目次

目次

DORAが金融監査に与える影響

DORAは2025年1月17日に適用開始され、EU域内の金融機関(銀行、保険会社、投資会社、支払機関、電子マネー機関、暗号資産サービスプロバイダー等)に直接的な義務を課している。規模を問わず、これらの機関はすべてDORAの対象となる。
監査人の観点では、DORAは新たな規制要件ではあるが、監査基準自体を変更するものではない。監基報315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」および監基報330「評価したリスクに対応する監査人の手続」の枠組み内で、ICTリスクをより体系的に評価することが求められる。
監基報315.13は、監査人に対し「企業の内部統制を含む企業及び企業環境を理解すること」を求めている。DORA対象企業の場合、この理解には以下が含まれる:
これらの要素は、財務報告に係る内部統制の一部として評価される。ICTシステムの重大な障害や第三者プロバイダーのサービス停止は、直接的に財務数値の正確性や適時性に影響を与える可能性がある。

  • ICTリスク管理フレームワークの設計と運用状況
  • インシデント管理プロセスの有効性
  • 第三者ICTサービスプロバイダーとの契約管理
  • デジタル・オペレーショナル・レジリエンステストの実施状況
  • 脅威情報共有メカニズムの機能

5つの柱と監査上の検討事項

ICTリスク管理(第2章)


DORA第5条は、金融機関に対し「ICTリスク管理戦略」の策定を義務付けている。監査人は、この戦略が単なる文書の存在にとどまらず、実際に運用されているかを確認する必要がある。
監査上の重要な検討事項:

インシデント管理(第3章)


DORA第17条は、重大なICTインシデントの監督当局への報告を義務付けている。初期報告は認識から最大24時間以内、最終報告は初期報告から14日以内と定められている。
監査人の観点では、インシデント管理プロセスの有効性は財務報告の信頼性に直結する。システム障害により取引記録が欠損したり、決算処理が遅延したりする可能性がある。
監査上確認すべき要素:

デジタル・オペレーショナル・レジリエンステスト(第4章)


DORA第25条は、重要な金融機関に対し、少なくとも3年に1回の高度テストの実施を義務付けている。このテストは、実際のサイバー攻撃を想定したシナリオベースのものでなければならない。
監査人は、テストの設計から実施、結果の評価、改善策の実行まで、一連のプロセスを評価する必要がある。特に、テスト結果が内部統制の設計や運用に与える影響を理解することが重要。

第三者リスク管理(第5章)


DORA第28条以降は、重要な第三者ICTサービスプロバイダー(CTIPs: Critical Third-party ICT Service Providers)に関する監督体制を定めている。
監査人にとって、第三者リスクの評価は特に困難な領域。監基報402「監査に関連する内部統制に影響を及ぼすサービス機関を利用している企業の監査上の考慮事項」が参考になるが、DORAは従来以上に詳細な第三者モニタリングを求めている。
考慮すべき要素:

情報共有(第6章)


DORA第45条は、サイバー脅威情報とインシデント情報の共有を促進するための仕組みを定めている。この要件は直接的に監査手続きに影響を与えるものではないが、企業のリスク認識の高度化に寄与する。

  • リスク管理戦略が取締役会レベルで承認されているか
  • ICTリスクが企業全体のリスクマネジメントフレームワークに統合されているか
  • リスク評価の頻度と方法が文書化され、実行されているか
  • リスクアペタイトとリスク許容度が明確に設定されているか
  • インシデント分類基準の明確性と一貫性
  • 報告タイムラインの遵守状況
  • インシデント対応チームの役割と責任
  • 事後分析とシステム改善の実施状況
  • 重要な第三者プロバイダーの識別プロセス
  • 契約上の権利と義務の適切性
  • 第三者プロバイダーの監視とパフォーマンス測定
  • 第三者リスクの集中度分析
  • 出口戦略と移行計画の有効性

実践的なリスク評価アプローチ

DORAコンプライアンスの監査は、従来のIT全般統制(ITGC)評価を拡張したアプローチが必要。以下の段階的手順を推奨する:

段階1:予備調査と文書レビュー


まず、DORA対象企業であることを確認する。対象範囲は金融機関のライセンスや認可に依存するため、企業の事業許可書類を確認すること。
次に、以下の文書を入手し、レビューする:
文書化ノート:取得した文書の完全性を確認し、承認日と有効期限を記録

段階2:統制環境の理解


監基報315.15に基づき、ICT関連の統制環境を理解する。特に以下を重視:
ガバナンス構造:
人的資源:
文書化ノート:組織図を入手し、主要な役職者の経歴と資格を確認

段階3:プロセスレベルの統制テスト


各DORAピラーについて、プロセスレベルの統制を評価する:
ICTリスク評価プロセス:
インシデント管理プロセス:
文書化ノート:各プロセスの歩み通しテストを実施し、例外事項を記録

段階4:システムレベルの統制テスト


IT全般統制の評価を、DORAの要件に合わせて拡張する:
アクセス管理:
変更管理:
バックアップとリカバリ:
文書化ノート:システムログの抽出とテストを実施し、統制の運用状況を確認
  • ICTリスク管理戦略と関連方針
  • インシデント管理手順書
  • 第三者プロバイダー評価と監視の文書
  • 直近のレジリエンステスト結果
  • 監督当局とのコミュニケーション記録
  • ICTリスク管理の最終責任者(通常は取締役会またはCRO)
  • ICTリスク委員会等の専門委員会の設置状況
  • リスク管理部門とIT部門の役割分担
  • ICTリスク管理の専門人材の配置状況
  • 外部専門家の活用状況
  • 継続的な研修と能力開発
  • リスク識別の網羅性(技術リスク、サイバーリスク、モデルリスク、第三者リスク)
  • リスク測定手法の適切性
  • リスクアペタイトとの整合性確認
  • インシデント検知メカニズムの有効性
  • 分類と重要度判定の一貫性
  • 報告タイムラインの遵守状況
  • 復旧手順の実効性
  • 特権ユーザーアクセスの管理状況
  • 第三者プロバイダーアクセスの統制
  • アクセス権の定期的な棚卸
  • システム変更の承認プロセス
  • 緊急時変更手順の整備
  • 変更のバックアウト手順
  • データバックアップの実施状況
  • リカバリテストの定期実行
  • 目標復旧時間(RTO)と目標復旧レベル(RPO)の達成状況

実務例:フィンテック企業の評価

企業概要: デジタル決済サービスを提供する中堅フィンテック企業「フィンテックソリューションズ株式会社」。従業員150名、年間取扱高約500億円。複数のクラウドサービスプロバイダーを利用し、決済処理、顧客データ管理、リスク評価システムを運営している。

段階1:予備調査


2024年12月期の監査において、同社は資金決済業者として登録されており、DORA第2条に基づく対象企業であることを確認。主要な第三者ICTサービスプロバイダーは以下の通り:
文書化ノート:各プロバイダーとの契約書と管理体制に関する文書を入手

段階2:ICTリスク管理戦略の評価


同社のICTリスク管理戦略は2024年6月に取締役会で承認され、以下の要素を含んでいる:
テスト手順:直近3か月の取締役会議事録を確認し、ICTリスクが定期的に報告されていることを検証。
文書化ノート:リスク許容度の設定根拠と定期的な見直しプロセスを確認

段階3:インシデント管理の実効性確認


2024年中に報告されたICTインシデント:
重大インシデントの報告タイムライン:
文書化ノート:インシデント記録の完全性を確認し、分類判定の妥当性を検証

段階4:第三者リスク管理の詳細評価


AWS(最重要プロバイダー)に対する管理体制:
テスト結果:出口戦略は文書化されているが、実際の移行演習は未実施。この点を改善事項として経営陣に報告。
文書化ノート:第三者評価の客観性と定期性を確認し、集中リスクの分析結果を検証

結論


同社のDORAコンプライアンス体制は概ね適切に整備されている。軽微な改善事項(出口戦略の実地テスト)はあるものの、規制要件を満たしており、財務報告に係る内部統制への重大な影響は認められない。2025年中の監査では、改善事項の実施状況を継続的にモニタリングする。

  • クラウドインフラ:AWS(重要度:高)
  • 決済処理:某決済代行会社(重要度:高)
  • 顧客管理システム:Salesforce(重要度:中)
  • セキュリティ監視:某SOCサービス(重要度:中)
  • リスク分類:技術リスク、サイバーリスク、第三者リスク、規制リスク
  • リスク測定:定性的評価(5段階)と定量的評価(年間予想損失額)の組み合わせ
  • リスク許容度:決済サービス停止は年間24時間以内、データ漏洩は年間ゼロ件
  • レベル3(重大):1件(AWSのサービス障害による30分間のサービス停止)
  • レベル2(中程度):5件(主にネットワーク遅延)
  • レベル1(軽微):23件(アプリケーションエラー等)
  • 検知:障害発生から5分後
  • 初期報告(社内):検知から15分後
  • 監督当局報告:検知から18時間後(DORA要求の24時間以内を満たしている)
  • 最終報告:初期報告から10日後(14日以内を満たしている)
  • 四半期ごとのパフォーマンス評価(SLA達成率、セキュリティ指標)
  • 年次でのリスク評価更新
  • 出口戦略の文書化(他クラウドへの移行計画)
  • 契約上の監査権(SOC 2 Type IIレポートの年次取得)

実務チェックリスト

以下は、DORA対象企業の監査で確認すべき主要項目:

  • 適用範囲の確認
  • 企業のライセンスと事業内容からDORA適用対象であることを確認
  • 対象範囲(本体のみか、グループ全体か)の特定
  • ICTリスク管理戦略
  • 取締役会または同等機関での承認の確認
  • リスク分類とリスク測定手法の妥当性評価
  • 定期的な見直しプロセスの運用状況確認
  • インシデント管理
  • インシデント分類基準の明確性と一貫性
  • 報告タイムライン(24時間、14日)の遵守状況
  • 監督当局への報告実績と内容の適切性
  • 第三者リスク管理
  • 重要な第三者プロバイダーの識別と評価
  • 契約上の権利と義務の適切性
  • 集中リスクの分析と対策
  • レジリエンステスト
  • テスト計画の妥当性(3年サイクル、脅威ベース)
  • 実施結果の評価と改善策の実行状況
  • 内部統制への影響
  • DORAコンプライアンスが財務報告プロセスに与える影響の評価
  • 監基報315および330に基づくリスク評価と対応手続きの適応

よくある実務上の課題

DORAコンプライアンスの監査で頻繁に遭遇する課題:
第三者プロバイダー情報の入手困難
大手クラウドプロバイダーは標準化されたレポート(SOC 2等)を提供するが、中小プロバイダーからの詳細情報入手は困難な場合が多い。代替手続きとして、契約条項の確認とパフォーマンス指標の継続モニタリングに重点を置く。
インシデント分類の主観性
「重大」インシデントの判定基準が曖昧な場合がある。過去の判定事例を複数確認し、分類の一貫性を評価する。判定基準の明確化を経営陣に推奨する。
テスト結果の機密性
レジリエンステストの詳細結果は機密度が高く、監査人への開示が制限される場合がある。テスト実施の事実確認とハイレベルな結果概要の入手に留める場合も許容される。

関連リソース

  • 監基報315リスク評価ガイド - 企業環境の理解とリスク識別の詳細手順
  • 内部統制評価ツールキット - IT全般統制を含む統制評価のチェックリストとワークペーパー
  • 監基報402サービス機関監査 - 第三者プロバイダーリスクの評価アプローチ

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。