ISO 19011:2026への対応を考えるとき、遠隔監査や仮想場所だけに注目してしまうと、実務上の見直しが部分的なものになりがちです。
本当に見直すべきなのは、個々の監査のやり方だけではありません。 年間の内部監査計画、監査員の選定、監査方法の決定、監査記録の管理、監査結果のレビューまで含めた監査プログラム全体です。
ISO 19011:2026では、監査プログラムに含める情報として、監査プログラムの目的、リスク及び機会、各監査の範囲、スケジュール、監査タイプ、監査基準、採用する監査方法、監査チームの選定基準、関連する文書化した情報などが示されています。 特に2026年版では、採用する監査方法の中に遠隔監査方法を含めて考えることが明確になっています。
つまり、遠隔監査は「その場の判断でオンラインに切り替えるもの」ではありません。 監査プログラムの段階で計画し、リスクを評価し、必要な資源を確保したうえで実施する監査方法として位置づける必要があります。
1. 監査プログラムとは何か
監査プログラムとは、特定の目的に向けて、一定期間内に実施する一つまたは複数の監査に関する取決めです。
多くのISO認証取得企業では、これを「年間内部監査計画」として運用しています。 たとえば、年度初めに年間計画を作成し、各部門・各プロセスの監査時期、監査員、対象規格、監査範囲を決める、といった形です。
ただし、ISO 19011がいう監査プログラムは、単なる日程表ではありません。
- どの目的で監査するのか?
- どのプロセスを優先するのか?
- どの程度の頻度で監査するのか?
- 誰を監査員にするのか?
- どの監査方法を使うのか?
- どのようなリスクや機会があるのか?
- 監査結果をどのように活用するのか?
- 監査記録をどのように管理するのか?
- 監査プログラム自体をどのようにレビューし改善するのか?
こうした全体設計を含むものです。
ISO 19011:2018では、監査プログラムの範囲は、被監査者の規模及び性質、マネジメントシステムの機能性、複雑さ、リスク及び機会、適用範囲、成熟度に基づくことが望ましいとされています。また、複数拠点や外部委託された重要機能がある場合、マネジメントシステムの機能性はさらに複雑になる可能性があることも示されています。
2026年版では、この考え方を維持しながら、デジタルツール、ICT、遠隔監査方法、情報セキュリティ及び機密保持を、より具体的に監査プログラムへ組み込む方向が強まっています。
2. リスクに基づいて監査の優先順位を決める
内部監査では、すべての部門やプロセスを毎年同じ深さで確認する必要があるとは限りません。
もちろん、認証規格の要求事項に対して、マネジメントシステム全体が適切に監査される必要はあります。 しかし、限られた監査時間や監査員の人数を考えると、リスクの高い領域に重点を置くことが重要です。
ISO 19011:2026では、監査プログラムに資源や方法を割り当てる際、マネジメントシステムにおいて内在するリスクが高く、パフォーマンスレベルが低い事項に優先順位を与えることが示されています。
たとえば、次のようなプロセスは、重点的な監査対象になり得ます。
- 顧客苦情が増えているプロセス
- 重大な不適合が発生したプロセス
- 法令・規制要求事項に関わるプロセス
- 外部提供者への依存度が高いプロセス
- 新しいシステムや設備を導入したプロセス
- 担当者変更や組織変更があったプロセス
- 在宅勤務やクラウド化により運用方法が変わったプロセス
- 情報セキュリティ、環境、安全衛生に関わるインシデントが発生したプロセス
- 前回監査で不適合又は改善の機会が多く確認されたプロセス
ここで重要なのは、「前年と同じ監査計画をそのまま使う」ことを避けることです。 組織の状況が変われば、監査プログラムも変わるべきです。 内部監査は、単に毎年同じ部門を順番に確認する活動ではなく、組織のリスク、変化、パフォーマンス、利害関係者の要求を踏まえて設計する活動です。
3. ICTを監査プログラムに組み込む
ISO 19011:2026では、被監査者の状況を理解する際に、デジタルツールなどの技術の適用、情報セキュリティ及び機密保持の要求事項を考慮することが示されています。
これは、内部監査の計画段階で、自社の業務がどの程度ICTに依存しているかを把握する必要があるということです。
たとえば、品質文書はどこで管理されているのか。 教育記録は紙なのか、eラーニングシステムなのか。 購買承認はメールなのか、 ワークフローシステムなのか。 顧客苦情はExcelで管理されているのか、 CRMで管理されているのか。 設計変更はどのシステムで承認されているのか。 是正処置はどのデータベースで進捗管理されているのか。
こうした情報を把握しないまま監査計画を作ると、監査対象の実態と監査方法が合わなくなります。
たとえば、購買プロセスの主要な証拠がクラウド購買システムにあるにもかかわらず、監査計画では「購買部を訪問してファイルを確認する」とだけ記載されている場合、実際のプロセスを十分に監査できない可能性があります。
今後の監査計画では、物理的な場所だけでなく、確認すべきシステム、電子記録、仮想場所も明記することが望まれます。
記載例:
「購買プロセスについて、購買部へのインタビューを遠隔で実施し、クラウド購買システム上の発注申請、承認記録、変更履歴、アクセス権限を確認する。受入検査の現物確認及び保管状態の確認は、工場現地監査で実施する。」
このように記載することで、業務の実態、監査方法、必要な監査証拠の関係が明確になります。
4. 遠隔監査方法のリスクを評価する
遠隔監査を採用する場合、監査方法そのものに関するリスクを評価する必要があります。
ISO 19011:2026では、監査プログラムのリスクとして、監査方法の選択が挙げられています。 具体的には、オンサイト、遠隔など、選択した方法が定義された監査目的を達成できる能力を持つかを考慮することが示されています。 また、ICT方法のセキュリティ、たとえば有効でない又は安全でないプラットフォームの選択もリスクとして示されています。
これは実務上、非常に重要です。
遠隔監査を選ぶ場合には、少なくとも次の点を検討する必要があります。
- 必要な監査証拠を遠隔で確認できるか?
- 現場観察が必要なプロセスではないか?
- 使用するWeb会議ツールは社内ルールに適合しているか?
- 画面共有で機密情報、個人情報、顧客情報が漏洩するリスクはないか?
- 通信障害が発生した場合の対応は決まっているか?
- 監査記録をどこに保存するか?
- 録画、録音、スクリーンショットを許可するか?
- 被監査者側の担当者が必要な記録にアクセスできるか?
- 遠隔で確認した証拠の完全性、正確性、最新性を確認できるか?
- 監査員が使用する端末、ネットワーク、保存先は安全か。録画やスクリーンショットを許可するか?
これらを事前に決めておくことで、遠隔監査の有効性と信頼性を確保できます。
ISO/IEC TS 17012:2024は、マネジメントシステム監査における遠隔監査方法の使用に関する手引であり、内部監査、第二者監査及び第三者監査を計画・実施する組織に適用できるとされています。 同文書は、遠隔監査方法を有効に実施するための条件、可能性及び限界を考慮するうえで、有用な参照文書です。
また、認証機関などの適合性評価でICTを使用する場合には、その使用が適合性評価の有効性に与えるリスク及び機会を特定し、文書化し、管理する考え方がIAF MD 4:2025に示されています。 これは内部監査の要求事項そのものではありませんが、ICTを用いた監査方法を設計する際の参考になります。
5. 「現地」「遠隔」「組合せ」を使い分ける
ISO 19011:2026への対応では、すべての監査を遠隔にする必要はありません。 むしろ重要なのは、現地監査、遠隔監査、そしてその組合せを適切に使い分けることです。
たとえば、文書管理、教育記録、購買承認、是正処置記録などは、電子化されていれば遠隔でも確認しやすい領域です。 一方、製造現場の作業観察、設備の管理状態、識別管理、保管状態、安全衛生上の危険源、廃棄物保管場所などは、現地で確認した方が有効な場合が多いでしょう。
また、組合せも有効です。
- 監査前に遠隔で文書・記録を確認し、当日は現地で現場観察と担当者インタビューを行う
- 複数拠点の共通手順は遠隔で確認し、リスクの高い拠点だけ現地確認する
- 専門家は遠隔参加し、主監査員は現地で確認する
- 現地監査後の是正処置確認を遠隔で行う
- クラウドシステム上の承認記録は遠隔で確認し、現物・設備・保管状態は現地で確認する
このように、監査目的に応じて柔軟に設計することが、ISO 19011:2026に沿った実務的な対応です。 重要なのは、「遠隔でできるか」ではなく、「監査目的を達成するために、どの方法が最も適切か」を判断することです。
6. 監査員の力量にもICTを含める
監査プログラムを見直す際には、監査員の力量管理も忘れてはいけません。
遠隔監査や仮想場所の監査では、従来の監査スキルに加えて、ICTを使った監査活動の能力が求められます。
たとえば、オンラインインタビューを適切に進行する能力、画面共有で記録を確認する能力、電子記録の承認履歴や変更履歴を読み取る能力、クラウドシステムのアクセス権限やログを監査証拠として評価する能力、情報セキュリティ上のリスクに気づく能力などです。
ISO 19011:2026では、監査プログラムを管理する人の力量として、必要に応じてリスクマネジメント、プロジェクト及びプロセスマネジメント、情報通信技術に関する知識を考慮できるとされています。 また、監査員の力量として、ICTツールや新たな技術を使用して監査を実施することの適切性と影響を理解すること、収集した情報の関連性及び正確性を確認すること、監査証拠の十分性及び適切性を確認することなどが示されています。
これは、監査員にも重要な視点です。 内部監査員教育の中に、遠隔監査の進め方、電子記録の確認方法、画面共有時の注意点、アクセス権限の確認、情報セキュリティ及び機密保持を含めることが、今後ますます必要になります。
7. 監査記録の管理も見直す
遠隔監査を実施すると、監査記録の形も変わります。
従来は、紙のチェックリスト、手書きメモ、印刷した記録のコピーを監査ファイルに綴じる運用が一般的でした。しかし、遠隔監査では、電子ファイル、画面共有で確認した記録、チャットで共有された資料、オンライン会議の参加記録、クラウドシステムから抽出したデータなど、電子的な証拠が増えます。
ISO 19011:2026では、監査記録は、監査プログラムの実施を実証するために作成、管理、保持されることが望ましいとされています。 また、監査記録に関連する情報セキュリティ及び機密保持のニーズに対応するプロセスを確立することも示されています。
そのため、次のようなルールを決めておくとよいでしょう。
- 電子記録をどのフォルダに保存するか?
- 監査員個人のPCに保存してよいか?
- スクリーンショットを取得してよいか?
- 取得した電子ファイルは監査後に削除するか、保持するか?
- アクセス権限を誰に付与するか?
- 保存期間はどのくらいか?
- 機密情報や個人情報を含む記録はどう扱うか?
- 監査記録を外部共有する場合、承認手順はあるか?
- オンライン会議の録画を監査記録とするか?
- チャットで共有された資料やリンクをどのように管理するか?
監査記録の管理が不十分だと、内部監査そのものが情報セキュリティ上の弱点になる可能性があります。 監査は管理状況を確認する活動であると同時に、機密性の高い情報を取り扱う活動でもあるため、記録管理のルール化が重要です。
8. 監査プログラムのレビューで確認すべきこと
監査プログラムは、一度作って終わりではありません。 実施状況を監視し、結果をレビューし、必要に応じて改善する必要があります。
ISO 19011:2026でも、監査プログラムの実施状況を継続的に監視し、目的が達成されているかを評価し、変更の必要性や改善の機会を判断することが示されています。 また、監査プログラムのレビューでは、監査プログラム監視の結果及び傾向、監査プログラム記録、代替又は新しい監査方法、監査員評価の方法、リスク及び機会への対応の有効性、情報セキュリティ及び機密保持の課題などを考慮することが示されています。 遠隔監査やICT活用を含む監査プログラムでは、レビュー時に次のような点を確認するとよいでしょう。
- 遠隔監査で監査目的を達成できたか?
- 確認できなかった証拠はなかったか?
- 通信トラブルやツールの問題は発生しなかったか?
- 被監査者の負担は適切だったか?
- 情報セキュリティ上の問題はなかったか?
- 現地監査と遠隔監査の組合せは妥当だったか?
- 監査員の力量に不足はなかったか?
- 次回は監査方法を変更すべき領域があるか?
- 監査記録の保存、共有、削除はルールどおりに行われたか?
- 仮想場所やクラウド上の業務プロセスが監査範囲から漏れていなかったか?
- 監査結果がマネジメントレビューや改善活動に活用されたか?
このレビューを行うことで、遠隔監査を単なる一時的な手段ではなく、継続的に改善される監査方法として定着させることができます。
9. 年間内部監査計画に反映したい実務ポイント
ISO 19011:2026を踏まえると、年間内部監査計画には、従来の「部門名」「監査日」「監査員」「対象規格」に加えて、次の情報を含めることが有効です。
- 監査目的
- 監査範囲
- 対象プロセス
- 対象となる物理的場所及び仮想場所
- 監査方法(現地、遠隔、組合せ)
- 監査方法を選定した理由
- 確認する主要な電子記録及びシステム
- 監査プログラム上のリスク及び機会
- 必要な監査員の力量
- 情報セキュリティ及び機密保持上の留意点
- 監査記録の保存方法
- 監査後のフォローアップ方法
このように監査プログラムを設計することで、内部監査は「年1回の定例行事」ではなく、組織の変化とリスクに対応するマネジメントツールになります。
第4回のまとめ
ISO 19011:2026への対応では、遠隔監査や仮想場所を個別に考えるだけでは不十分です。 年間内部監査計画を含む監査プログラム全体に、リスク、ICT、情報セキュリティ、監査員の力量を組み込む必要があります。
特に重要なのは、監査方法を目的から決めることです。 現地監査、遠隔監査、または、その組合せのどれが適切かを、リスクと監査目的に基づいて判断し、その理由を説明できるようにしておくことが望まれます。
また、監査プログラムは一度作って終わりではありません。監査結果、組織の変更、ICT環境の変化、情報セキュリティ上の課題、監査員の力量を踏まえて、継続的に見直すことが重要です。
次回は最終回として、ISO認証取得企業が今すぐ行うべき対応を、手順書、監査計画、チェックリスト、監査員教育の観点から整理します。
Nemkoは、組織の実態に即した、活用できるマネジメントシステムのための審査を心掛けています。
マネジメントシステム規格の改正に関するお問い合わせ、マネジメントシステム認証に関するお問い合わせ、内部監査員研修に関するお問い合わせなど、MS認証部japan@nemko.comまでお気軽にご連絡ください。