9.2.2 内部監査プログラム
組織は、監査プログラムを計画し、確立し、実施しなければならない。これには、その頻度、方法、責任、計画策定の要求事項及び報告を含める。
それらの内部監査プログラムを確立するとき、組織は、関連するプロセスの重要性及び前回までの監査の結果を考慮しなければならない。
組織は、次に示す事項を行わなければならない。
a)各監査について、監査目的、監査基準及び監査範囲を明確にする。
b)監査プロセスの客観性及び公平性を確保するために、監査員を選定し、監査を実施する。
c)監査の結果を関連する管理層に報告することを確実にする。
組織は、監査プログラムの実施及び監査結果の証拠として、文書化した情報を利用可能な
状態にしなければならない。
解説:
附属書SLでは内部監査プログラムの定義がないため、具体的にどのようなものを意図してるのかが分かりにくいです。「マネジメントシステム監査の指針」を定めたISO 19011では、監査プログラムを次のように定義しています。
-特定の目的に向けた、決められた期間内で実行するように計画された一連の監査に関する取決め。
監査に関する取決めには、例えば、内部監査規程、第二者監査規程などがあります。
また、ここでいう計画(Plan)は、単なる監査計画(スケジュール)を指していないので注意が必要です。
どのように内部監査プロセスのPDCAを実現させるのかを示した内部監査規程などの準備が望まれます。
・計画 内部監査を、どのような周期(間隔)、どのような目的で実行するのか計画する
・実施 計画に基づき内部監査を実行する
・評価 内部監査が目的を達成したかどうかを評価する
・改善 より良い内部監査を実現するために内部監査プロセスを改善する
内部監査のPDCAを回している組織に巡り合う機会は少ないです。
皆さんの組織では、内部監査プロセスを改善しているでしょうか。
本文では、内部監査のマンネリ化を避けるため、プロセスの重要性と前回までの監査結果を考慮して内部監査プログラムを確立することを要求しています。毎回同じ項目を監査しても意味がない場合が多いので、重要な変更があった場合のリスクが回避されているか、前回指摘されたところが改善されているか、といった視点を内部監査に含める必要があります。
b)に客観性及び公平性と記載があるため、「内部監査員は自部門を監査してはならない」と解釈されることが多いのですが、厳密には、自分が担当した業務の監査はできない、という趣旨です。
自部門の監査ができないと解釈すると、小規模組織の場合内部監査の実施そのものが困難になります。
内部監査プロセスのPDCAを回すための内部監査規程になっているかどうか確認することをお勧めします。
※メルマガで配信したコラムを修正・加筆したものです