ISO 19011:2026の改正で、最も実務への影響が大きいテーマは遠隔監査方法です。
遠隔監査という言葉を聞くと、「TeamsやZoomでインタビューを行う監査」と考える方が多いかもしれません。 もちろん、それも遠隔監査の一部です。 しかし、ISO 19011:2026が想定している遠隔監査方法は、単なるオンライン会議にとどまりません。
クラウド上の記録確認、画面共有による文書レビュー、遠隔地の担当者へのインタビュー、オンラインシステムのログ確認、複数拠点をつないだ監査、場合によっては映像を使った現場確認など、監査活動の一部または全部を被監査者の所在地以外から実施する方法が含まれます。
ISO 19011:2026では、新たに「remote auditing method」が用語として定義され、被監査者の所在地以外の場所から監査活動を行う方法とされています。 また、遠隔監査方法はオンサイト監査と組み合わせて使用でき、オンライン環境を用いて業務を実施し、又はサービスを提供する「仮想場所」にも適用できることが示されています。
これは、ISO認証取得企業の内部監査にとって重要な意味を持ちます。 遠隔監査は、緊急時の代替手段ではなく、監査方法の一つとして、監査目的、監査範囲、監査基準、監査証拠、情報セキュリティ及び監査員の力量を踏まえて、正式に計画し管理すべき対象になったということです。
1. 遠隔監査は「楽をするための監査」ではありません
遠隔監査には多くのメリットがあります。
- 移動時間を削減できる
- 複数拠点の担当者を同じ時間帯に集めやすい
- 専門知識を持つ監査員や技術専門家が遠隔参加しやすい
- 文書や記録を画面共有しながら確認できる
- クラウド上で管理されている記録や承認履歴を、実際のシステム画面で確認しやすい
こうした利点は、内部監査の効率化に大きく貢献します。
一方で、遠隔監査には限界もあります。
- 現場の雰囲気や作業実態が見えにくい場合がある
- 画面やカメラに映された範囲しか確認できない場合がある
- 現地を歩くことで偶発的に得られる気づきや情報が減る可能性がある
- 通信環境や使用するICTツールに左右される
- 機密情報、個人情報、顧客情報をオンラインで扱うリスクがある
- 担当者が手元の資料を確認しながら回答している場合でも、監査員がその状況を把握しづらい
つまり、遠隔監査は「現地監査より簡単な監査」ではありません。 むしろ、監査目的を達成するために、事前準備、証拠の確認方法、情報セキュリティ対策、通信障害時の代替手段をより慎重に設計する必要があります。
ISO 19011:2026のまえがきでは、今回の主な変更点として、ISO/IEC TS 17012に含まれる手引を導入し、遠隔監査方法に関する手引を拡張したことが示されています。 ISOの公開情報でも、ISO/IEC TS 17012:2024は、マネジメントシステム監査における遠隔監査方法の使用に関する手引であり、内部監査、第二者監査及び第三者監査を計画・実施する組織に適用できると説明されています。
2. 監査方法は「目的」から決めることが重要
遠隔監査を導入するときにありがちな失敗は、最初に「今回はオンラインで実施しよう」と決めてしまうことです。
本来、監査方法は監査目的から逆算して決めるべきです。 たとえば、文書化した情報の整備状況を確認することが主な目的であれば、遠隔監査でも十分に有効な場合があります。 クラウド上の文書管理システム、改訂履歴、承認記録、教育記録、是正処置記録などは、画面共有や一時的なアクセス権限の付与によって確認できることが多いためです。
一方、製造現場の5S状況、設備の管理状態、危険源の管理、化学物質の保管状態、現場での作業手順の実施状況などを確認する場合は、遠隔監査だけでは十分でないことがあります。 カメラ映像で確認できる場合もありますが、視野が限定され、監査員が自由に周囲を観察できないためです。
したがって、実務では次の観点から監査方法を判断することが重要です。
- この監査の目的は何か?
- 監査目的、監査範囲、監査基準
- 対象となる物理的場所及び仮想場所
- 使用するICTツール
- 確認する文書、記録、システム、ログ
- 参加者及び役割
- 画面共有、録画、録音、スクリーンショットの取扱い
- 機密情報、個人情報、顧客情報の保護方法
- 通信障害又はアクセス不具合が発生した場合の代替手順
- 遠隔監査で確認できない事項がある場合の現地確認方法
- 確認すべき監査基準は何か?
- 必要な客観的証拠は遠隔で入手できるか?
- 遠隔で確認した証拠は十分かつ適切で信頼できるか?
- 現地確認を組み合わせる必要はないか?
- 情報セキュリティ上の制約はないか?
- 通信障害やアクセス不具合が発生した場合、監査目的を達成できる代替手段はあるか❓
ISO 19011:2026では、監査プログラムに採用する監査方法として、遠隔監査方法を含めることが示されています。 また、監査プログラムのリスクとして、選択した監査方法が監査目的を達成できる能力を持つかどうかを考慮することも示されています。
認証機関による第三者認証審査では、ICTを使用する場合に、その使用が審査・評価の有効性に影響するリスク及び機会を特定し、管理することが求められます。 IAF MD 4:2025でも、ICTの使用に関して、使用する技術の選択を含め、適合性評価の有効性に影響し得るリスク及び機会を特定し、文書化し、管理する考え方が示されています。 内部監査においても、この考え方は有効な参考になります。
3. 遠隔監査で重要になる「客観的証拠」
監査では、単なる説明ではなく、客観的証拠に基づいて評価することが求められます。ISO 19011:2026では、客観的証拠は、あるものの存在又は真実を裏付けるデータであり、観察、測定、試験又はその他の手段によって得ることができるとされています。
遠隔監査では、この客観的証拠の取り方が特に重要です。
たとえば、担当者が「教育は実施済みです」と説明しただけでは、十分な監査証拠とはいえません。 教育計画、出席記録、理解度確認、力量評価、未受講者へのフォローなどを確認する必要があります。
また、「最新版の手順書を使っています」という説明に対しては、文書管理システム上の最新版、改訂履歴、現場で参照しているファイル、アクセス権限などを確認する必要があります。
遠隔監査では、画面共有で見せてもらうだけでなく、どのシステムから表示しているのか、記録がいつ作成・承認されたのか、誰がアクセスできるのか、改ざん防止やアクセス管理がどのように行われているのかまで確認することが重要です。
ISO 19011:2026の附属書Aでは、情報を検証する際には、文書化した情報が完全であるか、正確であるか、一貫しているか、最新であるかを考慮することが示されています。 遠隔監査では、監査員が自ら現場で資料を手に取ることができないため、証拠の真正性、完全性、関連性及び最新性を意識して確認する必要があります。
4. 情報セキュリティと機密保持は必須条件
遠隔監査で見落とされやすいのが、情報セキュリティと機密保持です。
- オンライン会議のURLを誰に共有するのか?
- 会議室への入室管理をどのように行うのか?
- 録画や録音を許可するのか?
- スクリーンショットの取得は認めるのか?
- 画面共有で顧客情報、個人情報、営業秘密が映り込まないか?
- クラウドストレージに監査資料を置く場合、アクセス権限は適切か?
- 監査終了後に共有フォルダのアクセス権限を解除するのか?
- 監査記録を何処に保管し、誰が閲覧できるのか?
こうした点を決めないまま遠隔監査を行うと、監査活動そのものが情報漏えいリスクになる可能性があります。
ISO 19011:2026では、監査プログラムを考える際に、情報セキュリティ及び機密保持の要求事項を考慮することが示されています。 また、監査プログラムのリスクとして、情報通信技術の方法に関するセキュリティ、たとえば有効でない、または安全でないプラットフォーム選択が挙げられています。
そのため、ISO認証取得企業では、遠隔監査を行う場合のルールをあらかじめ定めておくことが望まれます。 具体的には、使用を認める会議ツール、録画・録音の可否、資料共有の方法、個人情報を含む記録の扱い、スクリーンショットの可否、監査記録の保管場所、アクセス権限の付与・解除方法、通信障害時の対応などです。
5. 内部監査計画書に「監査方法」と「選定理由」を明確に記載する
ISO 19011:2026を踏まえると、内部監査計画書には、従来以上に「監査方法」を明確に記載することが重要になります。
単に「内部監査を実施する」と記載するだけでは十分とはいえません。 対象プロセスごとに、現地監査、遠隔監査、又はその組合せのいずれを採用するのかを明記する必要があります。 さらに、その方法で監査目的を達成できる理由も説明できるようにしておくことが望まれます。
たとえば、次のような記載が考えられます。
「購買プロセスは、購買申請、承認、発注、受入記録がクラウドシステム上で管理されているため、文書・記録確認及び担当者インタビューは遠隔監査で実施する。 一方、受入検査の現物確認及び保管状態の確認については、現地監査で確認する。」
このように記載すれば、遠隔監査を採用した理由と、遠隔では不十分な部分を現地監査で補う考え方が明確になります。
また、遠隔監査計画には、次の事項を含めることが有効です。
ISO 19011:2026の附属書Aでは、遠隔監査方法を使用する場合、事前の技術確認、遠隔アクセス手順、通信障害時の代替計画、データセキュリティ、機密保持、録画やスクリーンショットを取得する場合の事前許可などを考慮することが示されています。
6. 監査員の力量も見直す必要があります
遠隔監査を有効に実施するためには、監査員の力量も重要です。
遠隔監査に必要な力量は、オンライン会議ツールを操作できることだけではありません。 監査員には、限られた画面情報やオンラインでのインタビューから、客観的証拠を適切に収集し、監査基準に照らして評価し、監査所見を導き出す能力が求められます。
また、遠隔監査では、対面監査に比べて非言語情報を把握しにくい場合があります。 そのため、質問の組み立て方、回答内容の確認、追加証拠の要求、記録の真正性の確認、通信環境に応じた進行管理など、遠隔環境に適した監査技法が必要です。
ISO 19011:2026では、監査員の力量として、ICTツールや新たな技術を使用して監査を実施することの適切性と影響を理解すること、収集した情報の関連性及び正確性を確認すること、監査証拠の十分性及び適切性を確認することなどが示されています。
したがって、遠隔監査を内部監査に取り入れる場合は、内部監査員教育や監査員の力量評価にも、遠隔監査方法、ICTツールの利用、情報セキュリティ、オンラインでのインタビュー技法、証拠の確認方法を含めることが望まれます。
第2回のまとめ
ISO 19011:2026における遠隔監査方法の拡張は、内部監査の効率化だけを目的としたものではありません。
重要なのは、監査目的を達成するために、現地監査、遠隔監査、又はその組合せを適切に選択することです。
遠隔監査を有効に行うためには、客観的証拠の確認方法、ICTツールの信頼性、情報セキュリティ、機密保持、監査員の力量をあらかじめ考慮する必要があります。
遠隔監査は、単なるオンライン会議ではありません。 監査目的を達成するために、どの情報を、どの方法で、どの程度の信頼性をもって確認するのかを設計する監査方法です。内部監査をより有効なマネジメントツールにするためにも、ISO 19011:2026をきっかけに、自社の遠隔監査のルールと運用を見直すことが重要です。
次回は、遠隔監査と深く関係する「仮想場所」について解説します。クラウド、在宅勤務、オンラインサービスなど、物理的な拠点だけでは捉えきれない監査対象をどのように考えるべきかを取り上げます。
Nemkoは、組織の実態に即した、活用できるマネジメントシステムのための審査を心掛けています。
マネジメントシステム規格の改正に関するお問い合わせ、マネジメントシステム認証に関するお問い合わせ、内部監査員研修に関するお問い合わせなど、MS認証部japan@nemko.comまでお気軽にご連絡ください。