この記事で学べること
- NIS2指令の適用範囲と監査業務への影響を把握できる - ISA 240、315、570の各段階でサイバーリスクを評価する手順 - サイバーセキュリティ事件の財務諸表への影響の評価方法 - 中堅法人が直面する実務上の課題とその対処法
---
目次
1. NIS2指令とは何か 2. 監査業務への影響 3. リスク評価プロセスの変更点 4. 実務における具体的対応 5. 監査証拠と文書化 6. 実務チェックリスト 7. よくある間違い 8. 関連リソース
NIS2指令とは何か
NIS2指令(Directive (EU) 2022/2555)は2022年12月に発効し、EU内のサイバーセキュリティレジリエンスを強化する法的枠組みである。2024年10月17日までに各加盟国が国内法に転置する義務があった。
従来のNIS指令と比較して対象範囲は大幅に拡大された。新指令では「essential entities」と「important entities」の2カテゴリーに分類し、合計18の重要セクターをカバーする。従来の電力、運輸、金融に加え、食品、製造業、廃棄物管理、デジタルサービスプロバイダーも含まれる。
適用基準と監査への影響
NIS2の適用基準は従来の「critical infrastructure operator」から大きく変わった。
Essential entities(基幹事業者)は、従業員250人以上または年間売上高5,000万ユーロ以上の企業で、指定された重要セクターに属する場合に該当する。
Important entities(重要事業者)は、従業員50人以上または年間売上高1,000万ユーロ以上の中規模企業で、特定セクターに属する場合に該当する。
監査人にとっての意味は明確だ。これらの基準値は、中堅法人のクライアントの多くに当てはまる。従来は大手企業のみが対象だったが、今は中小企業も範囲に入る。
監査業務への影響
ISA 315による企業及び企業環境の理解
ISA 315.13は監査人に対し、企業の事業運営に関連する外部要因の理解を求めている。NIS2の下では、この理解にサイバーセキュリティ規制環境の評価を含める必要がある。
検討事項は以下のとおり: - 企業がNIS2の適用範囲に該当するかの判定 - 該当する場合の義務の特定 - サイバーセキュリティガバナンス体制の理解 - 事件報告プロセスの評価
ISA 315.21は、情報システムと関連する事業プロセスの理解を求めている。NIS2適用企業では、この評価にサイバーリスク管理プロセス、事件対応計画、復旧手順の査定が加わる。
ISA 240による不正リスクの考慮
NIS2はサイバー攻撃の報告義務を定めているが、すべてのサイバー事件が外部攻撃によるものではない。ISA 240.24では、不正リスク要因の識別において、内部者による情報システムの悪用可能性を検討する。
サイバーセキュリティの文脈で確認すべき点: - 特権アクセス権の管理統制 - システムログの監視と分析 - データ漏洩の可能性と影響範囲 - 内部告発制度の有効性
これらの要素は既存の不正リスク評価プロセスに統合する。
ISA 570による継続企業の前提
ISA 570.A2に記載された継続企業に関する疑義を生じさせる事象には、重大なサイバーセキュリティ事件が含まれうる。
- 基幹システムの長期停止 - 顧客データの大規模漏洩による法的責任 - NIS2違反に対する制裁金(Essential entitiesの場合、売上高の2%または1,000万ユーロのいずれか高い方) - 事業継続能力への影響
監査人はこれらのリスクを定性的要因として評価し、経営者の対応計画の妥当性を検証する。
リスク評価プロセスの変更点
統制環境の評価
ISA 315.14で求められる統制環境の評価において、NIS2コンプライアンスは新たな検討要素となる。経営陣の誠実性と倫理観の評価に、サイバーセキュリティに対する姿勢も含まれる。
評価項目: - サイバーセキュリティ方針の存在と実効性 - 取締役会レベルでのサイバーリスクの監督 - セキュリティ意識向上プログラムの実施状況 - 第三者リスク管理の体制
リスクの識別と評価
ISA 315.25では、財務諸表の重要な虚偽表示のリスクを生じさせうる事項の識別を求めている。NIS2適用企業では、以下のサイバー関連リスクが該当する。
収益認識への影響として、システム障害による取引データの完全性・正確性の問題がある。資産評価への影響としては、サイバー事件による営業権や無形資産の減損が挙げられる。負債認識への影響では、データ漏洩による損害賠償責任と復旧費用が論点となる。継続企業への影響は、重大なシステム障害による事業継続能力の疑義である。
実務における具体的対応
クライアント受嫌・継続の検討
中堅法人では、NIS2適用企業の監査において新たなリスク要因を考慮しなければならない。ISA 220.25で求められるクライアント関係継続の判断で検討すべき点:
監査計画の修正
ISA 300.9で求められる全体的監査戦略の策定において、NIS2関連リスクを織り込む:
専門家の利用
ISA 620.8では、監査人の専門家の利用について定めている。NIS2関連の監査において:
実務例:製造業企業のサイバーリスク評価
田中製作所株式会社(従業員320名、年間売上高85億円、自動車部品製造)の2024年度監査を例に、NIS2関連の監査手続を示す。
適用範囲の判定
調書にはNIS2適用判定の根拠として、従業員数、売上高、業種分類を記載し、リスク評価ファイルに保管する。
統制環境の評価
統制環境評価の調書にサイバーセキュリティガバナンスの評価を追加し、不備事項として月次報告体制の欠如を記録する。
情報システムの理解
ITリスク評価の調書を作成し、各システムのリスク評価結果、統制テストの範囲、外部専門家の利用計画を記載する。
継続企業への影響評価
継続企業検討の調書にサイバー事件の影響を記載し、経営者の対応策、保険適用状況、再発防止策の妥当性を評価する。
経験上、この種の案件では監査時間が従来比で約15%増加し、IT専門家の起用で監査費用も上昇する。クライアントへの説明で「なぜ去年より高いのか」と詰められる場面は避けられないだろう。NIS2対応の工数を見積段階で明示しておくことが、後のトラブルを防ぐ。
監査証拠と文書化
必要な監査証拠
ISA 500.6で求められる監査証拠の十分性と適合性の観点から、NIS2関連では以下の証拠が必要になる。
方針・手順書類としてはサイバーセキュリティ方針、事件対応計画、復旧手順。実施記録としてセキュリティ監視ログ、インシデント報告書、訓練実施記録。第三者評価ではペネトレーションテスト報告書や脆弱性診断結果を入手する。サイバーリスク保険の適用範囲と免責事項も確認対象となる。
文書化の要件
ISA 230.8で求められる監査調書の作成において:
- サイバーリスク評価の根拠と結論 - 専門家による評価結果の要約 - 識別された不備とその重要性の判断 - 継続企業への影響評価プロセス
将来の監査で参照可能な形で、クライアントのサイバーセキュリティ成熟度を調書に記録しておく。
実務チェックリスト
1. NIS2適用判定を実施し、従業員数、売上高、業種に基づく適用範囲判定を文書化してリスク評価の前提として確認する
2. サイバーリスクを不正リスク評価に統合し、ISA 240.27に基づき内部者によるシステム悪用の可能性を検討項目に追加する
3. 統制環境評価にサイバーガバナンスを含め、ISA 315.14の統制環境評価で経営陣のサイバーセキュリティに対する姿勢を見る
4. 必要に応じてIT専門家を起用し、ISA 620の要件に従いサイバーセキュリティ専門家の客観性と能力を事前に確認する
5. 継続企業評価でサイバー事件の影響を検討し、ISA 570.A2の疑義事象として重大なシステム障害や大規模データ漏洩を評価する
6. NIS2関連の監査証拠を十分に入手し、方針文書、実施記録、第三者評価結果を収集して適合性を確認する
よくある間違い
- 技術的詳細への過度の焦点は危険だ。監査人はサイバーセキュリティの技術専門家ではない。財務諸表への影響と内部統制の有効性に焦点を当てるべきである。金融庁の2023年度モニタリングレポートでは、IT監査で技術的側面に偏重し、財務報告への影響評価が不十分な事例が指摘されている。
- IT専門家の報告をそのまま受け入れるのも問題となる。ISA 620.12に基づき、専門家の作業の十分性と結論の妥当性を監査人自身が評価しなければならない。
- NIS2を単なるコンプライアンス事項として扱うのは不十分にすぎない。規制遵守の確認にとどまらず、サイバーリスクが財務諸表の虚偽表示リスクに与える影響を評価する必要がある。
関連リソース
- サイバーセキュリティリスク評価テンプレート - NIS2適用企業向けのリスク評価ツールとチェックリスト - 継続企業評価における非財務リスク - サイバー事件を含む非財務リスクが継続企業の前提に与える影響の評価方法 - 監査におけるIT専門家の利用 - ISA 620に基づくIT専門家の活用と監査証拠の評価手順
---