044-246-0910
内部監査はJIS Q 19011に沿って行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。
C:監査の実施
ここでは内部監査の実施段階の質問を扱います。
【質問34】
監査においてはサンプリングが大切であると教わりましたが、詳しく教えてください。
【回答34】
サンプリングとは、調査をしたい総ての対象からいくつかの標本(試料)を抜き出すことをいい、日本語では「標本抽出」と表現されます。ほとんどの調査は、調査したい対象が膨大な数に上ることから、効率よく調査をするために全体の中から代表的なものを選んで調査をします。その代表的なものの結果を全体の調査の結果とします。もし抽出した標本が全体を代表していなかった場合、その調査結果は正しいとは言えなくなってしまいます。総てを調査する代わりに少数の標本調査で済まそうとしますから、当然のこととしてそこにはある確率で誤りが含まれると考えなければなりません。それでもサンプリングが世の中で重宝されるのは、調査する時間が少なくて済むからです。時間が少なくて済む代わりに正しさが損なわれるという関係があると考えると良いでしょう。では 時間が少なくて済み、かつできるだけ正しい結果が得られるという方法は無いのでしょうか。そこで考え出されたのがサンプリングの仕方を工夫して、全体を代表する標本を抜き取る方法です。
1.ランダムサンプリング
ランダムサンプリングにおいては、調査対象に混じっているいろいろな要素は同じような分布(一様な混じりかた)の状態であると考えます。もし一様でないと考えられる場合は、工夫をして混じりかたにバラツキが無いようにします。例えば、化学調味料を食卓で使う時に、容器を振って中にある油分を上、中、下に同量存在させるなどはその例になります。
この分布を一律にする工夫をした後、標本を無作為(何の考えもなく)に選ぶ方法がランダムサンプリングです。
内部監査の例としては、工場へ行って検査職場にある部品の品質項目を観察(寸法を測る)するような場合、保管されている検査前部品箱から目についた部品を2,3個選ぶような場面が想定されます。
2.意図のあるサンプリング
何らかの意図をもって内部監査する場合に適用します。ISO19011:2018ではA.6.2「判断に基づくサンプリング」と表題にある個所の説明がこれに当たります。
内部監査の例としては、多くある記録から今年は「訓練の実施記録」をサンプリングしようと予め意図を持って内部監査に臨み、監査員はその考えに沿って確認すべき記録を抽出します。このような状況の背景びは、ここ数年社内教育に手が抜かれているという情報があり監査責任者から教育訓練の実態をチェックするように指示があったというようなことが想定されます。
< JIS Q 19011:2019の該当する部分>
A.6 サンプリング
A.6.1 一般
監査サンプリングは,監査において全ての利用可能な情報を調査するのが現実的ではない場合,又は費用対効果が高くない場合,例えば,記録が,母集団内の全ての対象項目の調査を正当化するにはあまりに膨大であったり,地理的にあまりに分散していたりする場合に行う。大きな母集団からの監査サンプリングは,母集団のある種の特性について証拠を得て評価するために,利用可能なデータセット全体(母集団)の中から,対象項目の100 %未満の項目を選択するプロセスである。これは,その母集団に関する結論を形成するためである。
監査サンプリングの目的は,監査員に,監査目的を達成できる又は達成するであろうという確信をもてる情報を提供することである。
サンプリングに付随するリスクは,サンプルがその選択元である母集団を代表していない場合があることである。その結果,監査員の結論が偏り,母集団の全てを調査した際に達するであろう結論とは異なる場合がある。他のリスクがある場合としては,サンプルする母集団におけるばらつき及び選択したサンプリング方法によるものがある。
監査サンプリングは一般的に次のステップを含む。
a) サンプリングの目的を確立する。
b) サンプルする母集団の範囲及び構成を選択する。
c) サンプリング方法を選択する。
d) 採取するサンプルサイズを決定する。
e) サンプリング活動を行う。
f) 結果をまとめ,評価,報告及び文書化する。
サンプリングするとき,利用可能なデータの品質を考慮することが望ましい。これは,サンプリングのデータが不十分で不正確だと,有用な結果とならないからである。適切なサンプルの選択は,サンプリング方法及び求められるデータのタイプの両方に基づくことが望ましい。例えば,母集団全体にわたって,特定の振舞いのパターンを推測するため,又は全体にわたる推測を引き出すためである。
選択したサンプルについての報告は,そのサンプルサイズ,選択の方法,並びにサンプルに基づいた推定及びその信頼水準を考慮に入れ得るであろう。
監査は,判断に基づくサンプリング(A.6.2 参照)又は統計的サンプリング(A.6.3 参照)のいずれかを使うことができる。
A.6.2 判断に基づくサンプリング
判断に基づくサンプリングは,監査チームの力量及び経験に依存する(箇条7 参照)。
判断に基づくサンプリングに対して,次の事項を考慮し得る。
a) 監査範囲内の前回までの監査経験
b) 監査目的を達成するための要求事項(法令・規制要求事項を含む。)の複雑さ
c) 組織のプロセス及びマネジメントシステム要素の複雑さ及び相互作用
d) 技術,人的要因又はマネジメントシステムの変化の度合い
e) 以前に特定された重要なリスク及び改善の機会
f) マネジメントシステムの監視からのアウトプット
判断に基づくサンプリングの欠点は,監査の所見及びその達した結論における,不確かさの影響に関する統計的な推定が存在し得ないことである。
A.6.3 統計的サンプリング
統計的サンプリングを使うことに決めるならば,サンプリング計画は,監査目的,及びサンプル採取対象の母集団の全体としての特性に関して知られていることに基づくことが望ましい。
統計的サンプリングの設計には,確率論に基づいたサンプル選択プロセスを使う。属性に基づくサンプリングを使うのは,各サンプルに対するサンプル結果に二つの可能性(例えば,正か誤,合か否)しかない場合である。変数に基づくサンプリングを使うのは,サンプル結果がある連続した範囲において発生する場合である。
サンプリング計画は,調査される結果が属性に基づくものになりやすいか,変数に基づくものになりやすいかを考慮に入れることが望ましい。例えば,手順の中で設定された要求事項に対して,記入済みの書式の適合性を評価する場合は,属性に基づくアプローチを使い得るであろう。食品安全に関するインシデントの発生又はセキュリティの漏えい(洩)の数を調査する場合は,変数に基づくアプローチがより適切となりやすいだろう。
監査サンプリング計画に影響を及ぼし得る要素は,次の事項である。
a) 組織の状況,規模,性質及び複雑さ
b) 力量のある監査員の数
c) 監査の頻度
d) 個々の監査の工数
e) 外部から求められる信頼水準
f) 望ましくない及び/又は予期しない事象の発生
統計的サンプリング計画を策定する場合,どのレベルのサンプリングリスクならば監査員が受容しようとするかは,重要な考慮事項である。これは,受容可能な信頼水準と呼ばれることが多い。例えば,5 %のサンプリングリスクは95 %の受容可能な信頼水準に相当する。5 %のサンプリングリスクは,次のようなリスクならば監査員が受容することを意味する。“調査したサンプルの100 のうち5(又は20 のうち1)は,全体の母集団を調査すれば見られる実際の値を反映していない”というリスク。
統計的サンプリングを使う場合,監査員は実施した作業を適切に文書化することが望ましい。これには,サンプルすることを意図した母集団に関する記述,評価に使用したサンプリング基準(例えば,受容可能なサンプルとは何か),利用した統計的指標及び方法,評価したサンプルの数並びに取得した結果を含むことが望ましい。
(次号へつづく)
ISO関連用語解説「19011とは」はこちらから