テクノロジーリスク
EYのチームは監査、検証、認証、評価する各種業務の提供により、企業のテクノロジー導入と利用から生じるリスクを特定し、その理解、評価、管理、軽減を支援しています。
データとテクノロジーの信頼性について社会的に注目が集まる中、テクノロジーを導入・利用する際のリスクを理解することが、ビジネスのパフォーマンスを加速し、持続可能な成長を実現する上でますます重要になっています。
こうしたリスクを正しく把握し、ビジネス部門とIT部門の間で生じるギャップを埋める能力こそが、EYのプロフェッショナルの最大の強みです。
また、ITの専門知識が、監査の品質を保つことや内部統制を保護する上で必要不可欠になっています。
EYのチームは、第三者機関として、内部統制と規制コンプライアンスについて報告を行うことで、企業の意思決定者が、顧客(およびその外部監査人)、投資家、経営陣、規制当局、その他のステークホルダーから信頼を獲得できるようサポートをします。
EYができること
-
IT監査
質の高い情報技術(IT)監査手続きを実施することは、投資家の保護と資本市場の信頼性向上というコミットメント達成のための基礎を構築することにほかなりません。これには、財務諸表監査や財務報告に係る内部統制監査のサポートとして、ビジネスやITプロセスの各段階でテクノロジーがどう影響するかを把握することも含まれます。
EYのプロフェッショナルは、独立性、誠実性、客観性、および職業的懐疑心を持って高品質の監査手続きを実行することで、公共の利益と、持続可能で長期的な価値創造に貢献しています。
また、EYのチームは、多分野にわたって高度に複雑な問題に対処できる専門知識を備えており、確立されたグローバル監査手法、EYのグローバル監査ツール、最新のインサイトをもって、世界中で一貫した品質の監査を提供しています。
インサイトや率直な見解、業務の提供により、企業はテクノロジーの利用や導入から生じるビジネスリスクについての認識を深め、情報に基づいた意思決定を行うことができます。
IT監査業務には以下を含みます:
- 統合監査
- 財務諸表監査
- 法定監査
-
受託業務に係る内部統制の保証業務(SOCR)とアテステーション(検証)
受託業務に係る内部統制の保証業務(SOCR)を利用することで、企業は顧客(およびその外部監査人)、投資家、経営陣、規制当局、その他のステークホルダーに対して、内部統制に焦点を当てた信頼性のある情報を提供できます。これにより、受託会社はリスクに関する信頼性の高い情報を求める顧客ニーズに効率的に対応できます。
SOC1は、情報システムを運用して財務報告を支援するビジネスプロセス業務を提供する企業(受託会社)が、顧客やその外部監査人に提出する報告書であり、自社の業務提供プロセスと統制に対する信頼の構築をサポートします。
SOC2/SOC3は、企業のシステムにおけるセキュリティ、プライバシー、機密保持、可用性、処理のインテグリティに影響を及ぼす企業の統制について、情報と保証を必要とする幅広いユーザーのニーズに応えます。
SOC for Cyberは、企業の全社的なサイバーセキュリティリスク管理プログラムに関する情報と保証を必要とする、幅広いユーザーのニーズに応えます。SOC for Supply Chainは、商品の生産、製造、流通について企業のシステムと統制に関する情報と保証を必要とするステークホルダーのニーズに応える報告書で、サプライチェーンにおけるリスクの理解を深めます。
EYのチームは、限定的保証業務またはSOC報告書などの合理的保証業務の実施に先立ち、システム記述のような保証の対象に関わるドラフト文書の事前評価業務も提供しています。
合意された手続き(AUP : Agreed Upon Procedures)業務は、企業と報告を受ける第三者との間で合意された統制テストやその他の手続きを実施し、独立した立場から結果を報告するものです。
企業は、AUPにより、統制テストやその他の手続きに関する独立かつ事実に基づいた結果について、報告を受ける第三者に提示することができます。EYのチームは、企業と第三者が合意した一連の手続きを実施し、その結果と関連する所見を報告します。
ISAE3000は、監査人、企業、第三者が合意した監査に関連する手続き(非財務情報に関連するもの)についての報告です:
- ISAE3000統制テスト - 手続きと統制テストを実施し、ISAE3000規格に従った保証報告書を作成する
- ISAE3000実行支援とトレーニング - 手続きの実行に関するトレーニングを提供し、ISAE3000規格に従った保証報告を作成する
-
ISOマネジメントシステム認証、導入支援およびトレーニング
ISOマネジメントシステム認証、導入支援およびトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入支援および認証業務を提供します。
EY CertifyPoint B.V.は、2002年に設立されたEYの事業体であり、オランダに本部を置く、認定済みの独立性と公正性を備えた認証機関です。EY CertifyPointを通じて、EYのチームはリード・インプレメンターとリード・オーディターのコースを提供し、複数のISO規格に関する企業内の人材の認定を行っています。
EYのチームは、企業の管理システムの効率性と有効性を向上することで、企業の目標達成をサポートします。ビジネスを中心に据え、世界的に認知された標準に準拠した、体系的で独立した認証アプローチによって、冗長性、ボトルネック、効率向上の可能性がある領域を特定します。
以下の規格をカバーしています:
- ISO 9001: 品質マネジメントシステム
- ISO 14001:環境マネジメントシステム
- ISO/IEC 20000-1:ITサービスマネジメントシステム
- ISO 22301:事業継続マネジメントシステム
- ISO/IEC 27001:情報セキュリティマネジメントシステム
- ISO/IEC 27017:ISMSクラウドセキュリティ認証
- ISO/IEC 27018:パブリッククラウド上における個人情報保護に関する認証
- ISO/IEC 27701:プライバシー情報マネジメントシステム
- ISO 37001:贈収賄防止マネジメントシステム
- ISO/IEC 42001:AIに関するマネジメントシステム
- ISO 45001:労働安全衛生マネジメントシステム
- ISO 50001:エネルギーマネジメントシステム
- 世界宝くじ協会(WLA)認証
- CSA STAR認証(CSA – 米国)
- NEN 7510-1:健康情報セキュリティマネジメントシステム(NEN – オランダ)
- 健康データホスティング認証(HDS – フランス)
- 多層クラウドセキュリティ(MTCS - シンガポール)
- GDPR
- CISPE行動規範認定モニタリング機関(CISPE – 欧州)
- ISO/IEC 27001:2013とISAE3402の組み合わせなど、ISAE3402、SOC、その他の検証報告書との統合アプローチ
-
システムおよびプロセスの評価
システムおよびプロセスの評価には、SAP S/4HANAといったERP、アプリケーション、プロセスのアップグレードや導入の一環として、内部統制の評価が含まれます。
これらの業務は、企業の現在または将来の内部統制の状態を独立した立場から評価し、経営陣の検討のために、先進事例に基づいた提案をするものです。システムやプロセスのアップグレード、実装の評価は、企業が以下を行うことに役立ちます:
- 内部統制に関する懸念が適切に対処されているという信頼が得られます。
- 複雑なビジネスプロセスを把握できます。
- プロセスやテクノロジーの変更によって発生する新たなリスクや統制上のギャップを特定し、先進事例に基づく改善策が提案できます。
- プロセスの自動化や改善、GRC(ガバナンス、リスク管理、コンプライアンス)の統合、レポーティング、継続した統制のモニタリングなどの、新しいプロセスやテクノロジーへの投資により得られた機能を、企業がより有効に活用できるようにします。
限定的保証業務や合理的保証業務(例:SOC報告書)の実施に先立ち、システム記述のような、保証業務の対象に関するドラフト文書を事前評価することは、企業にとって以下のような利点があります:
- どのように保証対象に評価基準を適用するかが理解できる
- 保証対象の開示要求事項を理解できる(例:SOC報告書の経営者の説明)
- 保証対象または/および統制を評価するために実施される手続きが理解できる
-
ITコンプライアンスと規制の保証
ITコンプライアンスと規制の保証業務では、急速に変化する法律、規制、専門的な基準を企業が理解し、準備し、適切な報告が行えるよう支援します。
この保証業務を通して、企業がより持続的かつ効率的に、規制および業種(政府、ヘルスケア、金融サービスなど)固有のテクノロジーコンプライアンス要件に対処できるよう支援します。例えば、以下の要件の遵守をサポートします:
- AI関連規制(例:EU AI Act)
- サイバーセキュリティ(例:EU サイバーレジリエンス法、米国 サイバーセキュリティ成熟度モデル認証、EU ネットワーク・情報セキュリティ(NIS2)指令)
- データセキュリティ(例:欧州データ法)
- デジタル・レジリエンス(例:EU デジタルサービス法、EU デジタル市場法、EU デジタルオペレーションレジリエンス法)
- 業種固有の要件(例:HITRUST、SWIFT、TISAX)
- ESG報告におけるデータとITの管理
EYの最新の見解
EYの関連サービス
データプロテクション&プライバシー
日本の個人情報保護法に加えてEUの一般データ保護規則法(GDPR)などの海外のデータプライバシー関連法による法的要求の変更と顧客の期待の増大とが相まって、企業の課題は増加の一途をたどっています。 EYデータプロテクション & プライバシーサービスは、組織がデータセキュリティとデータプライバシーの主要なサービスを最新の状態に保つだけでなく、絶えず進化する脅威環境や規制環境における規制に準拠するのを支援します。
続きを読むAPI接続のセキュリティに係る合意された手続(AUP)業務
金融機関によるオープンAPIは、電子決済等代行業者と連携した利便性の高い高度な金融サービスの提供を実現可能としました。一方で、金融機関にとって接続先である電子決済等代行業者との間でAPI接続に係るセキュリティをどのように効率的に確認するかが課題となっています。EYでは合意された手続(AUP)業務という調査手法をご提案します。
続きを読むBCP/BCM(事業継続計画/事業継続管理)関連サービス
BCP(事業継続計画)とは、自然災害や新型コロナウイルス感染症(COVID-19)などの大規模なリスクが発生した場合に、損害を最小限にとどめつつ、主要な事業を継続していくために、あらかじめ緊急時の対応方針や手順を定めた計画のことをいいます。BCPの実効性を維持・向上していくためには、適切なBCM(事業継続管理)が重要です。EYは、各種ガイドラインやグローバルの豊富な知見に基づき、BCPの策定やBCM体制の構築を支援します。
続きを読む受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)
企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。
続きを読む受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務(SOC2 / SOC2+)
企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。
続きを読むデータ分析支援サービス
企業各部署でDX対応が求められる中、社内にある大量のデータを分析して新たなビジネスの視座を獲得することは有効かつ効率的なDX対応となります。監査におけるデータ分析の経験をもとに各種のデータ分析を支援します。
続きを読む財務報告に係るIT内部統制の構築、高度化サービス
企業が効率的・継続的に内部統制報告制度に対応するために、グループ会社を含む自社の財務報告に係る内部統制の構築及び評価範囲、文書化・評価項目、運営体制などの現状を診断の上、効率化・高度化をEYのプロフェッショナルが支援します。
続きを読むデジタル内部統制に対するサービス
企業のデジタル化の進展により、ERP導入、クラウド化、業務プロセスの自動化が進む中で、内部統制は複雑化し、新たなリスクへの対応が求められています。新技術を導入することによって顕在化したリスクに対し、EYの知見を使って、適切な内部統制の構築を提案します。
続きを読むセキュリティガバナンスサービス
技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。
続きを読むセキュリティ監査・アセスメントサービス
近年のデジタルトランスフォーメーション(DX)の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。
続きを読むセキュリティポリシー策定支援サービス
セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。
続きを読むクラウドセキュリティ・ガバナンス構築支援サービス
近年、企業や組織がデジタルトランスフォーメーション(DX)を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。
続きを読むOTセキュリティサービス
現在、制御系システム(OT“オペレーショナルテクノロジー”)でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS(オペレーティングシステム)で稼働し、そこでの各種脆弱(ぜいじゃく)性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準(ISO27000シリーズやIEC62443)をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。
続きを読むサイバーセキュリティ戦略・ロードマップ策定・実行支援サービス
サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。
続きを読むパブリック(公的機関)向けサービス
EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。パブリック(公的機関)における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群(以下、政府統一基準群)」内閣サイバーセキュリティセンター:(NISC))の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。
続きを読むサイバーセキュリティ内部統制構築支援サービス
サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応(研究文書)」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」(通称:J-SOX)の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。
続きを読むチーム
Contact us
Like what you’ve seen? Get in touch to learn more.