7 サンプリング
内部監査は限られた時間で実施しなければならないため、すべての監査証拠を収集することが
できません。そこで、サンプリングの技術・考え方が重要になります。
ISO 19011の「4 監査の原則 f)証拠に基づくアプローチ」にて次の記述があります。
監査証拠は、検証可能なものであることが望ましい。監査は限られた時間及び資源で行われる
ので、監査証拠は、一般的に、入手可能な情報からのサンプルに基づくことが望ましい。
監査結論にどれだけの信頼をおけるかということと密接に関係しているため、サンプリングを
適切に活用することが望ましい。
サンプリングには、「判断に基づくサンプリング」と「統計的サンプリング」の二種類があります。
「判断に基づくサンプリング」は、監査員の経験や勘でサンプリングを決める手法です。
監査結論に対する不確かさ(リスク)が残ります。
「統計的サンプリング」は、監査員の判断によらず、具体的なサンプリング計画、サンプリング基準
に基づいて行われるため内部監査員の力量が求められます。
多くの組織では、「統計的サンプリング」を用いるのはハードルが高いため、「判断に基づくサンプ
リング」で監査証拠の収集をしていると思います。「判断に基づくサンプリング」をする際、注意することは
「重箱の隅を突いた」と言われないために、最低でも3点以上のサンプリングをすることです。
記録の検証をする際、ランダムに3点ピックアップし、不備が2点あれば「システム上の欠点がある」
と判断し不適合の判定をする、不備が1点の場合はケアレスミスの可能性もあるので観察(注意喚起)に
に留める、といった判定で良いです。
※メルマガで配信したコラムを修正・加筆したものです