ISO 19011は、マネジメントシステム監査のための国際的な指針です。 ISO 9001、ISO 14001、ISO 45001、ISO/IEC 27001など、さまざまなマネジメントシステム規格に基づく内部監査や第二者監査を計画・実施する際に参照されます。
ISO 19011:2026は、2026年5月に第4版として発行されました。 ISOの公開情報では、ISO 19011:2018は廃止され、新版としてISO 19011:2026が案内されています。
ISO認証を取得している企業の責任者・担当者にとって、最も気になる点は、「内部監査の進め方を大きく変更しなければならないのか」という点ではないでしょうか。
結論から申し上げますと、ISO 19011:2026は、2018年版で整理された監査の原則、リスクに基づくアプローチ、監査プログラム、監査員の力量といった基本的な考え方を全面的に変更するものではありません。 主な改正点は、ISO/IEC TS 17012:2024の内容を踏まえ、遠隔監査方法に関する手引を拡張したこと、ならびに附属書Aにおいて遠隔監査方法及び仮想場所に関する手引を拡張したことです。
つまり、ISO 19011:2026は、内部監査の考え方を一から作り直すための規格ではなく、オンライン化、クラウド化、拠点分散、在宅勤務など、現在の業務環境に即して監査をより有効に行うための改正と捉えることが実務的です。
1. ISO 19011は「認証要求事項」ではなく「監査の指針」です
まず確認しておきたいのは、ISO 19011は認証取得のための要求事項規格ではないという点です。
たとえば、ISO 9001認証を取得している企業であれば、認証審査の基準となる要求事項はISO 9001です。ISO 14001であればISO 14001、ISO 45001であればISO 45001、ISO/IEC 27001であればISO/IEC 27001が認証審査の基準になります。
一方、ISO 19011は、これらのマネジメントシステムをどのように監査するかについての指針です。ISO 19011:2026は、監査の原則、監査プログラムのマネジメント、マネジメントシステム監査の実施、ならびに監査プロセスに関わる人々の力量評価に関する手引を提供する規格とされています。
したがって、ISO 19011:2026が発行されたことにより、直ちにISO 9001やISO 14001などの認証要求事項が変更されるわけではありません。
しかし、内部監査の有効性を高めるうえで、ISO 19011は非常に重要な参照文書です。 認証審査において、内部監査が形骸化している、監査範囲が実際の業務プロセスを十分に反映していない、遠隔業務やクラウド上の業務プロセスが監査対象から漏れている、と判断される場合、マネジメントシステムの有効性に関する確認がより慎重に確認される可能性があります。
その意味で、ISO 19011:2026は、認証取得企業が内部監査の仕組みを見直すための有効なきっかけになります。
2. 2018年版で大きく変わったこと
今回の2026年版を理解するには、旧版であるISO 19011:2018の改正ポイントを振り返ることが有用です。
ISO 19011:2018では、2011年版からの主な変更点として、監査の原則に「リスクに基づくアプローチ」が追加されました。ISOも、2018年版の主な変更点として、マネジメントシステム規格及び市場におけるリスク重視の流れを反映し、監査原則にリスクに基づくアプローチを加えたことを説明しています。
ここで重要なのは、2018年版の時点で、監査は「チェックリストに沿って要求事項への適合だけを確認する活動」ではなくなっていたという点です。
内部監査では、次のような視点が求められます。
- マネジメントシステムが組織の状況に適合しているか?
- リスク及び機会に適切に対応しているか?
- プロセスが意図した結果を達成しているか?
- 法令・規制要求事項及び利害関係者の要求事項に対応できているか?
- 改善の機会を適切に特定できているか?
この流れは、2026年版でも維持されています。 したがって、2026年版の改正は、2018年版で強調された「リスクを踏まえた実効性のある監査」を、現在の業務環境に合わせてさらに発展させたものと理解すると分かりやすいでしょう。
3. 2026年版の主な変更点は「遠隔監査」
ISO 19011:2026で注目すべき改正点の一つは、遠隔監査方法に関する手引の拡張です。
ISO/IEC TS 17012:2024は、マネジメントシステム監査における遠隔監査方法の使用に関する手引を提供する文書です。 同文書は、内部監査、第二者監査、第三者監査を含む、マネジメントシステム監査を計画・実施する組織に適用可能であり、ISO 19011:2018の監査原則を支援しつつ、遠隔監査方法を実施する際の条件、可能性及び限界について追加の手引を示すものと説明されています。
これは、非常に実務的な改正です。
多くの企業では、オンライン会議、クラウド文書管理、電子承認、在宅勤務、遠隔での顧客対応が一般化しています。 内部監査においても、TeamsやZoomなどを用いたインタビュー、クラウド上の記録確認、画面共有による文書レビューなどがすでに行われています。
一方で、遠隔監査には利便性だけでなく、慎重に管理すべき点もあります。
たとえば、現場の実態を十分に確認できるのか、画面共有された記録が完全で最新のものか、通信環境が不安定な場合に監査証拠を適切に確認できるのか、機密情報をオンラインで共有してよいのか、といった点です。 これらを十分に検討しないまま遠隔監査を実施すると、監査の信頼性が低下するおそれがあります。
ISO 19011:2026は、こうした実務上の課題に対応するため、遠隔監査方法を監査方法の一つとして位置づけ、監査目的、監査範囲、監査基準、監査証拠の入手可能性、情報セキュリティ、機密保持、通信技術の利用可能性、監査員の力量などを踏まえて、現地監査、遠隔監査、又はそれらの組合せを適切に選択する考え方が重要になります。
4. 「仮想場所」も監査範囲として考慮する時代へ
2026年版で注目すべきもう一つのポイントが、「仮想場所」です。
ISO 19011:2026では、監査範囲には、物理的な場所だけでなく、仮想場所も含まれ得ることが示されています。仮想場所とは、組織がオンライン環境を用いて作業を実施したり、サービスを提供したりする場を指します。
これは、ISO認証取得企業にとって大きな意味を持ちます。
従来の内部監査では、工場、事務所、倉庫、営業所など、物理的な拠点を中心に監査計画を立てることが一般的でした。 しかし、現在では、重要な業務プロセスがクラウド上で完結しているケースも少なくありません。
たとえば、品質記録がクラウドで管理されている場合、購買承認がワークフローシステムで行われている場合、顧客対応履歴がCRMに保存されている場合、設計レビューがオンラインで実施されている場合など、監査対象は「どの建物に行くか」だけでは決まりません。
むしろ、どのシステム上で、誰が、どの権限で、どの記録を作成し、承認し、保管しているのかを確認する必要があります。 内部監査の範囲を設定する際には、物理的な拠点だけでなく、クラウドサービス、業務システム、リモートワーク環境、電子記録の保存場所なども、業務プロセスの一部として捉えることが重要です。
5. 認証取得企業がまず意識すべきこと
ISO 19011:2026への対応として、最初に行うべきことは、内部監査の仕組みを冷静に点検することです。
- 内部監査規程や手順書に、遠隔監査の扱いは明記されているでしょうか?
- 監査計画書には、現地監査、遠隔監査、又はその組合せを選んだ理由が記録されているでしょうか?
- クラウドシステムや在宅勤務環境など、仮想場所が監査範囲から漏れていないでしょうか?
- 監査員は、オンライン環境でも客観的証拠を収集し、適切に評価できる力量を持っているでしょうか?
ここでいう力量とは、単にオンライン会議ツールを使えるという意味ではありません。 遠隔環境でも、監査基準に照らして客観的証拠を収集し、証拠の信頼性を評価し、監査所見を導き出せる能力を指します。 また、情報セキュリティや機密保持、画面共有・録画・スクリーンショットの取扱い、通信障害時の代替手段などについても、監査計画の段階で明確にしておくことが望まれます。
6. まず見直したい内部監査の実務ポイント
ISO 19011:2026を踏まえ、認証取得企業では次のような点を確認することが有効です。
- 内部監査計画に、現地監査、遠隔監査、又はその組合せを選定する考え方があるか?
- 監査範囲に、物理的な拠点だけでなく、仮想場所、クラウドシステム、電子記録、在宅勤務環境が必要に応じて含まれているか?
- 遠隔監査で確認する記録、画面、システム、参加者、アクセス権限が事前に整理されているか?
- 監査証拠が、完全性、正確性、一貫性、最新性の観点から確認されているか?
- 監査員の力量評価に、遠隔監査方法、ICTツールの使用、情報セキュリティ、オンラインでのインタビュー技法が含まれているか?
- 通信障害、アクセス権限不足、機密情報の取扱いなど、遠隔監査特有のリスクに対する代替手順が準備されているか?
これらは、単なる文書改訂のための確認事項ではありません。 内部監査を、組織の実態を正しく把握し、改善につなげる活動として機能させるための確認事項です。
第1回のまとめ
ISO 19011:2026は、2018年版の基本構造を大きく変更するものではありません。 主な改正ポイントは、遠隔監査方法及び仮想場所に関する手引が拡張されたことです。
ISO認証取得企業にとって重要なのは、「規格が変わったから形式的に手順書を直す」ことではありません。 自社の業務実態が、すでにオンライン化、クラウド化、分散化しているにもかかわらず、内部監査が従来の現地確認中心のままになっていないかを見直すことです。
内部監査は、認証維持のためだけに実施するものではありません。 組織のリスク、業務プロセス、管理の実態、改善の機会を把握するための重要なマネジメントツールです。 ISO 19011:2026をきっかけに、自社の内部監査が現在の働き方や業務プロセスに対応しているかを確認することが、マネジメントシステムの有効性向上につながります。
次回は、ISO 19011:2026の重要テーマである遠隔監査方法について、監査計画、監査証拠、情報セキュリティの観点から詳しく解説します。
Nemkoは、組織の実態に即した、活用できるマネジメントシステムのための審査を心掛けています。
マネジメントシステム規格の改正に関するお問い合わせ、マネジメントシステム認証に関するお問い合わせ、内部監査員研修に関するご相談は、MS認証部japan@nemko.comまでお気軽にご連絡ください。