監査委員会において、サイバーリスクへの懸念がますます深刻化しており、外部監査の保護を要する複雑な脅威環境をもたらしています。
オーストラリア・サイバーセキュリティ・センター(ACSC)の年次サイバー脅威レポート(2019年7月~2020年6月)(PDF、英語版のみ)によると、組織を標的とした悪意あるサイバー活動は頻度が増え、規模が拡大し、ますます巧妙になってきており、ほぼすべてのセクターが、過去1年の間に重大なサイバーセキュリティインシデントの影響を受けています。
当然のことですが、2020年版EYグローバル情報セキュリティサーベイ(GISS)(PDF、英語版のみ)でも、調査対象の59%の組織が過去12カ月間で重大あるいは深刻な侵害を受けたことが明らかになっています。
取締役会と経営層がサイバーレジリエンスに責任を負うようになった今、サイバー攻撃の脅威は監査委員会のアジェンダに明記されています。その代表的なものとして財務リスクと風評リスクが挙げられますが、多額の罰金が科せられることは言うまでもありません。
しかし、監査自体がサイバーインシデントの悪影響を被るという事実も同様に重要です。
サイバー攻撃を受けた場合、会計監査にどのような影響があるのでしょうか?
重⼤なサイバーインシデントが発⽣すると、会計監査が複雑になりかねません。さらに、攻撃者によって財務データの改ざんや削除が⾏われた場合には、監査の完全性が損なわれることにもなりかねません。サイバー攻撃が以下の結果を招く可能性について、監査委員会は留意しておくことが必要です。
- データ侵害 – 機密情報の漏えい・盗難が発生した場合、企業の法的責任、受託者責任または契約上の責任に関連する財務上の影響が生じ、そのことが財務諸表にどのような影響を及ぼすのかを評価する必要があります。
- 損害賠償 – 請求権の有無に関連し、見越計上が必要になる場合があります。
- 減損 – 侵害により将来のキャッシュフローが減少する可能性があり、営業権(のれん)、顧客関連の無形資産、商標、特許、資産計上したソフトウエア、またはハードウエアやソフトウエアに関連するその他の長期性資産、在庫など、特定の資産の減損につながるおそれがあります。
- 罰金および罰則 – 万が一侵害が発生した場合には、多額の罰金が科されたり、組織が保険の補償範囲と賠償費用を提供したりしなければならないことを考慮して予測を立てる必要があります。
監査委員会は、潜伏期間(脅威の侵入から検知までに要する時間)が数カ月または数年に及ぶ可能性があり、複数の会計期間に影響を及ぼし得る点に留意が必要です。しかもこの時間には、攻撃を根絶するために要する時間は含まれていません。
EYは、こうした問題に対処するために、組織のサイバーセキュリティガバナンスのフレームワーク評価を監査に組み込む計画を進めています。
サイバー攻撃から会計監査を守る方法
監査委員会は、サイバーセキュリティを監査プロセスに統合する、強固なサイバーアシュアランスプログラムをサポートすることが求められます。このプログラムには以下の内容が含まれます。
- サイバー攻撃に対する組織の対応力を確認するためのインシデント発生前の評価の実施
- サードパーティリスクおよびサプライチェーンリスクを特定、評価、管理するプロセス
- インシデント発生時の対応・復旧⼿順
- サイバーセキュリティインシデントやデータ侵害に関するエスカレーションプロセスおよび⼿順
- リスクおよび内部統制の独立した評価の実施
サイバーセキュリティを重要な戦略的課題として位置づけることが極めて重要です。サイバーセキュリティ・リスクプログラムの評価を第三者に委託し、それを定期的に監査委員会のアジェンダとして扱うことは、企業にとって良いきっかけになります。
監査委員会はサイバー攻撃にどう対応すべきか?
サイバーインシデント発見直後の一連のアクションとして、重大なインシデントが疑われる場合には、監査を担当する提携機関に迅速に知らせる必要があります。次に監査チームは、以下の項目を評価しなければなりません。
- インシデントがバランスシートに及ぼす影響
- 監査対象となる財務システムがアクセスされたり、改ざんされたりするリスク
- データ侵害発生後の財務諸表の完全性と正確性
- データ侵害によって発生する請求または罰則のリスク
さらに監査チームは、インシデントの調査結果と復旧活動の分析を⾏うことや、インシデント対応チームの対応状況を第三者が調査する「Shadow Investigation」を通じて、経営層による対応や復旧活動が⼗分かを評価することになります。
EYの監査プロセスでは、既にリスク評価を実施することは含まれており、さらに特定されたリスクをテストする手順を開発しています。一連の監査プロセスにサイバーセキュリティを組み込むことは当然の流れであり、監査委員会にとっては、サイバーセキュリティの専門家によって外部監査がサポートされているという安心感につながります。
本テーマにご興味があり、さらに業界の専門家の意見を参考にされたい場合は、こちらをクリックしてEY Asia-Pacificのサイバーセキュリティに関するウェブキャストにアクセスしてください。
サマリー
重大なサイバーインシデントが会計監査に与える影響は財務データの改ざんや削除だけにとどまらず、データ侵害による罰則など多岐にわたることが予期されます。EYではこのような問題への対応を進めることで、監査委員会を⽀援しています。