内部監査規定:「リモート内部監査のガイドライン」の作成と活用

この2年ほどでオンライン会議だけでなく、テレワークや在宅勤務が珍しいモノから当たり前のものに変わってきました。

ISOの審査でもリモート審査(ICT審査)については、国際認定フォーラム(IAF)の「認証審査/認定審査を目的とした情報通信技術(ICT)の利用に関するIAF基準文書(IAF MD 4:2018)」については、以下にまとめました。

工場などは現場確認が必要なのでリモートでの内部監査は難しいのですが、営業拠点の内部監査だけでなく、複数拠点をつなぐことで監査員のいる場所の自由度が増えるというメリットもあります。

実際にリモート内部監査をやってみることで、メリットや課題も見えてきました。ここでは、リモート内部監査導入のガイドラインについて説明します。

スポンサーリンク

1. リモート内部審査

リモート内部監査とはICTを利用して内部監査員と監査対象部署とをつないで行う内部監査をいう。

ICT:Information and Communication Technology(情報通信技術)

ICTとは情報通信技術のことであり、スマートフォン、パソコン、社内システム(基幹システム、ファイルサーバー、オンライン会議システムなど)、及びインターネットを利用した各種サービスがある。

リモート内部監査におけるICT利用例を以下に示す。

  • オンライン会議システムを用いた会議
  • 社内ネットワーク(ファイルサーバーやメール添付など)を利用した文書及び記録の確認
  • 静止画(写真や画面キャプチャ)、動画又は音声データを用いた情報及び証拠の記録
  • 拠点との映像や音声を含むデータの送受や共有

1.1 リモート内部監査の対象部署

リモート内部監査は、営業支店と本社等をつないだオンライン会議システムによる内部監査を想定している。

工場及び事業所については、訪問と同レベルの映像や音声等の確認ができないため、リモート内部監査の対象としない。

2. リモート内部監査の実施要件

2.1 リモート内部監査実施の考慮事項

リモート内部監査の実施に当たり考慮すべき事項を以下に示す。

セキュリティ及び機密保持

電子的情報や電子的に送付される情報のセキュリティ及び機密保持は、リモート内部監査において重要である。

  • 電子的情報や電子的に送付される情報とは、マイクやカメラによるオンライン送受信、メールやオンラインサービス(ZoomやTeamsなど)、PDFや写真などをいう。

リモート内部監査を実施する前に、内部監査の目的でリモート内部監査を行うことを、事前に内部監査対象部署に説明し、情報セキュリティ及びデータ保護について、本ガイドラインに沿って行うことを伝える。

内部監査プロセスへの要求事項

(1)リモート内部監査で使用する主要なシステムは、オンライン会議システム及びパソコンであり、これらが使用できない場合内部監査の有効性に影響を及ぼす可能性がある。

内部監査中にオンライン会議システムやPCが使えない、あるいは、使えなくなった場合には、電話を利用する。

ただし、内部監査時間の10%以上の中断が見込まれる場合は、内部監査リーダーは内部監査を中止し後日実施する。内部監査を中止する場合、監査リーダーは監査責任者に報告する。監査責任者は、改めて内部監査スケジュールを調整・実施する。

(2)リモート内部監査に新しいICTを利用する場合、内部監査計画前にリモート内部監査で使用できるか必ず確認する。

(3)リモート内部監査を実施する場合、内部監査に使用するICT(オンライン会議システムと監査対応者のパソコン、予備としてスマートフォンなど)について内部監査計画で明確にする。

(4)監査責任者は、リモート内部監査におけるICT利用について、操作方法に加え情報セキュリティ上の注意点などについて内部監査員に教育する。

なお、監査対応者は、オンライン会議に参加できるレベルを前提とする。(資料共有などは求めない)

監査リーダーは、ICT利用によるリスクや情報の妥当性や客観性への影響を認識することが望ましい。

(5)リモート内部監査によるICT利用の実際及び有効性について、内部監査報告書及び関連する記録(チェックリスト)に記録する。ただし、内部監査計画時に想定している用途については明記しなくてよい。

  • 例:事前準備は必要となるが、オンライン会議により移動時間が不要となり全体としてはメリットが大きいなど。

監査責任者は、監査員よりリモート内部監査におけるメリットや改善点などについてヒアリングし、次回のリモート内部監査の参考にする。

2.2 リモート内部監査実施条件

以下の条件を満たす場合にリモート内部監査を実施できる。

  • 前回内部監査で「不適合」が検出されていない。
  • 前回内部監査以降、法規制要求事項への不順守が検出されていない。
  • 特別審査(適用範囲の変更)の対象でない。

ただし、製品実現/サービス提供以外(例えば営業支店)は可とする。

2.3 リモート内部監査に利用できるICTに必要な要件

リモート内部監査は、本社及び各拠点間をつなぎ、社内のオンライン会議システムを使い実施する。

なお、このオンライン会議システムは、以下の要件を満たすことが必要である。

  • オンライン会議システムは社内会議で使用されている。
  • すべての拠点(本社・工場・事業所、営業支店)において、画像・音声・映像の送受信の環境(ネットワーク環境)が整っている。
  • 内部監査員は、1人1台のPCにてヒアリング等ができる。

リモート内部監査に利用できるICTの要件について、以下に列挙する。

  • 内部監査員及び内部監査対応者は、本社、工場、事業所、支店から会社貸与PCで社内ネットワークに接続できない場合には実施できない。
  • リモート内部監査は、情報セキュリティや機器持ち込み不可区域等によりICTや動画等にて撮影できない場所がある場合、またネットワークがつながらない場所がある場合には実施できない。この項は、工場等の現場確認を想定しているが、本ガイドラインでは工場等はリモート内部監査の対象としていない。
  • 基幹システムなど、業務上利用しているシステムのデータをオンライン会議システムなどで閲覧することができる。(システム利用時の画面キャプチャの画像による閲覧を含む。)
  • 監査に必要な書類・データ・映像などをオンライン会議システムなどで開示できる。
スポンサーリンク

3. リモート内部監査の事前準備

3.1 リモート内部監査の準備事項

リモート内部監査の事前準備では、以下の事項を確認する。

  • リモート内部監査の実施要件を満たしている。
  • 事前テストを実施する。(監査でつなぐ部署・現場含む)
  • 事前テスト時の不具合を改善する。
  • 関係者にリモート内部監査(ミーティング)の招待メールを連絡

なお、監査チームが複数拠点になる場合には、事前に監査チーム内で進め方などについて打ち合わせをしておくことが必要です。

3.2 事前テストにおける準備事項

リモート内部監査の事前テストの準備では、以下の事項を確認する。

  • 監査チームがそれぞれのミーティングでコミュニケーションが取れる
  • 音声・動画が、途切れないか、ハウリングはないか
  • 画像が鮮明か、画面がフリーズしないか
  • 監査で提示する共有資料を監査チームがストレスなく閲覧できる(読み取り可能なレベルか)
  • サーバーに保存した規定、手順書類の提示ができる
  • 販売管理システム、工程管理システムなどシステムデータの閲覧ができる
  • 製造現場、サービス提供現場とのリモート審査はストレスなくできる(動画・音声・画像)
  • 組織から監査チームメンバー各人に電話で連絡ができる
  • 監査チーム各人から組織に電話で連絡ができる
  • その他、問題がない。リモート内部監査が可能(問題がある場合は、善後策を協議)

3.3 運用記録等の事前提出

監査責任者は、前年度の内部監査結果から事前に提出を求める記録を決定し、内部監査実施計画で監査対応部署に提出を依頼する。

提出期限は、内部監査実施予定日の5営業日前を基本とする。

内部監査チーム側

事前提出を依頼した記録等の提出状況(提出依頼から提出完了)は、監査対象部署の文書管理状況を判断する要素の1つとする。

監査リーダーは、監査前に事前提出された記録等を確認する。提出された記録等についての質問等は、監査時に確認する。

監査責任者が、内部監査のために事前に確認する記録等の例を以下に示す。

  • 前期内部監査報告書(チェックリスト含む)
  • 品実目標実施計画(今期の実績)
  • 前回のISO審査指摘事項の資料
  • 前回内部監査結果の不適合・観察事項の資料

内部監査対応側

被監査部署は、内部監査実施計画と共に示された事前提出書類(PDF)を指定された日時までに提出する。

事前提出を求められていない場合には、管理状況を含め監査時に確認する。

事前提出記録等の例を以下に示す。

  • 今期品質目標実施計画の実績を説明するための記録
  • 力量マップ、教育・訓練実施計画と教育・訓練の記録
スポンサーリンク

4. リモート内部監査における注意事項

初回会議及びリモート内部監査実施時の注意事項について示す。

4.1 初回会議(リモート内部監査)

リモート内部監査を実施する場合、初回会議では以下の説明を行う。

  • 初回会議では、通信障害などにより審査が中断した場合の対応について説明する。
  • 監査時間の10%以内(1時間で6分は短いか)であれば監査有効とする。10%以上の中断は監査中止とし、後日実施する。
  • 最終会議については、通常(対面)の内部監査と同様である。
はかせ
はかせ

ここでは、監査有効と判断する中断時間を10%としていますが、実態に合わせて決める必要があります。

4.2 リモート内部監査における依頼事項

監査対応部署への依頼事項

  • 内部監査担当者(部署長等)は、原則1人1台のPCで対応してください。複数人で1台のPCの場合(画面上では集合写真の様になり)誰が話しているか分かりにくいため、話す方が1人1人映る形でお答えください。
  • 説明等に必要であれば、担当者+補助者でデータを検索したり、必要な記録を画面に提示してください。
  • マイクがONの状態で複数のPCが近くにあると、ハウリングする場合があります。発言者以外はマイクをOFF(ミュート)にしてください。
  • 時間を有効に使うため、監査員が資料共有された画面をスクリーンショット等で撮影する可能性があります。この場合は監査員から事前に許可を求めます。
  • 撮影した画像は、監査記録のまとめ後、監査員の責任をもって廃棄します。

リモート内部監査での現場確認(工場等)について

本ガイドラインにおいて、工場や事業所はリモート内部監査の適用外としているが、参考情報として以下に示す。

  • リモート内部監査でも、作業現場、サービス現場の監査(確認)を実施します。スマートフォン・タブレットなどで、監査員の指示に基づき工程や作業の確認をします。現場監査ができない場合は、訪問監査となります。
  • 現場確認において、移動中を含め転倒のリスクもありますので、安全への配慮をお願いします。また、ネットワークが遮断される可能性もありますので、事前のテストも必要です。
  • 事前にサービス提供現場のレイアウト図などの提供を依頼する場合があります。
  • 現場担当者へのインタビューについて、監査リーダーと確認のうえ準備および対応を依頼します。音声に問題がある場合は、映像はスマートフォンやタブレットで、音声は携帯電話でという対応でも結構です。

5. 【参考】リモート内部監査についての疑問

リモート内部監査についての疑問点について説明します。

製造現場、サービス現場の監査

製造現場、サービス現場の監査は必要です。

基本的に現場の製造工程、サービス提供工程、環境要因(音・臭いが発生するなど)の現場、セキュリティ管理の現場などの確認は、現場審査にて実施します。

現場審査では、カメラやスマートフォン・タブレット等で、審査員の依頼により現場を確認できるようにします。

訪問審査と同等レベルでの映像・音声等の確認ができない場合は、リモート内部監査対象となりません。

リモート内部監査の録画

リモート内部監査の録画は、議事録としての活用を想定しています。

録画する場合、社外秘情報として管理してください。

録画する場合は、監査チームに録画する旨伝えます。

監査員がオンライン会議を録画することは原則ありません。

リモート内部監査の課題

リモート内部監査について出た意見を紹介します。

  • 当日リモート内部監査用の書類準備(PDF化など)は、対面時よりも時間がかかる。
  • 監査中にネットワーク接続が切れ、音声や画像・映像が途切れることがあった。
  • 監査中、希望する書類やデータをすぐに出すことができず、対面時よりも時間がかかる。(オンライン会議システムの使い方や慣れていないことも一因)
  • 社内の協力や調整が難しかった。(オンライン)
  • 対面時より、現場確認の時間が不足した。(監査員と被監査部署の双方で現場確認に時間がかかった。)
  • 対面時より監査時の対応者の緊張感が薄れた。(緊張感については、良い面も悪い面もあるようです。)
スポンサーリンク

まとめ

この2年ほどでオンライン会議だけでなく、テレワークや在宅勤務が珍しいモノから当たり前のものに変わってきました。

工場などは現場確認が必要なのでリモートでの内部監査は難しいのですが、営業拠点の内部監査だけでなく、複数拠点をつなぐことで監査員のいる場所の自由度が増えるというメリットもあります。

実際にリモート内部監査をやってみることでメリットや課題も見えてきました。ここでは、リモート内部監査導入のガイドラインについて以下の項目で説明しました。

ここでは、

  • 1 リモート内部審査
    • 1.1 リモート内部監査の対象部署
  • 2 リモート内部監査の実施要件
    • 2.1 リモート内部監査実施の考慮事項
      • セキュリティ及び機密保持
      • 内部監査プロセスへの要求事項
    • 2.2 リモート内部監査実施条件
    • 2.3 リモート内部監査に利用できるICTに必要な要件
  • 3 リモート内部監査の事前準備
    • 3.1 リモート内部監査の準備事項
    • 3.2 事前テストにおける準備事項
    • 3.3 運用記録等の事前提出
      • 内部監査チーム側
      • 内部監査対応側
  • 4 リモート内部監査における注意事項
    • 4.1 初回会議(リモート内部監査)
    • 4.2 リモート内部監査における依頼事項
      • 監査対応部署への依頼事項
      • リモート内部監査での現場確認(工場等)について
  • 5 【参考】リモート内部監査についての疑問
    • 製造現場、サービス現場の監査
    • リモート内部監査の録画
    • リモート内部監査の課題
タイトルとURLをコピーしました