目次
1. DORAが金融監査に与える影響 2. 5つの柱と監査上の検討事項 3. 実践的なリスク評価の手順 4. 実務例:フィンテック企業の評価 5. 実務チェックリスト 6. よくある実務上の課題 7. 関連リソース
DORAが金融監査に与える影響
DORAは2025年1月17日に適用開始され、EU域内の金融機関(銀行、保険会社、投資会社、支払機関、電子マネー機関、暗号資産サービスプロバイダー等)に直接の義務を課している。規模を問わず、これらの機関はすべてDORAの対象。 監査人の観点では、DORAは新たな規制要件ではあるが、監査基準自体を書き換えるものではない。監基報315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」および監基報330「評価したリスクに対応する監査人の手続」の枠内で、ICTリスクをより体系的に評価していくことになる。 監基報315.13は、監査人に対し「企業の内部統制を含む企業及び企業環境を理解すること」を求めている。DORA対象企業の場合、この理解には以下が含まれる: - ICTリスク管理体制の設計と運用状況 - インシデント管理プロセスの有効性 - 第三者ICTサービスプロバイダーとの契約管理 - デジタル・オペレーショナル・レジリエンステストの実施状況 - 脅威情報共有メカニズムの機能 これらの要素は、財務報告に係る内部統制の一部として評価される。ICTシステムの重大な障害や第三者プロバイダーのサービス停止は、直接、財務数値の正確性や適時性を揺らしかねない。
5つの柱と監査上の検討事項
ICTリスク管理(第2章)
DORA第5条は、金融機関に対し「ICTリスク管理戦略」の策定を義務付けている。経験上、戦略文書が存在するかどうかより、その戦略が実際に現場で回っているかを確かめる方が大事。 監査上の検討事項: - リスク管理戦略が取締役会レベルで承認されているか - ICTリスクが企業全体のリスクマネジメント体系に組み込まれているか - リスク評価の頻度と方法が文書化され、実行されているか - リスクアペタイトとリスク許容度が明確に設定されているかインシデント管理(第3章)
DORA第17条は、重大なICTインシデントの監督当局への報告を義務付けている。初期報告は認識から最大24時間以内、最終報告は初期報告から14日以内。 監査人の観点では、インシデント管理プロセスの有効性は財務報告の信頼性に直結。システム障害で取引記録が欠損したり、決算処理が遅延したりする可能性があるからだ。 監査上確認すべき要素: - インシデント分類基準の明確性と一貫性 - 報告タイムラインの遵守状況 - インシデント対応チームの役割と責任 - 事後分析とシステム改善の実施状況デジタル・オペレーショナル・レジリエンステスト(第4章)
DORA第25条は、重要な金融機関に対し、少なくとも3年に1回の高度テストの実施を義務付けている。このテストは、実際のサイバー攻撃を想定したシナリオベースのものでなければならない。 監査人は、テストの設計、実施、結果の評価、改善策の実行という一連のプロセスを評価する。特に、テスト結果が内部統制の設計や運用にどう跳ね返るかを読み解く必要がある。第三者リスク管理(第5章)
DORA第28条以降は、重要な第三者ICTサービスプロバイダー(CTIPs: Critical Third-party ICT Service Providers)に関する監督体制を定めている。 監査人にとって、第三者リスクの評価は頭の痛い領域。監基報402「監査に関連する内部統制に影響を及ぼすサービス機関を利用している企業の監査上の考慮事項」が参考になるが、DORAは従来以上に踏み込んだ第三者モニタリングを求めている。 考慮すべき要素: - 重要な第三者プロバイダーの識別プロセス - 契約上の権利と義務の妥当性 - 第三者プロバイダーの監視とパフォーマンス測定 - 第三者リスクの集中度分析 - 出口戦略と移行計画の有効性情報共有(第6章)
DORA第45条は、サイバー脅威情報とインシデント情報の共有を後押しする仕組みを定めている。この要件は直接、監査手続きに影響を与えるものではないが、企業のリスク認識の精度を上げる効果はある。実践的なリスク評価の手順
DORAコンプライアンスの監査は、従来のIT全般統制(ITGC)評価を拡張した形で組み立てる。以下の段階的手順を推奨する。
段階1:予備調査と文書レビュー
まず、DORA対象企業であることを確認。対象範囲は金融機関のライセンスや認可に依存するため、企業の事業許可書類を押さえておく。 次に、以下の文書を入手し、レビューする: - ICTリスク管理戦略と関連方針 - インシデント管理手順書 - 第三者プロバイダー評価と監視の文書 - 直近のレジリエンステスト結果 - 監督当局とのコミュニケーション記録 調書ノート:取得した文書の完全性を確認し、承認日と有効期限を記録段階2:統制環境の理解
監基報315.15に基づき、ICT関連の統制環境を理解する。特に以下を重視。 ガバナンス構造: - ICTリスク管理の最終責任者(通常は取締役会またはCRO) - ICTリスク委員会等の専門委員会の設置状況 - リスク管理部門とIT部門の役割分担 人的資源: - ICTリスク管理の専門人材の配置状況 - 外部専門家の起用状況 - 継続的な研修と能力開発 調書ノート:組織図を入手し、主要な役職者の経歴と資格を確認段階3:プロセスレベルの統制テスト
各DORA章について、プロセスレベルの統制を評価する。 ICTリスク評価プロセス: - リスク識別の網羅性(技術リスク、サイバーリスク、モデルリスク、第三者リスク) - リスク測定手法の妥当性 - リスクアペタイトとの整合性確認 インシデント管理プロセス: - インシデント検知メカニズムの有効性 - 分類と重要度判定の一貫性 - 報告タイムラインの遵守状況 - 復旧手順の実効性 調書ノート:各プロセスのウォークスルーを実施し、例外事項を記録段階4:システムレベルの統制テスト
IT全般統制の評価を、DORAの要件に合わせて拡張する。 アクセス管理: - 特権ユーザーアクセスの管理状況 - 第三者プロバイダーアクセスの統制 - アクセス権の定期的な棚卸 変更管理: - システム変更の承認プロセス - 緊急時変更手順の整備 - 変更のバックアウト手順 バックアップとリカバリ: - データバックアップの実施状況 - リカバリテストの定期実行 - 目標復旧時間(RTO)と目標復旧レベル(RPO)の達成状況 調書ノート:システムログの抽出とテストを実施し、統制の運用状況を確認実務例:フィンテック企業の評価
企業概要: デジタル決済サービスを提供する中堅フィンテック企業「フィンテックソリューションズ株式会社」。従業員150名、年間取扱高約500億円。複数のクラウドサービスプロバイダーを利用し、決済処理、顧客データ管理、リスク評価システムを運営している。
段階1:予備調査
2024年12月期の監査において、同社は資金決済業者として登録されており、DORA第2条に基づく対象企業であることを確認。主要な第三者ICTサービスプロバイダーは以下の通り。 - クラウドインフラ:AWS(重要度:高) - 決済処理:某決済代行会社(重要度:高) - 顧客管理システム:Salesforce(重要度:中) - セキュリティ監視:某SOCサービス(重要度:中) 調書ノート:各プロバイダーとの契約書と管理体制に関する文書を入手段階2:ICTリスク管理戦略の評価
同社のICTリスク管理戦略は2024年6月に取締役会で承認され、以下の要素を含んでいる。 - リスク分類:技術リスク、サイバーリスク、第三者リスク、規制リスク - リスク測定:定性的評価(5段階)と定量的評価(年間予想損失額)の組み合わせ - リスク許容度:決済サービス停止は年間24時間以内、データ漏洩は年間ゼロ件 テスト手順:直近3か月の取締役会議事録を確認し、ICTリスクが定期的に報告されていることを検証。 調書ノート:リスク許容度の設定根拠と定期的な見直しプロセスを確認段階3:インシデント管理の実効性確認
2024年中に報告されたICTインシデント: - レベル3(重大):1件(AWSのサービス障害による30分間のサービス停止) - レベル2(中程度):5件(主にネットワーク遅延) - レベル1(軽微):23件(アプリケーションエラー等) 重大インシデントの報告タイムライン: - 検知:障害発生から5分後 - 初期報告(社内):検知から15分後 - 監督当局報告:検知から18時間後(DORA要求の24時間以内を満たしている) - 最終報告:初期報告から10日後(14日以内を満たしている) 調書ノート:インシデント記録の完全性を確認し、分類判定の妥当性を検証段階4:第三者リスク管理の詳細評価
AWS(最重要プロバイダー)に対する管理体制: - 四半期ごとのパフォーマンス評価(SLA達成率、セキュリティ指標) - 年次でのリスク評価更新 - 出口戦略の文書化(他クラウドへの移行計画) - 契約上の監査権(SOC 2 Type IIレポートの年次取得) テスト結果:出口戦略は文書化されているが、実際の移行演習は未実施。この点を改善事項として経営陣に報告。 調書ノート:第三者評価の客観性と定期性を確認し、集中リスクの分析結果を検証結論
同社のDORAコンプライアンス体制はおおむね整備されている。軽微な改善事項(出口戦略の実地テスト)はあるものの、規制要件は満たしており、財務報告に係る内部統制への重大な影響は認められない。2025年中の監査では、改善事項の実施状況を継続的にモニタリングする。実務チェックリスト
DORA対象企業の監査で確認すべき主要項目。 1. 適用範囲の確認 - 企業のライセンスと事業内容からDORA適用対象であることを確認 - 対象範囲(本体のみか、グループ全体か)の特定 2. ICTリスク管理戦略 - 取締役会または同等機関での承認の確認 - リスク分類とリスク測定手法の妥当性評価 - 定期的な見直しプロセスの運用状況確認 3. インシデント管理 - インシデント分類基準の明確性と一貫性 - 報告タイムライン(24時間、14日)の遵守状況 - 監督当局への報告実績と内容の妥当性 4. 第三者リスク管理 - 重要な第三者プロバイダーの識別と評価 - 契約上の権利と義務の妥当性 - 集中リスクの分析と対策 5. レジリエンステスト - テスト計画の妥当性(3年サイクル、脅威ベース) - 実施結果の評価と改善策の実行状況 6. 内部統制への影響 - DORAコンプライアンスが財務報告プロセスに与える影響の評価 - 監基報315および330に基づくリスク評価と対応手続きの当てはめ
よくある実務上の課題
正直、DORAに合わせて調書テンプレを作り直しても、ITチームと会計監査チームの分担は毎年揉めるんですよ。うちの業務では、クライアントのITインベントリが古いとスコープ確定だけで繁忙期の1週間が飛ぶこともある。DORAコンプライアンスの監査で頻繁に遭遇する課題を挙げておく。 • 第三者プロバイダー情報の入手困難 大手クラウドプロバイダーは標準化されたレポート(SOC 2等)を出してくるが、中小プロバイダーからの詳細情報はなかなか引き出せない。代替手続きとして、契約条項の確認とパフォーマンス指標の継続モニタリングに軸足を置く。 • インシデント分類の主観性 「重大」インシデントの判定基準が曖昧な場合がある。過去の判定事例を複数確認し、分類の一貫性を評価する。判定基準の明確化は経営陣に推奨。 • テスト結果の機密性 レジリエンステストの詳細結果は機密度が高く、監査人への開示が絞られる場合がある。テスト実施の事実確認とハイレベルな結果概要の入手に留めることも許容される。
関連リソース
- 監基報315リスク評価ガイド - 企業環境の理解とリスク識別の詳細手順 - 内部統制評価ツールキット - IT全般統制を含む統制評価のチェックリストとワークペーパー - 監基報402サービス機関監査 - 第三者プロバイダーリスクの評価アプローチ