重大なサイバーインシデントが発生すると、会計監査がさらに複雑化しかねません。
さらに攻撃者によって財務データの改ざんや削除が行われた場合には、監査の完全性が損なわれることにもなりかねません。サイバーインシデントが招くさまざまな可能性について、監査委員会は留意しておくことが必要です。
要点
- サイバー攻撃を受けた場合、会計監査にどのような影響があるのでしょうか?
- 監査委員会はサイバー攻撃にどう対応すべきでしょうか?
EY Japanの視点
日本においてもサイバーリスクが監査に及ぼす影響について注視しており、EY Virtualを活用したダークウェブの監視やインシデント対応体制評価など、サイバーセキュリティを監査プロセスに追加する検討を始めています。
ここ数年のランサムウェア攻撃の増加は明らかですが、同攻撃への対応は会計監査の視点に限定せず、様々な視点を持って対処する必要があります。例えば、復旧のための身代金支払いについては法的リスクの評価に加え、ステークホルダーに対する適切な説明・不必要な情報開示の回避・専門家との相談・暗号化および窃取されたデータの評価、それらの結果を考慮した経営層による対応方針決定が必要となります。これらの対応を誤ると訴訟やインシデントの長期化等によるビジネス機会損失など将来の業績に影響する可能性があります。
その他のサイバーインシデントも昨今の環境変化により、短時間で検討および対処すべき事項が増える傾向にあります。セキュリティガバナンス等の評価に加えて、インシデントに備えたプレイブックの作成、信頼できる専門家の確保などが必要だと思います。
監査委員会において、サイバーリスクへの懸念がますます深刻化しており、外部監査の保護を要する複雑な脅威環境をもたらしています。
オーストラリア・サイバーセキュリティ・センター(ACSC)によると、組織を標的とした悪意あるサイバー活動は頻度が増え、規模が拡大し、ますます巧妙になってきており、ほぼすべてのセクターが、過去1年の間に重大なサイバーセキュリティインシデントの影響を受けています。
当然のことですが、2020年版EYグローバル情報セキュリティサーベイ(GISS)(PDF、英語版のみ)でも、調査対象の59%の組織が過去12カ月間で重大あるいは深刻な侵害を受けたことが明らかになっています。
取締役会と経営層がサイバーレジリエンスに責任を負うようになった今、サイバー攻撃の脅威は監査委員会のアジェンダに明記されています。その代表的なものとして財務リスクと風評リスクが挙げられますが、多額の罰金が科せられることは言うまでもありません。
しかし、監査自体がサイバーインシデントの悪影響を被るという事実も同様に重要です。
サイバー攻撃を受けた場合、会計監査にどのような影響があるのでしょうか?
重⼤なサイバーインシデントが発⽣すると、会計監査が複雑になりかねません。さらに、攻撃者によって財務データの改ざんや削除が⾏われた場合には、監査の完全性が損なわれることにもなりかねません。サイバー攻撃が以下の結果を招く可能性について、監査委員会は留意しておくことが必要です。
- データ侵害 – 機密情報の漏えい・盗難が発生した場合、企業の法的責任、受託者責任または契約上の責任に関連する財務上の影響が生じ、そのことが財務諸表にどのような影響を及ぼすのかを評価する必要があります。
- 損害賠償 – 請求権の有無に関連し、見越計上が必要になる場合があります。
- 減損 – 侵害により将来のキャッシュフローが減少する可能性があり、営業権(のれん)、顧客関連の無形資産、商標、特許、資産計上したソフトウエア、またはハードウエアやソフトウエアに関連するその他の長期性資産、在庫など、特定の資産の減損につながるおそれがあります。
- 罰金および罰則 – 万が一侵害が発生した場合には、多額の罰金が科されたり、組織が保険の補償範囲と賠償費用を提供したりしなければならないことを考慮して予測を立てる必要があります。
監査委員会は、潜伏期間(脅威の侵入から検知までに要する時間)が数カ月または数年に及ぶ可能性があり、複数の会計期間に影響を及ぼし得る点に留意が必要です。しかもこの時間には、攻撃を根絶するために要する時間は含まれていません。
EYは、こうした問題に対処するために、組織のサイバーセキュリティガバナンスのフレームワーク評価を監査に組み込む計画を進めています。
サイバー攻撃から会計監査を守る方法
監査委員会は、サイバーセキュリティを監査プロセスに統合する、強固なサイバーアシュアランスプログラムをサポートすることが求められます。このプログラムには以下の内容が含まれます。
- サイバー攻撃に対する組織の対応力を確認するためのインシデント発生前の評価の実施
- サードパーティリスクおよびサプライチェーンリスクを特定、評価、管理するプロセス
- インシデント発生時の対応・復旧⼿順
- サイバーセキュリティインシデントやデータ侵害に関するエスカレーションプロセスおよび⼿順
- リスクおよび内部統制の独立した評価の実施
サイバーセキュリティを重要な戦略的課題として位置づけることが極めて重要です。サイバーセキュリティ・リスクプログラムの評価を第三者に委託し、それを定期的に監査委員会のアジェンダとして扱うことは、企業にとって良いきっかけになります。
監査委員会はサイバー攻撃にどう対応すべきか?
サイバーインシデント発見直後の一連のアクションとして、重大なインシデントが疑われる場合には、監査を担当する提携機関に迅速に知らせる必要があります。次に監査チームは、以下の項目を評価しなければなりません。
- インシデントがバランスシートに及ぼす影響
- 監査対象となる財務システムがアクセスされたり、改ざんされたりするリスク
- データ侵害発生後の財務諸表の完全性と正確性
- データ侵害によって発生する請求または罰則のリスク
さらに監査チームは、インシデントの調査結果と復旧活動の分析を⾏うことや、インシデント対応チームの対応状況を第三者が調査する「Shadow Investigation」を通じて、経営層による対応や復旧活動が⼗分かを評価することになります。
EYの監査プロセスでは、既にリスク評価を実施することは含まれており、さらに特定されたリスクをテストする手順を開発しています。一連の監査プロセスにサイバーセキュリティを組み込むことは当然の流れであり、監査委員会にとっては、サイバーセキュリティの専門家によって外部監査がサポートされているという安心感につながります。
サマリー
重大なサイバーインシデントが会計監査に与える影響は財務データの改ざんや削除だけにとどまらず、データ侵害による罰則など多岐にわたることが予期されます。EYではこのような問題への対応を進めることで、監査委員会を⽀援しています。
この記事について
You are visiting EY jp (ja)
jp
ja