044-246-0910
内部監査はJIS Q 19011に沿って行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。
C:監査の実施
ここでは内部監査の実施段階の質問を扱います。
【質問40】
ISO19011には、監査結論という言葉が出てきますが、どのようなものか教えてください。
【回答40】
「監査結論」の定義はISO19011に次のとおり書かれています。
3.11
監査結論(audit conclusion)
監査目的及び全ての監査所見を考慮した上での,監査の結論。
中学校の頃でしょうか、我々は文書を作成するときには「起承転結」が大切であると教えられました。監査報告書を作成するときもこの起承転結を念頭に報告書全体を構成すると良いと思います。
起:監査目的を書きます。:内部監査の目的は何回も申し上げてきましたが組織のシステムの改善にあります。このことを前提にして監査の重点がどこにあるかを書きます。
承:内部監査の目的はシステムの改善にありますが、改善をしようとするときに、改善のネタにぶつかります。それが不適合ですが、要求事項であるルールそのものが守られていないのですから、まずはこの状態を直さなければなりません。被監査者が不適合であると同意することも必須ですので、そのステップを書きます。また、不適合でなくても、改善に向けての観察事項は大切ですので、その取り扱いについても書きましょう。すなわち、今回の監査の実施の仕方、監査計画のあらましを書きます。
転:監査計画に従って行った監査内容、すなわち監査所見(audit finding)を書きます。所見の英語はfinding(発見)ですが、監査において発見したことを書きます。次の2つに分類して書くと良いと思います。
・不適合
・観察事項
結:今回の監査の結論を書きます。すなわち、今回の質問である「監査結論」を書くことになります。
記述の内容は次のようなことが推奨されます。
・マネジメントシステムの実施,維持及び改善について
-監査所見からいえること
・マネジメントシステムの有効性
-システムが今後も有効であるための施策など
・リスクの特定
-今のままだとどんなマイナス事象が起きるか
< JIS Q 19011:2019の該当する部分> 下線は筆者が追加した。
6.4.9 監査結論の決定
6.4.9.1 最終会議の準備
監査チームは,最終会議に先立って,次の事項を行うために打ち合せることが望ましい。
a) 監査所見及び監査中に収集したその他の適切な情報を,監査目的に照らしてレビューする。
b) 監査プロセスに内在する不確かさを考慮に入れた上で,監査結論について合意する。
c) 監査計画で規定している場合には,提言を作成する。
d) 該当する場合には,監査のフォローアップについて協議する。
6.4.9.2 監査結論の内容
監査結論では,次のような課題に対処することが望ましい。
a) マネジメントシステムの監査基準への適合の程度及びマネジメントシステムの堅ろう(牢)さ。これには,意図した成果を満たすことにおけるマネジメントシステムの有効性,リスクの特定,及び被監査者がリスクに対処するためにとった処置の有効性を含む。
b) マネジメントシステムの有効な,実施,維持及び改善
c) 監査目的の達成,監査範囲の網羅及び監査基準を満たすこと
d) 傾向を特定する目的に役立つ,類似の所見。これらには,異なる領域における監査から得られたもの,又は合同監査若しくは前回までの監査から得られたものがある。
監査計画に規定している場合には,監査結論を,改善のための提言又は今後の監査活動につなげることができる。
6.4.10 最終会議の実施
最終会議は,監査所見及び監査結論を提示するために開催することが望ましい。
最終会議は,監査チームリーダーが議長を務め,被監査者の管理層が出席し,さらに,該当する場合,次の者を含むことが望ましい。
- 監査を受けた機能又はプロセスの責任者
- 監査依頼者
- 監査チームのリーダー以外のメンバー
- 監査依頼者及び/又は被監査者が決定する,その他の関連する利害関係者
該当する場合,監査チームリーダーは,監査結論に付与し得る信頼性を低下させるかもしれない,監査中に遭遇した状況について,被監査者に知らせることが望ましい。マネジメントシステムに定められているか,又は監査依頼者との合意がある場合,参加者は,監査所見に対処するための処置の計画の期限について合意することが望ましい。
最終会議の詳細さの程度は,被監査者の目的(又は目標)を達成するためにマネジメントシステムの有効性を考慮に入れることが望ましい。これには,被監査者の状況並びにリスク及び機会の考慮を含む。
被監査者の監査プロセスに関する精通度もまた,最終会議において考慮に入れることが望ましい。これは,最終会議を適正なレベルの詳細さで参加者へ提供することを確実にするためである。
監査の位置づけによっては,最終会議が正式なものとなり得る場合がある。その場合には,出席者の記録を含めて議事録を残すことが望ましい。正式なものとしない場合には,例えば内部監査では,最終会議は,より非公式で,単に監査所見及び監査結論を伝えるだけのものになり得る。
該当する場合には,最終会議では,次の事項を被監査者に説明することが望ましい。
a) 収集した監査証拠は入手可能な情報のサンプルに基づいたものであり,必ずしも,被監査者のプロセスの全体的有効性を完全に表すものではないことを伝える。
b) 報告の方法
c) 合意したプロセスに基づいて,監査所見にどのように対処するのが望ましいか
d) 監査所見に適切に対処しなかった場合に起こり得る結果
e) 監査所見及び監査結論の提示。被監査者の管理層が理解し,認知する方法で行う。
f) 関係する監査後のあらゆる活動(例えば,是正処置の実施及びレビュー,監査に関する苦情への対処,異議申立てのプロセス)
監査所見又は監査結論に関して,監査チームと被監査者との間に意見の相違があれば,協議し,可能であれば,それを解決することが望ましい。解決できなかったならば,これを記録に残すことが望ましい。
監査目的で規定している場合は,改善の機会についての提言をしてもよい。提言には,拘束力がないことを強調しておくことが望ましい。
6.5 監査報告書の作成及び配付
6.5.1 監査報告書の作成
監査チームリーダーは,監査プログラムに従って監査結論を報告することが望ましい。監査報告書は,完全で,正確,簡潔かつ明確な監査の記録を提供することが望ましく,次に示す事項を含むか,又はその事項の参照先を示すことが望ましい。
a) 監査目的
b) 監査範囲,特に,監査を受けた組織(被監査者)及びその機能又はプロセスの特定
c) 監査依頼者の特定
d) 監査チーム及び被監査者の監査参加者の特定
e) 監査活動を行った日時及び場所
f) 監査基準
g) 監査所見及び関連する証拠
h) 監査結論
i) 監査基準が満たされた程度に関する記述
j) 監査チームと被監査者との間で未解決の意見の相違
k) 監査とは,本質的にサンプリング作業であるということ。したがって,調査した監査証拠が代表的なものではないというリスクが存在する。
監査報告書には,適宜,次の事項を含めるか,又はその事項の参照先を示すことができる。
- タイムスケジュールを含む監査計画
- 監査プロセスの要約。これには,監査結論の信頼性を低下させるかもしれない,監査中に遭遇した障害を含む。
- 監査計画に従って監査範囲内で監査目的を達成したことの確認
- 監査範囲内で監査しなかった領域。これには,証拠の利用可能性,資源又は機密保持に関するあらゆる課題を,関係する根拠とともに含める。
- 監査結論及びそれを裏付ける主要な監査所見を含む概要
- 特定された優れた実践事例
- 存在する場合は,合意した処置の計画のフォローアップ
- 内容の機密性に関する記述
- 監査プログラム又はその後の監査に対する影響
(つづく)
ISO関連用語解説「19011とは」はこちらから