044-246-0910
2019年にJIS Q 19011が発行されましたが、認証審査においてはこのJIS Q 19011に沿って内部監査を行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。なお、以下の文中ではJIS Q 19011:2019をISO19011:2018と表記しているところがあります(JIS Q 19011:2019はISO19011:2018の翻訳規格)。
B:内部監査の計画
ここでは内部監査の計画段階の質問を扱います。
【質問4】
監査基準とは何でしょうか?
【回答4】
監査基準とは、読んで字のごとく、内部監査の基準となる客観的なものを言います。内部監査を計画する際に、最初に確認しなければならない事項です。内部監査が何に基づいて行われるべきかは誰しも確認し、理解しておかなければなりません。自分の考えに相当自信のある人でも「俺の考えに基づいて監査する」と考える人はいないでしょう。
日常行う仕事にはいろいろなルールがあります。多くの人が一緒に働く職場では一人ひとりが勝手に仕事をするわけにはいきません。このルールを手順と呼び、それが文書になったものを手順書と呼んでいます。この手順書には、作業をする人に要求することが書かれていることから、書かれている内容は「要求事項」と呼ばれています。内部監査は、この要求事項の通りに被監査部署の人たちが作業をしているかをチェックすることが基本です。会社の方針であったり、部課長の方針であったり、職場の目標なども監査基準になります。
しかし、要求事項は組織が決めたことだけではありません。お客様との約束であったり、業界などが決めた指針、ガイドであったり、法律に書かれている規制であったり、組織が同意した国際的、国内的要求事項など多岐にわたります。何をどこまで内部監査における要求事項とするかは、組織が自ら決めることです。
このように多くの要求事項が組織を「がんじがらめ」にしている状況において、内部監査で何をどこまで見るのかということは、組織の中でよく検討されなければなりません。あれもこれも内部監査でみることは、理屈上は正しくても、現実には中途半端な内部監査になってしまい、経営者の期待する組織の実態を「見える化」することは難しくなります。内部監査は経営者に代わってチェックすることであると言われますが、経営者の内部監査への期待を把握しておくことが必要です。
例えば、組織全体のガバナンスに関してのチェックは内部監査によってではなく、内部統制監査で行うという組織があります。全社をカバーしたそれなりの仕組みでガバナンスをチェックする部署が存在する組織では、例えば、本社の法務室、内部統制室、その他コーポレートガバナンス部署などが、組織のリスク管理の視点から、いろいろな手法を駆使してカンパニーリスクを中心にチェックをしています。
内部監査は、Q(品質)、E(環境)、S(安全)、I(情報)などの実態をチェックし、悪いところを改善することを主に監査することがよいと思います。できれば年間を通じてすべての部署を決められたテーマ(要求事項)に基づいて監査することが推奨されます。今までの説明でお分かりだと思いますが、監査基準は監査のテーマにより決まってくることになります。
JIS Q 19011:2019の該当する部分(抜粋、赤字は筆者追加)
箇条3.7
客観的証拠と比較する基準として用いる一連の要求事項。
注記 1 監査基準が法的(法令・規制を含む。)要求事項である場合,監査所見において“順守”又は“不順守”の用語がしばしば用いられる。
注記 2 要求事項には,方針,手順,作業指示,法的要求事項,契約上の義務などを含んでもよい。」
箇条5.5.2 個々の監査の目的,範囲及び基準の定義
個々の監査は,定められた監査の目的,範囲及び基準に基づくことが望ましい。これらは,全体的な監査プログラムの目的と整合していることが望ましい。 監査目的は,その個々の監査で何を達成するのかを定めるものであり,次の事項を含めてよい。
a) 監査の対象となるマネジメントシステム又はその一部の,監査基準への適合の程度の決定
監査基準は,適合性を決定する基準として用いられる。これには,次の事項の一つ又は複数を含めてよ い。適用される方針,プロセス,手順,目的(又は目標)を含むパフォーマンス基準,法令・規制要求事項,マネジメントシステムの要求事項,被監査者が決定した状況並びにリスク及び機会に関する情報(関連する外部・内部利害関係者の要求事項を含む。),業界の行動規範又はその他の計画された取決め事項。
(次号へつづく)
ISO関連用語解説「19011とは」はこちらから