044-246-0910
内部監査はJIS Q 19011に沿って行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。
C:監査の実施
ここでは内部監査の実施段階の質問を扱います。
【質問32】
監査における文書レビューについてポイントを教えてください。
【回答32】
文書は「日常管理」において常に最新化されているべきものですが、多くの組織の実態は数年前に規定された文書がそのままにされている状態にあります。内部監査は、組織が日常の活動がそれぞれの部署で標準通り推進されているかを確認する手段です。したがって、業務の基準となるべき文書が最新化されていることが最低限必要な条件になります。もし、最新化されていない状態であるならば、内部監査をする前に直さなければなりません。これが文書レビューの目的になります。
理屈はその通りなのですが、この文書を最新化することは並大抵な努力ではできません。多くの組織がチャレンジしながら結局中途半端に終わっているのは、文書を最新化するハードルが高いからです。
そのハードルを上げてみましょう。
(1)文書の数が多い。場合によっては幾つあるか分からない。
(2)文書が検索できない。
(3)何を文書に書くのか決まっていない。
(4)誰が最新化するか決まっていない。
文書レビューのポイントはこの(1)~(4)を解決することになります。下記がその解決の仕方になります。
(1)組織にあるすべての文書を棚卸する。次に必要なものと必要でないものとを分ける。
必要でないものを廃棄する。
(2)全文書検索の方法を適用する。
(3)何をどこまで文書に規定するか決める。
(4)責任者を決める。
< JIS Q 19011:2019の該当する部分>(下線は筆者が追加)
6.3 監査活動の準備
6.3.1 文書化した情報のレビューの実施
次の事項のために,関連する被監査者のマネジメントシステムの文書化した情報をレビューすることが望ましい。
- 被監査者の運用を理解し,監査活動の準備をするための情報,及び適用される監査作業文書(6.3.4 参照),例えばプロセス,機能などに関する監査作業文書を集める。
- 監査基準への適合の可能性を決定し,不備,脱落,不一致などのような潜在的な懸念領域を検出するために,文書化した情報の範囲の全体像を確立する。
文書化した情報には,マネジメントシステム文書及び記録,並びに前回までの監査報告を含めることが望ましいが,これらに限定されない。レビューでは,被監査者の組織の規模,性質,複雑さ,並びに関連するリスク及び機会を含む,組織の状況を考慮に入れることが望ましい。また,監査範囲,監査基準及び監査目的も考慮に入れることが望ましい。
注記 どのように情報を検証するかについての手引をA.5 に示す。
A.5 情報の検証
実行可能である限り,監査員は,情報が,要求事項を満たしていることを実証するのに十分な客観的証拠を提供するものであるかどうか,例えば,次の事項を考慮することが望ましい。
a) 完全である(全ての期待される内容が文書化した情報に含まれている。)。
b) 適正である(内容が規格及び規制のような他の信頼できる情報源に適合している。)。
c) 一貫している(文書化した情報が,それ自体で一貫している,及び関係する文書との一貫性がある。)。
d) 現行のものである(内容が更新されている)。
検証中の情報が,要求事項を満たしていることを実証するのに十分な客観的証拠を提供するものであるかどうかも考慮することが望ましい。
情報が,予期したものと異なる方法で(例えば,異なる人々,代わりの媒体によって)提供されるならば,その証拠についての完全性を評価することが望ましい。
特別な注意が情報セキュリティに対して必要となるのは,データ(特に情報として,監査範囲外におかれているが,文書に含まれもしている)の保護に関する適用可能な規制によるものである。
(次号へつづく)
ISO関連用語解説「19011とは」はこちらから