱な管理体制では、IPO審査を通過することは困難になってきていると考えられます。

IPO準備段階における内部監査上の観点としては、社内のコンプライアンス体制を維持していくための基本ルールとなる各社内規程・マニュアルが整備され、これらの仕組みが有効に運用されていることの確認が重要です。

無料で利用できるIT資産管理ツール

無料でIT資産管理を行う方法として、ExcelやGoogleスプレッドシートを活用することが有効です。特に、ExcelやGoogleスプレッドシートは、多くの企業や個人がすでに慣れ親しんでいるツールであり、基本的な資産管理台帳を無料で作成・運用できます。

以下のURLから、Excelのファイルをダウンロードできますので、ぜひご利用ください。

IT資産管理台帳サンプル（Excel形式）

特に、Excelやスプレッドシートはカスタマイズの自由度が高く、企業の業務内容に応じて柔軟に対応できるため、基本的な資産管理に十分活用できます。

しかし、これらの方法にはいくつかの課題もあります。例えば、ヒューマンエラーが起こりやすく、データの整合性を保つことが難しいため、管理ミスや更新ミスが発生するリスクがあります。また、複数人での同時作業が難しく、チームでの運用には向いていない場合もあります。

それでも、コストを抑えながら基本的な管理を行いたい場合には、ExcelやGoogleスプレッドシートは有効な選択肢です。

関連記事：無料・安価で利用できるIT資産管理ツールは？おすすめを紹介

まとめ

IPO準備に向けた内部監査の実施対象は、上述のテーマ以外にも、販売、購買、物流、経理業務など非常に多岐に渡ります。よって、内部監査の役割を担う人材には、高度な専門性や能力が求められます。

しかし、内部監査における適切な人材を社内のみで確保することは、人手不足や採用活動がうまくいかない等困難を伴うケースも想定されます。

その場合は、内部監査の高い専門性を有する外部のコンサルタントを適宜活用し連携して進めることが、IPO審査に向けた効率的な内部監査の実施につながっていくと考えられます。

本記事が、IPO審査基準を満たすための内部監査の参考になれば幸いです。

関連記事：企業に必要な内部統制とは？内部統制の目的とポイントを解説！