次世代の内部監査～重要リスク（3）サイバーリスク～

サイバーセキュリティに対する内部監査

サイバーリスクの被害はこれまでのフィジカル空間における被害とは一線を画し、企業の存続に大きな影響を与えます。なぜならサイバー攻撃を受けた拠点が一つでも、それがグループ全体やサプライチェーン全体へ瞬時に影響を及ぼす性質のものだからです。

デロイトは次世代の内部監査のあるべき姿として、Internal Audit 3.0（IA3.0）のフレームワークを提唱しています。次世代内部監査モデルでは「保証」（アシュアランス）に加えて「助言」と「予測」という役割が期待されていますが、伝統的な内部監査の役割であったアシュアランスにおいてもリスクの深度、特にデジタルリスクへの対応が非常に深まってきているため守備範囲が広くなってきています。この場合のデジタルリスクはサイバーリスクと同義ですので、サイバー内部監査はIA3.0の中核を担うテーマと言っても過言ではありません。

既に多くの企業が当該テーマに真剣に向き合い取り組みを開始しています。一概にサイバー内部監査と言っても、そのリスクの複雑性から監査をするテーマが多様化しており、今後もその傾向は続くと予想されています。

内部監査の実施にあたってはどのテーマ監査を実施するか？【What】、どのように監査を実施するか（どのセキュリティ規格を参照するか等）【How】、どの地域や部門（サードパーティ含む）を対象とするか【Where】などの選定がこれまで以上に重要となります。また、専門家の活用や、そこで得られた知見や経験をどのように社内リソースへ定着化させるかなどのロードマップ（戦略）も重要な局面といえます。

トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価（診断）や内部監査ラボなどを通してInternal Audit 4.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。