Q 19011:2019 (ISO 19011:2018)
(1)
目 次
ページ
序文 ··································································································································· 1
1 適用範囲························································································································· 2
2 引用規格························································································································· 2
3 用語及び定義 ··················································································································· 3
4 監査の原則 ······················································································································ 7
5 監査プログラムのマネジメント ··························································································· 8
5.1 一般 ···························································································································· 8
5.2 監査プログラムの目的の確立 ·························································································· 10
5.3 監査プログラムのリスク及び機会の決定及び評価 ································································ 11
5.4 監査プログラムの確立 ··································································································· 12
5.5 監査プログラムの実施 ··································································································· 13
5.6 監査プログラムの監視 ··································································································· 17
5.7 監査プログラムのレビュー及び改善·················································································· 18
6 監査の実施 ····················································································································· 18
6.1 一般 ··························································································································· 18
6.2 監査の開始 ·················································································································· 18
6.3 監査活動の準備 ············································································································ 19
6.4 監査活動の実施 ············································································································ 21
6.5 監査報告書の作成及び配付 ····························································································· 26
6.6 監査の完了 ·················································································································· 27
6.7 監査のフォローアップの実施 ·························································································· 27
7 監査員の力量及び評価 ······································································································ 28
7.1 一般 ··························································································································· 28
7.2 監査員の力量の決定 ······································································································ 28
7.3 監査員の評価基準の確立 ································································································ 32
7.4 監査員の適切な評価方法の選択 ······················································································· 32
7.5 監査員の評価の実施 ······································································································ 33
7.6 監査員の力量の維持及び向上 ·························································································· 33
附属書A(参考)監査を計画及び実施する監査員に対する追加の手引 ············································ 34
Q 19011:2019 (ISO 19011:2018)
(2)
まえがき
この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般財団法人日本
規格協会(JSA)から,工業標準原案を具して日本工業規格を改正すべきとの申出があり,日本工業標準
調査会の審議を経て,経済産業大臣が改正した日本工業規格である。
これによって,JIS Q 19011:2012は改正され,この規格に置き換えられた。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。
日本工業規格 JIS
Q 19011:2019
(ISO 19011:2018)
マネジメントシステム監査のための指針
Guidelines for auditing management systems
序文
この規格は,2018年に第3版として発行されたISO 19011を基に,技術的内容及び構成を変更すること
なく作成した日本工業規格である。
なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。
この規格の2012年版に対する主な変更点は,次のとおりである。
− 監査の原則への,リスクに基づくアプローチの追加
− 監査プログラムのマネジメントに関する手引の拡張。この拡張には監査プログラムのリスクを含む。
− 監査の実施に関する手引の拡張,特に,監査計画の策定の部分
− 監査員に関する共通的な力量要求事項の拡張
− 対象[“もの(thing)”)]でなく,プロセスを反映する用語の調整
− 特定のマネジメントシステム分野の監査に関する力量要求事項を扱う附属書の削除(個々のマネジメ
ントシステム規格の数が多く,全ての分野に関する力量要求事項を含めるのは現実的でない。)
− 組織構造,リーダーシップ及びコミットメント,仮想監査,順守,サプライチェーンなどの(新しい)
概念を監査することに関する手引を提供するための附属書Aの拡張
JIS Q 19011:2012を発効して以降,多くの新しいマネジメントシステム規格が発効されてきており,そ
の多くが共通の構造,共通の中核となる要求事項,並びに共通の用語及び中核となる定義をもっている。
結果として,より共通的な手引を与えることに加え,マネジメントシステム監査へのより幅広いアプロー
チを考慮する必要がある。監査結果は,事業計画策定の分析の側面に対してインプットを提供し,改善の
必要性及び活動の特定に寄与することができる。
監査は,様々な監査基準の,個別又は組合せに対して行うことができる。この監査基準には次の事項を
含むが,これらに限らない。
− 一つ又は複数のマネジメントシステム規格で定める要求事項
− 関連する利害関係者が規定する方針及び要求事項
− 法令・規制要求事項
− 組織又は他の関係者が定めた一つ又は複数のマネジメントシステムプロセス
− マネジメントシステムの特定のアウトプットの提供に関係するマネジメントシステムの計画(例えば,
品質計画,プロジェクト計画)
この規格は,全ての規模及びタイプの組織,並びに様々な範囲及び規模の監査に対して,手引を提供す
る。これには,一般的に更に大規模な組織で大規模監査チームが行う監査,及び組織規模の大小に関わり
なく単独の監査員が行う監査が含まれる。この手引は,監査プログラムの範囲,複雑性及び規模に適切に
対応させることが望ましい。
2
Q 19011:2019 (ISO 19011:2018)
この規格は,内部監査(第一者),並びに組織が組織の外部提供者及びその他の外部利害関係者(第二者)
に対して行う監査に焦点を合わせている。この規格はまた,第三者マネジメントシステム認証以外の目的
で行う外部監査においても有用となり得る。JIS Q 17021-1は,認証を目的としたマネジメントシステムの
監査における要求事項を提供する。この規格は,有用な追加的な手引を提供し得る(表1参照)。
表1−監査のタイプ
第一者監査
第二者監査
第三者監査
内部監査
外部提供者監査
認証審査及び/又は認定監査
他の外部利害関係者による監査
法令,規制及び類似の監査
この規格は,幅広い潜在的利用者に適用することを意図している。この潜在的利用者には,監査員,マ
ネジメントシステムを実施する組織,及び契約上の又は規制上の理由によってマネジメントシステム監査
の実施が必要な組織を含む。一方で,この規格の利用者は,利用者自身の監査に関連する要求事項を作成
するときにこの手引を適用することができる。
この規格に示す手引はまた,自己宣言のために利用することもでき,さらに,監査員の研修機関又は要
員認証機関にとっても有用となり得る。
この規格に示す手引は,柔軟性のあることを意図している。規格本文の様々な箇所で示すように,この
手引の利用の仕方は,監査の対象となる組織のマネジメントシステムの規模及び成熟度に応じて変わり得
る。また,監査の対象となる組織の性質及び複雑さ,並びに実施する監査の目的及び範囲も考慮すること
が望ましい。
この規格は,異なった分野の複数のマネジメントシステムを一緒に監査する場合,複合監査のアプロー
チを取り入れている。これらのシステムを一つのマネジメントシステムに統合する場合,監査の原則及び
プロセスは,複合監査(統合監査といわれることもある)の場合と同じである。
この規格は,監査プログラムのマネジメント,マネジメントシステム監査の計画及び実施,並びに監査
員及び監査チームの力量及び評価に関する手引を提供している。
1
適用範囲
この規格は,マネジメントシステム監査のための手引を提供する。これには,監査の原則,監査プログ
ラムのマネジメント,マネジメントシステム監査の実施,並びに監査プロセスに関わる人の力量の評価を
含む。これらの活動には,監査プログラムをマネジメントする人,監査員及び監査チームを含む。
この規格は,マネジメントシステムの内部監査若しくは外部監査を計画し,行う必要のある,又は監査
プログラムのマネジメントを行う必要のある全ての組織に適用できる。
この規格を他のタイプの監査に適用することも可能ではあるが,その場合は,必要とされる固有の力量
について特別な考慮が必要となる。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO 19011:2018,Guidelines for auditing management systems(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。
2
引用規格
この規格には,引用規格はない。
3
Q 19011:2019 (ISO 19011:2018)
3
用語及び定義
この規格で用いる主な用語の定義は,次による。
ISO及びIECは,標準化に使用するための用語データベースを次のアドレスに維持している。
− ISO Online browsing platform:https://www.iso.org/obp
− IEC Electropedia:http://www.electropedia.org/
3.1
監査(audit)
監査基準(3.7)が満たされている程度を判定するために,客観的証拠(3.8)を収集し,それを客観的
に評価するための,体系的で,独立し,文書化したプロセス。
注記1 内部監査は,第一者監査と呼ばれることもあり,その組織自体又は代理人によって行われる。
注記2 外部監査には,一般的に第二者監査及び第三者監査と呼ばれるものが含まれる。第二者監査
は,顧客など,その組織に利害をもつ者又はその代理人によって行われる。第三者監査は,
適合に関する認証・登録を提供する機関又は政府機関のような,独立した監査組織によって
行われる。
(出典:JIS Q 9000:2015の3.13.1を変更。注記を変更した。)
3.2
複合監査(combined audit)
一つの被監査者(3.13)において,複数のマネジメントシステム(3.18)を同時に監査(3.1)すること。
注記 複数の分野固有のマネジメントシステムを単一のマネジメントシステムに統合する場合,これ
は統合マネジメントシステムと呼ばれる。
(出典:JIS Q 9000:2015の3.13.2を変更。)
3.3
合同監査(joint audit)
複数の監査(3.1)する組織が一つの被監査者(3.13)を監査すること。
(出典:JIS Q 9000:2015の3.13.3)
3.4
監査プログラム(audit programme)
特定の目的に向けた,決められた期間内で実行するように計画された一連の監査(3.1)に関する取決め。
(出典:JIS Q 9000:2015の3.13.4を変更。定義に語句を追加した。)
3.5
監査範囲(audit scope)
監査(3.1)の及ぶ領域及び境界。
注記1 監査範囲には,一般に,物理的及び仮想的な場所,機能,組織単位,活動,プロセス,並び
に監査の対象となる期間を示すものを含む。
注記2 仮想的な場所とは,オンライン環境を用いて,組織が作業を実施する,又はサービスを提供
する場所のことであり,その環境では,人が物理的な場所にかかわらずプロセスを実行する
ことを可能にする。
(出典:JIS Q 9000:2015の3.13.5を変更。注記1を変更し,注記2を追加した。)
3.6
監査計画(audit plan)
4
Q 19011:2019 (ISO 19011:2018)
監査(3.1)のための活動及び手配事項を示すもの。
(出典:JIS Q 9000:2015の3.13.6)
3.7
監査基準(audit criteria)
客観的証拠(3.8)と比較する基準として用いる一連の要求事項(3.23)。
注記1 監査基準が法的(法令・規制を含む。)要求事項である場合,監査所見(3.10)において“順
守”又は“不順守”の用語がしばしば用いられる。
注記2 要求事項には,方針,手順,作業指示,法的要求事項,契約上の義務などを含んでもよい。
(出典:JIS Q 9000:2015の3.13.7を変更。定義を変更し,注記1及び注記2を追加した。)
3.8
客観的証拠(objective evidence)
あるものの存在又は真実を裏付けるデータ。
注記1 客観的証拠は,観察,測定,試験又はその他の手段によって得ることができる。
注記2 監査(3.1)のための客観的証拠は,一般に,監査基準(3.7)に関連し,かつ,検証できる,
記録,事実の記述又はその他の情報から成る。
(出典:JIS Q 9000:2015の3.8.3)
3.9
監査証拠(audit evidence)
監査基準(3.7)に関連し,かつ,検証できる,記録,事実の記述又はその他の情報。
(出典:JIS Q 9000:2015の3.13.8)
3.10
監査所見(audit findings)
収集された監査証拠(3.9)を,監査基準(3.7)に対して評価した結果。
注記1 監査所見は,適合(3.20)又は不適合(3.21)を示す。
注記2 監査所見は,リスク若しくは改善の機会の特定,又は優れた実践事例の記録を導き得る。
注記3 監査基準が法令要求事項又は規制要求事項から選択される場合,監査所見は“順守”又は“不
順守”と呼ばれる。
(出典:JIS Q 9000:2015の3.13.9を変更。注記2及び注記3を変更した。)
3.11
監査結論(audit conclusion)
監査(3.1)目的及び全ての監査所見(3.10)を考慮した上での,監査の結論。
(出典:JIS Q 9000:2015の3.13.10)
3.12
監査依頼者(audit client)
監査(3.1)を要請する組織又は個人。
注記 内部監査の場合,監査依頼者は,被監査者(3.13)又は監査プログラムをマネジメントする人
でもあり得る。外部監査の要請は,規制当局,契約当事者,潜在的な依頼者又は既存の依頼者
からあり得る。
(出典:JIS Q 9000:2015の3.13.11を変更。注記を追加した。)
5
Q 19011:2019 (ISO 19011:2018)
3.13
被監査者(auditee)
監査される,組織の全体又はその一部。
(出典:JIS Q 9000:2015の3.13.12を変更。)
3.14
監査チーム(audit team)
監査(3.1)を行う個人又は複数の人。必要な場合は,技術専門家(3.16)による支援を受ける。
注記1 監査チーム(3.14)の中の一人の監査員(3.15)は,監査チームリーダーに指名される。
注記2 監査チームには,訓練中の監査員を含めることができる。
(出典:JIS Q 9000:2015の3.13.14)
3.15
監査員(auditor)
監査(3.1)を行う人。
(出典:JIS Q 9000:2015の3.13.15)
3.16
技術専門家(technical expert)
<監査>監査チーム(3.14)に特定の知識又は専門的技術を提供する人。
注記1 特定の知識又は専門的技術とは,監査される組織,活動,プロセス,製品,サービス若しく
は監査する分野に関係するもの,又は言語若しくは文化に関係するものである。
注記2 監査チーム(3.14)に対する技術専門家は,監査員(3.15)としての行動はしない。
(出典:JIS Q 9000:2015の3.13.16を変更。注記1及び注記2を変更した。)
3.17
オブザーバ(observer)
監査チーム(3.14)に同行するが,監査員(3.15)として行動しない人。
(出典:JIS Q 9000:2015の3.13.17を変更。)
3.18
マネジメントシステム(management system)
方針及び目的(又は目標),並びにその目的(又は目標)を達成するためのプロセス(3.24)を確立する
ための,相互に関連する又は相互に作用する,組織の一連の要素。
注記1 一つのマネジメントシステムは,例えば,品質マネジメント,財務マネジメント,環境マネ
ジメントなど,単一又は複数の分野を取り扱うことができる。
注記2 マネジメントシステムの要素は,目的(又は目標)を達成するための,組織の構造,役割及
び責任,計画策定,運用,方針,慣行,規則,信条,目的(又は目標),並びにプロセスを確
立する。
注記3 マネジメントシステムの適用範囲としては,組織全体,組織内の固有で特定された機能,組
織内の固有で特定された部門,複数の組織の集まりを横断する一つ又は複数の機能,などが
あり得る。
(出典:JIS Q 9000:2015の3.5.3を変更。)
3.19
リスク(risk)
6
Q 19011:2019 (ISO 19011:2018)
不確かさの影響。
注記1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離す
ることをいう。
注記2 不確かさとは,事象,その結果及びその起こりやすさに関する,情報,理解又は知識に,た
とえ部分的にでも不備がある状態をいう。
注記3 リスクは,起こり得る事象(JIS Q 0073:2010の3.5.1.3の定義を参照。)及び結果(JIS Q
0073:2010の3.6.1.3の定義を参照。),又はこれらの組合せについて述べることによって,そ
の特徴を示すことが多い。
注記4 リスクは,ある事象(その周辺状況の変化を含む。)の結果とその発生の起こりやすさ(JIS Q
0073:2010の3.6.1.1の定義を参照。)との組合せとして表現されることが多い。
(出典:JIS Q 9000:2015の3.7.9を変更。注記5及び注記6を削除した。)
3.20
適合(conformity)
要求事項(3.23)を満たしていること。
(出典:JIS Q 9000:2015の3.6.11を変更。注記1及び注記2を削除した。)
3.21
不適合(nonconformity)
要求事項(3.23)を満たしていないこと。
(出典:JIS Q 9000:2015の3.6.9を変更。注記を削除した。)
3.22
力量(competence)
意図した結果を達成するために,知識及び技能を適用する能力。
(出典:JIS Q 9000:2015の3.10.4を変更。注記1及び注記2を削除した。)
3.23
要求事項(requirement)
明示されている,通常暗黙のうちに了解されている又は義務として要求されている,ニーズ又は期待。
注記1 “通常暗黙のうちに了解されている”とは,対象となるニーズ又は期待が暗黙のうちに了解
されていることが,組織及び利害関係者にとって慣習又は慣行であることを意味する。
注記2 規定要求事項とは,例えば,文書化した情報の中で明示されている要求事項をいう。
(出典:JIS Q 9000:2015の3.6.4を変更。注記3〜注記6を削除した。)
3.24
プロセス(process)
インプットを使用して意図した結果を生み出す,相互に関連する又は相互に作用する一連の活動。
(出典:JIS Q 9000:2015の3.4.1を変更。注記1〜注記6を削除した。)
3.25
パフォーマンス(performance)
測定可能な結果。
注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。
注記2 パフォーマンスは,活動,プロセス(3.24),製品,サービス,システム,又は組織の運営管
理に関連し得る。
7
Q 19011:2019 (ISO 19011:2018)
(出典:JIS Q 9000:2015の3.7.8を変更。注記3を削除した。)
3.26
有効性(effectiveness)
計画した活動を実行し,計画した結果を達成した程度。
(出典:JIS Q 9000:2015の3.7.11を変更。注記を削除した。)
4
監査の原則
監査は幾つかの原則に準拠しているという特徴がある。これらの原則は,組織がそのパフォーマンス改
善のために行動できる情報を監査が提供することによって,マネジメントの方針及び管理業務を支援する
有効な,かつ,信頼のおけるツールとなるのを支援することが望ましい。適切で,かつ,十分な監査結論
を導き出すため,そして,互いに独立して監査を行ったとしても同じような状況に置かれれば,どの監査
員も同じような結論に達することができるようにするためには,これらの原則の順守は,必須条件である。
この規格の箇条5〜箇条7で示す手引は,次に概要を示す七つの原則に基づく。
a) 高潔さ:専門家であることの基礎
監査員,及び監査プログラムをマネジメントする人は,次の事項を行うことが望ましい。
− 自身の業務を倫理的に,正直に,かつ責任感をもって行う。
− 監査活動を,それを行う力量がある場合にだけ実施する。
− 自身の業務を,公平な進め方で,すなわち,全ての対応において公正さをもち,偏りなく行う。
− 監査の実施中にもたらされるかもしれない,自身の判断へのいかなる影響に対しても,敏感である。
b) 公正な報告:ありのままに,かつ,正確に報告する義務
監査所見,監査結論及び監査報告は,ありのままに,かつ,正確に監査活動を反映することが望ま
しい。監査中に遭遇した顕著な障害,及び監査チームと被監査者との間で解決に至らない意見の相違
について報告することが望ましい。コミュニケーションはありのままに,正確で,客観的で,時宜を
得て,明確かつ完全であることが望ましい。
c) 専門家としての正当な注意:監査の際の広範な注意及び判断
監査員は,自らが行っている業務の重要性,並びに監査依頼者及びその他の利害関係者が監査員に
対して抱いている信頼に見合う正当な注意を払うことが望ましい。専門家としての正当な注意をもっ
て業務を行う場合の重要な点は,全ての監査状況において根拠ある判断を行う能力をもつことである。
d) 機密保持:情報のセキュリティ
監査員は,その任務において得た情報の利用及び保護について慎重であることが望ましい。監査情
報は,個人的利益のために,監査員又は監査依頼者によって不適切に,又は,被監査者の正当な利益
に害をもたらす方法で使用しないことが望ましい。この概念には,取扱いに注意を要する又は機密性
のある情報の適切な取扱いを含む。
e) 独立性:監査の公平性及び監査結論の客観性の基礎
監査員は,実行可能な限り監査の対象となる活動から独立した立場にあり,全ての場合において偏
り及び利害抵触がない形で行動することが望ましい。内部監査では,監査員は,実行可能な場合には,
監査の対象となる機能から独立した立場にあることが望ましい。監査員は,監査所見及び監査結論が
監査証拠だけに基づくことを確実にするために,監査プロセス中,終始一貫して客観性を維持するこ
とが望ましい。
小規模の組織においては,内部監査員が監査の対象となる活動から完全に独立していることは可能
8
Q 19011:2019 (ISO 19011:2018)
でない場合もあるが,偏りをなくし,客観性を保つあらゆる努力を行うことが望ましい。
f)
証拠に基づくアプローチ:体系的な監査プロセスにおいて,信頼性及び再現性のある監査結論に到達
するための合理的な方法
監査証拠は,検証可能なものであることが望ましい。監査は限られた時間及び資源で行われるので,
監査証拠は,一般的に,入手可能な情報からのサンプルに基づくことが望ましい。監査結論にどれだ
けの信頼をおけるかということと密接に関係しているため,サンプリングを適切に活用することが望
ましい。
g) リスクに基づくアプローチ:リスク及び機会を考慮する監査アプローチ
リスクに基づくアプローチは,監査が,監査依頼者にとって,また,監査プログラムの目的を達成
するために重要な事項に焦点を当てることを確実にするため,監査の計画,実施及び報告に対して実
質的に影響を及ぼすことが望ましい。
5
監査プログラムのマネジメント
5.1
一般
監査プログラムは,一つ若しくは複数のマネジメントシステム規格又はその他の要求事項に対処し,単
独で又は組み合わせて(複合監査)行う監査を含み得るものを確立することが望ましい。
監査プログラムの及ぶ領域は,被監査者の規模及び性質のほか,監査の対象となるマネジメントシステ
ムの性質,機能性,複雑さ,リスク及び機会のタイプ,並びに成熟度に基づくことが望ましい。
マネジメントシステムの機能性は,重要機能の大半を外部委託し,他の組織のリーダーシップの下でマ
ネジメントする場合,更に複雑なものとなり得る。最も重要な決定をどこで下すか,及びマネジメントシ
ステムのトップマネジメントがどのような構成かについて,特別の注意を払う必要がある。
複数の場所・現地(例えば,異なる国々)の場合,又は重要な機能を外部委託し,別の組織のリーダー
シップの下でマネジメントする場合,監査プログラムの設計,計画及び妥当性確認に特別の注意を払うこ
とが望ましい。
小規模の又はそれほど複雑でない組織の場合には,監査プログラムの規模は,適切に縮小できる。
被監査者の状況を理解するために,監査プログラムは,被監査者について,次の事項を考慮に入れるこ
とが望ましい。
− 組織の目的
− 関連する外部及び内部の課題
− 関連する利害関係者のニーズ及び期待
− 情報セキュリティ及び機密保持の要求事項
内部監査プログラムの計画の策定,及び場合によっては外部提供者を監査するプログラムの計画の策定
は,組織の他の目的にも寄与するように取り決めることができる。
監査プログラムをマネジメントする人は,監査の“完全に整っている状態”(integrity)を維持し,監査
に過度の影響が及ばないことを確実にすることが望ましい。
監査の優先順位は,マネジメントシステムにおいて内在するリスクが高く,パフォーマンスレベルが低
い事項に対して資源及び手法を割り当てるよう,与えられることが望ましい。
監査プログラムをマネジメントするためには,力量のある人を割り当てることが望ましい。
監査プログラムは,決められた期間内で有効にかつ効率的に監査を行えるようにするための情報を含め
て,資源を特定することが望ましい。そのような情報には,次の事項を含めることが望ましい。
9
Q 19011:2019 (ISO 19011:2018)
a) 監査プログラムの目的
b) 監査プログラムに付随するリスク及び機会(5.3参照)並びにそれらに対処する活動
c) 監査プログラム内の各監査の範囲(及ぶ領域,境界及び場所)
d) 監査のスケジュール(回数・期間・頻度)
e) 監査のタイプ,例えば内部監査又は外部監査
f)
監査基準
g) 採用する監査方法
h) 監査チームメンバーの選定基準
i)
関連する文書化した情報
これらの情報の幾つかは,より詳細な監査計画の策定が完了するまでは利用できない場合がある。
監査プログラムの実施状況を,その目的が達成されていることを確実にするために継続的に監視し,測
定する(5.6参照)ことが望ましい。監査プログラムは,変更の必要性及び改善の機会の可能性を特定する
ためにレビューすることが望ましい(5.7参照)。
監査プログラムのマネジメントのためのプロセスフローを図1に示す。
10
Q 19011:2019 (ISO 19011:2018)
注記1 この図は,この規格における“Plan-Do-Check-Act”(PDCA)サイクルの適用について示している。
注記2 箇条・細分箇条の番号付けは,この規格の関連する箇条・細分箇条番号を示す。
図1−監査プログラムのマネジメントのためのプロセスフロー
5.2
監査プログラムの目的の確立
監査依頼者は,監査の計画策定及び実施を指示するために監査プログラムの目的が確立され,その監査
プログラムが有効に実施されるのを確実にすることが望ましい。監査プログラムの目的は,監査依頼者の
戦略的方向と整合し,マネジメントシステムの方針及び目的(又は目標)を支持するものであることが望
ましい。
監査プログラムの目的は,次の考慮事項に基づき得る。
a) 外部及び内部双方の,関連する利害関係者のニーズ及び期待
b) プロセス,製品,サービス及びプロジェクトの特性並びにそれらに関わる要求事項,並びにそれらに
対する変化
11
Q 19011:2019 (ISO 19011:2018)
c) マネジメントシステムの要求事項
d) 外部提供者を評価することの必要性
e) 被監査者のマネジメントシステムに関する,パフォーマンスのレベル及び成熟度。それらは,関連す
るパフォーマンス指標(例:KPI),不適合若しくはインシデントの発生,又は利害関係者からの苦情
が反映されたものである。
f)
被監査者に対して特定されたリスク及び機会
g) 前回までの監査の結果
監査プログラムの目的の例には,次の事項を含み得る。
− マネジメントシステム及びそのパフォーマンスの改善の機会を特定する。
− 被監査者が自身の状況を明確にする能力を評価する。
− リスク及び機会を決定し,それらに対処する有効な活動を特定し実施する,被監査者の能力を評価す
る。
− 全ての関連する要求事項,例えば法令・規制要求事項,順守のコミットメント,マネジメントシステ
ム規格の認証に関する要求事項に適合する。
− 外部提供者の能力における信頼を獲得し,維持する。
− 被監査者のマネジメントシステムの継続的な適切性,妥当性及び有効性を決定する。
− マネジメントシステムの目的(又は目標)が,組織の戦略的方向と両立し,整合しているかを評価す
る。
5.3
監査プログラムのリスク及び機会の決定及び評価
被監査者の状況に関係してリスク及び機会があり,それらは監査プログラムに付随し,その目的の達成
に影響を及ぼし得る。監査プログラムをマネジメントする人は,監査プログラム及び資源に関する要求事
項を策定する際に考慮されるリスク及び機会に適切に対処するために,それらを特定し,監査依頼者に対
して提示することが望ましい。
次の事項に付随するリスクがあり得る。
a) 計画の策定。例えば,関連する監査目的の設定における失敗,並びに監査の及ぶ領域,回数,期間,
場所及びスケジュールの決定における失敗。
b) 資源。例えば,監査プログラムの策定又は監査の実施に十分な時間,機器及び/又は訓練を与えない。
c) 監査チームの選定。例えば,監査を有効に行う全体としての力量が不十分である。
d) コミュニケーション。例えば,外部・内部コミュニケーションのプロセス・手段が有効でない。
e) 実施。例えば,監査プログラム内における調整が有効でない,又は情報セキュリティ及び機密保持を
考慮していない。
f)
文書化した情報の管理。例えば,監査員及び関連する利害関係者が必要とする文書化した情報の決定
が有効でなく,監査プログラムの有効性を実証するための監査記録の保護が十分でない。
g) 監査プログラムの監視,レビュー及び改善。例えば,監査プログラムの成果が有効に監視されていな
い。
h) 被監査者の参加可能性及び協力,並びにサンプリングする証拠の利用可能性
監査プログラムを改善する機会には,次の事項を含み得る。
− 一回の訪問で複数の監査を行うことを認める。
− 現地への移動時間及び距離を最小限にする。
− 監査チームの力量レベルを,監査目的を達成するために必要な力量レベルに合わせる。
12
Q 19011:2019 (ISO 19011:2018)
− 監査日を,被監査者の主要なスタッフが参加可能な日に合わせる。
5.4
監査プログラムの確立
5.4.1
監査プログラムをマネジメントする人の役割及び責任
監査プログラムをマネジメントする人は,次の事項を行うことが望ましい。
a) 監査プログラムの及ぶ領域を,関連のある目的(5.2参照)及び全ての既知の制約に基づいて確立する。
b) 外部及び内部の課題,並びに監査プログラムに影響を及ぼし得るリスク及び機会を決定し,それらに
対処する活動を実施し,必要に応じて,これらの活動を全ての関連する監査活動に統合する。
c) 監査チームの選定及び監査活動についての全体としての力量を確実にする。これは,役割,責任及び
権限を割り当て,必要に応じて,リーダーシップを支援することによる。
d) 次の事項のためのプロセスを含む,全ての関連プロセスを確立する。
− 監査プログラム内の全ての監査の調整及びスケジュールの策定
− 監査の目的,範囲及び基準の確立,監査方法の決定,並びに監査チームの選定
− 監査員の評価
− 必要に応じて,外部及び内部コミュニケーションプロセスの確立
− 紛争の解決及び苦情の取扱い
− 該当する場合は,監査のフォローアップ
− 必要に応じて,監査依頼者及び関連する利害関係者への報告
e) 全ての必要な資源の提供を決定し,それを確実にする。
f)
適切な文書化した情報を作成し維持することを確実にする。これには,監査プログラムの記録を含む。
g) 監査プログラムを監視し,レビューし,改善する。
h) 監査プログラムを監査依頼者,及び必要に応じて,関連する利害関係者へ伝達する。
監査プログラムをマネジメントする人は,監査依頼者に監査プログラムの承認を要請することが望まし
い。
5.4.2
監査プログラムをマネジメントする人の力量
監査プログラムをマネジメントする人は,監査プログラム及びそれに付随するリスク及び機会,並びに
外部及び内部の課題を有効にかつ効率的にマネジメントするために必要な力量を備えていることが望まし
い。これには,次の事項に関する知識を含む。
a) 監査の原則(箇条4参照),方法及びプロセス(A.1及びA.2参照)
b) マネジメントシステム規格,その他の関連する規格及び基準・手引文書
c) 被監査者及びその状況に関わる情報(例えば,外部・内部の課題,関連する利害関係者並びにそのニ
ーズ及び期待,被監査者の事業活動,製品,サービス及びプロセス)
d) 適用される法令・規制の要求事項,及び被監査者の事業活動に関連するその他の要求事項
必要な場合には,リスクマネジメント,プロジェクト及びプロセスのマネジメント,並びに情報通信技
術(ICT)に関する知識を考慮してよい。
監査プログラムをマネジメントする人は,監査プログラムをマネジメントするのに必要な力量を維持す
るために,適切な継続的開発活動に携わることが望ましい。
5.4.3
監査プログラムの及ぶ領域の確立
監査プログラムをマネジメントする人は,監査プログラムの及ぶ領域を決定することが望ましい。監査
プログラムの及ぶ領域は,被監査者が自身の状況に関して提供する情報によって異なり得る(5.3参照)。
注記 被監査者の組織構造又は活動によって,監査プログラムは単一の監査だけから成る場合もある
13
Q 19011:2019 (ISO 19011:2018)
(例えば,小さなプロジェクト又は組織)。
監査プログラムの及ぶ領域に影響を与えるその他の要因には,次の事項を含み得る。
a) 実施するそれぞれの監査の目的,範囲及び期間,並びに監査の実施回数,報告方法,及び該当する場
合は,監査のフォローアップ
b) マネジメントシステム規格又はその他の適用可能な基準
c) 監査の対象となる活動の数,重要性,複雑さ,類似性及び場所
d) マネジメントシステムの有効性に影響を与える要因
e) 適用される監査基準。例えば,関連するマネジメントシステム規格のために計画された取決め事項,
法令・規制要求事項並びに被監査者である組織がコミットメントしたその他の要求事項
f)
前回までの内部監査又は外部監査の結果,及び該当する場合は,マネジメントレビューの結果
g) 前回の監査プログラムのレビュー結果
h) 言語,文化及び社会上の課題
i)
利害関係者の懸念事項。例えば,顧客の苦情,法令・規制要求事項及び被監査者である組織がコミッ
トメントしたその他の要求事項への不順守,又はサプライチェーンの課題
j)
被監査者の状況又はその運用並びに関連するリスク及び機会に対する重大な変化
k) 監査活動を支援する,被監査者の情報通信技術の利用可能性。特に遠隔監査方法の利用(A.16参照)
l)
内部及び外部の事象の発生。例えば,製品又はサービスの不適合,情報セキュリティ漏えい(洩),安
全衛生に関わるインシデント,犯罪行為又は環境に関わるインシデントなど。
m) 事業のリスク及び機会。これには,それらに対処する活動を含む。
5.4.4
監査プログラムの資源の決定
監査プログラムをマネジメントする人は,監査プログラムの資源の決定に当たって,次の事項を考慮す
ることが望ましい。
a) 監査活動を計画し,実施し,マネジメントし,改善するために必要な財務資源及び工数
b) 監査方法(A.1参照)
c) 特定の監査プログラムの目的にふさわしい力量を備えた,監査員及び技術専門家の個別の及び全体的
な利用可能性
d) 監査プログラムの及ぶ領域(5.4.3参照)並びに監査プログラムのリスク及び機会(5.3参照)
e) 移動時間及び費用,宿泊施設並びにその他監査に必要な事項
f)
異なったタイムゾーンの影響
g) 情報通信技術の利用可能性(例えば,遠隔の協調活動を支援する技術を用いた,遠隔監査を設定する
ために必要な技術資源)
h) 必要なあらゆるツール,技術及び機器の利用可能性
i)
監査プログラムの確立において決定した,必要な文書化した情報の利用可能性(A.5参照)
j)
施設に関する要求事項。これには,あらゆる機密情報取扱い許可及び機器を含む(例えば,身元調査,
個人用保護具,クリーンルーム用着衣を着用する能力)。
5.5
監査プログラムの実施
5.5.1
一般
監査プログラムを確立し(5.4.3参照)関係する資源を決定したなら(5.4.4参照),その運用計画の策定
及び監査プログラム内の全ての活動の調整を実施する必要がある。
監査プログラムをマネジメントする人は,次の事項を行うことが望ましい。
14
Q 19011:2019 (ISO 19011:2018)
a) 関係するリスク及び機会を含め,監査プログラムの関連する部分を関連する利害関係者に伝達する,
並びに確立した外部及び内部コミュニケーションチャネルを用いて,関連する利害関係者に定期的に
その進捗状況を知らせる。
b) 個々の監査の,目的,範囲及び基準を定める。
c) 監査方法を選択する(A.1参照)。
d) 監査プログラムに関連する,監査及びその他の活動について,調整及びスケジュールの作成をする。
e) 監査チームが必要な力量をもつことを確実にする(5.5.4参照)。
f)
監査チームに,必要な個別の資源及び全体的な資源を提供する(5.4.4参照)。
g) 監査プログラムに従った監査を行うことを確実にする。それは,監査プログラムの実施展開中に発生
する,全ての運用上のリスク,機会,及び課題(すなわち,予期しない事象)をマネジメントするこ
とである。
h) 監査活動に関わる文書化した情報を,適切にマネジメントし,維持することを確実にする(5.5.7参照)。
i)
監査プログラムの監視に必要な運用上の管理(5.6参照)を定め,実施する。
j)
監査プログラムの改善の機会を特定するために,監査プログラムをレビューする(5.7参照)。
5.5.2
個々の監査の目的,範囲及び基準の定義
個々の監査は,定められた監査の目的,範囲及び基準に基づくことが望ましい。これらは,全体的な監
査プログラムの目的と整合していることが望ましい。
監査目的は,その個々の監査で何を達成するのかを定めるものであり,次の事項を含めてよい。
a) 監査の対象となるマネジメントシステム又はその一部の,監査基準への適合の程度の決定
b) 関連する法令・規制要求事項及び組織がコミットメントしたその他の要求事項を満たす上で組織を支
援する,マネジメントシステムの能力の評価
c) 意図した結果を満たす上でのマネジメントシステムの有効性の評価
d) マネジメントシステムの潜在的な改善の機会の特定
e) 被監査者の状況及び戦略的方向性に関する,マネジメントシステムの適切性及び妥当性の評価
f)
目的(又は目標)を確立及び達成し,変化する状況においてリスク及び機会に有効に対処するための,
マネジメントシステムの能力の評価。これには,関係する活動の実施を含む。
監査範囲は,監査プログラム及び監査目的と整合していることが望ましい。これには,監査の対象とな
る,場所,機能,活動及びプロセス,並びに監査期間のような要素を含む。
監査基準は,適合性を決定する基準として用いられる。これには,次の事項の一つ又は複数を含めてよ
い。適用される方針,プロセス,手順,目的(又は目標)を含むパフォーマンス基準,法令・規制要求事
項,マネジメントシステムの要求事項,被監査者が決定した状況並びにリスク及び機会に関する情報(関
連する外部・内部利害関係者の要求事項を含む。),業界の行動規範又はその他の計画された取決め事項。
監査の目的,範囲又は基準に何らかの変更があった場合には,必要に応じて監査プログラムを修正し,
利害関係者に伝えて,適宜その承認を求めることが望ましい。
複数の分野を同時に監査する場合,監査の目的,範囲及び基準が,各分野の関連する監査プログラムと
整合していることが重要である。組織全体を反映する監査範囲をもち得る分野もあれば,組織のある部分
を反映する監査範囲をもち得る分野もある。
15
Q 19011:2019 (ISO 19011:2018)
5.5.3
監査方法の選択及び決定
監査プログラムをマネジメントする人は,定められた監査の目的,範囲及び基準に基づいて,監査を有
効にかつ効率的に行うための方法を選択し,決定することが望ましい。
監査は,現地,遠隔,又はこれらを組み合わせて実施することができる。これらの方法は,とりわけ,
付随するリスク及び機会の考慮に基づいて,適切にバランスをとって利用することが望ましい。
複数の監査組織が同一の被監査者に対して合同監査を行う場合は,異なる監査プログラムをマネジメン
トする人は,監査方法について合意し,監査の資源提供及び監査計画の策定への影響を考慮することが望
ましい。被監査者が異なった分野の複数のマネジメントシステムを運用している場合は,監査プログラム
には複合監査を含めてよい。
5.5.4
監査チームメンバーの選定
監査プログラムをマネジメントする人は,チームリーダー及び特定の監査に必要な技術専門家を含めて,
監査チームメンバーを指名することが望ましい。
監査チームは,定められた監査範囲の中で個々の監査の目的を達成するために必要な力量を考慮に入れ
て,選定することが望ましい。監査員が一人だけの場合は,その監査員が監査チームリーダーとしての適
用される全ての任務を果たすことが望ましい。
注記 箇条7は,監査チームメンバーに求められる力量を決定するための手引を示し,かつ,監査員
を評価するプロセスを示している。
監査チームの全体としての力量を保証するために,次のステップを実施することが望ましい。
− 監査の目的を達成するために必要な力量の特定
− 監査チームに必要な力量が存在するような,監査チームメンバーの選定
個別の監査のための監査チームの規模及び構成を決めるに当たって,次の事項を考慮することが望まし
い。
a) 監査範囲及び監査基準を考慮に入れた,監査目的を達成するために必要な監査チーム全体としての力
量
b) 監査の複雑さ
c) 監査が複合監査又は合同監査であるかどうか
d) 選択された監査方法
e) 監査プロセスのあらゆる利害抵触を回避するための,客観性及び公平性の確保
f)
被監査者の代表者及び関連する利害関係者と,有効に作業し相互調整を行うための監査チームメンバ
ーの能力
g) 関連する外部・内部の課題,監査で使用する言語,被監査者の社会的及び文化的特徴など。これらの
課題には,監査員自身の技能によって,又は技術専門家による支援を介して対処してもよく,その際,
通訳者の必要性も考慮する。
h) 監査対象となるプロセスのタイプ及び複雑さ
必要に応じて,監査プログラムをマネジメントする人は,監査チームの構成について,チームリーダー
に意見を求めることが望ましい。
監査チームの監査員だけでは必要な力量が確保できない場合は,追加的な力量を備えた技術専門家が,
そのチームを支援するために利用可能であることが望ましい。
訓練中の監査員を監査チームに含めてよいが,監査員の指揮及び指導の下で参加させることが望ましい。
監査中に監査チームの構成の変更が必要となる場合がある。例えば,利害抵触又は力量に関する課題が
16
Q 19011:2019 (ISO 19011:2018)
生じた場合である。このような状況が生じたならば,いかなる変更でもそれを行う前に,適切な関係者(例
えば,監査チームリーダー,監査プログラムをマネジメントする人,監査依頼者又は被監査者)とその状
況を解決しておくことが望ましい。
5.5.5
監査チームリーダーに対する,個々の監査の責任の割当て
監査プログラムをマネジメントする人は,個々の監査を行う責任を監査チームリーダーに割り当てるこ
とが望ましい。
監査の有効な計画策定を確実にするために,この割当ては,監査の計画された期日前に十分な時間をも
って行うことが望ましい。
個々の監査を有効に行うことを確実にするために,監査チームリーダーに次の情報を提供することが望
ましい。
a) 監査目的
b) 監査基準及びあらゆる関連する文書化した情報
c) 監査範囲。これには,監査の対象となる組織及び機能並びにプロセスの特定を含む。
d) 監査プロセス及びそれに付随する方法
e) 監査チームの構成
f)
被監査者の連絡先,監査活動を行う,場所,期間(time frame),及び工数
g) 監査の実施に必要な資源
h) 監査目的の達成に対する,特定したリスク及び機会の,評価及び対処に必要な情報
i)
監査チームリーダーが監査プログラムの有効性について被監査者とやりとりする際に,監査チームリ
ーダーの支援となる情報
該当する場合,この割当てに関する情報には,次の事項も網羅することが望ましい。
− 監査の作業及び報告に用いる言語で,監査員若しくは被監査者又はその両方の言語と異なる場合
− 必要な監査報告アウトプット及びその配付先
− 監査プログラムが求めるような,機密保持及び情報セキュリティに関係する事項
− 監査員に対する,安全衛生上及び環境上のあらゆる取決め
− 遠隔サイトへの,移動又はアクセスに関する要求事項
− あらゆるセキュリティ及び権限付与に関する要求事項
− レビューすべきあらゆる活動。例えば,前回の監査からのフォローアップ
− その他の監査活動との調整。例えば,異なるチームが異なる場所で類似の若しくは関係するプロセス
を監査している場合,又は合同監査の場合
合同監査を行う場合,監査を開始する前に,監査を行う組織間でそれぞれの責任,特に監査のために指
名されたチームリーダーの権限について,合意に達していることが重要である。
5.5.6
監査プログラムの結果のマネジメント
監査プログラムをマネジメントする人は,次の活動が行われることを確実にすることが望ましい。
a) 監査プログラム内の各監査における,監査目的の達成についての評価
b) 監査範囲及び監査目的の達成に関する監査報告書のレビュー及び承認
c) 監査所見に対処するためにとった処置の有効性のレビュー
d) 関連する利害関係者への監査報告の配付
e) フォローアップ監査の必要性の決定
必要に応じて,監査プログラムをマネジメントする人は,次の事項を考慮することが望ましい。
17
Q 19011:2019 (ISO 19011:2018)
− 監査結果及びベストプラクティスを組織の他の領域に伝達すること
− 他のプロセスへの影響
5.5.7
監査プログラムの記録の管理及び維持
監査プログラムをマネジメントする人は,監査プログラムの実施を実証するために監査記録を作成し,
管理し,維持することを確実にすることが望ましい。監査記録に付随する情報セキュリティ及び機密保持
に関するいかなるニーズにも対処することを確実にするためのプロセスを確立することが望ましい。
記録には,次の事項を含み得る。
a) 監査プログラムに関係する,次のような記録
− 監査のスケジュール
− 監査プログラムの目的及び監査プログラムの及ぶ領域
− 監査プログラムのリスク及び機会に対処する事項,並びに関連する外部及び内部の課題
− 監査プログラムの有効性のレビュー
b) 各監査に関係する,次のような記録
− 監査計画及び監査報告書
− 客観的な監査証拠及び監査所見
− 不適合報告書
− 修正及び是正処置報告書
− 監査のフォローアップ報告書
c) 次のような事項を含む,監査チームに関係する記録
− 監査チームメンバーの力量及びパフォーマンスの評価
− 監査チーム及び監査チームメンバーの選定並びに監査チームの編成に関する基準
− 力量の維持及び向上
記録の形式及び詳細さのレベルは,監査プログラムの目的を達成していることを実証できるものである
ことが望ましい。
5.6
監査プログラムの監視
監査プログラムをマネジメントする人は,次の事項の評価を確実にすることが望ましい。
a) スケジュールを守り,監査プログラムの目的を達成しているかどうか。
b) 監査チームメンバーのパフォーマンス。これには,監査チームのリーダー及び技術専門家を含む。
c) 監査計画を履行する監査チームの能力
d) 監査依頼者,被監査者,監査員,技術専門家,及びその他関係者からのフィードバック
e) 監査プロセス全体における文書化した情報が十分であること及び妥当であること
監査プログラムの修正の必要性を示し得る,幾つかの要因がある。これらの要因には,次の事項に対す
る変更を含み得る。
− 監査所見
− 被監査者のマネジメントシステムの有効性及び成熟度の,実証されたレベル
− 監査プログラムの有効性
− 監査範囲又は監査プログラムの範囲
− 被監査者のマネジメントシステム
− 規格,及び被監査者である組織がコミットメントするその他の要求事項
− 外部提供者
18
Q 19011:2019 (ISO 19011:2018)
− 特定した利害抵触
− 監査依頼者の要求事項
5.7
監査プログラムのレビュー及び改善
監査プログラムをマネジメントする人及び監査依頼者は,監査プログラムの目的を達成しているかどう
かを評価するために,監査プログラムをレビューすることが望ましい。監査プログラムのレビューから得
た知見は,プログラムの改善のインプットとして使用することが望ましい。
監査プログラムをマネジメントする人は,次の事項を確実にすることが望ましい。
− 監査プログラムの全体的な履行のレビュー
− 改善の領域及び改善の機会の特定
− 必要な場合,監査プログラムに対する変更の適用
− 7.6に従った,監査員の専門能力の継続的開発のレビュー
− 監査プログラムの結果の報告,並びに適宜,監査依頼者及び関連する利害関係者とのレビュー
監査プログラムのレビューでは,次の事項を考慮することが望ましい。
a) 監査プログラムの監視の結果及びその傾向
b) 監査プログラムのプロセス及び関連する文書化した情報との適合
c) 関連する利害関係者から新たに出てきたニーズ及び期待
d) 監査プログラムの記録
e) 代わりの又は新規の監査方法
f)
代わりの又は新規の,監査員を評価する方法
g) 監査プログラムに付随する,リスク及び機会並びに内部及び外部の課題に対処する活動の有効性
h) 監査プログラムに関係する機密保持及び情報セキュリティ上の課題
6
監査の実施
6.1
一般
この箇条では,監査プログラムの一部としての個別の監査の準備及び実施の手引を示す。図2は,典型
的な監査において実施される活動の概要を示す。この箇条をどの程度適用するかは,個別の監査の目的及
び範囲によって異なる。
6.2
監査の開始
6.2.1
一般
監査実施の責任は,監査が完了(6.6参照)するまで,割り当てられた監査チームリーダー(5.5.5参照)
が負うことが望ましい。
監査を開始するために,図1のステップを考慮することが望ましい。ただし,被監査者,プロセス及び
監査の個別の周辺状況によってステップの順序は異なり得る。
6.2.2
被監査者との連絡の確立
監査チームリーダーは,次の事項のために被監査者との連絡を確実にすることが望ましい。
a) 被監査者の代表者とのコミュニケーションチャネルを確認する。
b) 監査を行うための権限を確認する。
c) 監査の目的,範囲,基準,方法及び技術専門家を含む監査チームの構成に関連する情報を提供する。
d) 計画策定の目的のために関連情報へのアクセスを要請する。関連情報には,組織が特定したリスク及
び機会,並びにそれらへどのように対処するかに関する情報を含む。
19
Q 19011:2019 (ISO 19011:2018)
e) 適用される法令・規制要求事項,並びに被監査者の活動,プロセス,製品及びサービスに関連するそ
の他の要求事項を決定する。
f)
情報公開の範囲及び機密情報の取扱いに関して,被監査者との合意を確認する。
g) スケジュールを含め,監査のための手配をする。
h) それぞれの場所に固有の手配事項として,アクセス,安全衛生,セキュリティ,機密保持,その他に
ついて決定する。
i)
オブザーバの参加,及び監査チームのための案内役又は通訳者の必要性について合意する。
j)
個別の監査に関係して,被監査者に対する利害,懸念事項,又はリスクの,あらゆる領域を決定する。
k) 被監査者又は監査依頼者とともに,監査チームの構成に関する課題を解決する。
6.2.3
監査の実施可能性の決定
監査目的を達成し得るという合理的な確信を得るために,監査の実施可能性を決定することが望ましい。
実施可能性の決定には,次の要素が利用可能であるかどうかを考慮に入れることが望ましい。
a) 監査の計画を策定し,監査を行うための十分かつ適切な情報
b) 被監査者の十分な協力
c) 監査を行うための十分な時間及び資源
注記 資源には,十分かつ適切な情報通信技術へのアクセスを含む。
監査が実施不可能な場合,被監査者との合意の上で,監査依頼者に代替案を提示することが望ましい。
6.3
監査活動の準備
6.3.1
文書化した情報のレビューの実施
次の事項のために,関連する被監査者のマネジメントシステムの文書化した情報をレビューすることが
望ましい。
− 被監査者の運用を理解し,監査活動の準備をするための情報,及び適用される監査作業文書(6.3.4参
照),例えばプロセス,機能などに関する監査作業文書を集める。
− 監査基準への適合の可能性を決定し,不備,脱落,不一致などのような潜在的な懸念領域を検出する
ために,文書化した情報の範囲の全体像を確立する。
文書化した情報には,マネジメントシステム文書及び記録,並びに前回までの監査報告を含めることが
望ましいが,これらに限定されない。レビューでは,被監査者の組織の規模,性質,複雑さ,並びに関連
するリスク及び機会を含む,組織の状況を考慮に入れることが望ましい。また,監査範囲,監査基準及び
監査目的も考慮に入れることが望ましい。
注記 どのように情報を検証するかについての手引をA.5に示す。
6.3.2
監査計画の策定
6.3.2.1
計画策定へのリスクに基づくアプローチ
監査チームリーダーは,監査プログラム中の情報及び被監査者から提供される文書化した情報に基づい
て,監査計画の策定にリスクに基づくアプローチを採用することが望ましい。
監査計画の策定は,被監査者のプロセスに関する監査活動のリスクを考慮することが望ましく,また,
監査依頼者,監査チーム及び被監査者の間で,監査の実施に関する合意形成の基礎を提示することが望ま
しい。監査計画の策定によって,監査目的を有効に達成するための監査活動の効率的なスケジュールの策
定及び調整を行いやすくすることが望ましい。
監査計画に提示する詳細さの程度は,監査の範囲及び複雑さ,並びに監査目的を達成できないリスクを
反映していることが望ましい。監査計画の策定に当たって,監査チームリーダーは次の事項を考慮するこ
20
Q 19011:2019 (ISO 19011:2018)
とが望ましい。
a) 監査チームの構成及びその全体としての力量
b) 適切なサンプリング技法(A.6参照)
c) 監査活動の有効性及び効率を改善する機会
d) 有効でない監査計画の策定によって生み出される,監査目的の達成に対するリスク
e) 監査の実施によって生み出される,被監査者に対するリスク
被監査者に対するリスクとなり得ることとして,監査チームメンバーの存在が,被監査者の安全衛生,
環境及び品質に悪影響を与えること,並びにその製品,サービス,要員又はインフラストラクチャに対し
て脅威となることがある(例えば,クリーンルーム設備内の汚染)。
複合監査については,異なるマネジメントシステムの運用プロセス間の相互関係,並びにあらゆる競合
する目的及びそれらの優先順位に対して特別の注意を払うことが望ましい。
6.3.2.2
監査計画の策定の詳細
監査計画の策定の規模及び内容は,例えば初回の監査とその後に続く監査とで異なり得る。また,内部
監査と外部監査とでも同様である。監査計画の策定は,監査活動の進行に伴って必要となり得る変更を許
容する十分な柔軟性をもっていることが望ましい。
監査計画の策定は,次の事項に対処するか,又はその参照先を示すことが望ましい。
a) 監査目的
b) 監査範囲。これには,監査の対象となる組織及び組織の機能並びにプロセスの特定を含む。
c) 監査基準及びあらゆる参照となる文書化した情報
d) 監査活動を行う場所(物理的及び仮想的),日程,予定時間及び予定の工数。これには,被監査者の管
理層との会議を含む。
e) 監査チームが,被監査者の施設及びプロセスを理解する必要性(例えば,物理的な場所の視察,又は
情報通信技術のレビューによって)
f)
使用する監査方法。これには,十分な監査証拠を得るために必要な監査サンプリングの程度を含む。
g) 監査チームメンバーの役割及び責任。案内役,及びオブザーバ又は通訳者の役割及び責任も同様であ
る。
h) 監査対象となる活動に関係したリスク及び機会の考慮に基づいた,適切な資源の配分
監査計画の策定には,必要に応じて,次の事項を考慮に入れることが望ましい。
− 監査に対する被監査者の代表者の特定
− 監査の作業及び報告に用いる言語で,監査員若しくは被監査者又はその両方の言語と異なる場合
− 監査報告書の記載項目
− 監査の後方支援(logistics)及びコミュニケーションに関する手配事項。これには,監査の対象となる
場所に対する個別の手配を含む。
− 監査目的の達成に対するリスク及び発生する機会に対処してとるあらゆる個別の処置
− 機密保持及び情報セキュリティに関係する事項
− 前回の監査又はその他の情報源,例えば,得られた知見,プロジェクトレビューなどに対するあらゆ
るフォローアップ処置
− 計画した監査に対するあらゆるフォローアップ活動
− 合同監査の場合,他の監査活動との調整
監査計画は,被監査者に提示することが望ましい。監査計画についてのあらゆる課題は,監査チームリ
21
Q 19011:2019 (ISO 19011:2018)
ーダー,被監査者,及び必要があれば監査プログラムをマネジメントする人との間で解決することが望ま
しい。
6.3.3
監査チームへの作業の割当て
監査チームリーダーは,監査チームと協議し,チームメンバー各々に,個別のプロセス,活動,機能又
は場所を監査する責任を,及び該当する場合は,意思決定の権限を割り当てることが望ましい。このよう
な割当てを行う際には,監査員の公平性及び客観性並びに力量を考慮に入れるとともに,資源の有効な利
用並びに監査員,訓練中の監査員及び技術専門家それぞれの異なる役割及び責任を考慮に入れることが望
ましい。
監査チーム会議は,作業分担の割当て及び起こり得る変更について決定するために,適宜,監査チーム
リーダーが開催することが望ましい。監査目的の達成を確実にするために,監査の進行に伴い,作業分担
を変更することができる。
6.3.4
監査のための文書化した情報の作成
監査チームメンバーは,監査の割当てに関連する情報を収集及びレビューし,並びに適切な媒体を用い
て,その監査のための文書化した情報を作成することが望ましい。監査のための文書化した情報には,次
の事項を含み得るが,これらに限らない。
a) チェックリスト。これには,物理的又は電子的なものがある。
b) 監査サンプリングの詳細
c) 視聴覚情報
これらの媒体の利用が,監査活動の及ぶ領域を限定しないことが望ましい。この監査活動の及ぶ領域は,
監査中に収集した情報の結果として変化し得る。
注記 監査作業文書の作成に関する手引をA.13に示す。
監査のため又は監査の結果として作成した文書化した情報は,少なくとも監査が完了するまで,又は監
査プログラムで定めたとおりに,保持することが望ましい。監査完了後の文書化した情報の保持は,6.6
に示す。監査プロセス中に作成した,機密情報又は所有者情報を含む文書化した情報は,監査チームメン
バーが常に適切な安全対策を施すことが望ましい。
6.4
監査活動の実施
6.4.1
一般
監査活動は,通常,図1で示す,定めた順序で行う。この順序は,個別の監査の状況に合わせて変えて
よい。
6.4.2
案内役及びオブザーバの役割及び責任の割当て
案内役及びオブザーバは,必要があれば,監査チームリーダー,監査依頼者及び/又は被監査者の承認
を得て,監査チームに同行してよい。案内役及びオブザーバは,監査の実施に影響を及ぼしたり,妨害を
したりしないことが望ましい。これが保証できない場合,監査チームリーダーは,オブザーバの一定の監
査活動への参加を拒否する権利をもつことが望ましい。
オブザーバについては,アクセス,安全衛生,環境,セキュリティ及び機密保持に関するあらゆる取決
めを,監査依頼者と被監査者との間でマネジメントすることが望ましい。
被監査者に指名された案内役は,監査チームを手助けし,監査チームリーダー又は担当する監査員の要
請に応じて行動することが望ましい。案内役の責任には,次の事項を含めることが望ましい。
a) インタビューに参加する個人の特定並びにインタビューのタイミング及び場所の確認において監査員
を手助けする。
22
Q 19011:2019 (ISO 19011:2018)
b) 被監査者の特定の場所へのアクセスを手配する。
c) アクセスに関する場所固有の取決め,安全衛生,環境,セキュリティ,機密保持,及びその他の課題
に関わる規則について,監査チームメンバー及びオブザーバへの周知及び順守,並びにあらゆるリス
クへの対処を確実にする。
d) 適宜,被監査者の代理として監査に立ち会う。
e) 必要があれば,情報収集において不明な点を明らかにし,又は情報収集の手助けをする。
6.4.3
初回会議の実施
初回会議の目的は,次の事項を行うことである。
a) 監査計画に対して,全ての参加者(例えば,被監査者,監査チーム)の合意を確認する。
b) 監査チーム及びその役割を紹介する。
c) 全ての計画した監査活動を行い得ることを確実にする。
初回会議は,被監査者の管理層,及び適切な場合には,監査の対象となる機能又はプロセスの責任者が,
参加して開催することが望ましい。会議中,質問をする機会を与えることが望ましい。
詳細さの程度は,被監査者の監査プロセスへの精通度に合致したものであることが望ましい。多くの場
合には,例えば,小規模な組織での内部監査では,初回会議は,単に監査がこれから行われることを伝え,
その監査の性質を説明するだけでもよい。
それ以外の監査の場合では,初回会議は正式なものとしてよい。その場合には,出席者の記録を保持す
ることが望ましい。初回会議では,監査チームリーダーが議長を務めることが望ましい。
次の事項の紹介を適宜考慮することが望ましい。
− オブザーバ及び案内役,通訳者を含むその他の参加者,並びにそれぞれの役割の概要
− 組織に対するリスクをマネジメントする監査方法。このリスクは,監査チームメンバーの存在に起因
するかもしれない。
次の事項の確認を適宜考慮することが望ましい。
− 監査の目的,範囲及び基準
− 監査計画及び他の関連する被監査者との取決め,並びに必要な変更。取決めとは,例えば,監査チー
ムと被監査者の管理層との間の,最終会議及び中間会議の日時。
− 監査チームと被監査者との間の正式なコミュニケーションチャネル
− 監査に使用する言語
− 監査中は,監査の進捗状況を被監査者に常に知らせること
− 監査チームが必要とする資源及び施設が利用可能であること
− 機密保持及び情報セキュリティに関係する事項
− 監査チームに対する,関連するアクセス,安全衛生,セキュリティ,緊急時及びその他の取決め
− 監査の実施に影響し得る現地(サイト)での活動
次の事項に関する情報の提示を適宜考慮することが望ましい。
− 存在する場合,格付基準を含む,監査所見の報告の方法
− 監査を打ち切ってよい条件
− 監査中に出てくる可能性のある所見の取扱い方
− 苦情又は異議申立てを含む監査所見又は監査結論についての,被監査者からのフィードバックのため
のシステム
23
Q 19011:2019 (ISO 19011:2018)
6.4.4
監査中のコミュニケーション
監査中,監査チーム内,並びに被監査者,監査依頼者及び必要であれば外部の利害関係者(例えば,規
制当局)とのコミュニケーションについて,正式な取決めが必要となることがある。特に,法令・規制要
求事項の不適合について,報告が義務として求められる場合である。
監査チームは,情報交換,監査進捗状況の評価,及び必要な場合には,監査チームメンバー間での作業
の再割当てのために,定期的に打ち合せることが望ましい。
監査中,監査チームリーダーは,進捗状況,あらゆる重大な所見及びあらゆる懸念事項を,被監査者及
び適宜,監査依頼者に,定期的に連絡することが望ましい。監査中に収集した証拠で緊急かつ重大なリス
クを示唆するものがあれば,被監査者及び適宜,監査依頼者に,遅滞なく報告することが望ましい。監査
範囲外の課題に関するいかなる懸念も,監査依頼者及び被監査者に連絡をとる場合に備えて,メモをとり,
監査チームリーダーに報告することが望ましい。
入手できる監査証拠から監査目的が達成できないことが明確になった場合には,監査チームリーダーは,
適切な処置を決定するために,監査依頼者及び被監査者へ監査目的が達成できない理由を報告することが
望ましい。このような処置には,監査計画の変更,監査目的若しくは監査範囲の変更,又は監査の打切り
を含めてもよい。
監査活動の進捗に伴って監査計画の変更の必要が明らかになった場合には,このような変更の必要性を,
監査プログラムをマネジメントする人及び監査依頼者の双方が適宜レビュー及び受諾し,被監査者に報告
することが望ましい。
6.4.5
監査情報の入手可能性及びアクセス
監査のために選択する監査方法は,定められた監査の目的,範囲及び基準,並びに期間及び場所による。
場所とは,特定の監査活動に必要な情報を監査チームが入手することができる所である。これには,物理
的及び仮想的な場所を含めてもよい。
どこで,いつ,どのように監査情報にアクセスできるかという点は監査において極めて重要である。こ
れは,情報が生成,利用及び/又は保管される場所に影響を受けない。これらの課題に基づいて監査方法
を決定する必要がある(表A.1参照)。監査は,複数の方法を組み合わせて使用することができる。また,
監査をめぐる状況から,その方法を監査中に変更する意味合いが生じる場合がある。
6.4.6
監査の実施中の,文書化した情報のレビュー
被監査者の,関連する文書化した情報は,次の事項を行うために,レビューすることが望ましい。
− 文書化された範囲で,監査基準に対する,システムの適合性を決定する。
− 監査活動を支援する情報を集める。
注記 どのように情報を検証するかについての手引をA.5に示す。
レビューは,その他の監査活動と組み合わせてよく,また,監査の実施の有効性に支障を来さなければ,
監査を通じて継続して行ってよい。
監査計画で与えられた時間枠内に,十分な文書化した情報が提供されなかった場合には,監査チームリ
ーダーは,監査プログラムをマネジメントする人及び被監査者の双方に,その旨を知らせることが望まし
い。監査の目的及び範囲によって,監査を続行するか,又は文書化した情報に関する懸念が解決するまで
中断するか,について決定することが望ましい。
6.4.7
情報の収集及び検証
監査中は,監査の目的,範囲及び基準に関連する情報を,機能,活動及びプロセス間のインタフェース
に関係する情報を含めて,実践できる限り,適切なサンプリング手段によって収集し,検証することが望
24
Q 19011:2019 (ISO 19011:2018)
ましい。
注記1 情報の検証についてはA.5を参照。
注記2 サンプリングについての手引をA.6に示す。
ある程度の検証の対象となり得る情報だけを監査証拠として採用することが望ましい。検証の程度が低
い場合には,その証拠にどの程度の信頼を置き得るかを決定するために,監査員は各自の専門的な判断を
用いることが望ましい。監査所見を導く監査証拠は,記録することが望ましい。客観的証拠の収集中に監
査チームが,何らかの新しい若しくは変化した状況,又はリスク若しくは機会に気付いたならば,監査チ
ームはしかるべくこれらに対処することが望ましい。
情報収集から監査結論に至るまでの典型的なプロセスの概要を図2に示す。
図2−情報の収集及び検証の典型的なプロセスの概要
情報を収集する方法には,次の事項を含むが,これらに限定されない。
− インタビュー
− 観察
− 文書化した情報のレビュー
注記3 情報源の選択,及び観察についての手引をA.14に示す。
注記4 被監査者の場所を訪問する際の手引をA.15に示す。
注記5 インタビュー実施についての手引をA.17に示す。
6.4.8
監査所見の作成
監査所見を決定するために,監査基準に照らして監査証拠を評価することが望ましい。監査所見では,
監査基準に対して適合又は不適合のいずれかを示すことができる。監査計画で規定されている場合には,
25
Q 19011:2019 (ISO 19011:2018)
個々の監査所見には,根拠となる証拠を伴った適合性及び優れた実践事例,改善の機会,並びに被監査者
に対するあらゆる提言を含めることが望ましい。
不適合及びその根拠となる監査証拠は,記録しておくことが望ましい。
不適合は,組織の状況及びそのリスクによって格付けすることが可能である。この格付けは,定量的な
もの(例えば,1から5)も定性的なもの(例えば,軽微,重大)もあり得る。不適合は,被監査者とレビ
ューすることが望ましい。これは,監査証拠が正確であること,及び不適合の内容が理解されたことにつ
いて被監査者の確認を得るためである。監査証拠又は監査所見に関して意見の相違がある場合には,それ
を解決するためのあらゆる努力を試みることが望ましい。解決できなかった課題は,監査報告書に記録し
ておくことが望ましい。
監査中の適切な段階で監査所見をレビューするために,監査チームは,必要に応じて打合せをすること
が望ましい。
注記1 監査所見の特定及び評価についての追加の手引をA.18に示す。
注記2 法令・規制要求事項又はその他の要求事項に関係する監査基準に対する適合又は不適合は,
順守又は不順守と呼ばれることもある。
6.4.9
監査結論の決定
6.4.9.1
最終会議の準備
監査チームは,最終会議に先立って,次の事項を行うために打ち合せることが望ましい。
a) 監査所見及び監査中に収集したその他の適切な情報を,監査目的に照らしてレビューする。
b) 監査プロセスに内在する不確かさを考慮に入れた上で,監査結論について合意する。
c) 監査計画で規定している場合には,提言を作成する。
d) 該当する場合には,監査のフォローアップについて協議する。
6.4.9.2
監査結論の内容
監査結論では,次のような課題に対処することが望ましい。
a) マネジメントシステムの監査基準への適合の程度及びマネジメントシステムの堅ろう(牢)さ。これ
には,意図した成果を満たすことにおけるマネジメントシステムの有効性,リスクの特定,及び被監
査者がリスクに対処するためにとった処置の有効性を含む。
b) マネジメントシステムの有効な,実施,維持及び改善
c) 監査目的の達成,監査範囲の網羅及び監査基準を満たすこと
d) 傾向を特定する目的に役立つ,類似の所見。これらには,異なる領域における監査から得られたもの,
又は合同監査若しくは前回までの監査から得られたものがある。
監査計画に規定している場合には,監査結論を,改善のための提言又は今後の監査活動につなげること
ができる。
6.4.10 最終会議の実施
最終会議は,監査所見及び監査結論を提示するために開催することが望ましい。
最終会議は,監査チームリーダーが議長を務め,被監査者の管理層が出席し,さらに,該当する場合,
次の者を含むことが望ましい。
− 監査を受けた機能又はプロセスの責任者
− 監査依頼者
− 監査チームのリーダー以外のメンバー
− 監査依頼者及び/又は被監査者が決定する,その他の関連する利害関係者
26
Q 19011:2019 (ISO 19011:2018)
該当する場合,監査チームリーダーは,監査結論に付与し得る信頼性を低下させるかもしれない,監査
中に遭遇した状況について,被監査者に知らせることが望ましい。マネジメントシステムに定められてい
るか,又は監査依頼者との合意がある場合,参加者は,監査所見に対処するための処置の計画の期限につ
いて合意することが望ましい。
最終会議の詳細さの程度は,被監査者の目的(又は目標)を達成するためにマネジメントシステムの有
効性を考慮に入れることが望ましい。これには,被監査者の状況並びにリスク及び機会の考慮を含む。
被監査者の監査プロセスに関する精通度もまた,最終会議において考慮に入れることが望ましい。これ
は,最終会議を適正なレベルの詳細さで参加者へ提供することを確実にするためである。
監査の位置づけによっては,最終会議が正式なものとなり得る場合がある。その場合には,出席者の記
録を含めて議事録を残すことが望ましい。正式なものとしない場合には,例えば内部監査では,最終会議
は,より非公式で,単に監査所見及び監査結論を伝えるだけのものになり得る。
該当する場合には,最終会議では,次の事項を被監査者に説明することが望ましい。
a) 収集した監査証拠は入手可能な情報のサンプルに基づいたものであり,必ずしも,被監査者のプロセ
スの全体的有効性を完全に表すものではないことを伝える。
b) 報告の方法
c) 合意したプロセスに基づいて,監査所見にどのように対処するのが望ましいか
d) 監査所見に適切に対処しなかった場合に起こり得る結果
e) 監査所見及び監査結論の提示。被監査者の管理層が理解し,認知する方法で行う。
f)
関係する監査後のあらゆる活動(例えば,是正処置の実施及びレビュー,監査に関する苦情への対処,
異議申立てのプロセス)
監査所見又は監査結論に関して,監査チームと被監査者との間に意見の相違があれば,協議し,可能で
あれば,それを解決することが望ましい。解決できなかったならば,これを記録に残すことが望ましい。
監査目的で規定している場合は,改善の機会についての提言をしてもよい。提言には,拘束力がないこ
とを強調しておくことが望ましい。
6.5
監査報告書の作成及び配付
6.5.1
監査報告書の作成
監査チームリーダーは,監査プログラムに従って監査結論を報告することが望ましい。監査報告書は,
完全で,正確,簡潔かつ明確な監査の記録を提供することが望ましく,次に示す事項を含むか,又はその
事項の参照先を示すことが望ましい。
a) 監査目的
b) 監査範囲,特に,監査を受けた組織(被監査者)及びその機能又はプロセスの特定
c) 監査依頼者の特定
d) 監査チーム及び被監査者の監査参加者の特定
e) 監査活動を行った日時及び場所
f)
監査基準
g) 監査所見及び関連する証拠
h) 監査結論
i)
監査基準が満たされた程度に関する記述
j)
監査チームと被監査者との間で未解決の意見の相違
k) 監査とは,本質的にサンプリング作業であるということ。したがって,調査した監査証拠が代表的な
27
Q 19011:2019 (ISO 19011:2018)
ものではないというリスクが存在する。
監査報告書には,適宜,次の事項を含めるか,又はその事項の参照先を示すことができる。
− タイムスケジュールを含む監査計画
− 監査プロセスの要約。これには,監査結論の信頼性を低下させるかもしれない,監査中に遭遇した障
害を含む。
− 監査計画に従って監査範囲内で監査目的を達成したことの確認
− 監査範囲内で監査しなかった領域。これには,証拠の利用可能性,資源又は機密保持に関するあらゆ
る課題を,関係する根拠とともに含める。
− 監査結論及びそれを裏付ける主要な監査所見を含む概要
− 特定された優れた実践事例
− 存在する場合は,合意した処置の計画のフォローアップ
− 内容の機密性に関する記述
− 監査プログラム又はその後の監査に対する影響
6.5.2
監査報告書の配付
監査報告書は,合意した期間内に発行することが望ましい。遅延する場合には,その理由を被監査者及
び監査プログラムをマネジメントする人に連絡することが望ましい。
監査報告書は,監査プログラムに従って,適切に,日付を付し,レビュー及び受諾することが望ましい。
監査報告書は,次に,監査プログラム又は監査計画で定めた関連する利害関係者へ配付することが望ま
しい。
監査報告書を配付する際は,機密保持を確実にするための適切な方策を考慮することが望ましい。
6.6
監査の完了
監査が完了するのは,全ての計画した監査活動を遂行したとき,又はそれ以外では監査依頼者と合意し
たときである(例えば,監査が,監査計画のとおりに完了することを妨げる予期しない事態があるであろ
う。)。
監査に関係する文書化した情報は,監査に参加した関係者間の合意によって,並びに監査プログラム及
び適用される要求事項に従って,保持又は廃棄することが望ましい。
法律で要求されない限り,監査チーム及び監査プログラムをマネジメントする人は,監査依頼者の明確
な承認なしに,及び被監査者の承認が必要な場合にそれなしに,監査中に入手したいかなる情報又は監査
報告書も,他の者に開示しないことが望ましい。監査文書の内容の開示を要求された場合は,できるだけ
速やかに監査依頼者及び被監査者に知らせることが望ましい。
監査から得た知見から,監査プログラム及び被監査者に関するリスク及び機会を特定し得る。
6.7
監査のフォローアップの実施
監査の成果には,監査目的によって,修正若しくは是正処置の必要性,又は改善の機会を示すことがで
きる。このような処置は,通常,合意した期間内に被監査者が決めて行う。適切な場合には,被監査者は,
これらの処置の状況を,監査プログラムをマネジメントする人及び/又は監査チームに知らせておくこと
が望ましい。
これらの処置の完了及び有効性は,検証することが望ましい。この検証は,その後の監査の一部として
よい。成果は,監査プログラムをマネジメントする人に報告し,マネジメントレビューのために監査依頼
者へ報告することが望ましい。
28
Q 19011:2019 (ISO 19011:2018)
7
監査員の力量及び評価
7.1
一般
監査プロセス及びその目的を達成するための能力における信頼は,監査を行うことに関与する人々の力
量に依存する。これらの人々には,監査員及び監査チームリーダーを含む。力量は,定期的に評価するこ
とが望ましい。この評価は,個人の行動,並びに教育,業務経験,監査員訓練及び監査経験によって身に
付けた,知識及び技能を適用する能力を考慮するプロセスを通じて行う。このプロセスは,監査プログラ
ム及びその目的のニーズを考慮に入れることが望ましい。7.2.3に示す知識及び技能には,あらゆるマネジ
メントシステム分野の監査員に共通のものもあれば,個々のマネジメントシステム分野の監査員に固有の
ものもある。監査チームにおける個々の監査員が同じ力量を備えている必要はない。ただし,監査チーム
全体としての力量は,監査目的を達成するために十分である必要がある。
監査員の力量の評価は,計画し,実施し,文書化することが望ましい。これは,客観的で,一貫性をも
ち,公正で,かつ,信頼できる成果を提供するためである。この評価プロセスには,次の四つの主要なス
テップを含めることが望ましい。
a) 監査プログラムのニーズを満たすために必要な力量を決定する。
b) 評価基準を確立する。
c) 適切な評価方法を選択する。
d) 評価を行う。
評価プロセスの成果は,次の事項の基礎を提供することが望ましい。
− (5.5.4で示した)監査チームメンバーの選定
− 力量向上の必要性の決定(例えば,追加的な研修)
− 監査員の継続的なパフォーマンス評価
監査員は,専門能力の継続的開発及び監査への定期的な参加によって,自らの力量を開発し,維持し,
向上することが望ましい(7.6参照)。
監査員及び監査チームリーダーを評価するプロセスを7.3,7.4及び7.5に示す。
監査員及び監査チームリーダーは,7.1で確立した基準だけでなく,7.2.2及び7.2.3で設定した基準に対
しても評価されることが望ましい。
監査プログラムをマネジメントする人に求められる力量を,5.4.2に示す。
7.2
監査員の力量の決定
7.2.1
一般
監査に求められる必要な力量を決めるときは,次の事項に関係する,監査員の知識及び技能を考慮する
ことが望ましい。
a) 被監査者の規模,性質,複雑さ,製品,サービス及びプロセス
b) 監査の方法
c) 監査の対象となるマネジメントシステムの分野
d) 監査の対象となるマネジメントシステムの複雑さ及びプロセス
e) マネジメントシステムで対処するリスク及び機会の,タイプ及びレベル
f)
監査プログラムの目的及び監査プログラムの及ぶ領域
g) 監査目的の達成における不確かさ
h) 該当する場合,その他の要求事項。例えば,監査依頼者又はその他の関連する利害関係者によって課
されるもの。
29
Q 19011:2019 (ISO 19011:2018)
この情報は,7.2.3に掲げる事項に対して合っていることが望ましい。
7.2.2
個人の行動
監査員は,箇条4に示す監査の原則に従って活動するために必要な特質を備えていることが望ましい。
監査員は,監査活動を実施している間,専門家としての行動を示すことが望ましい。望ましい専門家とし
ての行動には,次の事項を含む。
a) 倫理的である。すなわち,公正である,信用できる,誠実である,正直である,そして分別がある。
b) 心が広い。すなわち,別の考え方又は視点を進んで考慮する。
c) 外交的である。すなわち,目的を達成するように人と上手に接する。
d) 観察力がある。すなわち,物理的な周囲の状況及び活動を積極的に観察する。
e) 知覚が鋭い。すなわち,状況を認知し,理解できる。
f)
適応性がある。すなわち,異なる状況に容易に合わせることができる。
g) 粘り強い。すなわち,根気があり,目的の達成に集中する。
h) 決断力がある。すなわち,論理的な理由付け及び分析に基づいて,時宜を得た結論に到達することが
できる。
i)
自立的である。すなわち,他の人々と有効なやりとりをしながらも独立して活動し,役割を果たすこ
とができる。
j)
不屈の精神をもって活動できる。すなわち,その活動が,ときには受け入れられず,意見の相違又は
対立をもたらすことがあっても,責任をもち,倫理的に活動することができる。
k) 改善に対して前向きである。すなわち,進んで状況から学ぶ。
l)
文化に対して敏感である。すなわち,被監査者の文化を観察し,尊重する。
m) 協力的である。すなわち,監査チームメンバー及び被監査者の要員を含む他の人々とともに有効に活
動する。
7.2.3
知識及び技能
7.2.3.1
一般
監査員は,次の事項を備えていることが望ましい。
a) 実施が予定されている監査の,意図した結果を達成するのに必要な知識及び技能
b) 監査に共通に求められる力量,並びに分野及び業種に固有の知識及び技能のレベル
監査チームリーダーは,監査チームに対してリーダーシップを発揮するのに必要な付加的な知識及び技
能を備えていることが望ましい。
7.2.3.2
マネジメントシステム監査員の共通的な知識及び技能
監査員は,次に概要を示す領域の知識及び技能を備えていることが望ましい。
a) 監査の原則,プロセス及び方法:この領域の知識及び技能によって,監査員は,一貫性のある体系的
な監査の実施を確実にすることが可能となる。
監査員は,次の事項ができることが望ましい。
− 監査実施に付随するリスク及び機会のタイプ並びに監査実施へのリスクに基づくアプローチの原則
を理解する。
− 有効に作業を計画し,必要な手配をする。
− 合意したタイムスケジュール内で監査を行う。
− 重要事項を優先し,重点的に取り組む。
− 口頭及び書面で有効にコミュニケーションを取る(自身で,又は通訳の利用を通じて)。
30
Q 19011:2019 (ISO 19011:2018)
− 有効なインタビュー,聞き取り,観察,並びに記録及びデータを含む文書化した情報のレビューに
よって,情報を収集する。
− 監査のためにサンプリング技法を使用することの適切性及びそれによる結果を理解する。
− 技術専門家の意見を理解し,考慮する。
− 該当する場合,他のプロセス及び異なる機能との相互関係を含めて,プロセスを最初から最後まで
監査する。
− 収集した情報の関連性及び正確さを検証する。
− 監査所見及び監査結論の根拠とするために,監査証拠が十分かつ適切であることを確認する。
− 監査所見及び監査結論の信頼性に影響するかもしれない要因を評価する。
− 監査活動及び監査所見を文書化し,報告書を作成する。
− 情報の機密保持及びセキュリティを維持する。
b) マネジメントシステム規格及びその他の基準文書:この領域の知識及び技能によって,監査員は,監
査範囲を理解し,監査基準を適用することが可能となる。この領域の知識及び技能には,次の事項を
含めることが望ましい。
− 監査基準又は監査方法の確立に用いるマネジメントシステム規格又は他の規準文書若しくは手引・
支援文書
− 被監査者及び他の組織によるマネジメントシステム規格の適用
− マネジメントシステムのプロセス間の関係及び相互作用
− 複数の規格又は基準文書の重要性及び優先順位の理解
− 様々な監査の位置づけへの規格又は基準文書の適用
c) 組織及び組織の状況:この領域の知識及び技能によって,監査員は,被監査者の組織構造,目的及び
そのマネジメントの実践を理解することが可能となる。この領域の知識及び技能には,次の事項を含
めることが望ましい。
− マネジメントシステムに影響を及ぼす,関連する利害関係者のニーズ及び期待
− 組織のタイプ,統治,規模,構造,機能及び関係
− 全般的な事業及びそのマネジメントの概念,プロセス及び関係する用語。これには,計画,予算化
及び人事管理を含む。
− 被監査者の文化的及び社会的側面
d) 適用される法令・規制要求事項及びその他の要求事項:この領域の知識及び技能によって,監査員は,
組織の要求事項を認識すること,及びその枠内で監査業務を行うことが可能となる。法令,又は被監
査者の活動,プロセス,製品,及びサービスに固有の知識及び技能には,次の事項を含めることが望
ましい。
− 法令・規制要求事項及びその所管の行政機関
− 基本的な法的用語
− 契約及び法的責任
注記 法令・規制要求事項を認識しているということは,法律の専門家ということを意味しておら
ず,マネジメントシステム監査を法令順守の監査として扱うことは望ましくない。
7.2.3.3
分野及び業種に固有の監査員の力量
監査チームは,特定のタイプのマネジメントシステム及び業種を監査するのに適切な,その分野及び業
種に固有の力量を監査チーム全体として備えていることが望ましい。
31
Q 19011:2019 (ISO 19011:2018)
分野及び業種に固有の監査員の力量には,次の事項を含む。
a) マネジメントシステム要求事項及び原則,並びにそれらの適用
b) 被監査者が適用するマネジメントシステム規格に関係した,分野及び業種の基本
c) 分野及び業種に固有の方法,技法,プロセス,及び慣行の適用。これは,監査チームが定められた監
査範囲内での適合性を評価し,適切な監査所見及び監査結論を導き出すことができるようにするため
である。
d) 分野及び業種に関連した原則,方法及び技法。これは,監査員が監査目的に付随するリスク及び機会
を決定及び評価できるようにする。
7.2.3.4
監査チームリーダーの共通的な力量
監査の効率的及び有効な実施を容易にするために,監査チームリーダーは,次の事項を行う力量を備え
ていることが望ましい。
a) 監査を計画し,個々の監査チームメンバーの固有の力量に応じて監査業務を割り当てる。
b) 被監査者のトップマネジメントと戦略的課題について意見交換する。これは,被監査者が組織として,
そのリスク及び機会を評価する際にこれらの課題を考慮したかどうかを決定するためである。
c) 監査チームメンバー間に協力的な業務関係を構築し,維持する。
d) 次の事項を含む監査プロセスをマネジメントする。
− 監査中に資源を有効に利用する。
− 監査目的を達成することの不確かさをマネジメントする。
− 監査中の監査チームメンバーの安全衛生を保護する。これには,監査員が関連する安全衛生及びセ
キュリティに関する取決めの順守を確実にすることを含む。
− 監査チームメンバーを指揮する。
− 訓練中の監査員を指揮及び指導する。
− 必要な場合,監査チーム内のものを含めて,監査中に発生し得る利害抵触及び問題を防ぎ,解決す
る。
e) 監査プログラムをマネジメントする人,監査依頼者及び被監査者とのコミュニケーションでは監査チ
ームを代表する。
f)
監査チームを導いて,監査結論に達する。
g) 監査報告書を作成し,完成する。
7.2.3.5
複数分野を監査するための知識及び技能
複数分野のマネジメントシステムを監査する際は,監査チームメンバーは異なるマネジメントシステム
間の相互作用及び相乗効果を理解していることが望ましい。
監査チームリーダーは,監査対象となっている各マネジメントシステム規格の要求事項を理解し,それ
ぞれの分野における自身の力量の限界を認識することが望ましい。
注記 複数分野を同時に監査することは,複合監査として又は複数分野を含む統合マネジメントシス
テムの監査として行うことが可能である。
32
Q 19011:2019 (ISO 19011:2018)
7.2.4
監査員の力量の獲得
監査員の力量は,次の組合せによって獲得し得る。
a) 共通的な監査員の知識及び技能を対象とする訓練プログラムの成功裏の完了
b) 関連する技術的,管理的又は専門的職位での経験。これは,判断の行使,意思決定,問題解決,並び
に管理者,専門家,同僚,顧客及びその他の関連する利害関係者とのコミュニケーションに関与する
ものである。
c) 全体としての力量の開発に寄与する,特定のマネジメントシステムの分野及び業種についての教育・
訓練及び経験
d) 同じ分野で力量のある監査員の監督下で獲得する監査経験
注記 訓練コースの成功裏の完了かどうかは,そのコースのタイプに依存するであろう。試験を含む
コースでは試験に合格することを意味し得る。他のコースではコースに参加し,完了すること
を意味し得る。
7.2.5
監査チームリーダーの力量の獲得
監査チームリーダーは,7.2.3.4に示す力量を開発するための追加の監査経験を獲得していることが望ま
しい。この追加の経験は,他の監査チームリーダーの指揮及び指導の下での監査業務によって得られたも
のであることが望ましい。
7.3
監査員の評価基準の確立
この基準には,定性的(例えば,訓練又は職場で示された,望ましい行動,知識又は技能のパフォーマ
ンス)及び定量的(例えば,業務経験及び教育の年数,監査を行った回数,監査員研修の時間)なものが
あることが望ましい。
7.4
監査員の適切な評価方法の選択
評価は,表2に示す方法の二つ以上を利用して行うことが望ましい。表2を利用するときは,次の事項
に注意することが望ましい。
a) 表2に概要を示した方法は,様々な選択肢の中の代表的なものであり,全ての状況に適用してよいと
は限らない。
b) 表2に概要を示した様々な方法の信頼性は,それぞれ異なってよい。
c) 評価結果が客観的で,一貫性をもち,公正で,かつ,信頼できることを確実にするために,複数の評
価方法を組み合わせて用いることが望ましい。
33
Q 19011:2019 (ISO 19011:2018)
表2−監査員の評価方法
評価方法
目的
例
記録のレビュー
監査員の経歴を検証する。
教育,訓練,雇用,専門家としての資格及
び監査経験の記録の解析
フィードバック
監査員のパフォーマンスがどのように受け止め
られているかに関する情報を与える。
調査,質問票,推薦状,お礼状,苦情,パ
フォーマンス評価,相互評価
インタビュー
望ましい専門家としての行動及びコミュニケー
ションの技能を評価し,情報を検証し,知識を
試験し,並びに追加情報を獲得する。
個人面談
観察
望ましい専門家としての行動,並びに知識及び
技能を適用する能力を評価する。
ロールプレイ,立会い監査,監査業務中の
パフォーマンス
試験
望ましい行動,並びに知識,技能及びそれらの
適用を評価する。
口頭及び筆記試験,心理試験
監査後のレビュー
監査活動中の監査員のパフォーマンスに関する
情報を与え,強み及び改善の機会を特定する。
監査報告書のレビュー,監査チームリーダ
ー,監査チームへのインタビュー,適切な
場合は被監査者からのフィードバック
7.5
監査員の評価の実施
評価対象の監査員について収集した情報を7.2.3で設定した基準と比較することが望ましい。評価対象の
監査員が,監査プログラムに参加が見込まれていて,評価基準を満たさないときには,追加の訓練,業務
経験又は監査経験を積ませ,それに続く再評価を行うことが望ましい。
7.6
監査員の力量の維持及び向上
監査員及び監査チームリーダーは,継続的にその力量を向上することが望ましい。監査員は,マネジメ
ントシステムの監査への定期的な参加及び専門能力の継続的開発によって,監査の力量を維持することが
望ましい。これは,次のような手段で達成してよい。例えば,追加の業務経験,訓練,個人学習,業務指
導並びに会合,セミナー及び会議への参加,又はその他関連する諸活動がある。
監査プログラムをマネジメントする人は,監査員及び監査チームリーダーのパフォーマンスの継続的評
価のための適切な仕組みを確立することが望ましい。
専門能力の継続的開発活動では,次の事項を考慮に入れることが望ましい。
a) 監査の実施に責任をもつ個人及び組織の,ニーズの変化
b) 技術の利用を含む,監査の実践における開発
c) 手引・支援文書を含む関連する規格,及びその他の要求事項
d) 業種又は分野における変化
34
Q 19011:2019 (ISO 19011:2018)
附属書A
(参考)
監査を計画及び実施する監査員に対する追加の手引
A.1 監査方法の適用
監査は多様な監査方法を利用して実行し得る。一般的に利用される監査方法の説明が,この附属書に見
出し得る。監査に対して選ぶ監査方法は,定められた監査の目的,範囲及び基準,並びに期間及び場所に
よる。利用可能な監査員の力量,及び監査方法の適用に起因する不確かさも考慮することが望ましい。異
なった監査方法を様々に組み合わせて適用することによって,監査プロセス及びその成果の効率及び有効
性を最適化することができる。
監査のパフォーマンスは,監査の対象となっているマネジメントシステムにおける個々人の相互作用及
び監査の実施で利用する技術に関与するものである。表A.1は,監査方法の例を提示し,これは,監査目
的を達成するために,単独に,又は組み合わせて利用し得る。もし監査で複数メンバーの監査チームを使
うのであれば,現地監査及び遠隔監査の両方の方法を同時に利用してもよい。
注記 物理的場所の訪問についての追加的な情報をA.15に示す。
表A.1−監査方法
監査員と被監査者と
の間の関わりの程度
監査員の活動場所
現地
遠隔
人的交流あり
インタビューを行う。
被監査者の参加の下にチェックリスト及び
質問事項を漏れなく確認する。
被監査者の参加の下に文書レビューを行
う。
サンプリングする。
双方向のコミュニケーション手段を通じ
て,次の事項を実施する。
− インタビューを行う。
− 遠隔監査の案内役とともに,実行中の作
業を観察する。
− チェックリスト及び質問事項を漏れな
く確認する。
− 被監査者の参加の下に文書レビューを
行う。
人的交流なし
文書レビューを行う(例えば,記録,デー
タ分析)。
実行中の作業を観察する。
現地訪問を行う。
チェックリストを漏れなく確認する。
サンプリング(例えば,製品)する。
文書レビューを行う(例えば,記録,デー
タ分析)。
社会的要求事項及び法令・規制要求事項を
考慮しながら,サーベイランス手段を通じ
て,実行中の作業を観察する。
データを分析する。
現地監査活動は,被監査者の場所で行われる。遠隔監査活動は,距離とは無関係に,被監査者の場所以外のあら
ゆる場所で行われる。
対話的な監査活動は,被監査者の要員と監査チームとの間の人的交流を含む。対話的でない監査活動は,被監査
者を代表する人々との人的交流を含まないが,機器,施設及び文書類との関わりを含む。
計画策定段階で,所与の監査に監査方法を有効に適用することの責任は,監査プログラムをマネジメン
トする人又は監査チームリーダーにある。監査チームリーダーは,この,監査活動の実施に対する責任を
もつ。
遠隔監査活動の実施可能性は,幾つかの要因(例えば,監査目的の達成に対するリスクのレベル,監査
員と被監査者の要員との間の信頼のレベル,規制要求事項)に基づき得る。
35
Q 19011:2019 (ISO 19011:2018)
監査プログラムのレベルで,監査方法に関して遠隔監査及び現地監査を,適切に,かつ,バランスよく
適用して使うことを確実にすることが望ましい。これは,監査プログラムの目的の達成を満たすことを確
実にするためである。
A.2 監査に対するプロセスアプローチ
“プロセスアプローチ”の利用は,ISO/IEC専門業務用指針第1部の附属書SLに従う,全てのISOマ
ネジメントシステム規格における要求事項である。マネジメントシステム監査とは,一つ又は複数のマネ
ジメントシステム規格に関係する組織のプロセス及びそれらの相互作用を監査することであることを,監
査員は理解することが望ましい。一貫して予測可能な結果を,より有効にかつ効率的に達成するのは,マ
ネジメントシステムの活動を,首尾一貫したシステムとして機能する相互に関連したプロセスとして理解
し,マネジメントするときである。
A.3 専門的な判断
監査員は,監査プロセスにおいて専門的な判断を適用することが望ましい。その際,マネジメントシス
テムの意図した成果の達成を見る観点を犠牲の上で,規格の各箇条の個別の要求事項への集中をするよう
な監査は避けることが望ましい。ISOマネジメントシステム規格の箇条の中には,一連の基準として,手
順又は作業指示の内容との比較の観点での監査には,その箇条そのものだけではなじまないものもある。
このような状況では,監査員は,その箇条の意図が満たされているかどうかを決定するために,専門的な
判断を用いることが望ましい。
A.4 パフォーマンスの結果
監査員は,監査プロセス全体を通して,そのマネジメントシステムの意図した結果に焦点を当てること
が望ましい。プロセス及びそれらが達成するものは重要ではあるが,肝心なことはマネジメントシステム
の結果及びマネジメントシステムのパフォーマンスである。また,異なるマネジメントシステムの統合の
レベル及びそれらの意図した結果を考慮することも重要である。
プロセス又は文書類の欠如は,リスクの高い又は複雑な組織においては重要であり得るが,他の組織に
おいてはそれほど重要ではないこともあり得る。
A.5 情報の検証
実行可能である限り,監査員は,情報が,要求事項を満たしていることを実証するのに十分な客観的証
拠を提供するものであるかどうか,例えば,次の事項を考慮することが望ましい。
a) 完全である(全ての期待される内容が文書化した情報に含まれている。)。
b) 適正である(内容が規格及び規制のような他の信頼できる情報源に適合している。)。
c) 一貫している(文書化した情報が,それ自体で一貫している,及び関係する文書との一貫性がある。)。
d) 現行のものである(内容が更新されている)。
検証中の情報が,要求事項を満たしていることを実証するのに十分な客観的証拠を提供するものである
かどうかも考慮することが望ましい。
情報が,予期したものと異なる方法で(例えば,異なる人々,代わりの媒体によって)提供されるなら
ば,その証拠についての完全性を評価することが望ましい。
特別な注意が情報セキュリティに対して必要となるのは,データ(特に情報として,監査範囲外におか
36
Q 19011:2019 (ISO 19011:2018)
れているが,文書に含まれもしている)の保護に関する適用可能な規制によるものである。
A.6 サンプリング
A.6.1 一般
監査サンプリングは,監査において全ての利用可能な情報を調査するのが現実的ではない場合,又は費
用対効果が高くない場合,例えば,記録が,母集団内の全ての対象項目の調査を正当化するにはあまりに
膨大であったり,地理的にあまりに分散していたりする場合に行う。大きな母集団からの監査サンプリン
グは,母集団のある種の特性について証拠を得て評価するために,利用可能なデータセット全体(母集団)
の中から,対象項目の100 %未満の項目を選択するプロセスである。これは,その母集団に関する結論を
形成するためである。
監査サンプリングの目的は,監査員に,監査目的を達成できる又は達成するであろうという確信をもて
る情報を提供することである。
サンプリングに付随するリスクは,サンプルがその選択元である母集団を代表していない場合があるこ
とである。その結果,監査員の結論が偏り,母集団の全てを調査した際に達するであろう結論とは異なる
場合がある。他のリスクがある場合としては,サンプルする母集団におけるばらつき及び選択したサンプ
リング方法によるものがある。
監査サンプリングは一般的に次のステップを含む。
a) サンプリングの目的を確立する。
b) サンプルする母集団の範囲及び構成を選択する。
c) サンプリング方法を選択する。
d) 採取するサンプルサイズを決定する。
e) サンプリング活動を行う。
f)
結果をまとめ,評価,報告及び文書化する。
サンプリングするとき,利用可能なデータの品質を考慮することが望ましい。これは,サンプリングの
データが不十分で不正確だと,有用な結果とならないからである。適切なサンプルの選択は,サンプリン
グ方法及び求められるデータのタイプの両方に基づくことが望ましい。例えば,母集団全体にわたって,
特定の振舞いのパターンを推測するため,又は全体にわたる推測を引き出すためである。
選択したサンプルについての報告は,そのサンプルサイズ,選択の方法,並びにサンプルに基づいた推
定及びその信頼水準を考慮に入れ得るであろう。
監査は,判断に基づくサンプリング(A.6.2参照)又は統計的サンプリング(A.6.3参照)のいずれかを
使うことができる。
A.6.2 判断に基づくサンプリング
判断に基づくサンプリングは,監査チームの力量及び経験に依存する(箇条7参照)。
判断に基づくサンプリングに対して,次の事項を考慮し得る。
a) 監査範囲内の前回までの監査経験
b) 監査目的を達成するための要求事項(法令・規制要求事項を含む。)の複雑さ
c) 組織のプロセス及びマネジメントシステム要素の複雑さ及び相互作用
d) 技術,人的要因又はマネジメントシステムの変化の度合い
e) 以前に特定された重要なリスク及び改善の機会
f)
マネジメントシステムの監視からのアウトプット
37
Q 19011:2019 (ISO 19011:2018)
判断に基づくサンプリングの欠点は,監査の所見及びその達した結論における,不確かさの影響に関す
る統計的な推定が存在し得ないことである。
A.6.3 統計的サンプリング
統計的サンプリングを使うことに決めるならば,サンプリング計画は,監査目的,及びサンプル採取対
象の母集団の全体としての特性に関して知られていることに基づくことが望ましい。
統計的サンプリングの設計には,確率論に基づいたサンプル選択プロセスを使う。属性に基づくサンプ
リングを使うのは,各サンプルに対するサンプル結果に二つの可能性(例えば,正か誤,合か否)しかな
い場合である。変数に基づくサンプリングを使うのは,サンプル結果がある連続した範囲において発生す
る場合である。
サンプリング計画は,調査される結果が属性に基づくものになりやすいか,変数に基づくものになりや
すいかを考慮に入れることが望ましい。例えば,手順の中で設定された要求事項に対して,記入済みの書
式の適合性を評価する場合は,属性に基づくアプローチを使い得るであろう。食品安全に関するインシデ
ントの発生又はセキュリティの漏えい(洩)の数を調査する場合は,変数に基づくアプローチがより適切
となりやすいだろう。
監査サンプリング計画に影響を及ぼし得る要素は,次の事項である。
a) 組織の状況,規模,性質及び複雑さ
b) 力量のある監査員の数
c) 監査の頻度
d) 個々の監査の工数
e) 外部から求められる信頼水準
f)
望ましくない及び/又は予期しない事象の発生
統計的サンプリング計画を策定する場合,どのレベルのサンプリングリスクならば監査員が受容しよう
とするかは,重要な考慮事項である。これは,受容可能な信頼水準と呼ばれることが多い。例えば,5 %
のサンプリングリスクは95 %の受容可能な信頼水準に相当する。5 %のサンプリングリスクは,次のよう
なリスクならば監査員が受容することを意味する。“調査したサンプルの100のうち5(又は20のうち1)
は,全体の母集団を調査すれば見られる実際の値を反映していない”というリスク。
統計的サンプリングを使う場合,監査員は実施した作業を適切に文書化することが望ましい。これには,
サンプルすることを意図した母集団に関する記述,評価に使用したサンプリング基準(例えば,受容可能
なサンプルとは何か),利用した統計的指標及び方法,評価したサンプルの数並びに取得した結果を含むこ
とが望ましい。
A.7 マネジメントシステムにおける順守の監査
監査チームは,被監査者が,次の事項に対して有効なプロセスをもっているかどうかについて考慮する
ことが望ましい。
a) 被監査者に適用される法令・規制要求事項,及び被監査者がコミットメントするその他の要求事項を
特定する。
b) これらの要求事項への順守を達成するために,被監査者の活動,製品及びサービスをマネジメントす
る。
c) 被監査者の順守の状態を評価する。
この規格に示す共通的な手引に加えて,関連する要求事項への順守を確実にするために被監査者が実施
38
Q 19011:2019 (ISO 19011:2018)
したプロセスを監査で評価する場合,監査チームは,被監査者が,次の事項を行っているかを考慮するこ
とが望ましい。
1) 順守の要求事項における変更を特定し,これを変更のマネジメントの一環として考慮するための有効
なプロセスをもつ。
2) 被監査者の順守のプロセスをマネジメントする力量を備えた人々をもつ。
3) 規制当局又は他の利害関係者から要求されているように,被監査者の順守の状態に関する,適切な文
書化した情報を維持し,提供する。
4) 順守の要求事項を,被監査者の内部監査プログラムに含める。
5) 不順守のあらゆる事例に対処する。
6) 被監査者のマネジメントレビューにおいて,順守のパフォーマンスを考慮する。
A.8 組織の状況の監査
多くのマネジメントシステム規格は,組織が,その組織の状況を決定することを要求している。組織の
状況には,関連する利害関係者のニーズ及び期待並びに外部及び内部の課題を含める。組織の状況を決定
するために,組織は,戦略的な分析及び計画策定について様々な技法を使用し得る。
監査員は,このために適切なプロセス群が策定されており,有効に使用されていることを確認すること
が望ましい。それは,それらのプロセスの諸結果が,マネジメントシステムの適用範囲及び策定を決定す
るための信頼できる基礎を提供するからである。これを確認するために,監査員は,次の事項に関係する
客観的証拠を考慮することが望ましい。
a) 使用したプロセス(群)又は方法(類)
b) 使用したプロセス(群)に寄与している個々人の適切性及び力量
c) 使用したプロセス(群)の諸結果
d) マネジメントシステムの適用範囲及び策定を決定するための,使用したプロセス(群)の諸結果の適
用
e) 必要な場合,組織の状況の定期的レビュー
監査員は,関連する業種に固有の知識,及び組織が使用し得るマネジメントツール類に関する理解をも
つことが望ましい。これは,監査員が,組織の状況を決定するのに使用されたプロセス群の有効性につい
て判断するためである。
A.9 リーダーシップ及びコミットメントの監査
多くのマネジメントシステム規格は,トップマネジメントに対する要求事項を増やしてきた。
これらの要求事項には,トップマネジメントがマネジメントシステムの有効性に対して説明責任
(accountability)を負い,幾つかの責任を果たすことによって,コミットメント及びリーダーシップを実
証することを含む。これらには,トップマネジメントが自身で実施することが望ましい業務及び他の者に
委任し得る業務を含む。
監査員は,トップマネジメントが,マネジメントシステムに関係する意思決定に参画している程度,及
びマネジメントシステムの有効性を確実にすることへのコミットメントをどのようにして実証しているか
について,客観的証拠を得ることが望ましい。これは,関連プロセスからの結果[例えば,方針,目的(又
は目標),利用可能な資源,トップマネジメントからのコミュニケーション]をレビューし,トップマネジ
メントの積極的参加の程度を決定するためにスタッフにインタビューすることによって達成できる。
39
Q 19011:2019 (ISO 19011:2018)
監査員はまた,次の事項を確認することをトップマネジメントへのインタビューの目指すこととするの
が望ましい。すなわち,トップマネジメントが,マネジメントシステムが意図した結果を達成することを
確実にできるようにするために,マネジメントシステムに関連する分野固有の課題を,組織が運用する状
況とともに十分に理解しているかということである。
監査員は,トップマネジメントレベルにおけるリーダーシップに焦点を当てるだけではなく,必要に応
じて,マネジメントのその他のレベルにおけるリーダーシップ及びコミットメントを監査することもまた
望ましい。
A.10 リスク及び機会の監査
個々の監査の割当ての一部として,被監査者の組織のリスク及び機会の決定及びマネジメントを含み得
る。このような監査の割当ての主たる目的は,次の事項のとおりである。
− リスク及び機会を特定するプロセス(群)の信頼性について保証を与える。
− リスク及び機会を適正に決定してマネジメントすることに保証を与える。
− 組織が,その決定したリスク及び機会にどのように対処しているかをレビューする。
リスク及び機会の決定に対する組織のアプローチに関する監査は,それ単独の活動として実施しないこ
とが望ましい。それは,マネジメントシステムに関する監査全体において,あら(露)わなものとして行
わないことが望ましい。これには,トップマネジメントにインタビューするときを含む。監査員は,次の
ステップに従って活動し,次の事項のような客観的証拠を集めることが望ましい。
a) 組織がそのリスク及び機会を決定するために用いるインプット。これには,次の事項を含めてよい。
− 外部及び内部の課題の分析
− 組織の戦略的方向性
− 組織の分野固有のマネジメントシステムに関係する利害関係者,及びそれらの利害関係者の要求事
項
− 潜在的なリスク源,例えば環境側面及び安全ハザードなど
b) リスク及び機会を評価する方法,これは分野及び業種の間で異なり得る。
組織のリスク及び機会に関する対応は,組織が受容することを望むリスクのレベル,及びそれをどのよ
うに管理するかを含め,監査員による専門的な判断の適用を必要とする。
A.11 ライフサイクル
分野固有のマネジメントシステムの中には,それらの製品及びサービスに対して,ライフサイクルの視
点の適用を必要とするものがある。監査員は,これをライフサイクルアプローチを採用するための要求事
項とみなさないことが望ましい。ライフサイクルの視点は,組織がその製品及びサービスのライフサイク
ルの諸段階にわたってもつ管理及び影響に関する考慮を含む。ライフサイクルの諸段階には,原材料の取
得,設計,生産,輸送・配送(提供),使用,使用後の処理及び最終処分を含む。このアプローチによって,
組織が,その適用範囲の考慮に当たり,組織に価値を付加しながら,環境への影響を最小化にし得る領域
を特定することが可能になる。監査員は,組織がその戦略及び,次の事項に関して,どのようにライフサ
イクルの視点を適用してきたかについて,専門的な判断を用いることが望ましい。
a) 製品又はサービスの寿命
b) 組織がサプライチェーンに及ぼす影響
c) サプライチェーンの長さ
40
Q 19011:2019 (ISO 19011:2018)
d) 製品の技術的な複雑さ
組織が,それ自身のニーズを満たすために,幾つかのマネジメントシステムを一つのマネジメントシス
テムに組み合わせたならば,監査員は,ライフサイクルの考慮に関する重複がないか,慎重に見ることが
望ましい。
A.12 サプライチェーンの監査
サプライチェーンの監査で特定の要求事項に対するものが,必要となり得る。供給者の監査プログラム
は,供給者及び外部提供者のタイプに対する適用可能な監査基準に関して策定することが望ましい。サプ
ライチェーンの監査範囲は,例えば,マネジメントシステム全体の監査,単一プロセス監査,製品監査,
コンフィギュレーション監査のように異なり得る。
A.13 監査作業文書の作成
監査作業文書を作成するとき,監査チームは各文書に対して次の質問を考慮することが望ましい。
a) この作業文書を利用してどの監査記録を作成するか。
b) この特定の作業文書がどの監査活動に結び付くか。
c) この作業文書を利用するのは誰か。
d) この作業文書の作成にどのような情報が必要か。
複合監査に対して,監査活動の重複を避けるために,次の事項によって作業文書を策定することが望ま
しい。
− 異なる基準から類似の要求事項をまとめる。
− 関係するチェックリスト及び質問事項の内容を調整する。
監査作業文書は,監査範囲内のマネジメントシステムの全ての要素に対処するために十分であることが
望ましい。また,監査作業文書は,いかなる媒体で提供してもよい。
A.14 情報源の選択
選択する情報源は,監査の範囲及び複雑さに応じて異なってもよく,それには,次の事項を含んでもよ
い。
a) 従業員及びその他の人々へのインタビュー
b) 活動並びに周囲の作業環境及び作業条件について行う,観察
c) 文書化した情報。例えば,方針,目的(又は目標),計画,手順,規格,指示,ライセンス及び許認可,
仕様書,図面,契約及び注文
d) 記録。例えば,検査記録,会議の議事録,監査報告書,監視プログラムの記録及び測定結果
e) データの要約,分析及びパフォーマンス指標
f)
被監査者のサンプリング計画に関する情報,並びにサンプリングプロセス及び測定プロセスを管理す
るためのあらゆる手順に関する情報
g) その他の出所からの報告書。例えば,顧客からのフィードバック,外部の調査及び測定,外部関係者
からのその他の関連情報並びに外部提供者の格付け
h) データベース及びウェブサイト
i)
シミュレーション及びモデリング
41
Q 19011:2019 (ISO 19011:2018)
A.15 被監査者の場所の訪問
監査活動と被監査者の作業プロセスとの間の干渉を最小限にするために,また,訪問中の監査チームの
安全衛生を確実にするために,次の事項を考慮することが望ましい。
a) 訪問の計画策定
− 監査範囲に従って訪れる,被監査者の場所の区域への許可及びアクセスを確実にする。
− 監査員に,訪問に差し支えないよう十分な情報を提供する。該当する場合,セキュリティ,健康(例
えば,検疫),労働安全衛生上の事項,文化的規範,及び業務時間についての情報である。これには,
要請及び推奨されたワクチン接種及び洗浄を含む。
− 該当する場合,必要な個人用保護具(PPE)を監査チームが利用可能であることを被監査者に確認
する。
− 情報の記録を含むモバイル機器及びカメラの使用について,セキュリティ及び機密保持の事項を考
慮に入れて被監査者との取決めを確認する。情報の記録には,場所及び機器の写真,文書のスクリ
ーンショット又はコピー,活動及びインタビューのビデオなどがある。
− 予定外の臨時の監査を除いて,訪問を受ける要員が,監査の目的及び範囲に関して知らされている
ことを確実にする。
b) 現地監査活動
− 運用プロセスに不要な外乱を与えることを避ける。
− (該当する場合)監査チームがPPEを適切に使用していることを確実にする。
− 緊急時の手順(例えば,非常口,集合場所)が伝達されていることを確実にする。
− 中断を最小限にするためにコミュニケーションを行うことを予定する。
− 監査範囲に合わせて,監査チームの規模並びに案内役及びオブザーバの人数を適応させる。これは,
実行可能な限り,被監査者の運用プロセスとの干渉を避けるためである。
− 明確に許可されない限り,いかなる機器にも触れたり操作したりしない。これは,たとえその力量
があるか,又は資格を保有している場合でもそうである。
− もし現地訪問においてインシデントが生じたならば,監査チームリーダーは,被監査者及び必要な
場合は監査依頼者と状況をレビューし,監査の中断,再スケジュール,又は継続のいずれが望まし
いかについて合意に至ることが望ましい。
− もし文書のコピーをとるならば,いかなる媒体であっても,事前に許可を求め,機密保持及びセキ
ュリティ上の事項を考慮する。
− メモをとる場合は,監査目的又は監査基準に求められていない限り,個人情報を収集することを避
ける。
c) 仮想監査活動
− 監査チームが,合意した遠隔アクセスプロトコルを用いていることを確実にする。このプロトコル
には,要求される機器,ソフトウェアなどを含む。
− もし文書のスクリーンショットを撮るならば,いかなる種類の文書でも,事前に許可を求め,機密
保持及びセキュリティ上の事項を考慮し,許可なく個々人を記録することを避ける。
− もし遠隔アクセスにおいてインシデントが生じたならば,監査チームリーダーは,被監査者及び必
要な場合は監査依頼者と状況をレビューし,監査の中断,再スケジュール,又は継続のいずれが望
ましいかについて合意に至ることが望ましい。
− 遠隔場所のフロアの間取り図・図面を参照として用いる。
42
Q 19011:2019 (ISO 19011:2018)
− プライバシーに対する尊重を,監査休憩において維持する。
情報及び監査証拠の処分に考慮を払う必要がある。これは,媒体のタイプにかかわらず,後になって,
その保持の必要性が無くなったときである。
A.16 仮想活動及び場所の,監査
人々が物理的場所にかかわらずプロセスを実行することを許すオンライン環境(例えば,企業のイント
ラネット,“コンピューティングクラウド”)を利用し,組織が作業を行う場合又はサービスを提供する場
合には仮想監査を行う。仮想場所の監査は,仮想監査と呼ばれることがある。遠隔監査は,“対面”方法が
可能でないか又は望まれない場合に,情報収集,被監査者へのインタビューなどのための技術を用いるこ
とを示す。
仮想監査は,客観的証拠を検証する技術を用いるが,標準的な監査プロセスに従って実施する。被監査
者及び監査チームは,仮想監査のための適切な技術要求事項を,確実にすることが望ましい。これには,
次の事項を含み得る。
− 監査チームは,必要な装置,ソフトウェアなどを含め,合意された遠隔アクセスプロトコルを使用し
ていることを確実にする。
− 監査に先立って,技術的課題を解決するよう技術的チェックを行う。
− 必要な場合,追加の監査時間をとることを含め,不測の事態への対応計画が,利用可能で伝達されて
いることを確実にする(例えば,アクセスの妨害,代替技術の利用)。
監査員の力量には,次の事項を含めることが望ましい。
− 監査を通じて,適切な電子機器及びその他の技術を使用する技術的な技能
− 監査を遠隔で行うために仮想的に会議を進める経験
初回会議又は監査を仮想的に行う場合,監査員は,次の事項を考慮することが望ましい。
− 仮想監査又は遠隔監査に付随するリスク
− 電子情報の参照又はマッピングのために,遠隔場所のフロアの間取り図・図面を利用すること。
− バックグラウンドノイズによる遮断及び妨害の防止を容易にすること。
− 文書のスクリーンショット又はあらゆる種類の記録をとるために,事前に許可を求め,また,機密保
持及びセキュリティ上の事項を考慮すること。
− 監査休憩において,例えば,マイクを消音し,カメラを一時停止するなどし,機密保持及びプライバ
シーを確実にすること。
A.17 インタビューの実施
インタビューは情報を収集するための重要な手段であり,対面又はその他のコミュニケーション手段を
通じて,その場の状況及びインタビュー対象者に合わせた形で行うことが望ましい。ただし,監査員は,
次の事項を考慮することが望ましい。
a) インタビューは,監査範囲内で,活動又は業務を遂行している適切な階層及び機能の人々に対して行
うことが望ましい。
b) 通常,インタビューは,通常の就業時間中に,実行可能であれば,インタビュー対象者の通常の就業
場所で行うことが望ましい。
c) インタビューを始める前及びインタビュー中に,インタビュー対象者の緊張を解くことを試みること
が望ましい。
43
Q 19011:2019 (ISO 19011:2018)
d) インタビューを行う理由,及びメモをとるのであればその理由を説明することが望ましい。
e) インタビュー対象者の業務について説明を求めることによってインタビューを始めてよい。
f)
質問の種類を注意して選択することが望ましい[例えば,自由質問,選択質問,誘導質問,価値を認
める質問(appreciative inquiry)]。
g) 仮想設定における限られた非言語コミュニケーションを認識する。その代わりに,客観的証拠を見出
すために用いる質問の種類に焦点を当てることが望ましい。
h) インタビューの結果をまとめて,その内容をインタビュー対象者とレビューすることが望ましい。
i)
インタビューへの参加及び協力に対して,インタビュー対象者に謝意を表することが望ましい。
A.18 監査所見
A.18.1 監査所見の決定
監査所見を決定するとき,次の事項を考慮することが望ましい。
a) 前回までの監査記録及び監査結論のフォローアップ
b) 監査依頼者の要求事項
c) 監査所見を支持する客観的証拠の正確さ,十分さ及び適切さ
d) 計画した監査活動を実現した程度及び計画した結果を達成した程度
e) 通常の慣行を超える所見,又は改善の機会
f)
サンプルサイズ
g) 監査所見の分類(存在する場合)
A.18.2 適合の記録
適合の記録には,次の事項を考慮することが望ましい。
a) 適合を示す監査基準の記述又は監査基準への参照
b) 該当する場合,適合を支持する監査証拠及び,その有効性
c) 該当する場合,適合の明示
A.18.3 不適合の記録
不適合の記録には,次の事項を考慮することが望ましい。
a) 監査基準の記述又は監査基準への参照
b) 監査証拠
c) 不適合の明示
d) 該当する場合,関係する監査所見
A.18.4 複数の基準に関係する所見への対応
監査中,複数の基準に関係する所見を特定することが可能である。監査員が複合監査の一つの基準に結
び付けられた所見を特定する場合,その監査員は他のマネジメントシステムの対応する基準又は類似の基
準に対して及ぼし得る影響を考慮することが望ましい。
監査依頼者との取決めに基づき,監査員は次のいずれを提起してもよい。
a) 各基準に対する別々の所見
b) 複数の基準への参照を組み合わせた,一つの所見
監査依頼者との取決めに基づき,監査員はこれらの所見にどのように対応するかについて被監査者を導
いてよい。
44
Q 19011:2019 (ISO 19011:2018)
参考文献
[1] JIS Q 9000:2015 品質マネジメントシステム−基本及び用語
注記 対応国際規格:ISO 9000:2015,Quality management systems−Fundamentals and vocabulary
(IDT)
[2] JIS Q 9001 品質マネジメントシステム−要求事項
注記 対応国際規格:ISO 9001,Quality management systems−Requirements(IDT)
[3] JIS Q 0073:2010 リスクマネジメント−用語
注記 対応国際規格:ISO Guide73:2009,Risk management−Vocabulary(IDT)
[4] JIS Q 17021-1 適合性評価−マネジメントシステムの審査及び認証を行う機関に対する要求事項
−第1部:要求事項
注記 対応国際規格:ISO/IEC 17021-1,Conformity assessment−Requirements for bodies providing
audit and certification of management systems−Part 1: Requirements(IDT)