テクノロジーリスク

EYのチームは監査、検証、認証、評価する各種業務の提供により、企業のテクノロジー導入と利用から生じるリスクを特定し、その理解、評価、管理、軽減を支援しています。



EYができること

  • 高品質な情報技術(IT)監査による財務諸表監査および財務報告に関する内部統制の監査を支援

    質の高い情報技術(IT)監査手続きを実施することは、投資家の保護と資本市場の信頼性向上というコミットメント達成のための基礎を構築することにほかなりません。これには、財務諸表監査や財務報告に係る内部統制監査のサポートとして、ビジネスやITプロセスの各段階でテクノロジーがどう影響するかを把握することも含まれます。

    EYのプロフェッショナルは、独立性、誠実性、客観性、および職業的懐疑心を持って高品質の監査手続きを実行することで、公共の利益と、持続可能で長期的な価値創造に貢献しています。

    また、EYのチームは、多分野にわたって高度に複雑な問題に対処できる専門知識を備えており、確立されたグローバル監査手法、EYのグローバル監査ツール、最新のインサイトをもって、世界中で一貫した品質の監査を提供しています。

    インサイトや率直な見解、業務の提供により、企業はテクノロジーの利用や導入から生じるビジネスリスクについての認識を深め、情報に基づいた意思決定を行うことができます。

    IT監査業務には以下を含みます:

    • 統合監査
    • 財務諸表監査
    • 法定監査
  • デジタル社会への変化に伴い、デジタルサービスの安全性は社会の重要な関心事項。
    クラウドサービスベンダーを含む外部委託業者に対して、サービス品質を確保するための内部統制を評価し、保証報告書として提供

    受託業務に係る内部統制の保証報告書 (SOCR: Service Organization Control Reporting)サービスを利用することで、企業は顧客(およびその外部監査人)、投資家、経営管理者、規制当局、その他の利害関係者に対して、内部統制に注目した信頼できる情報を提供できます。このサービスにより、受託会社は信頼できるリスクベースの情報を求める顧客ニーズに効率的に対応できます。

    SOC 1は、情報システムを運用し、財務報告を支援するビジネスプロセス業務を提供する企業(受託会社)が、顧客やその外部監査人に提出できる報告書により、自社のサービス提供プロセスと統制に対する信頼を獲得し、自信を深めるサポートになります。

    SOC 2および3は、企業のシステムにおけるセキュリティ、プライバシー、秘密保持、可用性、および処理の完全性に影響する企業の統制について、情報と保証を必要とする幅広いユーザーのニーズに応えるサポートになります。

    SOC for Cyberは、企業の全社的なサイバーセキュリティリスク管理プログラムに関する報告書で、当該要素に対する情報と保証を必要とする幅広いユーザーのニーズに応えます。

    SOC for Supply Chainは、商品の生産、製造、または流通に関する企業のシステムと統制に関する報告書で、サプライチェーンにおけるリスクをよりよく理解するために、これらの要素に関する情報と保証を必要とする利害関係者のニーズに応えます。

    EYのチームは、限定的または合理的保証業務(SOC報告書など)の実施に先立ち、システム記述書のような保証の対象に関わるドキュメントの事前評価サービスも提供しています。

    合意された手続き(AUP : Agreed Upon Procedures)は、企業と報告を受ける第三者との間で合意された特定の統制テストやその他の手続きを実施し、その結果を報告するサービスです。

    企業は、AUPにより、報告を受ける第三者と合意した特定の統制テストやその他の手続きを実施した結果を提示することができます。EYのチームは、企業と報告を受ける第三者との間で合意された一連の手続きを実施し、その結果および関連する所見を報告します。

    ISAE 3000は、監査人、企業、および第三者が合意した監査に関連する手続き(非財務情報に関連するもの)について報告します。

    *ISAE 3000統制テスト - 手続きと統制テストを実施し、ISAE 3000規格に従った保証報告を作成する能力。

    関連サービス


  • プロセスやテクノロジーの変更によってもたらされる新たなリスクや 統制上の課題を特定し、高度な自動化を支援するような文書化、評価サービスを提供

    日本においては2008年に内部統制報告制度(J-SOX)が導入されて以降、企業を取り巻くビジネス環境は大きく変化しています。例えば、M&Aによる在外子会社も含めたグループ会社の増加、基幹システムのERP化、クラウド基盤の利用等、積極的なビジネス展開、ガバナンス向上やコスト意識の高まりによって起こり得る変化から従来のリスク認識だけでは対応できず、今後顕在化が見込まれるリスクを事前に識別し、それに対する対応を事前に実施する必要があります。

    しかしながら、企業ビジネス、システム環境、内部統制を多面的に十分に理解した人材を確保し続けることは難しく、第1線、第2線の強固な内部統制の構築実施やそれに対する第3線としての評価が十分に実施できていない恐れがあります。

    EYはIT関連の内部統制の構築や評価を単なる内部統制報告制度への対応にとどまることなく、業務の標準化、効率化、自動化等、既存業務の継続的な改善を含めてサービスを提供してまいります。

    関連サービス


  • 導入全体を通じた手順を実行することで、新しいシステムの導入に関連するリスクを理解、評価、管理できるよう支援

    企業が新しいテクノロジーを導入すると、一般的にビジネスプロセスとIT環境の複雑さが増します。ビジネスの成長機会が生まれる一方で、リスク、新しい技術を使うことで、予期しない問題や損失をもたらすリスクが増えており、それらはより複雑になっています。EYは、クライアントがこのようなリスクを軽減できるようシステム監査・アセスメントを通して支援します。 

    EYのシステム導入に伴うアセスメントサービスは、導入全体を通じた手順を実行することで、新しいシステムの導入に関連するリスクを理解、評価、管理できるよう支援し、意思決定者が内部統制の枠組みに信頼を寄せることで、より適切で、より迅速で、より自信を持って意思決定を行えるよう支援します。

    関連サービス


  • 監査を通じてさまざまなデータを駆使した分析経験を得ることで、データ利活用が進んだ経済社会においても有効なデータ分析を行うことが可能

    データ分析サービスは2種類のデータ分析アプローチのいずれか、または両者の組み合わせにてデータ分析サービスを用意しています。

    • EYツールの利用
      EYが世界中の会計監査の中で使用している監査用データ分析ツール群を利用するパターンです。
    • カスタマイズのCAAT
      もう1つは貴社固有の業務、データ、リスク等に基づきカスタマイズしたデータ分析サービスを提供します。

  • 各国法規制の強化、個人のプライバシー意識の高まり等の環境変化を受け、データ保護、プライバシー対策は企業の優先課題

    データ保護・プライバシーに関する豊富な知見を提供

    個人情報・プライバシーに係るリスク分析・評価、構築を支援します。

    ISOマネジメントシステム認証、実施およびトレーニングサービスは、ISO規格およびその他の確立された認証フレームワークに従って、マネジメントシステムの実施および認証業務を提供します。

    EY CertifyPoint B.V.は、2002年に設立されたEYの事業体であり、オランダに本部を置く、認可済みの独立性と公正性を備えた認証機関です。EY CertifyPointを通じて、EYチームは主任実施者および主任監査員コースを提供し、複数のISO規格に関する企業内の人材の認定を行います。

    EYのチームは、企業の管理システムの効率性と有効性を向上させることにより、企業の目標達成をサポートします。EYのチームは、ビジネスを中心に据え、世界的に認められた標準に準拠した体系的で独立性のある認証アプローチによって、冗長性、ボトルネック、および潜在的な効率向上の領域を特定します。


  • データの利活用が進めばサイバーリスクも高まるため、監査で得たサイバーナレッジを提供

    セキュリティ監査、各種ベンチマークに基づくセキュリティのアセスメントや海外拠点の調査業務などを提供

    技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

    関連サービス


  • 企業が急速に変化する法律、規制、専門基準に対応するために、それらを理解し、それらに対し準備をし、適切な報告が行えるよう支援

    ITコンプライアンスと規制の保証業務では、急速に変化する法律、規制、専門的な基準を企業が理解し、準備し、適切な報告が行えるよう支援します。

    関連サービス




アシュアランスサービス

監査チームは、独⽴性、完全性、客観性、職業専⾨家としての懐疑⼼をもってアナリティクス主導型の質の⾼い監査を提供し、公共の利益に貢献しています。


EYの最新の見解

「AI事業者ガイドライン(第1.0版)」解説 第4回:第5部

「AI事業者ガイドライン(第1.0版)」の解説記事です。第4回は、第5部「AI利用者に関する事項」を解説します。

「AI事業者ガイドライン(第1.0版)」解説 第3回:第3部及び第4部

「AI事業者ガイドライン(第1.0版)」の解説記事です。第3回は、第3部「AI開発者に関する事項」及び第4部「AI提供者に関する事項」を解説します。

「AI事業者ガイドライン(第1.0版)」解説 第2回:第1部と第2部

「AI事業者ガイドライン(第1.0版)」の解説記事です。第2回は、第1部「AIとは」及び第2部「AI により目指す社会と各主体が取り組む事項」を解説します。

「AI事業者ガイドライン(第1.0版)」解説 第1回:導入編

2024年4月19日に公表された「AI事業者ガイドライン(第1.0版)」に関する解説記事です。第1回は導入編として、その位置づけや特徴、対象者、構成等を解説します。

受託業務に係る内部統制の保証報告書:新日本基準(保証実3402)における2つの変更点

日本公認会計士協会の受託業務に係る内部統制の保証報告書の新基準である保証業務実務指針3402(保証実3402)について、旧基準である監査・保証実務委員会実務指針第86号(86号)からの主な変更点を解説します。

クラウドサービスの利用にSOC報告書が必要とされる理由

SOC報告書の種類や用途のほか、クラウドサービスの利用企業がSOC報告書を利用する上で留意すべき点について、解説します。

「受託業務に係る内部統制の保証報告書」を利用した外部委託先の内部統制の評価における8つのポイント

クラウドサービスやデータセンターの利用が広がる中、これらのサービスを利用する側の会社は、外部委託先の内部統制の運用の有効性を評価しなければならないことがあります。そのため、その評価方法を理解することが重要になります。

SOC1米国新基準(AT-C 320)における4つの変更点

米国公認会計士協会のSOC1新基準であるAT-C Section 320(AT-C 320)の、旧基準AT Section 801(SSAE16)からの主な変更点について解説します。



    チーム


    お問い合わせ
    詳細をご希望の場合はお問い合わせください。