はじめに
システム開発部IT戦略グループの比嘉です。
マイクロアドは2022年6月29日に東京証券グロース市場へ上場しました。今回はシステム開発部で上場に向けて対応したIT統制について話をします。2018年4月頃からIT統制が本格的に始まり、現在も継続しています。あくまで私が関わった範囲となり、上場準備のごく一部となります。
IT統制とは
IT統制は、内部統制のうち、情報システムに関連するもの。現代の企業活動にはコンピュータ欠かせないため、IT統制によって情報技術の適正な整備と運用が必要。 IT統制は以下の3段階で構成される。 情報システムが適正に構築され運用できるように、方針や計画、手続き、ルールなどを整備し、運用し、監視や改善がなされる。
IT統制は以下の3段階で構成される。
IT全社的統制 (ちゃんと動く)
情報システムが適正に構築され運用できるように、方針や計画、手続き、ルールなどを整備し、運用し、監視や改善がなされる。
IT全般統制 (きちんと整備する)
情報システムが常に適切に運用できる状態を維持し、実行する。具体的には通常のメンテナンスとともに、最新技術の動向を把握し、セキュリティに腐心する。
IT業務処理統制 (適切に使う)
適切な業務の遂行のために、情報システムを、正しいデータで、正しいユーザが、正しい使い方をする。具体的には、データチェック、アクセス権限管理、利用規約徹底などである。
wikipedia から引用
内部統制とは
企業において経営者や社員が厳守しなければならないルールや仕組みのことを言います。
内部統制が欠如すると不正が発生しやすくなります。
対応の流れ
- 内部監査室と今期の監査スケジュールを調整
- IT全般統制の整備/運用状況の評価を実施
- IT業務処理統制の評価を実施
- 実施した評価内容を内部監査室に提出
- 提出内容に指摘があれば対応
対応箇所
システム開発部では先程紹介した3つの構成のうち、IT全般統制と IT業務処理統制を対応しました。
IT全般統制
システムの開発、保守に係る管理
システム開発のプロセスを整備する必要があります。実現するにあたって、Atlassian 製品のJiraを利用しています。各ステータスで必要な人の承認を経て次のフェーズへ進むようなワークフローを作成しています。
システムの運用・管理
システム開発のプロセスが実際に運用されているか評価したり、セキュリティ対策がされているか評価します。4つの分類になっており、約50項目を対応しています。※一部抜粋
- 開発と変更管理
- 開発フローに則って運用されているか
- セキュリティ管理
- アカウント権限が適切に管理されているか
- データのバックアップが取られているか
- 運用管理
- 障害対応が適切なフローに則って運用されているか
- サービスレベル管理
- 提供サービスの内容や水準が文書化されているか
IT業務処理統制
売上/仕入などお金の流れが正しいか
マイクロアドではDSP(UNIVERSE Ads)、SSP(COMPASS)を利用したサービスを提供しています。
DSP、SSPそれぞれの ログ → 集計 → サマリテーブル → 請求金額(支払金額) の数値に差異がないことをチェックしています。
また、DSPからSSPへの一連の流れで正しい数値となっているかもチェックしています。
おわりに
サービスは1年も経つと状況が大きく変わっています。
システム構成が変わるのは勿論ですが、データセンター移設などでアクセス方法が大幅に変わることもあります。
提供するサービスもDSP(BLADE)からDSP(UNIVERSE Ads)に変わったりと、1年前の資料が役に立たないことも多々あります。
そのような状況ですので、常にサービス全体を俯瞰して把握するよう心掛けています。
上場したからといって完璧になった訳ではなく、まだまだ課題が残っています。
日々、改善していくことで安心・安全で信頼性の高いサービスを提供していければと思います。
