サイバーセキュリティリスクと監査への影響

監査委員会において、サイバーリスクへの懸念がますます深刻化しており、外部監査の保護を要する複雑な脅威環境をもたらしています。

オーストラリア・サイバーセキュリティ・センター（ACSC）によると、組織を標的とした悪意あるサイバー活動は頻度が増え、規模が拡大し、ますます巧妙になってきており、ほぼすべてのセクターが、過去1年の間に重大なサイバーセキュリティインシデントの影響を受けています。

当然のことですが、2020年版EYグローバル情報セキュリティサーベイ（GISS）（PDF、英語版のみ）でも、調査対象の59%の組織が過去12カ月間で重大あるいは深刻な侵害を受けたことが明らかになっています。

取締役会と経営層がサイバーレジリエンスに責任を負うようになった今、サイバー攻撃の脅威は監査委員会のアジェンダに明記されています。その代表的なものとして財務リスクと風評リスクが挙げられますが、多額の罰金が科せられることは言うまでもありません。

しかし、監査自体がサイバーインシデントの悪影響を被るという事実も同様に重要です。

サイバー攻撃を受けた場合、会計監査にどのような影響があるのでしょうか？

重⼤なサイバーインシデントが発⽣すると、会計監査が複雑になりかねません。さらに、攻撃者によって財務データの改ざんや削除が⾏われた場合には、監査の完全性が損なわれることにもなりかねません。サイバー攻撃が以下の結果を招く可能性について、監査委員会は留意しておくことが必要です。

• データ侵害 – 機密情報の漏えい・盗難が発生した場合、企業の法的責任、受託者責任または契約上の責任に関連する財務上の影響が生じ、そのことが財務諸表にどのような影響を及ぼすのかを評価する必要があります。
• 損害賠償 – 請求権の有無に関連し、見越計上が必要になる場合があります。
• 減損 – 侵害により将来のキャッシュフローが減少する可能性があり、営業権（のれん）、顧客関連の無形資産、商標、特許、資産計上したソフトウエア、またはハードウエアやソフトウエアに関連するその他の長期性資産、在庫など、特定の資産の減損につながるおそれがあります。
• 罰金および罰則 – 万が一侵害が発生した場合には、多額の罰金が科されたり、組織が保険の補償範囲と賠償費用を提供したりしなければならないことを考慮して予測を立てる必要があります。

監査委員会は、潜伏期間（脅威の侵入から検知までに要する時間）が数カ月または数年に及ぶ可能性があり、複数の会計期間に影響を及ぼし得る点に留意が必要です。しかもこの時間には、攻撃を根絶するために要する時間は含まれていません。

EYは、こうした問題に対処するために、組織のサイバーセキュリティガバナンスのフレームワーク評価を監査に組み込む計画を進めています。

サイバー攻撃から会計監査を守る方法

監査委員会は、サイバーセキュリティを監査プロセスに統合する、強固なサイバーアシュアランスプログラムをサポートすることが求められます。このプログラムには以下の内容が含まれます。

• サイバー攻撃に対する組織の対応力を確認するためのインシデント発生前の評価の実施
• サードパーティリスクおよびサプライチェーンリスクを特定、評価、管理するプロセス
• インシデント発生時の対応・復旧⼿順
• サイバーセキュリティインシデントやデータ侵害に関するエスカレーションプロセスおよび⼿順
• リスクおよび内部統制の独立した評価の実施

サイバーセキュリティを重要な戦略的課題として位置づけることが極めて重要です。サイバーセキュリティ・リスクプログラムの評価を第三者に委託し、それを定期的に監査委員会のアジェンダとして扱うことは、企業にとって良いきっかけになります。