金融庁のサイバーセキュリティガイドライン「ガバナンス/内部統制について」
ポイント
金融庁サイバーセキュリティガイドラインでは、経営層の積極的関与を重視し、ガバナンスとリスク管理態勢の強化が求められている。ガバナンスと内部統制を適切に実施することで、経営リスクを軽減し、企業価値を高めることができる
1.企業におけるガバナンス(統制・統治)
企業組織運営に不可欠な各種ガバナンスは以下の通り定義される。
・コーポレートガバナンス:企業において経営の健全性を管理・監督する仕組み。上場企業は金融庁、東京証券取引所、株主等からガバナンス強化を求められる。
・情報セキュリティガバナンス:コーポレートガバナンスの一環としての、企業内の情報セキュリティの内部統制の仕組み。情報セキュリティの目的および戦略を事業の目的および戦略に合わせて調整することが必要。情報セキュリティのため、IT以外の要素も含まれている。
・ITガバナンス:コーポレートガバナンスの一環としての企業内のITの内部統制の仕組み。 IT資源の管理やリスク対応能力の向上を通じて経営を支える。 IT戦略が経営戦略に合致していることを確保し、リスクを適切に管理する仕組み。
・内部統制:組織の目標達成のために、不正防止や業務プロセスの正確性を確保する管理体制。リスクの低減や法令順守を実現する基盤として不可欠である。
2.ガバナンスや内部統制の不備事例(株式会社DMM Bitcoinに対する行政処分)
ガバナンスや内部統制が機能しないと、重大なインシデントが発生し信頼失墜を招くリスクが高まる。
令和6年5月、DMM Bitcoinで顧客資産が大量( 4,502.9BTC )に流出する事件が発生。システムリスク管理態勢の不備や一部の者に権限が集中、牽制機能の欠如が原因で、行政処分が下った。また、被監査部署に監査を実施させるなど、内部監査の独立性が保たれていない点も重大な問題とされた。
3.ガバナンス・内部統制の検証方法について
内部監査と外部監査を通じ、ガバナンス・内部統制の有効性を検証する。
| 監査種類 | 被監査者 | 監査人 | 内部/外部 | 内容 |
| 保証報告書監査 | IT運用部門 | 外部監査法人 | 外部監査 | ITシステムの安全性・信頼性を確認 |
| 財務諸表監査 | 経理部門 | 外部監査法人 | 外部監査 | 財務データの正確性を評価 |
| 内部統制監査 | 全社的業務プロセス | 内部監査部門 | 内部監査 | 統制体制の有効性を検証 |
| テーマ別監査 | 特定部門(例: 情報セキュリティ) | 内部監査部門 | 内部監査 | 特定領域の課題を重点的に評価 |
| 業務監査 | 業務部門 | 内部監査部門 | 内部監査 | 業務効率とリスクの洗い出し |
ガバナンスと内部統制の違い
ガバナンスは、企業や組織の経営全般に関する管理と監督の仕組みを指します。具体的には、取締役会や監査役会などが経営陣の意思決定や行動を監督し、組織の方向性や目標の達成に向けて指導する役割を果たします。ガバナンスは、株主やステークホルダーの利益を保護し、企業の透明性や公正性を確保するための枠組みです。
一方、内部統制は、組織内部の業務が効果的かつ効率的に行われ、財務報告が正確であり、法令や規則に準拠することを確保するための仕組みや手続きです。これは、経営者が従業員の行動やIT資産の利用を監督するための具体的な手段を指します。内部統制は、組織内部のリスクを管理し、業務の円滑な遂行を支えるために設けられています。
要約すると、ガバナンスは経営者を含む組織全体の管理と監督、内部統制は組織内部の業務プロセスやリスク管理のための具体的な仕組みと言えます。
Follow me!
