Definition

2025年1月にDORAが完全施行されてから、EU域内の金融機関を監査するチームはICTリスク評価の調書を一から見直す羽目になった。デジタル運用レジリエンス規則(DORA)はEU規則2022/2554として、金融機関のサイバーセキュリティとICT運用リスクの管理義務を定めている。ISA 315(改訂2019)に基づくリスク評価で、このDORA準拠状況をどう扱うかが監査計画の分岐点になる。

重要なポイント

> - DORAは2025年1月17日に完全施行され、銀行、保険会社、決済事業者、投資会社を含む金融セクター全体が対象 > - 監査人はDORA準拠状況を被監査会社の内部統制評価に組み込む必要があり、ISA 315.34のリスク識別プロセスに直結する > - DORAに関連する開示の不備や監査証拠の不足は、検査での指摘対象になりやすい領域である > - サードパーティーICTプロバイダーの管理体制(DORA第28条)は、ISA 402との交差点として特に注意を要する

どのように機能するか

DORAはEU域内の金融機関に対し、ICTリスク管理、サイバーセキュリティ対策、重大インシデント報告の義務を課している。監査人の視点で見ると、ISA 315.34に基づいてクライアントのICT環境と運用リスクを被監査会社のリスクとして識別しなければならない。

DORAの影響は規制対応だけにとどまらない。被監査会社の内部統制プロセス全体に及ぶ。クラウドサービスやAPIを介したICT依存度の高い企業では、DORA準拠状況が監査範囲と実証的手続の設計を左右する。ISA 402が関連する場面(クラウドサービスプロバイダーへの依存等)では、当該プロバイダーのDORA対応状況を確認し、その結果を調書に記載する。

計画段階(ISA 300.A26)で、クライアントのICT環境、サイバーセキュリティインシデント履歴、DORA対応状況をリスク評価プロセスに文書化する。経験上、この段階でIT部門への直接ヒアリングを入れるかどうかで、後工程の手戻りが大きく変わる。

実例:Nexus Financial Services N.V.

被監査会社はオランダの中堅決済サービス企業。年間売上€28M、IFRS報告企業。クラウドベースの決済プラットフォームを運営し、取引データの90%がAWS上に保存されている。2025年度監査計画の策定時にDORAの完全施行が重なった。

リスク識別

ISA 315.34に基づき、被監査会社のICT環境をリスク評価の一部として把握する。Nexus社では決済処理システムの障害が売上認識と売掛金に直結するため、ICT依存度を監査リスクとして識別した。

監査調書への記載:「ICT依存度が高く、決済システム障害が売上認識に直結。DORA準拠状況は監査上のリスク要因。」

DORAコンプライアンス確認

DORA第18条に基づき、被監査会社がサイバーセキュリティインシデント報告義務を果たしているか確認する。過去12か月間のインシデント報告ログを検査し、重大インシデントに該当するものが当局に報告されたか確認した。AWSとの契約書にDORA遵守条項が含まれているかも検証する。

監査調書への記載:「DORA第18条に基づくインシデント報告体制を確認。直近12か月間、重大インシデントの報告なし。AWS契約書にセキュリティ基準の遵守条項あり。」

内部統制の評価

ISA 315(改訂2019)に基づき、DORA対応責任部門(コンプライアンス部門とIT部門)の間にICTリスク管理プロセスが統合されているかを評価する。Nexus社ではICT部門が四半期ごとにペネトレーションテストを実施し、その報告がリスク委員会に提出される体制だった。

監査調書への記載:「四半期ごとのペネトレーションテスト実施。結果は取締役会リスク委員会に報告。2025年Q1〜Q3、脆弱性の検出なし。」

スタッフのセキュリティ意識研修が年1回のみという点は、DORA期待レベルとの乖離が残る。次年度の継続監視項目として調書に記載した。

監査人と規制当局が見落とすポイント

欧州銀行監督機構(EBA)は2023年と2024年の監視レポートで、金融機関の多くがDORA第11条(ICTリスク報告)の要件理解が不十分であること、サードパーティーリスク管理の文書化が未熟であることを指摘した。監査人がこの領域で標準的なチェックリストのみ使うと、クライアントのリスク管理体制の実態を見逃す。

DORA施行初期において、クライアント側では「コンプライアンス部門がDORA対応窓口」という認識のままで、実際のICT実装責任がIT部門に委ねられているケースが多い。正直なところ、コンプライアンス部門だけに話を聞いて終わりにする監査チームは少なくない。ISA 315.35に基づいてIT部門を含めた複数部門との協議を入れないと、実装の実態を把握できない。

DORA第20条は三次業者(sub-contractors)のICTセキュリティ義務も定めている。現場では、クライアント自身が三次業者の存在を把握していない場合が大半。「ICTサービス提供者の契約確認」で手続を終了すると、三次業者層のリスクがそのまま残る。

関連用語

- ICTリスク - DORA管理下の情報通信技術に関連する運用リスク - サイバーセキュリティ重大インシデント - DORA第18条に基づく報告対象のセキュリティ侵害事象 - サードパーティーリスク - DORA第28条で規制対象となるアウトソース機能のリスク管理 - ISA 315(改訂2019) - 被監査会社のリスク識別における基準 - ISA 402 - サービス提供者利用時の監査手続 - 内部統制の評価 - DORA準拠体制の監査上の評価方法

計算機・ツール

DORA専用の監査計算機は現時点で公開されていない。ISA 315リスク評価ワークシート(NV COS形式)にはICTリスク領域が統合されており、DORAチェックリストとして使える。詳細はリスク評価ワークシートを参照。

---

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。