1

テストデータの受け渡しについて、業務委託元(B社通販課)における受領の確認を監査要点として回答。

表3項番2監査手続より以下の点を確認している。

B社通販課：P社へデータが渡されていない可能性

P社：B社通販課へ受領書を送付していない可能性

業務委託元の監査要点であるためB社通販課の観点で回答。

表3監査要点より以下の形式で回答する。

B社の通販課員は、～業務委託先で～を適切に確認しているか。

 

2

表1.テストデータ作成手順のB社通販課員「マスク処理が終了するとマスク処理結果票が作成される」より回答を導く。

 

3

業務委託先における情報セキュリティ教育の実施状況の確認を確実に立証するために、二つの資料を照合する追加的な監査手続きにおいて確認すべき事項を特定し回答。

①

表2項番1確認項目より全従業員がセキュリティ教育を実施していることを確認する。

②

表2項番1回答より着任時にセキュリティ教育を実施していることがわかる。

業務体制図：着任年月

教育実施記録：教育実施年月

以上より上記項目が一致していることを確認。

 

■補足

業務体制図には全従業員が記載されているため、着任年月と教育実施年月の不一致で全従業員の受講有無を確認することが可能であるように見受けられる。

しかし一致しているかのみの観点ではセキュリティ教育の未実施者は洗い出せないため実施有無の観点が必要である。

業務体制図 着任年月	教育実施記録 教育実施年月
2021年5月	2021年5月	正しい(3②)
2021年5月	NULL	セキュリティ教育未実施(3①)
2021年5月	2021年6月	着任年月の翌月に実施(着任年月後に実施)
2021年5月	2021年4月	着任年月の前月に実施(着任年月前に実施)
NULL	2021年5月	業務体制図に存在しないデータ

 

4

業務委託先の体制変更時期と監査資料の作成時期の相違を考慮して、監査資料の十分性について回答。

[予備調査の結果(抜粋)](3)

正社員の一部は毎年4月に異動/契約社員の一部も契約更改時に入れ替わる

表2項番1

12月時点の業務体制図及び12月時点の教育実施記録(添付資料)

以上より、4月に入れ替わった社員に対する記録があるかわからない点に着目し回答を導く。

 

5

[予備調査の結果(抜粋)](6)①

「〜情報セキュリティ確認書を〜年1回(12月)B社の各部署に提出することを定めている」

⇒業務委託先の再委託先などが変更された場合に、提出義務がない。

以上の点に着目し回答を導く。