サービス

金融機関のAPI接続にかかるシステム外部評価/内部監査支援

有限責任監査法人トーマツは、クライアントのビジネス戦略、API導入検討、基盤整備、事前審査、提携、リスク審査、運用開始、モニタリング、効果検証といった一連のAPI導入プロセスに沿って、API導入プロセスの評価等を行います。また、API導入プロセス評価のなかで識別した課題に対する改善を支援します。

API接続にかかるシステム監査の必要性

近年、金融機関では、オープン・イノベーションを実現するための1つの施策として、自社システムへの接続仕様を特定の事業者等に公開する「オープンAPI」の活用に積極的になっています。

しかしながら、「オープンAPI」では、金融機関に新たなサービス創造、既存サービス高度化の可能性を与える一方で、従来からのシステムリスクに加え、外部との通信経路を悪用したデータの漏洩や改ざん、不正取引の発生、接続システムの影響により被接続システムの停止等を生じるリスクがあります。

また、必ずしも接続事業者が金融機関の求めるリスク管理対応策を十分に実施していないケース、想定以外の利用を行う等のリスクも想定されるため、的確な管理が行われているか定期的にシステム監査を行うことが必要です。

 

評価アプローチ

クライアントのビジネス戦略、API導入検討、基盤整備、事前審査、提携、リスク審査、運用開始、モニタリング、効果検証といった一連のAPI導入プロセスに沿って、API導入プロセスの評価等を行います。

また、API導入プロセス評価のなかで識別した課題に対する改善を支援します。

※画像をクリックすると拡大表示します

当サービスに関する有限責任監査法人トーマツの強み

有限責任監査法人トーマツ(以下トーマツ)では、FISCの安全対策基準やSOCといった関連する基準の理解を基本とし、多くの金融機関の会計監査やシステムリスクに対する多様なアドバイザリー業務の提供を通じて、金融機関のシステムリスク管理策や改善の検討に関して豊富な知見を有しています。

また、トーマツは、デロイトのグローバルネットワークを通じて、金融機関のシステムの変革動向についても知見を有しています。

 

関連サービス

  • システムの重要度やシステム形態によるリスク特性に応じた、定期的なシステムリスク評価のアウトソーシング/コソーシング
  • 特定評価テーマ(*)に対するシステム外部監査/内部監査支援
    *クラウド導入・管理態勢、RPA管理態勢、API接続、マイナンバー管理態勢、等

プロフェッショナル

福島 雅宏/Masahiro Fukushima

福島 雅宏/Masahiro Fukushima

有限責任監査法人トーマツ パートナー

金融機関のITリスクマネジメント、ITガバナンスに関する第三者評価およびアドバイザリー業務に従事している。大手金融機関、地方銀行、共同センター等のシステムリスク管理態勢の外部評価、大手金融グループ、地方銀行等の経営統合及びシステム統合リスク管理態勢の評価、情報セキュリティ監査、SSAE16報告書についての検証業務、財務諸表監査及び内部統制監査の一環としてのシステム監査等を提供している。 主な著書:... さらに見る