ISO 19011:2026への対応は、ISO 9001やISO 14001などの認証要求事項が直接変わるという話ではありません。 しかし、内部監査の進め方、監査計画の立て方、監査員教育、監査記録の管理には、実務上の見直しが必要になります。
今回の改正で中心となるのは、遠隔監査方法と仮想場所への対応です。 ISO 19011:2026のまえがきでは、2018年版からの主な変更点として、ISO/IEC TS 17012に含まれる遠隔監査方法の手引の導入、ならびに附属書Aにおける遠隔監査方法及び仮想場所に関する手引の拡張が示されています。
つまり、ISO認証取得企業が取り組むべきことは、「遠隔監査を実施してよいか」を検討する段階にとどまりません。すでに多くの企業で、オンライン会議、クラウド上の記録確認、電子承認システムの確認などは行われています。 これから重要になるのは、それらを監査プログラムの中で正式に管理し、監査目的を達成できる方法として説明できる状態にすることです。
ISO公式情報でも、ISO 19011:2026は、マネジメントシステム監査の原則、監査プログラムのマネジメント、監査の実施、ならびに監査プロセスに関わる人々の力量評価に関する手引を提供する規格と説明されています。 また、ISO/IEC TS 17012:2024は、内部監査、第二者監査、第三者監査を含むマネジメントシステム監査における遠隔監査方法の使用に関する手引であり、遠隔監査方法の条件、可能性及び限界を考慮するうえで有用な文書です。
1. まず見直すべきは内部監査規程・手順書
最初に確認すべき文書は、内部監査規程または内部監査手順書です。
従来の手順書では、「監査員は被監査部門を訪問し、文書・記録及び現場を確認する」といった書き方になっていることがあります。 このような記載自体が誤りというわけではありませんが、遠隔監査や仮想場所を前提とした現在の業務環境には不十分な場合があります。
手順書には、少なくとも次のような事項を追加または明確化するとよいでしょう。
- 現地監査、遠隔監査、組合せ監査の定義
- 遠隔監査を適用できる条件
- 遠隔監査だけでは不十分と判断する条件
- 使用を認めるWeb会議ツールやファイル共有方法
- 画面共有、録画、録音、スクリーンショットの可否
- 電子記録の確認方法
- 機密情報、個人情報、顧客情報を扱う場合の注意事項
- 通信障害やシステム障害が発生した場合の対応
- 遠隔監査で確認した監査証拠の記録方法
- 監査終了後の一時ファイル削除及びアクセス権限解除の方法
特に重要なのは、「遠隔監査を使うかどうか」ではなく、「その方法で監査目的を達成できるか」を判断基準にすることです。 ISO 19011:2026では、監査方法は、監査目的、監査範囲及び監査基準に応じて選定すること、また現地監査、遠隔監査又はその組合せを、関連するリスク及び機会を考慮して適切にバランスさせることが示されています。
2. 年間内部監査計画に「監査方法」を明記する
次に見直すべきなのは、年間内部監査計画です。
多くの企業では、年間計画に監査対象部門、監査時期、監査員、対象規格を記載しています。 しかし、ISO 19011:2026を踏まえると、そこに監査方法を明記することが望まれます。
たとえば、次のような項目です。
- 監査対象プロセス
- 監査範囲
- 監査基準
- 監査方法
- 現地確認の有無
- 遠隔で確認する文書・記録
- 対象となるシステムや仮想場所
- 監査方法を選定した理由
- 情報セキュリティ上の注意点
- 必要な監査員の力量
- 通信障害時の代替手順
具体例を挙げると、購買プロセスの監査では次のように記載できます。
「購買申請、承認、発注記録はクラウド購買システム上で管理されているため、記録確認及び担当者インタビューは遠隔で実施する。受入検査及び現品識別の確認は、工場現地監査で実施する。」
このように記載すれば、遠隔監査を採用した理由と、現地監査を組み合わせる理由が明確になります。 監査計画に「遠隔」とだけ書くのではなく、何を遠隔で確認し、何を現地で確認するのかを分けて考えることが実務上のポイントです。
ISO 19011:2026では、監査計画において、監査目的、監査範囲、監査基準、監査方法、監査活動を行う物理的及び仮想的な場所、日付、予定時刻及び期間などを考慮することが示されています。
3. 仮想場所を監査範囲から漏らさない
ISO 19011:2026では、監査範囲に物理的な場所だけでなく仮想場所も含まれることが示されています。 仮想場所とは、オンライン環境を用いて組織が作業を実施したりサービスを提供したりする場所であり、物理的な所在地にかかわらずプロセスを実行できる環境です。
2018年版でも、監査範囲には物理的及び仮想的な場所、機能、組織単位、活動、プロセス、監査対象期間を含むことが示されていました。 2026年版では、遠隔監査方法の拡張とあわせて、この仮想場所の扱いがより重要になっています。
自社の内部監査計画を見直す際には、次のような仮想場所が監査対象から漏れていないかを確認してください。
- クラウド文書管理システム
- 電子承認ワークフロー
- 購買管理システム
- CRMや顧客対応履歴システム
- eラーニングシステム
- 設計データ共有システム
- 是正処置管理システム
- 在宅勤務環境で使用する業務システム
- オンラインサービス提供プラットフォーム
- アクセスログ、変更履歴、承認履歴を管理するシステム
たとえば、品質文書がクラウドで管理されているのに、内部監査で紙のファイルだけを確認している場合、実際の文書管理プロセスを十分に監査できていない可能性があります。
また、在宅勤務者が重要な業務判断や承認を行っている場合、監査対象は「自宅」そのものではありません。 監査対象は、在宅勤務環境で実行される業務プロセス、電子記録、情報管理ルール、アクセス権限、承認の証跡です。 監査では、私生活に過度に踏み込むのではなく、マネジメントシステムのプロセスと客観的証拠に焦点を当てることが重要です。
4. チェックリストは「電子記録」を前提に見直す
内部監査チェックリストも、2026年版を踏まえて見直したい文書の一つです。
従来のチェックリストでは、「手順書は最新版か」「記録は保管されているか」「承認印はあるか」といった設問が中心になりがちです。 しかし、業務が電子化されている場合、紙の記録を前提とした質問だけでは不十分です。
- 電子記録を監査する場合には、次のような設問を追加すると有効です。
- 電子記録の作成者、承認者、承認日時は確認できるか?
- 変更履歴は追跡できるか?
- 承認後に不適切な変更ができない仕組みになっているか?
- アクセス権限は役割に応じて設定されているか?
- 退職者・異動者・委託先担当者の権限は適時に削除または変更されているか?
- 最新版文書と旧版文書を識別できるか?
- クラウド上の記録は定められた保存期間に従って保管されているか?
- システム障害時の代替手順はあるか>
- オンラインで実施した教育、レビュー、承認の証跡は残っているか?
- 検索条件、抽出範囲、対象期間、サンプリング方法は明確か?
- 監査で確認した電子記録は、完全性、正確性、一貫性、最新性の観点で確認されているか?
ここで重要なのは、電子記録を単なる「紙の代わり」として見ないことです。 電子記録には、作成、承認、変更、削除、閲覧の履歴、アクセス権限、システム設定といった、紙にはない監査ポイントがあります。
ISO 19011:2026の附属書Aでは、情報を検証する際、文書化した情報が完全であるか、正確であるか、一貫しているか、最新であるかを考慮することが示されています。 電子記録の監査では、この観点をチェックリストに反映することが有効です。
5. 監査員教育に遠隔監査の力量を組み込む
遠隔監査や仮想場所の監査では、監査員に求められる力量も変わります。
もちろん、監査の原則、規格要求事項、プロセスアプローチ、リスクに基づくアプローチ、インタビュー技法、監査所見の作成といった基本力量はこれまでどおり重要です。
しかし、それに加えて、次のような力量が必要になります。
- オンラインインタビューを適切に進行する力
- 画面共有で記録を確認する力
- 電子記録の承認履歴や変更履歴を読み取る力
- クラウドシステムのアクセス権限やログを理解する力
- 遠隔監査で証拠が不十分な場合に追加確認を求める力
- 情報セキュリティや機密保持のリスクに気づく力
- 通信トラブル時に監査目的を損なわないよう調整する力
- 遠隔では確認しきれない事項について、現地確認への切替え又は追加監査を判断する力
ISO 19011:2026では、監査プログラムを管理する人の力量として、監査の原則、方法、プロセス、マネジメントシステム規格、被監査者の状況、法令・規制要求事項などに関する知識が示されています。 また、必要に応じて、リスクマネジメント、プロジェクト及びプロセスマネジメント、情報通信技術に関する知識も考慮できるとされています。 さらに、監査員には、ICTツールや新たな技術を用いて監査を実施することの適切性と影響を理解する力量も求められます。
内部監査員教育では、遠隔監査を単なるツール操作研修にしないことが重要です。 Web会議ツールの使い方だけでなく、「遠隔でも客観的証拠をどのように確認するか」「電子記録の信頼性をどのように評価するか」「遠隔では確認しきれない場合にどう判断するか」まで教育する必要があります。
6. 監査記録の保管ルールを明確にする
遠隔監査が増えると、監査記録も電子化されます。
監査計画書、チェックリスト、監査報告書だけでなく、画面共有で確認した記録のメモ、電子ファイル、オンライン会議の参加記録、チャットで共有された資料、スクリーンショットなどが監査に関係する可能性があります。
ISO 19011:2026では、監査記録を作成、管理、保持し、監査プログラムの実施を実証することが示されています。 また、監査記録に関連する情報セキュリティ及び機密保持のニーズに対応するプロセスを確立することも示されています。
したがって、次のようなルールを明確にしておく必要があります。
- 監査記録を保存する場所
- 保存期間
- アクセスできる人
- 監査員個人のPCへの保存可否
- クラウドストレージ利用時のアクセス権限
- 録画の可否と保存期間
- スクリーンショットの取得可否
- 個人情報や顧客情報を含む記録の扱い
- 監査終了後に削除すべき一時ファイル
- 監査終了後に解除すべきアクセス権限
- 外部提供者や委託先の情報を含む場合の共有制限
- 監査報告書への電子証拠の記載範囲
監査のために取得した情報が適切に管理されなければ、内部監査そのものが情報漏えいリスクになってしまいます。
監査は、組織の管理状況を確認する活動であると同時に、機密性の高い情報を取り扱う活動でもあります。
7. ISO認証取得企業向け・実務対応チェックリスト
最後に、ISO 19011:2026を踏まえて、ISO認証取得企業が確認すべき項目を整理します。
1) 内部監査規程・手順書
・遠隔監査、現地監査、組合せ監査の扱いを定義しているか
・遠隔監査の適用条件と制約を明確にしているか
・監査方法を、監査目的、監査範囲、監査基準、リスク及び機会に基づいて選定する仕組みになっているか
・情報セキュリティ、機密保持、録画、録音、画面共有、スクリーンショットのルールを定めているか
・通信障害やシステム障害時の対応を定めているか
2) 年間内部監査計画
・監査対象ごとに監査方法を明記しているか
・遠隔監査を選ぶ理由、現地監査を組み合わせる理由を説明できるか
・仮想場所やクラウドシステムが監査範囲から漏れていないか
・リスクの高いプロセスやパフォーマンスの低いプロセスに、監査資源を重点的に配分しているか
・対象となる電子記録、業務システム、アクセス権限、ログなどを明確にしているか
3) 監査チェックリスト
・電子記録、アクセス権限、変更履歴、承認履歴を確認する設問があるか
・在宅勤務やクラウド業務の管理状況を確認できるか
・紙の記録だけを前提にした設問になっていないか
・電子記録の完全性、正確性、一貫性、最新性を確認する観点があるか
・検索条件、対象期間、サンプリング方法を記録できるようになっているか
4) 監査員教育・力量管理
・遠隔監査の進め方を教育しているか
・電子記録やクラウドシステムの監査ポイントを理解しているか
・情報セキュリティと機密保持のリスクを判断できるか
・オンラインインタビュー、画面共有、電子記録確認、アクセス権限確認の実践的な訓練を行っているか
・監査員の力量評価に、ICTを用いた監査方法を含めているか
5) 監査記録管理
・電子的な監査記録の保存場所、保存期間、アクセス権限を定めているか
・スクリーンショット、録画、録音、共有ファイルの扱いを決めているか
・監査終了後の一時ファイル削除やアクセス解除を行っているか
・個人情報、顧客情報、営業秘密を含む監査記録の取扱いを明確にしているか
・監査記録の保管ルールが、社内の情報セキュリティ規程と整合しているか
6) 監査プログラムのレビュー
・遠隔監査で監査目的を達成できたかをレビューしているか
・遠隔では確認できなかった証拠や、現地確認が必要だった事項を記録しているか
・通信障害、アクセス権限不足、ツール不具合などを次回計画に反映しているか
・監査員の力量不足や教育ニーズを把握しているか
・監査結果をマネジメントレビューや改善活動に活用しているか
8. 認証機関による審査との関係で意識しておきたいこと
ISO 19011は、認証機関に対する要求事項ではなく、監査の指針です。第三者認証審査そのものには、ISO/IEC 17021-1など、認証機関に適用される要求事項があります。 ISO 19011:2026の序文でも、ISO/IEC 17021-1は第三者認証のためのマネジメントシステム審査に関する要求事項を提供する一方、ISO 19011は有用な追加手引を提供し得ることが示されています。
そのため、ISO 19011:2026の発行によって、認証要求事項や審査基準が直接変更されるわけではありません。 ただし、内部監査が組織の実際の業務プロセスを反映しているか、遠隔業務やクラウド上の記録を適切に監査対象に含めているか、監査結果が改善に活用されているかは、マネジメントシステムの有効性を確認するうえで重要です。
認証機関などがICTを用いて適合性評価を実施する場合については、IAF MD 4:2025で、ICTの使用が適合性評価の有効性に与えるリスク及び機会を特定し、文書化し、管理する考え方が示されています。 これは内部監査の直接要求事項ではありませんが、遠隔監査やICTを用いた監査方法を社内で設計する際の参考になります。
第5回のまとめ
ISO 19011:2026は、内部監査の基本を大きく変える規格ではありません。 しかし、遠隔監査方法と仮想場所への対応を明確にしたことで、ISO認証取得企業の内部監査制度には実務上の見直しが求められます。
見直しの中心は、内部監査規程、年間監査計画、チェックリスト、監査員教育、監査記録管理です。
重要なのは、遠隔監査を「便利だから使う」のではなく、監査目的を達成できる方法として計画し、リスクを評価し、必要な証拠を確認できるようにすることです。
業務のオンライン化、クラウド化、在宅勤務の定着により、監査対象は物理的な場所だけではなくなっています。ISO 19011:2026をきっかけに、自社の内部監査が現在の業務実態を正しく捉えているかを見直すことが、マネジメントシステムの有効性向上につながります。
Nemkoは、組織の実態に即した、活用できるマネジメントシステムのための審査を心掛けています。
マネジメントシステム規格の改正に関するお問い合わせ、マネジメントシステム認証に関するお問い合わせ、内部監査員研修に関するお問い合わせなど、MS認証部japan@nemko.comまでお気軽にご連絡ください。