{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
IoT(インターネット・オブ・シングス)の台頭に見られるとおり、企業を取り巻くシステム・ネットワーク環境は飛躍的な進化を遂げており、この状況は今後も加速することが想定されます。
情報システムだけでなく、OA機器なども含め、企業内部のあらゆるものが外部ネットワークと接続する状況は、同時に外部からの不正な攻撃に企業が常に晒され続けることも意味しています。
このような状況下で、サイバーセキュリティはテクノロジー・IT部門のみの課題ではなく、全社一体として取り組むべき、企業の継続性を維持する上で不可欠な経営上の課題となっています。
この課題に対して内部監査部として取り組んでいくことは、企業における第三のディフェンスラインとして非常に重要です。
サイバーセキュリティに関する管理態勢の整備・運用を推進するにあたり、以下のようなお悩みをお持ちではないでしょうか?
サイバーセキュリティに関する知識やノウハウがないため、自社におけるサイバーセキュリティ対応状況の監査を行うことができない。
サイバーセキュリティに関する対応がどこまで実施できているかを客観的に評価できない。
自社の対応状況が業界的にどの程度の水準にあるのか、どの範囲を強化していくべきか分からない。
内部監査部門に求められる具体的な役割をご紹介します。PwC Japan有限責任監査法人は、内部監査部門が役割を十分に果たせるようご支援をいたします。
サイバーセキュリティ管理態勢も対象としたリスクアセスメントを実施し、年間の内部監査計画へ反映する必要があります。
また、内部の人員で計画の策定などができるよう人材育成の検討を行う必要があります。
サイバーセキュリティ領域も加味したリスクアセスメント、および実効性がある内部監査計画策定や外注を利用する際の内部監査態勢プロセスの構築を支援します。
併せて、人材育成方針、計画についての助言や研修などを通じて人材育成の支援を行います。
内部監査部門の果たすべき役割やサイバーセキュリティなどの専門領域にて技術的に要求されるスキルを踏まえ、どこまでを内製化し、どこから外注するかを検討します。
リスク評価の結果も踏まえ、内製化/外注区分の検討に係る支援をいたします。特に内製で対応すべき範囲の識別について、支援いたします。
サイバーセキュリティ管理態勢の評価を行い、その結果を経営層へ報告します。外部委託先に委託した作業結果についても、内容を理解し、評価を行う必要があります。
サイバーセキュリティ管理の状況を第三者の目線で評価いたします。
あるいはコソーシングによる内部監査の実施を行い、当法人のナレッジを伝達し、将来的には内製化できるように支援します。
また、他社を外注として活用している場合には、他社の監査結果のレビューを含む管理方策の策定を支援します。
PwCは、サイバーセキュリティの専門家を有しており、サイバーセキュリティに関する取り組みを包括的に評価することで、現在の対応状況を可視化します。
フェーズ |
作業概要 |
---|---|
概要把握 |
担当者への質問、資料の閲覧などを実施し、組織、業務、システムなどに関する概要を把握します。 |
計画策定 |
概要把握の結果や管理態勢の理解において認識したリスク・課題などを考慮し、重点項目とすべき評価対象範囲、評価項目、対象組織などを決定します。 |
本調査 |
評価項目に基づき、担当者への質問、資料の閲覧、現場の視察などを実施し、管理態勢の評価を実施します。 |
報告書作成 |
本調査を通じて識別した課題を検討し、今後の改善に向けた助言事項を記載した報告書を作成します。 |
報告 |
報告内容について認識相違がないかご確認いただいた上で、マネジメントに報告します。 |