業務紹介
Technology Risk
- Technology Riskとは
-
Technology Risk事業部には約500名が所属し、ITのプロフェッショナルとして、企業のIT環境やデジタル化に伴うリスクを専門的に評価・管理・軽減することで、持続可能な成長と社会的信頼の構築を支援しています。
会計監査におけるIT内部統制の評価業務(IT監査)、IT・テクノロジーに関する保証・認証業務、ITリスクに関するアドバイザリー業務を行っており、クラウド、AI、サイバーセキュリティ、プライバシーなど、最新テクノロジーに関わる課題にも対応し、「監査×IT×コンサル」の視点で企業を支えるプロフェッショナル集団です。
新卒で入社したメンバー、IT系企業でシステム関連業務を担っていたメンバー、公認会計士、事業会社の経理業務経験者など、さまざまなバックグラウンドを持つプロフェッショナルがお互いに切磋琢磨しながら、チームの一員としてクライアントに高品質なサービスを提供しています。
研修制度・育成制度等も整っており、新卒入社で活躍しているメンバーも多数在籍しています。
女性比率は約40%と比較的高く、特に若手の女性比率は約50%、またシニアコンサルタント~マネージャークラスにはワーキングマザーも多くおり、男女問わず活躍の場が得られる職場です。
テクノロジーリスクの管理強化が必要となる背景
-
サイバーセキュリティの脅威
サイバー攻撃やデータ漏洩の件数増加、金額規模の増加
-
規制の厳格化
データ保護やプライバシーに関する損害賠償の責任リスクの高まり
-
ビジネスの継続性
技術的な障害やシステムのダウンタイムによる、ビジネスへの影響回避
-
信頼性の向上
顧客やパートナーからの信頼維持に、技術的なリスクを管理する必要性
主なテクノロジーリスク
- サイバーセキュリティリスク
- ハッキング、マルウェア、データ漏洩など、情報システムやネットワークに対する攻撃や不正アクセスのリスク
- ソフトウェアのバグも含む技術的変化によるリスク
- 新しい技術の導入や既存技術の陳腐化によるリスク(例えば、AIやIoTの進展に伴うリスク)
- データプライバシーリスク
- 個人情報や機密データの不正利用や漏洩に関するリスク。特にGDPRなどのデータ保護規制に対応する必要
- 規制コンプライアンスリスク
- 法規制や業界標準に適合しないことによるリスク(データ保護法やセキュリティ基準の遵守を含む)
- システム障害リスク
- システムのダウンタイムや障害が業務に与えるリスク(ハードウェアの故障やソフトウェアの不具合など)
業務概要
IT監査
主な業務
現代のビジネスにおいてITシステムは各場面で利用されており、企業や各種法人が財務諸表を作成するにあたっても会計システムをはじめさまざまなITシステムが利用されています。そのような環境の中、仮にITシステムによる処理が正しくなかったら、ITシステム内にあるデータが正しくなかったら、障害等によりITシステムが停止してしまったら、企業が作成する財務諸表は正しいといえるでしょうか?
われわれはITに関連する内部統制を評価し、企業や各種法人が適切にITに関連するリスクへの対応が図られているかどうかを確認するとともに、会計士のチームと密接に連携し、最終的な監査意見の形成をサポートしています。
それにより投資家の保護と資本市場の信頼性向上というコミットメント達成のための基礎を構築しています。
具体的には、以下のような業務に携わります。
- IT全般統制の評価
- IT業務処理統制の評価
- データフローの理解
- サイバーセキュリティ・リスクへの対応
- システム生成データ・レポートの検証
また、われわれは各種データ・ツールを利用した監査の高度化も支援しています。
- 各種データの収集・加工・分析
- 分析結果に基づくリスクの可視化・評価
- 監査・不正リスク対応に向けた分析支援
業務の特徴
- 上場会社を中心に非上場の会社・法人に対しても法定監査(会計監査)に携わるため、健全な資本市場/社会の維持・発展に貢献することができる
- 同業種を中心にさまざまなクライアントの監査に携わるため、クライアントのビジネスでどのようにITが利用され、どのようなリスクがあるのかを把握することができ、それに対しての打ち手となる「あるべき内部統制」についても知識を身に付けることができる
- 内部統制の評価技法を身に付けることができる
- 最新のテクノロジー(AI、サイバーセキュリティ)の利用状況やリスクについていち早く把握することができる
- 上記の知識・経験・技法はITリスク関連の保証・アドバイザリー業務(サイバーセキュリティアセスメント、IT内部統制の構築、内部監査支援、等)のベースとなるため、その後のキャリアとして広がりが生まれる
- 海外のEYチームとも連携を図る必要があるが、監査のメソドロジーや利用ツールはEYグローバルネットワークで共通のため、共通言語で会話することができ、グローバルへ活躍のフィールドを広げることができる
第三者評価(SOCR/ISMAP/ISO)
主な業務
デジタル社会への変化に伴い、デジタルサービスの安全性は社会の重要な関心事項。クラウドサービスベンダーを含む外部委託業者に対して、サービス品質を確保するための内部統制を評価し、保証報告書として提供。
日々新しいテクノロジーが生まれる一方で、その信頼性が担保されなければ、社会は安心してテクノロジーを活用することができません。
SOCR、ISMAP、ISOといった第三者評価サービスは、テクノロジー企業の組織・プロセス・サービスを内部統制やセキュリティの観点から評価し、社会に「信頼」を届ける役割を担っています。
具体的には、以下のような業務に携わります。
- クラウドサービスやITアウトソーシングサービスの内部統制・セキュリティ体制の理解・評価
- クライアントとの対話や証跡確認を通じた、統制設計や運用状況の確認
- チームでのディスカッションを踏まえた、評価結果の整理および報告書作成
- 国内外の関係者と連携した、グローバル基準に基づく第三者評価の実施
SOCR(System and Organization Controls Reporting)は、受託業務に係る内部統制の有効性を評価する保証報告書です。企業は、顧客やその外部監査人、投資家、規制当局などに対し、信頼性の高い内部統制情報を提供することができます。
ISMAP(政府情報システムのためのセキュリティ評価制度)は、日本政府がクラウドサービスを安心して利用するための基盤となる制度です。この評価業務は、日本のデジタル行政およびデジタル産業を根幹から支える重要な役割を担っています。
ISO認証は、国際規格に基づいて、情報セキュリティ等に係る企業のPDCAサイクルの管理体制を評価します。EYではオランダにISO認証機関を有しており、Big 4で唯一、日本でのISO認証業務を提供しています。多国籍のメンバーにより構成されたオランダのチームと協働し、日本にいながら国際的な業務を経験することができます。
SOC2 (System and Organization Controls for Service Organizations)
政府情報システムのためのセキュリティ評価制度(ISMAP)
ISOマネジメントシステム認証、導入およびトレーニング
業務の特徴
- 日本のデジタル社会を支える制度に、当事者として直接関わることができます
- セキュリティ・内部統制・IT・クラウドサービスを横断した専門性を体系的に身に付けることができます
- 日本企業だけでなく、海外のクラウドサービス事業者とも協働する機会があります
- グローバルチームと連携しながら、国際基準に基づく第三者評価を実践的に経験できます
AIガバナンスサービス
主な業務
AIは企業のイノベーションを加速し、新たなビジネスモデルを生み出す中核的な存在です。
一方で、その価値を最大化するためには、活用に伴うリスクを前提とした適切なガバナンスが不可欠です。AIガバナンス体制を整備することで、企業はリスクを管理しながら社会的責任を果たし、結果として競争優位性を高め、変化の激しい市場環境への適応力を強化できます。
重要なのは、技術導入そのものではなく、運用を含めた統治の仕組みを同時に確立することです。EYは、AIを活用した新たなビジネスモデル創出に向け、ガバナンス体制の構築・評価やAIマネジメントシステムの認証を通じて、企業の持続的なイノベーションを支援しています。
具体的には、以下のような業務に携わります。
- AIサービス提供会社/利用会社のAIマネジメントシステムの構築支援、認証サービス
- AIサービス提供会社/利用会社のAIガバナンスの評価サービス
- EYのフレームワークである「AI Assurance framework」を利用したAI監査フレームワーク構築支援サービス
AI 事業者ガイドラインを用いた AI ガバナンスの第三者評価サービス
AIシステムに関連する内部統制評価、構築支援サービス
業務の特徴
- ISO42001認証は、国際規格に基づいて、AIガバナンスに係る企業のPDCAサイクルの管理体制を評価します。EYではオランダにISO認証機関を有しており、Big4で唯一、日本でのISO認証業務を提供しています。多国籍のメンバーにより構成されたオランダのチームと協働し、日本にいながら国際的な業務を経験することができます。
- AIガバナンスの評価・認証は、理論や実務要件がまだ発展途上にある新しい分野です。本業務に携わることで、今後の社会や産業に不可欠となる希少性の高い専門性を身に付けることができます。
ビジネス・ITプロセスとコントロールの構築支援
主な業務
(1) IT内部監査支援サービス
J-SOX制度、US-SOX制度等においては企業側による内部統制の評価(経営者評価)が求められますが、ITシステムの重要性の高まりを受け、当該制度におけるITに関する要求事項も年々高まっています。
そのような状況の中で適切な経営者評価を自社内のリソース・ナレッジのみで対応していくことが難しいことも少なくありません。
われわれはIT監査で培ったIT内部統制の知見・経験を生かし、監査先ではない企業の経営者評価(内部監査)を支援しています。
- IT全般統制の評価
- IT業務処理統制の評価
また、上記制度対応以外でもITに関連する各種テーマ監査(システム監査)も支援しています。
(2) 財務報告に係るIT内部統制の構築、高度化
変容するリスクに対応していくにはIT内部統制自体も変化させていく必要があります。また、システムリプレースを契機としてIT内部統制も高度化したいという要望も増えています。
われわれはIT監査で培ったIT内部統制の知見・経験を生かし、監査先ではない企業のIT内部統制の構築、高度化を支援しています。
- 内部統制のフレームワークの設計と導入支援
- リスク評価と内部統制の強化策の策定
- 業務プロセスの改善と効率化
業務の特徴
- 法定監査(会計監査)で培った知識・経験・技法を基に内部監査の高度化や内部統制の刷新を図ることができる
- 企業や法人が抱えているITリスクに対して打ち手を施すことで、クライアントのガバナンスを向上させることができる
- 本業務で深掘りした経験を監査に還流し、監査の品質向上にも寄与することができる
デジタル内部統制に対するサービス
Environment, social and governance (ESG)
システム導入に伴うアセスメントおよびプロセス高度化支援
主な業務
新しいシステムの移行・導入の際、そのリリース前に、関連するリスクを理解、評価、管理し、本番リリース後も業務プロセス、内部統制に支障がないよう支援します。
昨今のシステム移行・導入においては、コア機能は標準化し、拡張機能は外に逃がすことで変化に強い未来型システム基盤を構築するため、一般的にビジネスプロセスとIT環境にさまざまな変更点が発生します。また標準化、データ統合、継続的イノベーションが企業の競争力を再構築する一方、予期しない問題や損失をもたらすリスクが増えており、それらにも対応する統制・管理はより複雑になっています。
またシステムの移行は単なるバージョンアップや機能拡張だけでなく、重大な業務リスク対応や内部統制を戦略として再考するよい機会であり、この取り組み方が企業価値を守る鍵となります。EYは、次世代システム環境に合わせた形でリスクを再確認し、それらをAI等のデジタルツールも利用しながら効果的、効率的に軽減できるようリスク分析、評価、統制デザイン、変更管理まで支援します。
EYのシステム導入に伴うアセスメントサービスは、システム導入の影響を網羅的にカバーしたフレームワークを用いることで、新システム導入に関連するリスクを認識、評価、管理できるよう支援し、意思決定者が内部統制の枠組みに信頼を寄せることで、より適切で、より迅速で、より自信を持ってシステム導入やビジネスの意思決定を行えるよう支援します。
業務の特徴
- 基幹システム導入・移行後の業務フローの理解や内部統制の整備を前もって実施できる
- 新しいIT環境下での監査手続きの理解、その証跡確保など監査対応準備を前もって行うことができる
- Control By Designという最も効率的・効果的な内部統制の導入整備を行うことができる
システム導入に伴うアセスメント及びプロセス高度化支援サービス
データ保護/プライバシー
主な業務
ビジネスの現場では、日々の業務において、消費者や顧客、取引先の個人情報、財務・会計データ、研究開発に関する技術情報等、さまざまな情報を扱っています。企業の重要な経営基盤であるこれらの情報資産は、一方で、その取り扱いを誤れば、社会的信用の失墜や事業継続への深刻な影響を招くリスクも伴います。
デジタル化の進展やグローバルでの法規制強化を背景に、データ保護・プライバシー対応は、企業経営に不可欠なテーマです。EYのデータ保護・プライバシーサービスは、国内外の法規制やガイドラインを踏まえつつ、ビジネスやITの実態に即した実効性ある支援を提供します。企業の成長と社会からの信頼を両立させるための基盤づくりに貢献できる、社会的意義の高い業務です。
具体的には、以下のような業務に携わります。
- データ保護、個人情報保護管理態勢の現状評価・ギャップ分析・改善提案
- システムや新サービスの開発におけるプライバシー影響評価
- 国内外の法規制・ガイドラインを踏まえた対応方針・ルール整備支援
- 管理態勢の構築支援および運用設計、モニタリング
- グローバル案件を含むデータ保護・プライバシー対応の実務支援
業務の特徴
業務の特徴
- データ保護・プライバシーは、国内外の法規制、業界ガイドラインの基本的な理解に加え、プライバシー意識の高い企業における先進的な取り組みなど、多角的な情報に基づき、専門性を磨き続けることができる成長分野です。
- 法規制・ビジネス・テクノロジー・グローバルをキーワードに、社会と企業の双方に価値を提供する経験を積むことができます。
- IT、セキュリティ、法務、リスク管理、プロジェクトマネジメントなど、これまでの経験を活かしつつ、データ保護、プライバシーの専門家としてステップアップできる環境です。
セキュリティガバナンス
主な業務
サイバーセキュリティのリスクは年々拡大しており、サイバーリスクへの対応を軽視しインシデントが発生した場合、最悪のケースではビジネス継続ができない、決算発表も延期せざるを得ないといった深刻な状況を及ぼす可能性があります。今やサイバーリスクは経営課題ともいえ、各社で対応が求められていますが、自社内のリソースだけでは課題の識別から対応までを自社内で完結できないケースも多く存在します。
また、各業界においても主にサプライチェーンに関するサイバーリスク対応の業界固有規制がグローバル・日本独自のものも含めてさまざま策定されており、各社で対応が求められている状況です。
われわれはIT監査や第三者評価を通じて得たサイバーセキュリティや各種規制に関する知見・経験、グローバルナレッジを生かし、企業のサイバーセキュリティに関するガバナンスの向上を支援しています。
(1) セキュリティ監査・アセスメント
- さまざまなフレームワーク(NIST CSF、ISO27000シリーズ、等)に基づくアセスメント支援
- 業界固有の規制(TISAX、UN-R155、防衛産業サイバーセキュリティ基準、等)に関連するアセスメント支援
- テーマ監査支援
(2) ロードマップ策定
- 識別した課題についての優先順位付け、施策化、スケジュールへの落とし込み、等
(3) 実行支援
- セキュリティポリシー策定/改訂支援
- サイバーセキュリティリスクに関する内部統制構築支援
(4) ITアセットマネジメント・ライセンスコンプライアンス
- ライセンス監査支援
- ライセンス監査態勢構築支援
- ITAM(IT Asset Management)成熟度評価支援
- ITAM導入支援
業務の特徴
- 法定監査(会計監査)やSOC・ISMAP業務で培ったサイバーセキュリティ関連の知識・経験・技法を基にサイバーリスクの健康診断(アセスメント)から識別した課題への打ち手策定までクライアントのガバナンスを向上させることができる
- 本業務で深掘りした経験を監査に還流し、監査の品質向上にも寄与することができる
- サイバーリスクは企業単体ではなく連結グループ全体に波及するため、海外子会社がスコープに含まれることも多く、グローバルに活躍のフィールドを広げることができる
セキュリティポリシー策定支援サービス
クラウドセキュリティ・ガバナンス構築支援サービス
OTセキュリティ
サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス
パブリック(公的機関)向けサービス
サイバーセキュリティ内部統制構築支援サービス
Trusted Information Security Assessment Exchange(TISAX)
ITアセットマネジメント・ライセンスコンプライアンス