2019年にJIS Q 19011が発行されましたが、認証審査においてはこのJIS Q 19011に沿って内部監査を行うことが推奨されています。「平林良人の部屋」に掲載されている「内部監査とマネジメントレビューに関する質問100選」に加え、内部監査でのポイントをJIS Q 19011:2019に沿って分かりやすく解説します。なお、以下の文中ではJIS Q 19011:2019をISO19011:2018と表記しているところがあります（JIS Q 19011:2019はISO19011:2018の翻訳規格）。

B：内部監査の計画
ここでは内部監査の計画段階の質問を扱います。
【質問９】
前のISO19011:2011版には「リスク」の概念はありませんでした。今回のISO19011:2018版に導入されたリスクの背景、意味、ユーザのメリットについて教えてください。

【回答９】
リスクについては専門家の間でもいろいろと議論のあるところですので、導入の背景、意味（定義）、ユーザ（規格使用者）のメリットを3回に分けて回答したいと思います。
「リスク」がISOマネジメントシステム規格に共通の要求事項として導入されたのは、2012年ISOの上位執行機関から附属書SL（2019年からは附属書L）が共通テキストとして発行されたことを契機にしています。

共通テキストは、ISOが1987年ISO9001を初めて発行して以来、多くのマネジメントシステム規格（MSS : Management System Standard）を統一性 / 整合性なく発行してきたことを反省し、それを是正する目的で規格作成の指針として発行されました。この指針書はいろいろな分野で規格を作成する専門家向けに出されたものであり、一般ユーザには直接関係ないものです。しかし、2012年以降発行のISO / MSSの内容がこの指針によって統一されることになった目的と、組織へ適用する際の影響については知っておいていただきたいものです。

共通テキストで統一されたことは以下の通りです。

　・規格の構造　箇条1～箇条10の箇条タイトル
　・用語の定義　21用語定義
　・テキスト文　箇条1～箇条10の共通規定文

用語はすべてのMSSに共通のものとして、共通テキストでは21用語が制定されましたが、その中の1つに「リスク」があります。
2012年以前のMSSには、リスクを定義しているISO / MSS はありませんでした。ただし、ISO27001（情報セキュリティ）規格の用語の引用先になっていたISO/IEC73箇条3.1.1には、「ある事象の結果とその発生の起こりやすさとの組合せ」と定義されていました。また、ISO45001（労働安全衛生）の前身であるOHSAS18001には、箇条3.14に「想定される危険有害な事象発生の可能性と結果の組合せ」と定義されていました。
ISO主要規格である、ISO9001及びISO14001にはリスクの定義はありませんでしたが、ISO9001には未然防止に関して、又ISO14001には環境側面に関して今後の起こり得る事象に対する経営上の危惧という意味での不安の概念はありました。

以上のように主要なMSSである2規格（ISO9001、ISO14001）とISO27001及びOHSAS18001とでは、リスクに対する概念が相当違っていました。したがって、2012年に共通テキストを発行する際に共通の用語として「リスク」を採用することについて定義に関して多くの議論がありました。結果としては、附属書SL箇条3.9に、リスクは「不確かさの影響」として共通用語の定義がされました。今後の経営にリスクは避けて通れない重要な概念であるとされたのです。

今回の回答のまとめです。
リスクは組織の今後の経営に避けて通れない重要な概念であるとされました。

「JIS Q 19011:2019の該当する部分>」（抜粋、赤字は筆者追加）
4 監査の原則
監査は幾つかの原則に準拠しているという特徴がある。これらの原則は，組織がそのパフォーマンス改善のために行動できる情報を監査が提供することによって，マネジメントの方針及び管理業務を支援する有効な，かつ，信頼のおけるツールとなるのを支援することが望ましい。
この規格の箇条 5～箇条 7 で示す手引は，次に概要を示す七つの原則に基づく。
（略）

g) リスクに基づくアプローチ：リスク及び機会を考慮する監査アプローチ
リスクに基づくアプローチは，監査が，監査依頼者にとって，また，監査プログラムの目的を達成するために重要な事項に焦点を当てることを確実にするため，監査の計画，実施及び報告に対して実質的に影響を及ぼすことが望ましい。

5.3 監査プログラムのリスク及び機会の決定及び評価

被監査者の状況に関係してリスク及び機会があり，それらは監査プログラムに付随し，その目的の達成に影響を及ぼし得る。監査プログラムをマネジメントする人は，監査プログラム及び資源に関する要求事項を策定する際に考慮されるリスク及び機会に適切に対処するために，それらを特定し，監査依頼者に対して提示することが望ましい。
次の事項に付随するリスクがあり得る。

a) 計画の策定。
例えば，関連する監査目的の設定における失敗，並びに監査の及ぶ領域，回数，期間，場所及びスケジュールの決定における失敗。

b) 資源。
例えば，監査プログラムの策定又は監査の実施に十分な時間，機器及び／又は訓練を与えない。

c) 監査チームの選定。
例えば，監査を有効に行う全体としての力量が不十分である。

d) コミュニケーション。
例えば，外部・内部コミュニケーションのプロセス・手段が有効でない。

e) 実施。
例えば，監査プログラム内における調整が有効でない，又は情報セキュリティ及び機密保持を考慮していない。
f) 文書化した情報の管理。例えば，監査員及び関連する利害関係者が必要とする文書化した情報の決定が有効でなく，監査プログラムの有効性を実証するための監査記録の保護が十分でない。

g) 監査プログラムの監視，レビュー及び改善。例えば，監査プログラムの成果が有効に監視されていない。

h) 被監査者の参加可能性及び協力，並びにサンプリングする証拠の利用可能性

監査プログラムを改善する機会には，次の事項を含み得る。

－ 一回の訪問で複数の監査を行うことを認める。
－ 現地への移動時間及び距離を小限にする。
－ 監査チームの力量レベルを，監査目的を達成するために必要な力量レベルに合わせる。
－ 監査日を，被監査者の主要なスタッフが参加可能な日に合わせる

6.3.2.1 計画策定へのリスクに基づくアプローチ

監査チームリーダーは，監査プログラム中の情報及び被監査者から提供される文書化した情報に基づいて，監査計画の策定にリスクに基づくアプローチを採用することが望ましい。 監査計画の策定は，被監査者のプロセスに関する監査活動のリスクを考慮することが望ましく，また， 監査依頼者，監査チーム及び被監査者の間で，監査の実施に関する合意形成の基礎を提示することが望ましい。監査計画の策定によって，監査目的を有効に達成するための監査活動の効率的なスケジュールの策定及び調整を行いやすくすることが望ましい。 監査計画に提示する詳細さの程度は，監査の範囲及び複雑さ，並びに監査目的を達成できないリスクを反映していることが望ましい。
監査計画の策定に当たって，監査チームリーダーは次の事項を考慮することが望ましい。

a) 監査チームの構成及びその全体としての力量
b) 適切なサンプリング技法（A.6 参照）
c) 監査活動の有効性及び効率を改善する機会
d) 有効でない監査計画の策定によって生み出される，監査目的の達成に対するリスク
e) 監査の実施によって生み出される，被監査者に対するリスク

被監査者に対するリスクとなり得ることとして，監査チームメンバーの存在が，被監査者の安全衛生，環境及び品質に悪影響を与えること，並びにその製品，サービス，要員又はインフラストラクチャに対して脅威となることがある（例えば，クリーンルーム設備内の汚染）。 複合監査については，異なるマネジメントシステムの運用プロセス間の相互関係，並びにあらゆる競合する目的及びそれらの優先順位に対して特別の注意を払うことが望ましい。

A.10 リスク及び機会の監査

個々の監査の割当ての一部として，被監査者の組織のリスク及び機会の決定及びマネジメントを含み得る。このような監査の割当ての主たる目的は，次の事項のとおりである。

－ リスク及び機会を特定するプロセス（群）の信頼性について保証を与える。
－ リスク及び機会を適正に決定してマネジメントすることに保証を与える。
－ 組織が，その決定したリスク及び機会にどのように対処しているかをレビューする。

リスク及び機会の決定に対する組織のアプローチに関する監査は，それ単独の活動として実施しないことが望ましい。それは，マネジメントシステムに関する監査全体において，あら（露）わなものとして行わないことが望ましい。これには，トップマネジメントにインタビューするときを含む。監査員は，次の ステップに従って活動し，次の事項のような客観的証拠を集めることが望ましい。
a) 組織がそのリスク及び機会を決定するために用いるインプット。

これには，次の事項を含めてよい。

－ 外部及び内部の課題の分析
－ 組織の戦略的方向性
－ 組織の分野固有のマネジメントシステムに関係する利害関係者，及びそれらの利害関係者の要求事項
－ 潜在的なリスク源，例えば環境側面及び安全ハザードなど

b) リスク及び機会を評価する方法，これは分野及び業種の間で異なり得る。
組織のリスク及び機会に関する対応は，組織が受容することを望むリスクのレベル，及びそれをどのように管理するかを含め，監査員による専門的な判断の適用を必要とする。

（次号へつづく）

ISO関連用語解説「19011とは」はこちらから