2019年にJIS Q 19011が発行されましたが、認証審査においてはこのJIS Q 19011に沿って内部監査を行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。なお、以下の文中ではJIS Q 19011:2019をISO19011:2018と表記しているところがあります(JIS Q 19011:2019はISO19011:2018の翻訳規格)。 

B:内部監査の計画
ここでは内部監査の計画段階の質問を扱います。
【質問6】
「監査プログラム」について教えてください。

【回答6】
JIS Q 19011:2019には、内部監査の計画に関する用語が2つあります。「監査プログラム」と「監査計画」です。前者は組織が決めた期間(通常1年間)における複数以上の内部監査の計画、取り決めを意味しています。後者は1回の内部監査の計画を意味しています。小規模の組織では年間1回の内部監査が監査プログラムになることもありますが、2つの用語の概念は異なりますので注意が必要です。今回は監査プログラムを説明し、次回監査計画を説明することにします。

組織が自分たちのマネジメントシステムの状況を確認し、弱いところ即ち要求事項に合っていないところ、或いは全く要求事項が実施されていないところなどを探し出し、問題として表面化し噴出しない内に未然防止するには、それなりの作戦が必要です。内部監査で確認したいことは沢山ありますので、重点志向で全社の内部監査の計画を立てることが求められます。例えば、次のような観点から内部監査の対象の優先順位を決めます。

・今問題になっていること。例えば、市場クレーム、廃棄物の不法投棄、重篤災害の発生、重要情報の社外流出など。
・過去2,3年の間に問題になったこと。
・社内的に問題視されていること。
・社会が企業組織にも求めていること。
・新しく制定されたり、修正或いは変更された法的要求事項のこと。
・慢性的に問題であると社内で認識されていること。
・組織の重点方針として決められたこと、など。

今回の回答のまとめです。
年間の複数回以上の内部監の計画のことを監査プログラムと言う。組織全体を対象に重要課題を優先的に取り上げて、組織の改善に貢献する総合的なプログラムを立案する。ただし、小規模の組織では年間1回の内部監査の計画が監査プログラムとなることもある。

「JIS Q 19011:2019の該当する部分」 (抜粋、赤字は筆者追加)
3.4 監査プログラム
特定の目的に向けた,決められた期間内で実行するように計画された一連の監査に関する取決め。(出典:JIS Q 9000:2015 の 3.13.4 を変更。定義に語句を追加した。)
5 監査プログラムのマネジメント
5.1 一般
監査プログラムは,一つ若しくは複数のマネジメントシステム規格又はその他の要求事項に対処し,単独で又は組み合わせて(複合監査)行う監査を含み得るものを確立することが望ましい。監査プログラムの及ぶ領域は,被監査者の規模及び性質のほか,監査の対象となるマネジメントシステムの性質,機能性,複雑さ,リスク及び機会のタイプ,並びに成熟度に基づくことが望ましい。
マネジメントシステムの機能性は,重要機能の大半を外部委託し,他の組織のリーダーシップの下でマ ネジメントする場合,更に複雑なものとなり得る。最も重要な決定をどこで下すか,及びマネジメントシステムのトップマネジメントがどのような構成かについて,特別の注意を払う必要がある。複数の場所・現地(例えば,異なる国々)の場合,又は重要な機能を外部委託し,別の組織のリーダー シップの下でマネジメントする場合,監査プログラムの設計,計画及び妥当性確認に特別の注意を払うことが望ましい。
小規模の又はそれほど複雑でない組織の場合には,監査プログラムの規模は,適切に縮小できる。被監査者の状況を理解するために,監査プログラムは,被監査者について,次の事項を考慮に入れることが望ましい。

- 組織の目的
- 関連する外部及び内部の課題
- 関連する利害関係者のニーズ及び期待
- 情報セキュリティ及び機密保持の要求事項

内部監査プログラムの計画の策定,及び場合によっては外部提供者を監査するプログラムの計画の策定は,組織の他の目的にも寄与するように取り決めることができる。
監査プログラムをマネジメントする人は,監査の“完全に整っている状態”(integrity)を維持し,監査に過度の影響が及ばないことを確実にすることが望ましい 監査の優先順位は,マネジメントシステムにおいて内在するリスクが高く,パフォーマンスレベルが低 い事項に対して資源及び手法を割り当てるよう,与えられることが望ましい。
監査プログラムをマネジメントするためには,力量のある人を割り当てることが望ましい。 監査プログラムは,決められた期間内で有効にかつ効率的に監査を行えるようにするための情報を含めて,資源を特定することが望ましい。そのような情報には,次の事項を含めることが望ましい。

a) 監査プログラムの目的
b) 監査プログラムに付随するリスク及び機会(5.3 参照)並びにそれらに対処する活動
c) 監査プログラム内の各監査の範囲(及ぶ領域,境界及び場所)
d) 監査のスケジュール(回数・期間・頻度)
e) 監査のタイプ,例えば内部監査又は外部監査
f) 監査基準
g) 採用する監査方法
h) 監査チームメンバーの選定基準
i) 関連する文書化した情報

これらの情報の幾つかは,より詳細な監査計画の策定が完了するまでは利用できない場合がある。
監査プログラムの実施状況を,その目的が達成されていることを確実にするために継続的に監視し,測定する(5.6 参照)ことが望ましい。
監査プログラムは,変更の必要性及び改善の機会の可能性を特定するためにレビューすることが望ましい(5.7 参照)。
監査プログラムのマネジメントのためのプロセスフローを図 1 に示す。

(次号へつづく)

ISO関連用語解説「19011とは」はこちらから