2019年5月20日、
「JIS Q 19011:2019 マネジメントシステム監査のための指針」
が発行されました。
ここでは、「JIS Q 19011(ISO 19011)マネジメントシステム監査のための指針」について主な変更点や監査の原則について説明します。
JIS規格そのもの(原文)については、以下のリンク先から参照してください。
「ISO 19011マネジメントシステム監査のための指針」とは何か
ISO 19011は、要求事項ではなくガイダンス規格なので、組織(会社)に対し必ずしも監査のやり方を変えることを要求しているわけではありません。
しかし、ISO 19011を利用することで、
- 内部監査(自社の監査)に関するアプローチ(取り組み姿勢)の見直し
- ISO 19011とこれに含まれる手引の活用
により、
- 監査プロセスをより効果的なものにしていく
- 力量のある監査員の育成
に役立てることができると考えています。
今回のISO 19011の改訂では、新しい概念や手引が導入されています。
付属書A(参考) 監査を計画及び実施する監査員に対する追加の手引き
2019年5月の時点では、規格にざっと目を通したところです。
その後も何度か目を通していますが、当初からの疑問点についてはすっきりとした説明ができるほどには、理解が進んでいません。組織(会社)の状況や実力に合わせて、自分なりに理解し使えるところから活用してみるのがよさそうです。
疑問や課題の例としては、
- 「サプライチェーンの監査」という言葉がでてきますが、具体的にイメージできていません。
- 「戦略」も散見されますが、そもそも戦略が明確になっているかというと・・・。
- 監査プログラムを策定する人に「マネジメント」という言葉が使われ、意図(というよりは気持ち的に)は分かりますが、「実際はどうなんだ。」と考えると、こちらも・・・。
とは言っても、取り組むべき課題ではあると考えていますので、頭の隅に置いています。
以下、「JIS Q 19011(ISO 19011)マネジメントシステム監査のための指針」の変更点について説明します。
ISO 9001、ISO 27001などと同様に附属書SL準拠
ISO 9001、ISO 27001などと同様に附属書SL準拠の規格に対応しています。
2018年現在、ISO 9001、ISO 14001、ISO27001といったマネジメントシステム規格が附属書に準拠したものに改訂されています。
なお、附属書についての詳細は、以下の記事をご参照ください。
参考:ISO9001やISO14001等の整合化ルール「附属書:共通テキスト」について
ISO 19011そのものはマネジメントシステム規格ではないため、附属書に規定された共通の枠組みと共通の本文は採用されていませんが、ISO 19011全体を通して附属書準拠が考慮されています。
また、監査プログラムや監査方法のみならず、監査プログラムをマネジメントする人や監査員を含めた要員の力量要件についても考慮されています。
ISO19011(JIS Q 19011)の主な変更点
ISO19011(JIS Q 19011)の主な変更点(「JIS Q 19011(ISO 19011)マネジメントシステム監査のための指針」より引用)は、以下の通りです。
- 監査の原則への、リスクに基づくアプローチの追加
- 監査プログラムのマネジメントに関する手引きの拡張。この拡張には監査プログラムのリスクを含む。
- 監査の実施に関する手引の拡張、特に、監査計画の策定の部分
- 監査員に関する共通的な力量要求事項の拡張
- 対称[“もの(thing)”]でなく、プロセスを反映する用語の調整
- 特定のマネジメントシステム分野の監査に関する力量要求事項を扱う付属書の削除(個々のマネジメントシステム規格の数が多く、全ての分野に関する力量要求事項を含めるのは現実的ではない。)
- 組織構造、リーダーシップ及びコミットメント、仮想監査、順守、サプライチェーンなどの(新しい)概念を監査することに関する手引を提供するための付属書Aの拡張
ISO9001:2015にも出てきたリスクが、監査でも出てきています。リーダーシップやコミットメントなど、より経営に資する監査にすることが求められていると考えています。
付属書Aのポイント
ここでは、「JIS Q 19011:2019 マネジメントシステム監査のための指針 付属書A」のうち、A.8、A.9、A.10について引用します。
英文を正確に和訳しようとしているのだとは思うのですが、正直なところ分かりにくい日本語です。これを易しい言葉に変えるのに頭を悩ませています。
A.8 組織の状況の監査
多くのマネジメントシステム規格は、組織が、その組織の状況を決定することを要求している。組織の状況には、関連する利害関係者のニーズ及び期待並びに外部及び内部の課題を含める。組織の状況を決定するためには、組織は、戦略的な分析及び計画策定について様々な技法を使用し得る。
監査員は、このために適切なプロセス群が策定されており、有効に使用されていることを確認することが望ましい。それは、それらのプロセスの諸結果が、マネジメントシステムの適用範囲及び策定を決定するための信頼できる基礎を提供するからである。これを確認するために、監査員は、次の事項に関係する客観的証拠を考慮することが望ましい。
a)使用したプロセス(群)又は方法(類)
b)使用したプロセス(群)に寄与している個々人の適切性及び力量
c)使用したプロセス(群)の諸結果
d)マネジメントシステムの適用範囲及び策定を決定するための、使用したプロセス(群)の諸結果の適用
e)必要な場合、組織の状況の定期的レビュー
監査員は、関連する業種に固有の知識、及び組織が使用し得るマネジメントルール類に関する理解を持つことが望ましい。これは、監査員が、組織の状況を決定するのに使用されたプロセス群の有効性について判断するためである。
A.9 リーダーシップ及びコミットメントの監査
多くのマネジメントシステム規格は、トップマネジメントに対する要求事項を増やしてきた。
これらの要求事項には、トップマネジメントがマネジメントシステムの有効性に対して説明責任(accountability)を負い、幾つかの責任を果たすことによって、コミットメント及びリーダーシップを実証することを含む。これらには、トップマネジメントが自身で実施することが望ましい業務及び他の者に委任し得る業務を含む。
監査員は、トップマネジメントが、マネジメントシステムに関係する意思決定に参画している程度、及びマネジメントシステムの有効性を確実にすることへのコミットメントをどのようにして実証しているかについて、客観的な証拠を得ることが望ましい。これは、関連プロセスからの結果[例えば、方針、目的(又は目標)、利用可能な資源、トップマネジメントからのコミュニケーション]をレビューし、トップマネジメントの積極的参加の程度を決定するためにスタッフにインタビューすることによって達成できる。
監査員はまた、次の事項を確認することをトップマネジメントへのインタビューの目指すこととするのが望ましい。すなわち、トップマネジメントが、マネジメントシステムが意図した結果を達成することを確実にできるようにするために、マネジメントシステムに関連する分野固有の課題を、組織が運用する状況とともに十分に理解しているかということである。
監査員は、トップマネジメントレベルにおけるリーダーシップに焦点を当てるだけではなく、必要に応じて、マネジメントのその他のレベルにおけるリーダーシップ及びコミットメントを監査することもまた望ましい。
A.10 リスク及び機会の監査
個々の監査の割当ての一部として、被監査者の組織のリスク及び機会の決定及びマネジメントを含み得る。このような監査の割当ての主たる目的は、次の事項のとおりである。
- リスク及び機会を特定するプロセス(群)の信頼性について保証を与える。
- リスク及び機会を適正に決定してマネジメントすることに保証を与える。
- 組織が、その決定したリスク及び機会にどのように対処しているかをレビューする。
リスク及び機会の決定に対する組織のアプローチに関する監査は、それ単独の活動として実施しないことが望ましい。それは、マネジメントシステムに関する監査全体において、あら(露)わなものとして行わないことが望ましい。これには、トップマネジメントにインタビューするときを含む。監査員は、次のステップに従って活動し、次の事項のような客観的証拠を集めることが望ましい。
a)組織がそのリスク及び機会を決定するために用いるインプット。これには、次の事項を含めてよい。
- 外部及び内部の課題の分析
- 組織の戦略的方向性
- 組織の分野固有のマネジメントシステムに関係する利害関係者、及びそれらの利害関係者の要求事項
- 潜在的なリスク源、例えば環境側面及び安全ハザードなど
b)リスク及び機会を評価する方法、これは分野及び業種の間で異なり得る。
組織のリスク及び機会に関する対応は、組織が受容することを望むリスクのレベル、及びそれをどのように管理するかを含め、監査員による専門的な判断の適用を必要とする。
監査の原則:リスクに基づくアプローチの追加
7個目の監査の原則として「リスクに基づくアプローチ」が追加されました。
監査の原則を一読しましたが、マネジメント、つまり経営へのフィードバックが強調されているように私は感じています。
内部監査責任者に対して、経営層により役に立つ内部監査を求めていることは理解できますが、監査員にそれをどのように教育し実際の内部監査に反映していくかは、正直なところ頭の痛い課題です。
以下に、監査の原則を「JIS Q 19011品質及び又は環境マネジメントシステム監査のための指針」から引用します。
監査の原則
監査は幾つかの原則に準拠しているという特徴がある。
これらの原則は、組織がそのパフォーマンス改善のために行動できる情報を監査が提供することによって、マネジメントの方針及び管理業務を支援する有効な、かつ、信頼のおけるツールとなるのを支援することが望ましい。
適切で、かつ、十分な監査結論を導き出すため、そして、互いに独立して監査を行ったとしても同じような状況に置かれれば、どの監査員も同じような結論に達することができるようにするためには、これらの原則の順守は、必須条件である。
a) 高潔さ:専門家であることの基礎
監査員及び監査プログラムをマネジメントする人は、次の事項を行うことが望ましい。
- 自身の業務を正直に、かつ責任感をもって行う。
- 監査活動を、それを行う力量がある場合にだけ実施する。
- 自身の業務を、公平な進め方で、すなわち、全ての対応において公正さをもち、偏りなく行う。
- 監査の実施中にもたらされるかもしれない、自身の判断へのいかなる影響に対しても、敏感である。
b) 公正な報告:ありのままに、かつ、正確に報告する義務
監査所見、監査結論及び監査報告は、ありのままに、かつ、正確に監査活動を反映することが望ましい。
監査中に遭遇した顕著な障害、及び監査チームと被監査者との間で解決に至らない意見の相違について報告することが望ましい。
コミュニケーションはありのままに、正確で、客観的で、時宜を得て、明確かつ完全であることが望ましい。
c) 専門家としての正当な注意:監査の際の広範な注意及び判断
監査員は、自らが行っている業務の重要性、並びに監査依頼者及びその他の利害関係者が監査員に対して抱いている信頼に見合う正当な注意を払うことが望ましい。
専門家としての正当な注意をもって業務を行う場合の重要な点は、全ての監査状況において根拠ある判断を行う能力をもつことである。
d) 機密保持:情報のセキュリティ
監査員は、その任務において得た情報の利用及び保護について慎重であることが望ましい。
監査情報は、個人的利益のために、監査員又は監査依頼者によって不適切に、又は、被監査者の正統な利益に害をもたらす方法で使用しないことが望ましい。
この概念には、取扱いに注意を要する又は機密性のある情報の適切な取扱いを含む。
e) 独立性:監査の公平性及び監査結論の客観性の基礎
監査員は、実行可能な限り監査の対象となる活動から独立した立場にあり、全ての場合において偏り及び利害抵触がない形で行動することが望ましい。
内部監査では、監査員は、実行可能な場合には、監査の対象となる機能から独立した立場にあることが望ましい。
監査員は、監査所見及び監査結論が監査証拠だけに基づくことを確実にするために、監査プロセス中、終始一貫して客観性を維持することが望ましい。
小規模の組織においては、内部監査員が監査の対象となる活動から完全に独立していることは可能でない場合もあるが、偏りをなくし、客観性を保つあらゆる努力を行うことが望ましい。
f) 証拠に基づくアプローチ:体系的な監査プロセスにおいて、信頼性及び再現性のある監査結論に到達するための合理的な方法
監査証拠は、検証可能なものであることが望ましい。
監査は限られた時間及び資源で行われるので、監査証拠は、一般的に、入手可能な情報からのサンプルに基づくことが望ましい。
監査結論にどれだけの信頼をおけるかということと密接に関係しているため、サンプリングを適切に活用することが望ましい。
g) リスクに基づくアプローチ:リスク及び機会を考慮する監査アプローチ
リスクに基づくアプローチは、監査が、監査依頼者にとって、また、監査プログラムの目的を達成するために重要な事項に焦点を当てることを確実にするため、監査の計画、実施及び報告に対して実質的に影響を及ぼすことが望ましい。
まとめ
ここでは、「JIS Q 19011(ISO 19011)マネジメントシステム監査のための指針」について主な変更点や監査の原則について以下の項目で説明しました。
- ISO 9001、ISO 27001などと同様に附属書SL準拠
- ISO19011(JIS Q 19011)の主な変更点
- 付属書Aのポイント
- A.8 組織の状況の監査
- A.9 リーダーシップ及びコミットメントの監査
- A.10 リスク及び機会の監査
- 監査の原則:リスクに基づくアプローチの追加
