ISO 19011:2026への対応は、ISO 9001やISO 14001などの認証要求事項が直接変わるという話ではありません。 しかし、内部監査の進め方、監査計画の立て方、監査員教育、監査記録の管理には、実務上の見直しが必要になります。
今回の改正で中心となるのは、遠隔監査方法と仮想場所への対応です。 ISO 19011:2026のまえがきでは、2018年版からの主な変更点として、ISO/IEC TS 17012に含まれる遠隔監査方法の手引の導入、ならびに附属書Aにおける遠隔監査方法及び仮想場所に関する手引の拡張が示されています。
つまり、ISO認証取得企業が取り組むべきことは、「遠隔監査を実施してよいか」を検討する段階にとどまりません。すでに多くの企業で、オンライン会議、クラウド上の記録確認、電子承認システムの確認などは行われています。 これから重要になるのは、それらを監査プログラムの中で正式に管理し、監査目的を達成できる方法として説明できる状態にすることです。
ISO公式情報でも、ISO 19011:2026は、マネジメントシステム監査の原則、監査プログラムのマネジメント、監査の実施、ならびに監査プロセスに関わる人々の力量評価に関する手引を提供する規格と説明されています。 また、ISO/IEC TS 17012:2024は、内部監査、第二者監査、第三者監査を含むマネジメントシステム監査における遠隔監査方法の使用に関する手引であり、遠隔監査方法の条件、可能性及び限界を考慮するうえで有用な文書です。
1. まず見直すべきは内部監査規程・手順書
最初に確認すべき文書は、内部監査規程または内部監査手順書です。
従来の手順書では、「監査員は被監査部門を訪問し、文書・記録及び現場を確認する」といった書き方になっていることがあります。 このような記載自体が誤りというわけではありませんが、遠隔監査や仮想場所を前提とした現在の業務環境には不十分な場合があります。
手順書には、少なくとも次のような事項を追加または明確化するとよいでしょう。
特に重要なのは、「遠隔監査を使うかどうか」ではなく、「その方法で監査目的を達成できるか」を判断基準にすることです。 ISO 19011:2026では、監査方法は、監査目的、監査範囲及び監査基準に応じて選定すること、また現地監査、遠隔監査又はその組合せを、関連するリスク及び機会を考慮して適切にバランスさせることが示されています。
2. 年間内部監査計画に「監査方法」を明記する
次に見直すべきなのは、年間内部監査計画です。
多くの企業では、年間計画に監査対象部門、監査時期、監査員、対象規格を記載しています。 しかし、ISO 19011:2026を踏まえると、そこに監査方法を明記することが望まれます。
たとえば、次のような項目です。
具体例を挙げると、購買プロセスの監査では次のように記載できます。
「購買申請、承認、発注記録はクラウド購買システム上で管理されているため、記録確認及び担当者インタビューは遠隔で実施する。受入検査及び現品識別の確認は、工場現地監査で実施する。」
このように記載すれば、遠隔監査を採用した理由と、現地監査を組み合わせる理由が明確になります。 監査計画に「遠隔」とだけ書くのではなく、何を遠隔で確認し、何を現地で確認するのかを分けて考えることが実務上のポイントです。
ISO 19011:2026では、監査計画において、監査目的、監査範囲、監査基準、監査方法、監査活動を行う物理的及び仮想的な場所、日付、予定時刻及び期間などを考慮することが示されています。
3. 仮想場所を監査範囲から漏らさない
ISO 19011:2026では、監査範囲に物理的な場所だけでなく仮想場所も含まれることが示されています。 仮想場所とは、オンライン環境を用いて組織が作業を実施したりサービスを提供したりする場所であり、物理的な所在地にかかわらずプロセスを実行できる環境です。
2018年版でも、監査範囲には物理的及び仮想的な場所、機能、組織単位、活動、プロセス、監査対象期間を含むことが示されていました。 2026年版では、遠隔監査方法の拡張とあわせて、この仮想場所の扱いがより重要になっています。
自社の内部監査計画を見直す際には、次のような仮想場所が監査対象から漏れていないかを確認してください。
たとえば、品質文書がクラウドで管理されているのに、内部監査で紙のファイルだけを確認している場合、実際の文書管理プロセスを十分に監査できていない可能性があります。
また、在宅勤務者が重要な業務判断や承認を行っている場合、監査対象は「自宅」そのものではありません。 監査対象は、在宅勤務環境で実行される業務プロセス、電子記録、情報管理ルール、アクセス権限、承認の証跡です。 監査では、私生活に過度に踏み込むのではなく、マネジメントシステムのプロセスと客観的証拠に焦点を当てることが重要です。
4. チェックリストは「電子記録」を前提に見直す
内部監査チェックリストも、2026年版を踏まえて見直したい文書の一つです。
従来のチェックリストでは、「手順書は最新版か」「記録は保管されているか」「承認印はあるか」といった設問が中心になりがちです。 しかし、業務が電子化されている場合、紙の記録を前提とした質問だけでは不十分です。
ここで重要なのは、電子記録を単なる「紙の代わり」として見ないことです。 電子記録には、作成、承認、変更、削除、閲覧の履歴、アクセス権限、システム設定といった、紙にはない監査ポイントがあります。
ISO 19011:2026の附属書Aでは、情報を検証する際、文書化した情報が完全であるか、正確であるか、一貫しているか、最新であるかを考慮することが示されています。 電子記録の監査では、この観点をチェックリストに反映することが有効です。
5. 監査員教育に遠隔監査の力量を組み込む
遠隔監査や仮想場所の監査では、監査員に求められる力量も変わります。
もちろん、監査の原則、規格要求事項、プロセスアプローチ、リスクに基づくアプローチ、インタビュー技法、監査所見の作成といった基本力量はこれまでどおり重要です。
しかし、それに加えて、次のような力量が必要になります。
ISO 19011:2026では、監査プログラムを管理する人の力量として、監査の原則、方法、プロセス、マネジメントシステム規格、被監査者の状況、法令・規制要求事項などに関する知識が示されています。 また、必要に応じて、リスクマネジメント、プロジェクト及びプロセスマネジメント、情報通信技術に関する知識も考慮できるとされています。 さらに、監査員には、ICTツールや新たな技術を用いて監査を実施することの適切性と影響を理解する力量も求められます。
内部監査員教育では、遠隔監査を単なるツール操作研修にしないことが重要です。 Web会議ツールの使い方だけでなく、「遠隔でも客観的証拠をどのように確認するか」「電子記録の信頼性をどのように評価するか」「遠隔では確認しきれない場合にどう判断するか」まで教育する必要があります。
6. 監査記録の保管ルールを明確にする
遠隔監査が増えると、監査記録も電子化されます。
監査計画書、チェックリスト、監査報告書だけでなく、画面共有で確認した記録のメモ、電子ファイル、オンライン会議の参加記録、チャットで共有された資料、スクリーンショットなどが監査に関係する可能性があります。
ISO 19011:2026では、監査記録を作成、管理、保持し、監査プログラムの実施を実証することが示されています。 また、監査記録に関連する情報セキュリティ及び機密保持のニーズに対応するプロセスを確立することも示されています。
したがって、次のようなルールを明確にしておく必要があります。
監査のために取得した情報が適切に管理されなければ、内部監査そのものが情報漏えいリスクになってしまいます。
監査は、組織の管理状況を確認する活動であると同時に、機密性の高い情報を取り扱う活動でもあります。
7. ISO認証取得企業向け・実務対応チェックリスト
最後に、ISO 19011:2026を踏まえて、ISO認証取得企業が確認すべき項目を整理します。
1) 内部監査規程・手順書
・遠隔監査、現地監査、組合せ監査の扱いを定義しているか
・遠隔監査の適用条件と制約を明確にしているか
・監査方法を、監査目的、監査範囲、監査基準、リスク及び機会に基づいて選定する仕組みになっているか
・情報セキュリティ、機密保持、録画、録音、画面共有、スクリーンショットのルールを定めているか
・通信障害やシステム障害時の対応を定めているか
2) 年間内部監査計画
・監査対象ごとに監査方法を明記しているか
・遠隔監査を選ぶ理由、現地監査を組み合わせる理由を説明できるか
・仮想場所やクラウドシステムが監査範囲から漏れていないか
・リスクの高いプロセスやパフォーマンスの低いプロセスに、監査資源を重点的に配分しているか
・対象となる電子記録、業務システム、アクセス権限、ログなどを明確にしているか
3) 監査チェックリスト
・電子記録、アクセス権限、変更履歴、承認履歴を確認する設問があるか
・在宅勤務やクラウド業務の管理状況を確認できるか
・紙の記録だけを前提にした設問になっていないか
・電子記録の完全性、正確性、一貫性、最新性を確認する観点があるか
・検索条件、対象期間、サンプリング方法を記録できるようになっているか
4) 監査員教育・力量管理
・遠隔監査の進め方を教育しているか
・電子記録やクラウドシステムの監査ポイントを理解しているか
・情報セキュリティと機密保持のリスクを判断できるか
・オンラインインタビュー、画面共有、電子記録確認、アクセス権限確認の実践的な訓練を行っているか
・監査員の力量評価に、ICTを用いた監査方法を含めているか
5) 監査記録管理
・電子的な監査記録の保存場所、保存期間、アクセス権限を定めているか
・スクリーンショット、録画、録音、共有ファイルの扱いを決めているか
・監査終了後の一時ファイル削除やアクセス解除を行っているか
・個人情報、顧客情報、営業秘密を含む監査記録の取扱いを明確にしているか
・監査記録の保管ルールが、社内の情報セキュリティ規程と整合しているか
6) 監査プログラムのレビュー
・遠隔監査で監査目的を達成できたかをレビューしているか
・遠隔では確認できなかった証拠や、現地確認が必要だった事項を記録しているか
・通信障害、アクセス権限不足、ツール不具合などを次回計画に反映しているか
・監査員の力量不足や教育ニーズを把握しているか
・監査結果をマネジメントレビューや改善活動に活用しているか
8. 認証機関による審査との関係で意識しておきたいこと
ISO 19011は、認証機関に対する要求事項ではなく、監査の指針です。第三者認証審査そのものには、ISO/IEC 17021-1など、認証機関に適用される要求事項があります。 ISO 19011:2026の序文でも、ISO/IEC 17021-1は第三者認証のためのマネジメントシステム審査に関する要求事項を提供する一方、ISO 19011は有用な追加手引を提供し得ることが示されています。
そのため、ISO 19011:2026の発行によって、認証要求事項や審査基準が直接変更されるわけではありません。 ただし、内部監査が組織の実際の業務プロセスを反映しているか、遠隔業務やクラウド上の記録を適切に監査対象に含めているか、監査結果が改善に活用されているかは、マネジメントシステムの有効性を確認するうえで重要です。
認証機関などがICTを用いて適合性評価を実施する場合については、IAF MD 4:2025で、ICTの使用が適合性評価の有効性に与えるリスク及び機会を特定し、文書化し、管理する考え方が示されています。 これは内部監査の直接要求事項ではありませんが、遠隔監査やICTを用いた監査方法を社内で設計する際の参考になります。
第5回のまとめ
ISO 19011:2026は、内部監査の基本を大きく変える規格ではありません。 しかし、遠隔監査方法と仮想場所への対応を明確にしたことで、ISO認証取得企業の内部監査制度には実務上の見直しが求められます。
見直しの中心は、内部監査規程、年間監査計画、チェックリスト、監査員教育、監査記録管理です。
重要なのは、遠隔監査を「便利だから使う」のではなく、監査目的を達成できる方法として計画し、リスクを評価し、必要な証拠を確認できるようにすることです。
業務のオンライン化、クラウド化、在宅勤務の定着により、監査対象は物理的な場所だけではなくなっています。ISO 19011:2026をきっかけに、自社の内部監査が現在の業務実態を正しく捉えているかを見直すことが、マネジメントシステムの有効性向上につながります。
Nemkoは、組織の実態に即した、活用できるマネジメントシステムのための審査を心掛けています。
マネジメントシステム規格の改正に関するお問い合わせ、マネジメントシステム認証に関するお問い合わせ、内部監査員研修に関するお問い合わせなど、MS認証部japan@nemko.comまでお気軽にご連絡ください。