EYのチームは監査、検証、認証、評価する各種業務の提供により、企業のテクノロジー導入と利用から生じるリスクを特定し、その理解、評価、管理、軽減を支援しています。

• IT監査
• 第三者評価（SOCR/ISMAP/ISO）
• ビジネス・ITプロセスとコントロールの構築支援
• システム導入に伴うアセスメントおよびプロセス高度化支援
• データ分析支援
• データ保護／プライバシー
• セキュリティガバナンス
• ITコンプライアンス

質の高い情報技術（IT）監査手続きを実施することは、投資家の保護と資本市場の信頼性向上というコミットメント達成のための基礎を構築することにほかなりません。これには、財務諸表監査や財務報告に係る内部統制監査のサポートとして、ビジネスやITプロセスの各段階でテクノロジーがどう影響するかを把握することも含まれます。

EYのプロフェッショナルは、独立性、誠実性、客観性、および職業的懐疑心を持って高品質の監査手続きを実行することで、公共の利益と、持続可能で長期的な価値創造に貢献しています。

また、EYのチームは、多分野にわたって高度に複雑な問題に対処できる専門知識を備えており、確立されたグローバル監査手法、EYのグローバル監査ツール、最新のインサイトをもって、世界中で一貫した品質の監査を提供しています。

インサイトや率直な見解、業務の提供により、企業はテクノロジーの利用や導入から生じるビジネスリスクについての認識を深め、情報に基づいた意思決定を行うことができます。

IT監査業務には以下を含みます：

• 統合監査
• 財務諸表監査
• 法定監査

受託業務に係る内部統制の保証報告書 （SOCR: Service Organization Control Reporting）サービスを利用することで、企業は顧客（およびその外部監査人）、投資家、経営管理者、規制当局、その他の利害関係者に対して、内部統制に注目した信頼できる情報を提供できます。このサービスにより、受託会社は信頼できるリスクベースの情報を求める顧客ニーズに効率的に対応できます。

SOC 1は、情報システムを運用し、財務報告を支援するビジネスプロセス業務を提供する企業（受託会社）が、顧客やその外部監査人に提出できる報告書により、自社のサービス提供プロセスと統制に対する信頼を獲得し、自信を深めるサポートになります。

SOC 2および3は、企業のシステムにおけるセキュリティ、プライバシー、秘密保持、可用性、および処理の完全性に影響する企業の統制について、情報と保証を必要とする幅広いユーザーのニーズに応えるサポートになります。

SOC for Cyberは、企業の全社的なサイバーセキュリティリスク管理プログラムに関する報告書で、当該要素に対する情報と保証を必要とする幅広いユーザーのニーズに応えます。

SOC for Supply Chainは、商品の生産、製造、または流通に関する企業のシステムと統制に関する報告書で、サプライチェーンにおけるリスクをよりよく理解するために、これらの要素に関する情報と保証を必要とする利害関係者のニーズに応えます。

EYのチームは、限定的または合理的保証業務（SOC報告書など）の実施に先立ち、システム記述書のような保証の対象に関わるドキュメントの事前評価サービスも提供しています。

合意された手続き（AUP : Agreed Upon Procedures）は、企業と報告を受ける第三者との間で合意された特定の統制テストやその他の手続きを実施し、その結果を報告するサービスです。

企業は、AUPにより、報告を受ける第三者と合意した特定の統制テストやその他の手続きを実施した結果を提示することができます。EYのチームは、企業と報告を受ける第三者との間で合意された一連の手続きを実施し、その結果および関連する所見を報告します。

ISAE 3000は、監査人、企業、および第三者が合意した監査に関連する手続き（非財務情報に関連するもの）について報告します。

*ISAE 3000統制テスト - 手続きと統制テストを実施し、ISAE 3000規格に従った保証報告を作成する能力。

関連サービス

• SOC1 (System and Organization Controls for Service Organizations)
• SOC2 (System and Organization Controls for Service Organizations)
• 政府情報システムのためのセキュリティ評価制度（ISMAP）
• ISOマネジメントシステム認証、導入およびトレーニング

日本においては2008年に内部統制報告制度（J-SOX）が導入されて以降、企業を取り巻くビジネス環境は大きく変化しています。例えば、M＆Aによる在外子会社も含めたグループ会社の増加、基幹システムのERP化、クラウド基盤の利用等、積極的なビジネス展開、ガバナンス向上やコスト意識の高まりによって起こり得る変化から従来のリスク認識だけでは対応できず、今後顕在化が見込まれるリスクを事前に識別し、それに対する対応を事前に実施する必要があります。

しかしながら、企業ビジネス、システム環境、内部統制を多面的に十分に理解した人材を確保し続けることは難しく、第1線、第2線の強固な内部統制の構築実施やそれに対する第3線としての評価が十分に実施できていない恐れがあります。

EYはIT関連の内部統制の構築や評価を単なる内部統制報告制度への対応にとどまることなく、業務の標準化、効率化、自動化等、既存業務の継続的な改善を含めてサービスを提供してまいります。

関連サービス

• 財務報告に係るIT内部統制の構築、高度化サービス
• デジタル内部統制に対するサービス

企業が新しいテクノロジーを導入すると、一般的にビジネスプロセスとIT環境の複雑さが増します。ビジネスの成長機会が生まれる一方で、リスク、新しい技術を使うことで、予期しない問題や損失をもたらすリスクが増えており、それらはより複雑になっています。EYは、クライアントがこのようなリスクを軽減できるようシステム監査・アセスメントを通して支援します。

EYのシステム導入に伴うアセスメントサービスは、導入全体を通じた手順を実行することで、新しいシステムの導入に関連するリスクを理解、評価、管理できるよう支援し、意思決定者が内部統制の枠組みに信頼を寄せることで、より適切で、より迅速で、より自信を持って意思決定を行えるよう支援します。

データ分析サービスは2種類のデータ分析アプローチのいずれか、または両者の組み合わせにてデータ分析サービスを用意しています。

• EYツールの利用 EYが世界中の会計監査の中で使用している監査用データ分析ツール群を利用するパターンです。
• カスタマイズのCAAT もう1つは貴社固有の業務、データ、リスク等に基づきカスタマイズしたデータ分析サービスを提供します。

データ保護・プライバシーに関する豊富な知見を提供

個人情報・プライバシーに係るリスク分析・評価、構築を支援します。

ISOマネジメントシステム認証、実施およびトレーニングサービスは、ISO規格およびその他の確立された認証フレームワークに従って、マネジメントシステムの実施および認証業務を提供します。

EY CertifyPoint B.V.は、2002年に設立されたEYの事業体であり、オランダに本部を置く、認可済みの独立性と公正性を備えた認証機関です。EY CertifyPointを通じて、EYチームは主任実施者および主任監査員コースを提供し、複数のISO規格に関する企業内の人材の認定を行います。

EYのチームは、企業の管理システムの効率性と有効性を向上させることにより、企業の目標達成をサポートします。EYのチームは、ビジネスを中心に据え、世界的に認められた標準に準拠した体系的で独立性のある認証アプローチによって、冗長性、ボトルネック、および潜在的な効率向上の領域を特定します。

セキュリティ監査、各種ベンチマークに基づくセキュリティのアセスメントや海外拠点の調査業務などを提供

技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

関連サービス

• セキュリティ監査・アセスメントサービス
• セキュリティポリシー策定支援サービス
• クラウドセキュリティ・ガバナンス構築支援サービス
• OTセキュリティ
• サイバーセキュリティ戦略・ロードマップ策定・実行支援サービス
• パブリック（公的機関）向けサービス
• サイバーセキュリティ内部統制構築支援サービス

ITコンプライアンスと規制の保証業務では、急速に変化する法律、規制、専門的な基準を企業が理解し、準備し、適切な報告が行えるよう支援します。

関連サービス

• Trusted Information Security Assessment Exchange（TISAX）
• Environment, social and governance (ESG)
• AIシステムに関連する内部統制評価、構築支援サービス

監査チームは、独⽴性、完全性、客観性、職業専⾨家としての懐疑⼼をもってアナリティクス主導型の質の⾼い監査を提供し、公共の利益に貢献しています。

詳細ページへ

さらに表示するPreviousNext 第三者評価（SOCR／ISMAP／ISO）委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書（保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」）をはじめ、Trustサービス（情報システムの信頼性などに係る規準）に係る保証報告書の発行など、EYは第三者機関としての報告サービス（SOCR）を提供します。

続きを読むデータ保護・プライバシー関連サービスITの進歩、ビジネスの変遷を背景とする各国法規制の強化、個人のプライバシー意識に対する高まり等の環境変化を受け、データ保護、プライバシー対応は企業の優先課題であり、またグローバルな取り組みが必要となっています。EYは、グローバルネットワークやLawファームとも連携し、企業における態勢強化のための取り組みを支援します。

続きを読むセキュリティガバナンスサービス技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

続きを読むビジネス・ITプロセスとコントロールの構築支援サービス今後顕在化が見込まれるリスクを事前に識別し、それに対応するITプロセスとコントロール対応を事前に実施する必要があります。

続きを読むシステム導入に伴うアセスメント及びプロセス高度化支援サービス新システム導入はビジネス成長機会が生まれる一方リスクも増加します。EYはシステム監査・アセスメントでリスク軽減を支援します。

続きを読むデータ分析支援サービス企業各部署でDX対応が求められる中、社内にある大量のデータを分析して新たなビジネスの視座を獲得することは有効かつ効率的なDX対応となります。監査におけるデータ分析の経験をもとに各種のデータ分析を支援します。

続きを読むITコンプライアンスサービスITコンプライアンスと規制の保証業務では、急速に変化する法律、規制、専門的な基準を企業が理解し、準備し、適切な報告が行えるよう支援します。この保証業務を通して、企業がより持続的かつ効率的に、規制および業種（政府、ヘルスケア、金融サービスなど）固有のテクノロジーコンプライアンス要件に対処できるよう支援します。例えば、以下の要件の順守をサポートします。

続きを読むSOC1 (System and Organization Controls for Service Organizations)クラウドサービスベンダーを含む外部委託業者（受託会社）に対して、委託元（委託会社）の財務報告に資するため、委託会社の財務報告に影響する内部統制を評価し、SOC保証報告書として提供します。

続きを読むSOC2 (System and Organization Controls for Service Organizations)クラウドサービスベンダーを含む外部委託業者に対して、情報セキュリティに係る内部統制を評価し、SOC保証報告書として提供します。

続きを読む政府情報システムのためのセキュリティ評価制度（ISMAP）政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 以下、ISMAP：イスマップ）は、政府が求めるセキュリティ要求事項を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、よってクラウドサービスの円滑な導入に資することを目的とした制度です。EYはISMAP監査機関リストに登録された監査機関としてISMAP制度の初期から世界中のクラウドサービス事業者に対して、豊富な情報セキュリティ監査及び予備調査等の実績を有します。また、本制度のうち、リスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みであるISMAP for Low-Impact Use: ISMAP-LIU：イスマップ エルアイユーついてもEYでは情報セキュリティ監査および予備調査が可能です。政府における調達府省庁等はISMAPクラウドサービスリストまたはISMAP-LIUクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則としています。また、政府のみならず一般企業においてもクラウドサービスの利用は近年拡大傾向にあり、今後より多くの企業においてクラウドサービスの利用が一般化・浸透していくことが想定されます。以上のことからも、クラウドサービス事業者にとってISMAPに登録されることの重要性が増してくると予想されます。

続きを読むISOマネジメントシステム認証、導入支援およびトレーニングISOマネジメントシステム認証、導入支援およびトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入支援および認証業務を提供します。

続きを読むセキュリティ監査・アセスメントサービス近年のデジタルトランスフォーメーション（DX）の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

続きを読むセキュリティポリシー策定支援サービスセキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

続きを読むクラウドセキュリティ・ガバナンス構築支援サービス近年、企業や組織がデジタルトランスフォーメーション（DX）を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

続きを読むOTセキュリティサービス現在、制御系システム（OT“オペレーショナルテクノロジー”）でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS（オペレーティングシステム）で稼働し、そこでの各種脆弱（ぜいじゃく）性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準（ISO27000シリーズやIEC62443）をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

続きを読むサイバーセキュリティ戦略・ロードマップ策定・実行支援サービスサイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

続きを読むパブリック（公的機関）向けサービスEYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。パブリック（公的機関）における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群（以下、政府統一基準群）」内閣サイバーセキュリティセンター:（NISC））の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

続きを読むサイバーセキュリティ内部統制構築支援サービスサイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応（研究文書）」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」（通称：J-SOX）の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

続きを読む財務報告に係るIT内部統制の構築、高度化サービス企業が効率的・継続的に内部統制報告制度に対応するために、グループ会社を含む自社の財務報告に係る内部統制の構築及び評価範囲、文書化・評価項目、運営体制などの現状を診断の上、効率化・高度化をEYのプロフェッショナルが支援します。

続きを読むデジタル内部統制に対するサービス企業のデジタル化の進展により、ERP導入、クラウド化、業務プロセスの自動化が進む中で、内部統制は複雑化し、新たなリスクへの対応が求められています。新技術を導入することによって顕在化したリスクに対し、EYの知見を使って、適切な内部統制の構築を提案します。

続きを読むTrusted Information Security Assessment Exchange（TISAX）ドイツ自動車工業会（以下、VDA）は、自動車サプライチェーンにおける情報セキュリティマネジメントシステム（以下、ISMS）の評価について、国際的に認められた統一アプローチを開発 し、確立しました。2016年以来、 European Network Exchange（以下、ENX） は Trusted Information Security Assessment Exchange （以下、 TISAX ） の統治機関として機能しており、VDAおよび審査機関と緊密に協力して、TISAXプロセスと運用基準をさらに開発しています。EYは、TISAXの正式な審査機関として承認された最初の審査法人です。それ以来、EYは自動車産業向けの中規模および大規模サプライヤーのTISAX評価の準備やTISAX審査法人としてサポートしてきました。ISMSの成熟度を相手先Original Equipment Manufacturing （以下、OEM）へ証明することは必須となっており、サプライヤーにとってビジネスに不可欠な基準になる可能性があります。2018年以降、TISAXは他国の自動車協会や他業界からも認められており、このアプローチのさらなる普及が予想されます。*ドイツのEYメンバーファームがTISAXの審査機関となります。

続きを読むEnvironment, social and governance（ESG）投資家、規制当局、そして社会全体が、特にESGの問題に関して、非財務パフォーマンスの透明性を高めることを求めています。各国・各地域におけるサステナビリティ制度開示（CSRD、SEC、有報、ISSBなど）に向けた対応でも、エネルギー消費量、温室効果ガス（GHG）排出量（スコープ1、2、3）、水使用量、廃棄物排出量、PRTR対象化学物質、ダイバーシティ・人的資本・労働安全衛生に関する指標などさまざまなサステナビリティ指標があります。当該指標の生成にはさまざまなITシステム、テクノロジーが利用されており、内部統制の構築・運用も必要となってきます。また、合理的保証に際しては、内部統制の評価も必要となってきます。

続きを読むAIシステムに関連する内部統制評価、構築支援サービスAI技術の進展は企業にとって革新的な変革をもたらす一方で、新たなリスクやガバナンスの課題を引き起こします。私たちは、AIに関する内部統制を支援する専門家チームとして、企業がこれらの挑戦に対応し、信頼性の高いAIシステムを実現するためのサービスを提供しています。当社のアドバイザリーサービスは、AIのリスク管理、コンプライアンス、倫理的な使用を確保するための内部統制フレームワークの策定と実装をサポートします。

続きを読むプライバシー法的要求の変更と顧客の期待の増大とが相まって、企業の課題は増加の一途をたどっています。

続きを読むデータプロテクション&プライバシー日本の個人情報保護法に加えてEUの一般データ保護規則法（GDPR）などの海外のデータプライバシー関連法による法的要求の変更と顧客の期待の増大とが相まって、企業の課題は増加の一途をたどっています。 EYデータプロテクション ＆ プライバシーサービスは、組織がデータセキュリティとデータプライバシーの主要なサービスを最新の状態に保つだけでなく、絶えず進化する脅威環境や規制環境における規制に準拠するのを支援します。

続きを読むAPI接続のセキュリティに係る合意された手続（AUP）業務金融機関によるオープンAPIは、電子決済等代行業者と連携した利便性の高い高度な金融サービスの提供を実現可能としました。一方で、金融機関にとって接続先である電子決済等代行業者との間でAPI接続に係るセキュリティをどのように効率的に確認するかが課題となっています。EYでは合意された手続（AUP）業務という調査手法をご提案します。

続きを読む一般データ保護規則（GDPR）コンプライアンス続きを読むBCP／BCM（事業継続計画／事業継続管理）関連サービスBCP（事業継続計画）とは、自然災害や新型コロナウイルス感染症（COVID-19）などの大規模なリスクが発生した場合に、損害を最小限にとどめつつ、主要な事業を継続していくために、あらかじめ緊急時の対応方針や手順を定めた計画のことをいいます。BCPの実効性を維持・向上していくためには、適切なBCM（事業継続管理）が重要です。EYは、各種ガイドラインやグローバルの豊富な知見に基づき、BCPの策定やBCM体制の構築を支援します。

続きを読む受託業務に係る内部統制の保証業務（SOCR） 外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書（保証業務実務指針3402/AT-C320に基づく報告書）をはじめ、Trustサービス（情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証）など、第三者機関としての報告業務（System and Organization Controls Reporting、以下SOCR）を提供します。

続きを読むマイナンバー法（番号法）コンプライアンス続きを読む受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに係る内部統制の保証業務（SOC2 / SOC2+）企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。

続きを読む 委託業務に係る内部統制の状況を把握し、その有効性の評価に資する保証報告書（保証業務実務指針3402/AT-C320、以下「保証実3402/AT-C320 」）をはじめ、Trustサービス（情報システムの信頼性などに係る規準）に係る保証報告書の発行など、EYは第三者機関としての報告サービス（SOCR）を提供します。

続きを読む ITの進歩、ビジネスの変遷を背景とする各国法規制の強化、個人のプライバシー意識に対する高まり等の環境変化を受け、データ保護、プライバシー対応は企業の優先課題であり、またグローバルな取り組みが必要となっています。EYは、グローバルネットワークやLawファームとも連携し、企業における態勢強化のための取り組みを支援します。

続きを読む 技術の急速な進歩は、サイバー脅威の指数関数的な増加と相まって、技術インフラへのリスクエクスポージャーを増大させています。近年では、サイバーセキュリティインシデントによって生産設備が停止し、ビジネスの継続が困難になる事象や、決算をつかさどるシステムが停止し、決算遅延やその他会計数値に直接的な影響を与えるような事象も複数発生しています。また、従業員や部外者による不正アクセスや不注意による情報漏えい等も依然としてビジネスにおける脅威となっています。

続きを読む 今後顕在化が見込まれるリスクを事前に識別し、それに対応するITプロセスとコントロール対応を事前に実施する必要があります。

続きを読む 新システム導入はビジネス成長機会が生まれる一方リスクも増加します。EYはシステム監査・アセスメントでリスク軽減を支援します。

続きを読む 企業各部署でDX対応が求められる中、社内にある大量のデータを分析して新たなビジネスの視座を獲得することは有効かつ効率的なDX対応となります。監査におけるデータ分析の経験をもとに各種のデータ分析を支援します。

続きを読む ITコンプライアンスと規制の保証業務では、急速に変化する法律、規制、専門的な基準を企業が理解し、準備し、適切な報告が行えるよう支援します。この保証業務を通して、企業がより持続的かつ効率的に、規制および業種（政府、ヘルスケア、金融サービスなど）固有のテクノロジーコンプライアンス要件に対処できるよう支援します。例えば、以下の要件の順守をサポートします。

続きを読む クラウドサービスベンダーを含む外部委託業者（受託会社）に対して、委託元（委託会社）の財務報告に資するため、委託会社の財務報告に影響する内部統制を評価し、SOC保証報告書として提供します。

続きを読む クラウドサービスベンダーを含む外部委託業者に対して、情報セキュリティに係る内部統制を評価し、SOC保証報告書として提供します。

続きを読む 政府情報システムのためのセキュリティ評価制度（Information system Security Management and Assessment Program: 以下、ISMAP：イスマップ）は、政府が求めるセキュリティ要求事項を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、よってクラウドサービスの円滑な導入に資することを目的とした制度です。EYはISMAP監査機関リストに登録された監査機関としてISMAP制度の初期から世界中のクラウドサービス事業者に対して、豊富な情報セキュリティ監査及び予備調査等の実績を有します。また、本制度のうち、リスクの小さな業務・情報の処理に用いるSaaS サービスを対象とする仕組みであるISMAP for Low-Impact Use: ISMAP-LIU：イスマップ エルアイユーついてもEYでは情報セキュリティ監査および予備調査が可能です。政府における調達府省庁等はISMAPクラウドサービスリストまたはISMAP-LIUクラウドサービスリストに掲載されているクラウドサービスの中から調達を行うことを原則としています。また、政府のみならず一般企業においてもクラウドサービスの利用は近年拡大傾向にあり、今後より多くの企業においてクラウドサービスの利用が一般化・浸透していくことが想定されます。以上のことからも、クラウドサービス事業者にとってISMAPに登録されることの重要性が増してくると予想されます。

続きを読む ISOマネジメントシステム認証、導入支援およびトレーニング業務は、ISO規格およびその他の確立された認証の枠組みに従って、マネジメントシステムの導入支援および認証業務を提供します。

続きを読む 近年のデジタルトランスフォーメーション（DX）の進展や、IoT機器の普及、サイバー犯罪の進化、テレワーク等の勤務環境の変化により、セキュリティリスクが高まっています。セキュリティリスクに対して十分な対応を行い、企業価値を維持するためには、セキュリティ対策状況についての現状の診断及び改善に向けた目標の設定と改善点の明確化を行うことが必要です。EYでは、サイバーセキュリティを含む監査実績を基に、監査目的に合致したクライテリアで評価を行い、課題の抽出及び具体的な改善案を提示します。また、EYのグローバルなネットワークを活用し、海外拠点に対する監査・診断も対象スコープに含めることで、グローバル全体での管理態勢の維持・向上に貢献します。

続きを読む セキュリティポリシーの策定は、企業や組織が情報セキュリティを保つための全体的な指針や方針を定める重要なプロセスです。セキュリティポリシーが存在しない場合、組織内の対応が一貫したものにならない。または、責任が明確にならず適切なセキュリティリスクへの対応が行われない可能性があります。また、企業や組織を取り巻くIT環境の変化やサイバー脅威の高まりによりセキュリティリスクは日々進化しております。これらの変化にセキュリティポリシーが対応できていない場合には、セキュリティ対策が陳腐化し、セキュリティリスクへの適切な対応ができない可能性が高まるため、定期的にセキュリティポリシーを見直し、適切なセキュリティ対策を維持することが重要です。

続きを読む 近年、企業や組織がデジタルトランスフォーメーション（DX）を推進する中、DX推進に不可欠なクラウドサービスの利用拡大の動きが加速しています。クラウドサービスは新規サービスの登場や機能追加等、変化が激しいため、利用する企業や組織にとっては膨大なクラウドサービスを安全に使いこなすための実践的な管理態勢構築の重要性が増してきています。クラウドサービスを安心・安全に利用するには、技術的なセキュリティ対策にとどまらず、コンプライアンスや法規制への対応等のガバナンスも含め、幅広い領域での検討が必要です。

続きを読む 現在、制御系システム（OT“オペレーショナルテクノロジー”）でサイバーセキュリティインシデントが多数発生しています。現在の製造業では、各サプライヤー、工場、外部委託先を含め、グローバルのサプライチェーン上で各種のコンピューターや機器が接続されています。これらの機器については、古い世代のOS（オペレーティングシステム）で稼働し、そこでの各種脆弱（ぜいじゃく）性をついた攻撃も増加し、それが原因で業務が停止し、大規模な経済的損失が発生しているケースが増えています。EYでは、制御系システムのセキュリティについてもリスク評価を実施してきた経験を生かし、OT領域のセキュリティ監査サービスを提供します。通常のセキュリティ監査は監査対象となる情報システムや機器を把握し各種標準（ISO27000シリーズやIEC62443）をもとに監査を進めますが、OTセキュリティではIPA等がガイダンスとして提示しているリスクシナリオベースに監査を進めることで、効果的、かつ効率的な監査サービスを提供することが可能となります。

続きを読む サイバー攻撃の増加・高度化、デジタルトランスフォーメーションやAIをはじめとする新興技術の進展、リモートワークの拡大や各国のセキュリティ関連の法規制の強化に伴い、情報漏えいやランサムウェア攻撃等のインシデントが経営へ与えるインパクトも深刻化しており、組織が直面するセキュリティ上の検討課題もテクノロジーにとどまらず、人・組織・プロセス等のあらゆる領域へ広がっています。このような中、効果的に組織のセキュリティ強化を図っていくためには、自組織における現状のCapabilityを可視化した上でセキュリティリスクを把握し、リスクの深刻度に応じた課題の優先順位付けを行い、限られた経営資源を重点的に優先度の高いセキュリティ施策へ投下していくことが必要不可欠です。

続きを読む EYはパブリックセクターにおける先駆者として、多くの公的機関に対して監査及び保証サービスを提供してきました。この豊富な経験と深い専門知識をベースに、情報セキュリティ評価や監査に係る包括的なサービスを展開しています。パブリック（公的機関）における情報セキュリティ対策では、「政府機関等のサイバーセキュリティ対策のための統一基準群（以下、政府統一基準群）」内閣サイバーセキュリティセンター:（NISC））の他、関連省庁のガイドラインを順守する必要があります。他方、各組織を取り巻く環境は日々変化しており、情報セキュリティに関するリスクは高まる一方です。EYでは、政府統一基準群や各省庁のガイドラインに定められる基本的な順守事項のみならず、各組織における情報の重要性や業務特性を理解した上で、リスクを適切に把握し、クライアントにとって最適な助言と支援を行います。

続きを読む サイバー空間をめぐる脅威は、日々高まりを見せ、その高度化は複雑さを増しています。それに伴い、監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」においてセキュリティに係る重要性がうたわれるようになり、日本公認会計士協会テクノロジー委員会研究文書報告第10号「サイバーセキュリティリスクへの監査人の対応（研究文書）」が公開される等、財務諸表監査でもサイバーセキュリティリスクへの対応が求められるようになりました。また、2024年4月1日から始まった事業年度から適用となる「財務報告に係る内部統制の評価及び監査に関する実施基準」（通称：J-SOX）の改訂においても「情報システムに係るセキュリティの確保が重要」と明記されています。これらを受け、企業や組織はサイバーセキュリティリスクに対応した内部統制の構築・運用が求められています。

続きを読む 企業が効率的・継続的に内部統制報告制度に対応するために、グループ会社を含む自社の財務報告に係る内部統制の構築及び評価範囲、文書化・評価項目、運営体制などの現状を診断の上、効率化・高度化をEYのプロフェッショナルが支援します。

続きを読む 企業のデジタル化の進展により、ERP導入、クラウド化、業務プロセスの自動化が進む中で、内部統制は複雑化し、新たなリスクへの対応が求められています。新技術を導入することによって顕在化したリスクに対し、EYの知見を使って、適切な内部統制の構築を提案します。

続きを読む ドイツ自動車工業会（以下、VDA）は、自動車サプライチェーンにおける情報セキュリティマネジメントシステム（以下、ISMS）の評価について、国際的に認められた統一アプローチを開発 し、確立しました。2016年以来、 European Network Exchange（以下、ENX） は Trusted Information Security Assessment Exchange （以下、 TISAX ） の統治機関として機能しており、VDAおよび審査機関と緊密に協力して、TISAXプロセスと運用基準をさらに開発しています。EYは、TISAXの正式な審査機関として承認された最初の審査法人です。それ以来、EYは自動車産業向けの中規模および大規模サプライヤーのTISAX評価の準備やTISAX審査法人としてサポートしてきました。ISMSの成熟度を相手先Original Equipment Manufacturing （以下、OEM）へ証明することは必須となっており、サプライヤーにとってビジネスに不可欠な基準になる可能性があります。2018年以降、TISAXは他国の自動車協会や他業界からも認められており、このアプローチのさらなる普及が予想されます。*ドイツのEYメンバーファームがTISAXの審査機関となります。

続きを読む 投資家、規制当局、そして社会全体が、特にESGの問題に関して、非財務パフォーマンスの透明性を高めることを求めています。各国・各地域におけるサステナビリティ制度開示（CSRD、SEC、有報、ISSBなど）に向けた対応でも、エネルギー消費量、温室効果ガス（GHG）排出量（スコープ1、2、3）、水使用量、廃棄物排出量、PRTR対象化学物質、ダイバーシティ・人的資本・労働安全衛生に関する指標などさまざまなサステナビリティ指標があります。当該指標の生成にはさまざまなITシステム、テクノロジーが利用されており、内部統制の構築・運用も必要となってきます。また、合理的保証に際しては、内部統制の評価も必要となってきます。

続きを読む AI技術の進展は企業にとって革新的な変革をもたらす一方で、新たなリスクやガバナンスの課題を引き起こします。私たちは、AIに関する内部統制を支援する専門家チームとして、企業がこれらの挑戦に対応し、信頼性の高いAIシステムを実現するためのサービスを提供しています。当社のアドバイザリーサービスは、AIのリスク管理、コンプライアンス、倫理的な使用を確保するための内部統制フレームワークの策定と実装をサポートします。

続きを読む 法的要求の変更と顧客の期待の増大とが相まって、企業の課題は増加の一途をたどっています。

続きを読む 日本の個人情報保護法に加えてEUの一般データ保護規則法（GDPR）などの海外のデータプライバシー関連法による法的要求の変更と顧客の期待の増大とが相まって、企業の課題は増加の一途をたどっています。 EYデータプロテクション ＆ プライバシーサービスは、組織がデータセキュリティとデータプライバシーの主要なサービスを最新の状態に保つだけでなく、絶えず進化する脅威環境や規制環境における規制に準拠するのを支援します。

続きを読む 金融機関によるオープンAPIは、電子決済等代行業者と連携した利便性の高い高度な金融サービスの提供を実現可能としました。一方で、金融機関にとって接続先である電子決済等代行業者との間でAPI接続に係るセキュリティをどのように効率的に確認するかが課題となっています。EYでは合意された手続（AUP）業務という調査手法をご提案します。

続きを読む 続きを読む BCP（事業継続計画）とは、自然災害や新型コロナウイルス感染症（COVID-19）などの大規模なリスクが発生した場合に、損害を最小限にとどめつつ、主要な事業を継続していくために、あらかじめ緊急時の対応方針や手順を定めた計画のことをいいます。BCPの実効性を維持・向上していくためには、適切なBCM（事業継続管理）が重要です。EYは、各種ガイドラインやグローバルの豊富な知見に基づき、BCPの策定やBCM体制の構築を支援します。

続きを読む 外部への委託業務に係る内部統制の状況を把握し、その有効性の評価に利用する報告書（保証業務実務指針3402/AT-C320に基づく報告書）をはじめ、Trustサービス（情報システムの信頼性や電子商取引の安全性などに係る内部統制についての保証）など、第三者機関としての報告業務（System and Organization Controls Reporting、以下SOCR）を提供します。

続きを読む 続きを読む 企業は、クラウドサービスをはじめとする外部のリソースを積極的に活用しなければ、厳しい競争環境に生き残れません。また、外部にサービスを提供する企業は、自らのサービスの適切さや有効性を外部に対して示す必要があります。こうした状況下、受託業務に係る内部統制の保証報告書のうちでも、特にセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーを扱うSOC2 / SOC2+報告書は、業務を委託する側と受託する側双方のニーズに対応するものとして、多くの企業に利用されています。

続きを読む さらに表示するPreviousNext 詳細をご希望の場合はお問い合わせください。

本ウェブサイトを運用する上で不可欠なクッキーに加え、利用者の利便性とEYのサービス向上のために、次の種類のクッキーを使用しています。機能性クッキー：利用者の操作性を向上させるために使用します（例：選択した設定の記憶）。パフォーマンスクッキー：ウェブサイトのパフォーマンスを測定し、利用者のサイト上での利便性を向上させるために使用します。広告／ターゲティングクッキー：広告キャンペーンを行う第三者の広告サービス提供者により設定されるもので、利用者に関連性の高いコンテンツを提供することができます。

ブラウザーの「トラッキング拒否」設定が有効になっていることを確認したため、広告／ターゲティングクッキーは自動的に無効化されます。

クッキーの使用への同意は、ウェブサイトの各ページ下部にある「リーガル & プライバシー」から、いつでも取り消すことができます。

詳細はEYのクッキーポリシー（cookie policy）をご覧ください。

クッキーのカスタマイズ

任意のクッキーを使用しない

Literally Mindblowing Gameplay. 15 to 20-minute intense playtime. Enter the arena, go three rounds against The Dealer, and walk away with the prize.

This site only collects related articles. Viewing the original, please copy and open the following link:テクノロジーリスク