BASEプロダクトチームブログ

ネットショップ作成サービス「BASE ( https://thebase.in )」、ショッピングアプリ「BASE ( https://thebase.in/sp )」のプロダクトチームによるブログです。

上場3年目、改めてIT統制について考える

アドベントカレンダー CSE 内部統制

この記事はBASE Advent Calendar 2022の21日目の記事です。

初めまして。
BASE株式会社Corporate Engineering CSEの緒方です。
CSE についてはこちらの記事をご参照ください。
ちなみに私はこの記事を読んだことがきっかけでBASEに入社しました。

上場して3年目

BASEは2019年10月25日に東証グロース(旧:東証マザーズ)に上場し、今年でちょうど3年目にあたります。 上場して3年目ということで、J-SOX法上の監査法人による「内部統制報告書」の監査の免除期間も終了し、2022年度から本格的な監査が始まりました。

このタイミングでエンジニアやプロジェクトマネージャー(以下、PM)を対象に、J-SOXのIT全般統制(ITGC)/IT業務処理統制(ITAC)に関する社内説明会を実施したので、そのエッセンスや統制整備する際に心掛けていることなどをお伝えできる範囲で、あまり専門的になりすぎずにお話しできればと思っています。

上場企業でJ-SOX対応やIT統制に拘られている方々の一助になれば幸いです。

そもそもJ-SOXとは

2006年6月に金融証券取引法が成立した際に、米国のSOX法をモデルに規定された制度です。
上場企業が自社内の業務の内部統制の有効性を評価し、「うちの会社、誤りとか不正とかなく、ちゃんと正しくお金の勘定してますよ!」 という内部統制報告書を作成して、監査法人からお墨付きをいただく制度になります。

2000年代初頭、米国にてエンロン事件をはじめとする大規模な不正会計事件が相次ぎ、市場が混乱し、健全な株取引が行えなくなり、投資家たちの「なんとかしてくれ!」という声から生まれた法制度になります。
ですので、直接的には投資家や株主を保護するためのものです。

J-SOXにはそれに係る以下の統制の種類があります。

  • 全社的な内部統制
  • 決算・財務報告プロセスに係る内部統制
  • 業務プロセスに係る内部統制
  • ITの統制

BASEとしてのIT統制の取り組み方

「上場したから」「制度だから」「法律だから」という後ろ向きな理由ではなく、むしろ本制度を活用し、統制を整備することで、よりスピード感のある開発を行っても事故を起こさないような安全装置の役割を目指しています。

具体的には、以下の仕組みを構築することで、日常業務上の不安を払拭したり、有事の際のリカバリコストの削減を図り、結果として従業員一人一人が安心安全に、かつスピード感をもって業務遂行できるようにすることを目指しています。

  • 誤謬(意図しない誤り)や不正が起こりにくい仕組みの構築
  • 万が一、誤謬や不正が起こった時に、検知しやすい仕組みの構築

「誤謬」と「不正」について

財務諸表において、本来あるべき正しい形のものとは違うものを作ってしまう という点においては「誤謬(過失)」も「不正(故意)」も客観的な事実はほぼ同じで、取るべき対策も両者共通しています。

ですので、統制整備の際には 「誤謬を減らすため」に整備実施することに主眼を置き、その結果として 「不正防止のため」につながっている という形が取れるようにしています。

統制の目的として「不正防止」ばかりが先行してしまうと、一緒に働く仲間たちに不信感を抱いているようにも捉われてしまいかねない為、そうではなく、あくまで個々人が安心して日常業務に取り組んでいくための安全装置であることを理解していただけるよう心がけています。

統制のポイント

では、本来あるべき正しい形のものとは違うものを作ってしまうことを無くしていくためにはどのようにすればよいか?そのためには財務諸表上、よりリスクの高いと思われるプロセスについては、「複数人の目が入るチェックの仕組み」 を作る必要があります。

具体的には、以下2点が担保できるように心がけています。

  • Aさんが申請して、その内容をBさんが内容をチェックし、承認して、初めて行使できるしくみ。
  • 上記、承認→申請の内容を第三者であるCさんが事後に客観的に確認できるしくみ。

要は 一人の担当者(あるいは管理者)が独断でなんでもかんでも出来てしまえないように する仕組みとなります。

ですので、一人一人に裁量権を与え、各人の判断でスピード感をもってゴリゴリ進めていくような自走的組織とは、そもそも相性があまり良くありません。 このジレンマが統制整備上の一番の悩みどころです。

統制「しすぎない」こと

統制により「やるべきこと」が増えてくると、業務のスピード感に支障を来します。 そうならないよう、開発エンジニアや各業務を遂行する各担当者たちとは密にコミュニケーションを取り、「スピード感(アクセル)」と「統制(ブレーキ)」のバランスは常に意識するようにしてます。

着眼点としては以下のようなところです。

  • チェック項目が多すぎないか?
  • 同じ内容について複数箇所でチェックしていないか?
  • チェック作業自体を簡略化できないか?
  • 財務諸表に影響のない部分にまで必要以上の統制を効かせていないか?etc.

最終的には 「統制のルールだから◯◯しないと!」みたいなことを出来るだけ意識させない統制の整備 が理想系だと考えます。

BASEのミッションとIT統制

当社のミッションである「Payment to the People, Power to the People.」を実現するべく、使っていただくショップオーナー様、購入者様をよりエンパワーメントするための機能を日々もりもり開発しております。

IT統制はそれらの開発をよりスピード感をもちつつ、かつ開発エンジニア各人が安心して開発を行えるようにするための必要不可欠かつ重要な機能だと捉えています。
そのためには、一度整備して終わりではなく、より安全かつスピード感を保てる統制を常に模索しつづけることが大切だと感じています。

明日は@cocoeyes02さんの『BASE技術イベント登壇振り返り2022』と @mrhiro1112 さんの『PMconf 振り返り』のお話です。お楽しみに。