IPOへの第一段階としては、社内ルールである「規程」を作成することになります。
社内のルールですが、上場後公表する決算などの会社のお金周りなどについて、「うちの会社はこのルールでやっているので不正やミスはありません」と言えるようなルールであることが必要です。
細かい部分は要領や細則、マニュアルなどと言われる補助規則に記載するため、規程は大まかな内容とします。
これは規程が取締役会承認となるため、実運用の業務フローが変わった際など細かい修正時に素早く動けるようにするためです。
ルールの基本は「承認」と「モニタリング」となります。
承認は誰がどのタイミングで承認するのかを明確にしましょう。
よくあるのが、規程に「システム管理者が承認」とあるものの、システム管理者が誰なのか定義されていないことが良くありますので、規程の初めの方で定義するのが良いでしょう。
モニタリングというとずーとPCにログを走らせて監視するイメージがありますが、リアルタイムである必要はありません。
毎日なのか、週一なのか、四半期に1度なのかを明確にし、「誰が何を確認するのか」「確認した後誰に報告するのか」を記載しましょう。
実際の細かいフローは規程より下のレベルの文章(細則等)に記載します。これは先にも書いた通りフローが変わるごとに取締役会に上げるのは大変だからです。
過去に自分がIPOに携わった際とは異なりますが、作成が必要そうなものと概要をまとめてみました。
実際は主幹事や監査などから「〇〇規程を作りなさい」といわれるかと思いますが、その前にざっくり作成しておき、社内で実際に回しておくと他部署の従業員などもなれることができてよいかと考えます。
規程の名称や内容は法令で決まっているものではないので、規程をどこまで分割するかなどによっても変わりますし、同じ名前の規程でも会社によって内容が大きく変わりますので、参考程度にしてもらえればと思います。
- 情報セキュリティ基本方針:会社セキュリティに関する方針。IPAにサンプルがあります。「うちの会社はこんなことをすることでセキュリティを確保しますよ」という"宣言"です。
- システム管理規程:情シス用の規程。システム開発導入や運用のルールを決める。例えば新規システム開発などは情シスでプロジェクトを企画して稟議決裁をとった上で導入を進める テスト結果は記録として残す、リリース前に責任者の承認を得る、といった内容。
- 情報処理システムの企画、開発、運用、保守、ならびにコンピュータおよびネットワーク機器等の付属設備の管理、運用
- システム利用規程:どちらかというとユーザー用規程。パソコンの使用やパスワードをユーザーが決めるときは8文字以上にしなさいとか。
- 外部委託先管理規程:システム開発を外部に委託する時などに、委託先の設定方法や委託後の管理方法を定める。
- 企業機密管理規程:極秘、秘、社外秘などを定める。
- 情報セキュリティ規程:情報セキュリティ方針を宣言する旨と、アカウント管理などのルール設定
- 個人情報保護規定(情シスか総務か微妙):個人情報の取り扱いなどについて。セキュリティーポリシーについてもここで定義する。
システム管理規定は会社によって本当に全く違います。
社内に開発部署などがあると「開発規程」と「運用管理」規程等に分けている場合もありますし、「システム関連規程」はあくまでシステム(プログラム開発など)だけに絞り、PCなどの管理は「PC管理規程」を作っている会社もあるかと思います。
上層部や主幹事から「情報システム規程を作りなさい」と指示された際は、規程の名称だけにとらわれず、どんな内容を盛り込めばよいかを確認し、すでにある規程だけでカバーできないかを確認しましょう。