2019年にJIS Q 19011が発行されましたが、認証審査においてはこのJIS Q 19011に沿って内部監査を行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。なお、以下の文中ではJIS Q 19011:2019をISO19011:2018と表記しているところがあります(JIS Q 19011:2019はISO19011:2018の翻訳規格)。

B:内部監査の計画
ここでは内部監査の計画段階の質問を扱います。
【質問11:質問9と同じ】
前のISO19011:2011版には「リスク」の概念はありませんでした。今回のISO19011:2018版に導入されたリスクの背景、意味、ユーザのメリットについて教えてください。

【回答11】
今回の回答は、前回と同じ質問(質問9)に対するものです。part3として、ユーザから見てリスクの概念を導入するメリットを取り上げて回答したいと思います。
リスクの概念を内部監査に導入することのメリットは、内供監査を効果的、効率的に実施することにあります。
具体的には以下のようなことに関して失敗しない、二度手間をかけないことにつながります。

a) 計画の策定
監査計画の作成においては、監査の目的が明確にされないリスクがあります。このような場合、目的を見失っての形式的な内部監査になってしまい、改善につながらない監査を行う羽目になります。これはリスクというより課題であるというべきかもしれません。リスクは何が起こるか分からない中での対応ですが、監査の目的を組織内に明確にすることは、すでに課題として目の前にあるからです。b)以降を含め「リスク」は「課題(解決しなければならない問題)」とオーバーラップしています。
監査の目的が明確でないと、計画の策定即ち、監査範囲,回数,期間,場所及びスケジュールなどについても、適切な決定が出来なくなってしまいます。

b) 資源
内部監査に十分な資源をかけないリスクがあります。内部監査員の教育訓練、監査プログラムの策定、監査の実施時間などに経営資源を十分に投入することが効果的、効率的監査につながります。

c) 監査チームの選定
内部監査員の教育訓練にも関係しますが、監査チームの選定が適切でないリスクがあります。特に監査チームを統率するチームリーダーの選定は重要です。チームリーダーは監査の経験があり、組織全体のパフォーマンス向上のために監査のやり方を工夫できる力量を必要とします。

d) コミュニケーション
被監査部署と有効なコミュニケーションを取ることが監査成功のキーです。監査員と被監査部署とは、共通の課題を認識するための工夫が求められます。

e) 実施
「監査プログラム」又は「監査計画」が十分に調整されないため内部監査が有効に実施されない、情報セキュリティ及び機密保持が考慮されていないため外部に情報が漏洩する可能性があります。 また、サンプリングしたエビデンスが十分な証拠力を持っていないリスクもあります。

f) 文書化した情報の管理
内部監査で確認する文書、記録などが監査目的に対して適切なものでないリスクがあります。サンプリングが偏っている、場合によっては最新化された文書でないリスクがあります。

g) 監査プログラムの監視,レビュー及び改善
「監査プログラム」で狙った成果が有効に達成できたかが十分に監視されないリスクがあります。

回答のまとめです。
リスクは「不確かさの影響」と定義されていますが、内部監査においてはあまり定義にとらわれず、次の2つの意味にとらえると良いと思います。
1. 内部監査の計画、監査場所の決定、監査する対象の抜き取りの仕方、監査員の力量などについて、事前チェックが万全でなく (抜け、勘違い、間違いなど)、有効な内部監査にならないリスクがあります。
2. 被監査部署においては、人による勘違い、機械の故障、材料の間違い、仕事の手順、計画、指示など、予期しない問題が発生するリスクがあります。

「JIS Q 19011:2019の該当する部分」 (抜粋) 
3.19リスク
不確かさの影響。
注記 1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離することをいう。

注記 2 不確かさとは,事象,その結果及びその起こりやすさに関する,情報,理解又は知識に,たとえ部分的にでも不備がある状態をいう。

注記 3 リスクは,起こり得る事象(JIS Q 0073:2010 の 3.5.1.3 の定義を参照。)及び結果(JIS Q 0073:2010 の 3.6.1.3 の定義を参照。),又はこれらの組合せについて述べることによって,その特徴を示すことが多い。

注記 4 リスクは,ある事象(その周辺状況の変化を含む。)の結果とその発生の起こりやすさ(JIS Q 0073:2010 の 3.6.1.1 の定義を参照。)との組合せとして表現されることが多い。(出典:JIS Q 9000:2015 の 3.7.9 を変更。注記 5 及び注記 6 を削除した。)

(次号へつづく)

ISO関連用語解説「19011とは」はこちらから