内部監査はJIS Q 19011に沿って行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。

D:監査のチェック
 ここでは内部監査のチェック段階の質問を扱います。
【質問42
監査プログラムの監視とレビューについて教えてください。
【回答42
今までの説明でお分かりだと思いますが、ISO19011における「監査プログラム」と「監査計画」は異なるものです。監査プログラムは複数回の内部監査を対象にしていますが、監査計画は一回の内部監査を対象としています。年間に複数回内部監査を行う場合は、年間を通じて統一した考えで内部監査を行うことが望ましく、監査プログラムの必要性が出てきますが、中小企業などで年1回しか内部監査を行わない場合は、監査計画が監査プログラムとなります。
ISO19011箇条5.4.3 
注記 被監査者の組織構造又は活動によって,監査プログラムは単一の監査だけから成る場合もある(例えば,小さなプロジェクト又は組織)

 内部監査は、組織が日常の活動をそれぞれの部署が標準通りに業務推進しているかを確認する手段です。一般に業務の推進状況を監視する手段には、自己チェック、相互チェック、内部監査、マネジメントレビューなどがあります。
自己チェック、相互チェックは「日常管理」と呼ばれ、業務推進者及び管理監督者が自分達の業務推進が正しく行われているのかを自分たちで確認する手段です。マネジメントレビューは、組織マネジメント層が決められた間隔で事業方針、事業計画、実行計画などの実施状況を確認する方法です。
このように組織はいろいろな手段を使って日常業務の確認をしていますが、中でも有効であると言われているのが内部監査です。このように、内部監査だけが会社の業務確認の手段ではありませんが、内部監査に適切な実施手順を求めることは監査の効果性を高めます。
 物事を行うにはP、D、C、Aのステップに分けて考えることが良いと言われますが、内部監査もP、D、C、Aに沿って行うことをお奨めします。この「内部監査質問50選」第4回~第11回を要約すると次のようになります。

 Plan:監査プログラムの策定(内部監査の狙い、重点、目的など)
   ※小組織においては、監査プログラムは単一の監査だけから成る。
 D0:監査計画書の作成
  1.監査員と被監査者の相談で次項目を決める。
    ・監査の対象
     -監査する部署
     -監査する標準書
    ・監査チーム(リーダーとメンバー)
    ・被監査部署の窓口
    ・監査日時
    ・監査の時間割(初回会議、監査実施、最終会議など)
    ・内部監査報告書
    ・改善活動(フォローアップ活動) 
  2.内部監査の実施
   ①初回会議
   ②監査実施
    -観察する(文書の確認を含む)。
    -質問(インタビュー)する。
    -記録を確認する。
   ③最終会議
  3.内部監査報告書の作成

内部監査報告書を作成する段階で監査が監査プログラム通りに行われたかを確認します。もし行われていない事項があったなら、その事実を書きますが、この確認が「監査プログラムの監視」になります。  

 Check:改善事項の確認
   監査側と被監査側の双方の同意に基づいた改善事項のリストアップ
 Act: 改善活動(フォローアップ活動)

改善活動段階でも監査プログラムの確認をします。この確認が「監査プログラムの監視」になります。さらに、内部監査は経営者の指示によって行うものですから、改善も全社で取り組む必要があります。内部監査が一通り行われたこの段階で、監査責任者(監査プログラムをマネジメントする人)は「監査プログラムのレビュー」をします。

 < JIS Q 19011:2019の該当する部分>  下線は筆者が追加した。
5.6 監査プログラムの監視
監査プログラムをマネジメントする人は,次の事項の評価を確実にすることが望ましい。
 a) スケジュールを守り,監査プログラムの目的を達成しているかどうか。
 b) 監査チームメンバーのパフォーマンス。これには,監査チームのリーダー及び技術専門家を含む。
 c) 監査計画を履行する監査チームの能力
 d) 監査依頼者,被監査者,監査員,技術専門家,及びその他関係者からのフィードバック
 e) 監査プロセス全体における文書化した情報が十分であること及び妥当であること
監査プログラムの修正の必要性を示し得る,幾つかの要因がある。これらの要因には,次の事項に対する変更を含み得る。
- 監査所見
- 被監査者のマネジメントシステムの有効性及び成熟度の,実証されたレベル
- 監査プログラムの有効性
- 監査範囲又は監査プログラムの範囲
- 被監査者のマネジメントシステム
- 規格,及び被監査者である組織がコミットメントするその他の要求事項
- 外部提供者
- 特定した利害抵触
- 監査依頼者の要求事項

5.7 監査プログラムのレビュー及び改善
監査プログラムをマネジメントする人及び監査依頼者は,監査プログラムの目的を達成しているかどうかを評価するために,監査プログラムをレビューすることが望ましい。監査プログラムのレビューから得た知見は,プログラムの改善のインプットとして使用することが望ましい。
監査プログラムをマネジメントする人は,次の事項を確実にすることが望ましい。
- 監査プログラムの全体的な履行のレビュー
- 改善の領域及び改善の機会の特定
- 必要な場合,監査プログラムに対する変更の適用
7.6 に従った,監査員の専門能力の継続的開発のレビュー
- 監査プログラムの結果の報告,並びに適宜,監査依頼者及び関連する利害関係者とのレビュー

監査プログラムのレビューでは,次の事項を考慮することが望ましい。
a) 監査プログラムの監視の結果及びその傾向
b) 監査プログラムのプロセス及び関連する文書化した情報との適合
c) 関連する利害関係者から新たに出てきたニーズ及び期待
d) 監査プログラムの記録
e) 代わりの又は新規の監査方法
f) 代わりの又は新規の,監査員を評価する方法
g) 監査プログラムに付随する,リスク及び機会並びに内部及び外部の課題に対処する活動の有効性
h) 監査プログラムに関係する機密保持及び情報セキュリティ上の課題

(つづく)

ISO関連用語解説「19011とは」はこちらから