この記事で学べること
- NIS2指令の適用範囲と監査業務への影響を把握できる
- ISA 240、315、570の各段階でサイバーリスクを評価する具体的手順
- サイバーセキュリティ事件の財務諸表への影響の評価方法
- 中堅監査法人が直面する実務上の課題とその対処法
この記事で学べること
---
- NIS2指令の適用範囲と監査業務への影響を把握できる
- ISA 240、315、570の各段階でサイバーリスクを評価する具体的手順
- サイバーセキュリティ事件の財務諸表への影響の評価方法
- 中堅監査法人が直面する実務上の課題とその対処法
目次
NIS2指令とは何か
NIS2指令(Directive (EU) 2022/2555)は2022年12月に発効し、EU内のサイバーセキュリティレジリエンスを強化する法的枠組み。2024年10月17日までに各加盟国が国内法に転置する義務があった。
従来のNIS指令と比較して対象範囲が大幅に拡大された。新指令では「essential entities」と「important entities」の2カテゴリーに分類し、合計18の重要セクターをカバーする。これには従来の電力、運輸、金融に加え、食品、製造業、デジタルサービスプロバイダーも含まれる。
適用基準と監査への影響
NIS2の適用基準は従来の「critical infrastructure operator」から大きく変わった。新基準では:
Essential entities(基幹事業者):従業員250人以上または年間売上高5,000万ユーロ以上の企業で、指定された重要セクターに属する場合
Important entities(重要事業者):従業員50人以上または年間売上高1,000万ユーロ以上の中規模企業で、特定セクターに属する場合
監査人にとって重要なのは、これらの基準値が多くの中堅監査法人のクライアントに適用されることである。従来は大手企業のみが対象だったが、現在は中小企業も含まれるようになった。
監査業務への影響
ISA 315による企業及び企業環境の理解
ISA 315.13は監査人に対し、企業の事業運営に関連する外部要因の理解を求めている。NIS2指令の下では、この理解にサイバーセキュリティ規制環境の評価が含まれる必要がある。
具体的には:
ISA 315.21は、情報システムと関連する事業プロセスの理解を求める。NIS2適用企業では、この評価にサイバーリスク管理プロセス、事件対応計画、復旧手順の査定が含まれる。
ISA 240による不正リスクの考慮
NIS2指令はサイバー攻撃の報告義務を定めているが、すべてのサイバー事件が外部攻撃によるものではない。ISA 240.24では、不正リスク要因の識別において、内部者による情報システムの悪用可能性を検討することが求められる。
サイバーセキュリティの文脈では:
これらの要素が既存の不正リスク評価プロセスに統合される必要がある。
ISA 570による継続企業の前提
ISA 570.A2に記載された継続企業に関する疑義を生じさせる事象には、重大なサイバーセキュリティ事件が含まれる可能性がある。特に:
監査人はこれらのリスクを定性的要因として評価し、経営者の対応計画の妥当性を検証する必要がある。
- 企業がNIS2の適用範囲に該当するかの判定
- 該当する場合の具体的な義務の特定
- サイバーセキュリティガバナンス体制の理解
- 事件報告プロセスの評価
- 特権アクセス権の管理統制
- システムログの監視と分析
- データ漏洩の可能性と影響範囲
- 内部告発制度の有効性
- 基幹システムの長期停止
- 顧客データの大規模漏洩による法的責任
- NIS2違反に対する制裁金
- 事業継続能力への重大な影響
リスク評価プロセスの変更点
統制環境の評価
ISA 315.14で求められる統制環境の評価において、NIS2コンプライアンスは新たな検討要素となる。経営陣の誠実性と倫理観の評価に、サイバーセキュリティに対する姿勢が含まれる。
具体的な評価項目:
リスクの識別と評価
ISA 315.25では、財務諸表の重要な虚偽表示のリスクを生じさせる可能性のある事項の識別を求めている。NIS2適用企業では、以下のサイバー関連リスクが該当する:
収益認識への影響:システム障害による取引データの完全性、正確性の問題
資産評価への影響:サイバー事件による営業権、無形資産の減損
負債認識への影響:データ漏洩による損害賠償責任、復旧費用
継続企業への影響:重大なシステム障害による事業継続能力の疑義
- サイバーセキュリティ方針の存在と実効性
- 取締役会レベルでのサイバーリスクの監督
- セキュリティ意識向上プログラムの実施状況
- 第三者リスク管理の体制
実務における具体的対応
クライアント受嫌・継続の検討
中堅監査法人では、NIS2適用企業の監査において新たなリスク要因を考慮する必要がある。ISA 220.25で求められるクライアント関係継続の判断において:
監査計画の修正
ISA 300.9で求められる全体的監査戦略の策定において、NIS2関連リスクを織り込む:
専門家の利用
ISA 620.8では、監査人の専門家の利用について定めている。NIS2関連の監査において:
- クライアントのサイバーセキュリティ成熟度の評価
- 監査チームのサイバーリスク理解能力
- 必要な専門家の利用可能性
- 監査時間とコストへの影響
- リスク評価手続の範囲拡大
- IT専門家の早期投入
- サイバーセキュリティ統制のテスト計画
- 事件対応プロセスの評価手順
- サイバーセキュリティ専門家の必要性評価
- 専門家の客観性と能力の評価
- 専門家の作業範囲と責任の明確化
- 専門家の調書の査閲と評価
実務例:製造業企業のサイバーリスク評価
田中製作所株式会社(従業員320名、年間売上高85億円、自動車部品製造)の2024年度監査を例に、NIS2関連の監査手続を示す。
Step 1:適用範囲の判定
田中製作所は従業員250名超、売上高5,000万ユーロ超の製造業のため、NIS2の重要事業者に該当。日本の国内法転置によりサイバーセキュリティ報告義務が発生する見込み。
文書化:NIS2適用判定書類をリスク評価ファイルに保管。根拠となる従業員数、売上高、業種分類を記載。
Step 2:統制環境の評価
経営陣へのインタビューにより、サイバーセキュリティ方針の存在を確認。ただし、取締役会での定期報告は四半期ベースで、月次の事件報告体制は未整備。
文書化:統制環境評価調書にサイバーセキュリティガバナンスの評価を追加。不備事項として月次報告体制の欠如を記録。
Step 3:情報システムの理解
製造実行システム(MES)、企業資源計画システム(ERP)、顧客関係管理システム(CRM)が基幹システム。各システムのアクセス制御、ログ管理、バックアップ体制を評価。
文書化:ITリスク評価調書を作成。各システムのリスク評価結果、統制テストの範囲、外部専門家の利用計画を記載。
Step 4:継続企業への影響評価
過去12か月間にランサムウェア攻撃が1件発生。システム復旧に3日間、生産停止による売上影響は約2,000万円。復旧費用は800万円。
文書化:継続企業検討書にサイバー事件の影響を記載。経営者の対応策、保険適用状況、再発防止策の妥当性を評価。
この例では、監査時間が従来比で約15%増加し、IT専門家の利用により監査費用も上昇した。しかし、クライアントのリスク管理体制の改善にも貢献できた。
監査証拠と文書化
必要な監査証拠
ISA 500.6で求められる監査証拠の十分性と適合性の観点から、NIS2関連では以下の証拠が必要:
方針・手順書類:サイバーセキュリティ方針、事件対応計画、復旧手順
実施記録:セキュリティ監視ログ、インシデント報告書、訓練実施記録
第三者評価:ペネトレーションテスト報告書、脆弱性診断結果
保険証書:サイバーリスク保険の適用範囲と免責事項
文書化の要件
ISA 230.8で求められる監査調書の作成において:
調書には、将来の監査で参照可能な形で、クライアントのサイバーセキュリティ成熟度を記録することが重要。
- サイバーリスク評価の根拠と結論
- 専門家による評価結果の要約
- 識別された不備とその重要性の判断
- 継続企業への影響評価プロセス
実務チェックリスト
- NIS2適用判定を実施する:従業員数、売上高、業種に基づく適用範囲判定を文書化し、リスク評価の前提として確認
- サイバーリスクを不正リスク評価に統合する:ISA 240.27に基づき、内部者によるシステム悪用の可能性を検討項目に追加
- 統制環境評価にサイバーガバナンスを含める:ISA 315.14の統制環境評価で、経営陣のサイバーセキュリティに対する姿勢を評価
- 必要に応じてIT専門家を起用する:ISA 620の要件に従い、サイバーセキュリティ専門家の客観性と能力を事前評価
- 継続企業評価でサイバー事件の影響を検討する:ISA 570.A2の疑義事象として、重大なシステム障害や大規模データ漏洩を評価
- NIS2関連の監査証拠を十分に入手する:方針文書、実施記録、第三者評価結果を監査証拠として収集し、適合性を確認
よくある間違い
- 技術的詳細への過度の焦点:監査人はサイバーセキュリティの技術専門家ではない。財務諸表への影響と内部統制の有効性に焦点を当てる。金融庁の2023年度モニタリングレポートでは、IT監査で技術的側面に偏重し、財務報告への影響評価が不十分な事例が指摘されている。
- 専門家への過度の依存:IT専門家の報告をそのまま受け入れるのではなく、ISA 620.12に基づき、専門家の作業の十分性と結論の妥当性を監査人が評価する必要がある。
- NIS2を単なるコンプライアンス事項として扱う:規制遵守の確認にとどまらず、サイバーリスクが財務諸表の重要な虚偽表示リスクに与える影響を体系的に評価することが必要。
関連リソース
---
- サイバーセキュリティリスク評価テンプレート - NIS2適用企業向けのリスク評価ツールとチェックリスト
- 継続企業評価における非財務リスク - サイバー事件を含む非財務リスクが継続企業の前提に与える影響の評価方法
- 監査におけるIT専門家の利用 - ISA 620に基づくIT専門家の効果的な活用と監査証拠の評価手順