ISO情報

ISO19011に準拠した内部監査に関する質問50選(その30)

内部監査はJIS Q 19011に沿って行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。

C:監査の実施  
ここでは内部監査の実施段階の質問を扱います。

【質問30】
 質問(インタビュー)をする相手の方はどのように選ぶのでしょうか、またその方への配慮にはどんなことがありますか。
【回答30
 監査員の力量の一つに、「質問する相手を選ぶ」ということがあります。内部監査では一概には言えません(組織規模による)が、質問する相手を知っている場合が多いと思います。 その場合には、お友達感覚になってしまう危険性があります。お互いが互いの立場を思いやり、事実が明らかにされない監査になりがちです。 内部監査の目的はできるだけ事実を明確にすることですから、質問に対して包み隠すことなく本当のことを言ってもらうことが被監査者に期待されることです。被監査者の立場からは、監査員が知っている人で日ごろから交流している人であると、業務上の課題・問題を明らかにせず表面的に回答しても、それに対して突っ込んだ質問は来ないであろうという甘えが生じます。監査員側としても今後の付き合いを考えると厳しく問い詰める気持ちは起きません。それでは経営が目的としている「事実をあぶりだしプロセスを改善する監査」は形骸化したものになってしまいます。

したがって、小規模の組織では、質問する相手はできるだけ監査員が日頃接触していない人を選ぶことが良いと思います。このような人を選ぶことが緊張感のある内部監査を実行する秘訣であると思います。何でも、モノ、サービス、人などを選ぶことをサンプリングといいますが、質問する相手を選ぶこともサンプリングと言います。小規模の組織で質問する相手を選ぶサンプリングは、ISO19011規格A.6.2判断に基づくサンプリングに該当します。それに対して大企業の内部監査において監査員が見知らぬ人を質問する相手として選ぶ場合は、A.6.3 統計的サンプリングを心がけると良いと思います。

< JIS Q 19011:2019の該当する部分> (抜粋、下線部は筆者追加)
A.6.2 判断に基づくサンプリング
判断に基づくサンプリングは,監査チームの力量及び経験に依存する(箇条 7 参照)。 判断に基づくサンプリングに対して,次の事項を考慮し得る。
 a) 監査範囲内の前回までの監査経験
 b) 監査目的を達成するための要求事項(法令・規制要求事項を含む。)の複雑さ
 c) 組織のプロセス及びマネジメントシステム要素の複雑さ及び相互作用
 d) 技術,人的要因又はマネジメントシステムの変化の度合い
 e) 以前に特定された重要なリスク及び改善の機会
 f) マネジメントシステムの監視からのアウトプット

A.6.3 統計的サンプリング
統計的サンプリングを使うことに決めるならば,サンプリング計画は,監査目的,及びサンプル採取対象の母集団の全体としての特性に関して知られていることに基づくことが望ましい。
統計的サンプリングの設計には,確率論に基づいたサンプル選択プロセスを使う。属性に基づくサンプリングを使うのは,各サンプルに対するサンプル結果に二つの可能性(例えば,正か誤,合か否)しかない場合である。変数に基づくサンプリングを使うのは,サンプル結果がある連続した範囲において発生する場合である。
サンプリング計画は,調査される結果が属性に基づくものになりやすいか,変数に基づくものになりやすいかを考慮に入れることが望ましい。例えば,手順の中で設定された要求事項に対して,記入済みの書式の適合性を評価する場合は,属性に基づくアプローチを使い得るであろう。食品安全に関するインシデントの発生又はセキュリティの漏えい(洩)の数を調査する場合は,変数に基づくアプローチがより適切となりやすいだろう。
監査サンプリング計画に影響を及ぼし得る要素は,次の事項である。
 a) 組織の状況,規模,性質及び複雑さ
 b) 力量のある監査員の数
 c) 監査の頻度
 d) 個々の監査の工数
 e) 外部から求められる信頼水準
 f) 望ましくない及び/又は予期しない事象の発生
統計的サンプリング計画を策定する場合,どのレベルのサンプリングリスクならば監査員が受容しようとするかは,重要な考慮事項である。これは,受容可能な信頼水準と呼ばれることが多い。例えば,5 %のサンプリングリスクは95 %の受容可能な信頼水準に相当する。5 %のサンプリングリスクは,次のようなリスクならば監査員が受容することを意味する。“調査したサンプルの100 のうち5(又は20 のうち1)は,全体の母集団を調査すれば見られる実際の値を反映していない”というリスク。
統計的サンプリングを使う場合,監査員は実施した作業を適切に文書化することが望ましい。これには,サンプルすることを意図した母集団に関する記述,評価に使用したサンプリング基準(例えば,受容可能なサンプルとは何か),利用した統計的指標及び方法,評価したサンプルの数並びに取得した結果を含むことが望ましい。

(次号へつづく)

ISO関連用語解説「19011とは」はこちらから