筆者は、サイバーセキュリティリスクに対する内部監査のあり方について、次のように述べています。
取締役会は、サイバーセキュリティのリスクマネジメントが適切に設計され、効率的に実行されているかどうかを確認するために、内部監査活動の独立した客観的で有能なアシュアランスサービスを必要としています。
内部監査は、
①新しいサイバーセキュリティリスクと、適切に軽減されていないサイバーセキュリティリスクを経営陣に警告し、適切なリスク対応のための推奨事項を提供すること
②組織がサイバーセキュリティに対処するのを支援するために、情報技術とサイバーセキュリティのトレンドに関連する十分なリソース、知識、スキルおよび能力があることを確認すること
③サイバーセキュリティリスク対応の妥当性と適時性を評価すること
④サイバーセキュリティリスクの受け入れが組織のリスク選好/許容度に従っており、組織全体に伝達されているかどうか判断すること
が必要である。
