ナレッジ

次世代の内部監査~重要リスク(3)サイバーリスク~

内部監査の新潮流シリーズ(14):DX化に伴うサイバーリスクの高まりにおいて、内部監査部門の役割の重要性が高まっています

サイバーリスクはどの企業にとっても目の前にある問題であり、経営者の関心が高いテーマです。サイバー攻撃を受けるとネットワークを介してグループ会社や業務委託先などサプライチェーン全体に影響を及ぼすこともあります。多くの内部監査部門にとって専門性が欠如するなど監査実施のハードルが高いテーマですが、部門内に専門家がいなければ社内外の専門家の知見を活用し、早急に取り組む必要があります。

デロイト トーマツでは、「内部監査の新潮流」と題して内部監査のトピックスを全24回にわたり連載いたします。前半は、内部監査の基礎となる事項をとりあげ、後半は次世代の内部監査に求められる最新のトピックスを取り上げます。全24回の詳細はこちらのページをご覧ください。

内部監査の新潮流シリーズ一覧へ

サイバー攻撃の脅威と内部監査機能

PCやサーバ、スマートフォンに保存されているファイルの暗号化や画面ロックを行い、復旧に金銭を支払うよう脅迫することに加え、近年では窃取した情報を公開すると二重に脅迫するケースが増えており、ランサムウェアをとってみてもサイバー攻撃の手法が複雑化しています。

サイバー攻撃は、ネットワークを介して影響範囲が指数関数的に広がるおそれがあり、サイバー攻撃を受けた拠点が一つでもそれがグループ全体や業務委託先などサプライチェーン全体へ瞬時に影響を及ぼす事例も見られます。攻撃が海外拠点にも及んだ場合、体制の脆弱さなどの理由から把握が遅れることもあります。また、それが原因でGDPRに違反する情報漏洩などが発生した場合には、多額の制裁金が課せられるリスクもあり、何よりレピュテーションの毀損は計り知れません。また、サードパーティのセキュリティインシデントが自社のセキュリティに影響を及ぼす事例も増えています。

サイバー攻撃によるインシデントはどのような企業でも起こり得ますが、対応によって被害を最小限にすることはできます。今、内部監査部門は独立的な立場から、サイバーリスクについても組織のコントロールとリスク管理を十分に機能させることが重要視されています。

図1_サイバー空間の脅威
※画像をクリックすると拡大表示します

サイバーセキュリティに対する内部監査

サイバーリスクの被害はこれまでのフィジカル空間における被害とは一線を画し、企業の存続に大きな影響を与えます。なぜならサイバー攻撃を受けた拠点が一つでも、それがグループ全体やサプライチェーン全体へ瞬時に影響を及ぼす性質のものだからです。

デロイトは次世代の内部監査のあるべき姿として、Internal Audit 3.0(IA3.0)のフレームワークを提唱しています。次世代内部監査モデルでは「保証」(アシュアランス)に加えて「助言」と「予測」という役割が期待されていますが、伝統的な内部監査の役割であったアシュアランスにおいてもリスクの深度、特にデジタルリスクへの対応が非常に深まってきているため守備範囲が広くなってきています。この場合のデジタルリスクはサイバーリスクと同義ですので、サイバー内部監査はIA3.0の中核を担うテーマと言っても過言ではありません。

既に多くの企業が当該テーマに真剣に向き合い取り組みを開始しています。一概にサイバー内部監査と言っても、そのリスクの複雑性から監査をするテーマが多様化しており、今後もその傾向は続くと予想されています。

内部監査の実施にあたってはどのテーマ監査を実施するか?【What】、どのように監査を実施するか(どのセキュリティ規格を参照するか等)【How】、どの地域や部門(サードパーティ含む)を対象とするか【Where】などの選定がこれまで以上に重要となります。また、専門家の活用や、そこで得られた知見や経験をどのように社内リソースへ定着化させるかなどのロードマップ(戦略)も重要な局面といえます。

図2_IA3.0におけるサイバーセキュリティ内部監査
※画像をクリックすると拡大表示します

トーマツでは「次世代の内部監査への変革を本気で取り組もう」という会社様向けに「次世代内部監査提言サービス」を始めました。外部品質評価(診断)や内部監査ラボなどを通してInternal Audit 3.0フレームワークとのFit & Gap分析を実施し、各社の実情に合った次世代内部監査モデルを提言いたします。ご興味のある方はぜひトーマツの内部監査プロフェッショナルまでお問い合わせください。

 

内部監査・内部統制・オペレーショナルリスクに関する詳細な内容や関連資料、プロジェクト事例の紹介資料等を多数用意しております。詳しい資料をご要望の場合は以下のフォームよりお問合わせください。

≫ お問合せフォーム ≪

お役に立ちましたか?