2019年にJIS Q 19011が発行されましたが、認証審査においてはこのJIS Q 19011に沿って内部監査を行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。なお、以下の文中ではJIS Q 19011:2019をISO19011:2018と表記しているところがあります(JIS Q 19011:2019はISO19011:2018の翻訳規格)。

B:内部監査の計画
ここでは内部監査の計画段階の質問を扱います。
【質問10:質問9と同じ】
前のISO19011:2011版には「リスク」の概念はありませんでした。今回のISO19011:2018版に導入されたリスクの背景、意味、ユーザのメリットについて教えてください。

【回答10】

今回の回答は、前回と同じ質問(質問9)に対するものですが、そのpart2として、リスクの意味(定義)を取り上げて回答したいと思います。
ISO19011:2018箇条3.19には、リスクは「不確かさの影響」として、共通テキスト(附属書L)と同じ定義がされています。
過去と違って、現在から将来に対しては、ものごと総てにおいて「何が起こるか分からない」ということがこの世の中の習いです。
「有為転変(ういてんぺん)は世の習い」とよく言いますが、これはものごとが激しく移り変わることは世の中にとって普通であることを意味しています。この場合の「習い」は「学ぶ、勉強する」の意味ではなく、「世の常、世間一般」を意味しています。

内部監査においても、監査員として準備万端どこを見ても抜けているところは無い、と思っても、いざ実際の場面になったときに勘違い、間違いなどが起きることは予測しておかなければなりません。被監査部署においても同様で、日常の仕事に問題が起こることは誰しも経験していることだと思います。大切なことは、そのような間違いをできるだけ少なくすると同時に、もし起きた時にどんな対応をすべきかを事前に考えておくことだと思います。
リスクの定義には注記があり「影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離することをいう」と説明されています。「何が起こるか分からない」ことからの影響の中には、思ってもみなかった好ましいこと(得になること、良いと思われること)もあり得るとしていますが、リスクは従来「好ましくないこと」に使用されてきましたので、好ましい影響があることは、内部監査では考えなくてよいと思います。

回答のまとめです。
リスクは「不確かさの影響」と定義されていますが、内部監査においてはあまり定義にとらわれず、次の2つの意味としてとらえるとよいと思います。
① 内部監査の計画、監査場所の決定、監査する対象の抜き取りの仕方、監査員の力量などには、事前にチェックしてても万全でない場合がある(抜け、勘違い、間違いなど)。
② 被監査部署には多くの場面において、人による勘違い、機械の故障、材料の間違い、仕事の手順、計画、指示など、これまた万全でない場合がある(抜け、勘違い、間違いなど)。

「JIS Q 19011:2019の該当する部分」
3.19リスク
不確かさの影響。
注記 1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離することをいう。

注記 2 不確かさとは,事象,その結果及びその起こりやすさに関する,情報,理解又は知識に,たとえ部分的にでも不備がある状態をいう。
注記 3 リスクは,起こり得る事象(JIS Q 0073:2010 の 3.5.1.3 の定義を参照。)及び結果(JIS Q 0073:2010 の 3.6.1.3 の定義を参照。),又はこれらの組合せについて述べることによって,その特徴を示すことが多い。

注記 4 リスクは,ある事象(その周辺状況の変化を含む。)の結果とその発生の起こりやすさ(JIS Q 0073:2010 の 3.6.1.1 の定義を参照。)との組合せとして表現されることが多い。(出典:JIS Q 9000:2015 の 3.7.9 を変更。注記 5 及び注記 6 を削除した。)

(次号へつづく)

ISO関連用語解説「19011とは」はこちらから