解説：2021年度IT監査リスクの課題認識に関する調査結果

例年通りIT監査の課題をトップ10でランキングしていますが、今年度もサイバー攻撃が1位という結果でした。個人情報保護やユーザーアクセスなども合わせてセキュリティリスクは引き続き高い結果となっており、新たな脅威の出現やビジネスのデジタル化などを背景にセキュリティ対策は引き続き大きな課題になっています。また、今回のサーベイは新型コロナウイルス感染症対策で事業や働き方に大きな影響が出ている中で実施されましたが、災害復旧やリモートワーク環境といった課題も入ってきています。ITに限らず企業のレジリエンス力強化が求められ、また在宅勤務を中心に効率的な業務を継続できるリモートワーク環境の整備が必要となっており、ITもニューノーマルへの対応が求められている状況が窺えます。

1. サイバー攻撃
2. 機密情報と個人情報保護
3. 法規制の遵守
4. ユーザーアクセス
5. セキュリティインシデント管理
6. 災害復旧
7. データガバナンス
8. 外部委託管理リスク
9. リモートワーク環境
10. 可用性リスク

今回のサーベイでは、DXの視点も取り組んで実施しています。日本に限らずグローバルでDX（デジタルトランスフォーメーション）が推進されていますが、このような新たな取り組みに関連したリスクに対しても、多くのIT監査人が関心を持っています。新型コロナウイルス感染症対策との関係も見て取れ、新しいリスクに対していかに迅速に対応するか、また監査としても価値の提供が期待されています。

（１）デジタル化がもたらすテクノロジーリスク

DXが進んでいる組織とそうでない組織において、IT課題の順位付けに大きな違いはありませんでしたが、DXが進んでいる組織の方が個々の課題の重要度が高いと捉えている傾向が見られました。より高度なテクノロジー（例えばAIなどを用いた自動化やIoT、人工知能、機械学習など）を組織やプロセスに組み込んでおり、広く活用されている一方で、DX環境はセキュリティと個人情報保護およびデータ活用に関するリスク値を引き上げ、リスクをより明確に把握して対応する必要があることを示しています。また、「クラウドに関する戦略と採用」を重要なテクノロジーリスクと捉えているかどうかという点で、DXが進んでいる組織では高い関心が示されています。

（２）動的リスク評価への進化

多くの組織が監査計画の段階でテクノロジーリスクを特定・評価しています。ただし、DXが進んでいる組織では、IT監査のリスク評価の実施頻度が高く、月次以上の頻度で定期的に実施している傾向が見られます。より動的かつ頻繁にテクノロジーリスクを特定して評価することで、リアルタイムに近いリスクの識別が可能になり、急速に進化するリスクに対して迅速に対応できるようになります。これは動的リスク評価の特徴です。新型コロナウイルス感染症の世界的大流行やDX推進により、ビジネス環境は急激に変化しており、動的なリスク評価のアプローチが不可欠と言えます。

サーベイ結果本編では、デジタル成熟度に応じたテクノロジーリスクに対する認識の違いや、業種別・地域別といった切り口でサーベイ結果が取り纏められています。2021年のIT監査テーマ選定の一助としてご活用ください。
サーベイ結果レポート本編（英語）はこちら＞ 

（特集記事：メールマガジン2021年1月号）