監査報告書の書き方がわからないとお悩みではないですか?
今回の記事では、内部監査を実施した際に記載する監査報告書の書き方について記載していきます。
それでは解説していきます!
Contents
監査報告書について
(1)監査報告書を監査の記録として作成
監査報告書は、内部監査の成果を正確かつ明確に文書化するための重要な文書です。監査報告書をもとに、監査される範囲を改善することになります。まずは監査報告書のポイントについて抑えます。
- 監査の目的
- 被監査者
- 監査の実施日(又は期間)、場所
- 監査基準
- 監査チームリーダー及び監査員
- 監査所見(指摘事項)及びその区分・格付け
- 処置要求(修正、是正、予防)
- 結論(監査の総括)
一つひとつ詳しくみていきます。
監査の目的
監査報告書の冒頭に、監査の目的を明確に記載します。目的を明確にすることで、報告書記載の際にズレが生じることを防ぎます。
報告書を読む人が全体的な意味を理解できるようにします。
監査の目的は計画段階で明確にしているので、それを参考に記載します。
被監査者
監査を受けた部門、部署、プロセス、および参加者に関する情報を盛り込みます。どの部分の記載なのか誰が監査の対象であるかが明確になります。
監査の実施日(又は期間)、場所
監査がいつ、どこで実施されたかを報告書に記載します。客観的証拠として、実施日と場所を明確に記載します。
監査基準
監査報告書には、監査が基づいた規格や基準について詳細に説明します。これにより、監査の基準が明確になり、評価の根拠となります。
監査チームリーダー及び監査員
監査報告書には、監査チームの構成員に関する情報を含めます。これにより、報告の信頼性と透明性が高まります。
監査所見(指摘事項)及びその区分・格付け
監査報告書には、収集された監査所見(指摘事項)を明示的に記載します。それらを不適合、観察・改善の機会、提案、優れた事例などの適切な区分に分類します。これにより、被監査者が改善すべき領域や成功した実践を理解できます。
処置要求(修正、是正、予防)
監査報告書には、監査所見に基づいて被監査者に対して要求する処置(修正、是正、予防など)を明示的に記載します。要求事項の具体的な内容や提出期限も詳細に指定します。
結論(監査の総括)
総括を記載します。
監査報告書は監査の結果を透明かつ詳細に伝えるための重要な文書であり、改善プロセスの一部としての役割も果たします。徹底的な記載と明確な情報提供が、効果的な監査の成功に寄与します。
(2)監査結論
監査報告書に監査結論をまとめる際に考慮すべきポイントを以下に示します。
- 監査基準への適合の程度
- マネジメントシステムの効果的な実施、維持及び改善
- マネジメントシステム及び各プロセス(業務活動)の有効性
- 監査目的の達成の程度
- 監査プログラム(監査計画書)の適切性
- 監査所見(指摘事項)の分布
- 監査所見(指摘事項)の原因の分析
監査基準への適合の程度
結論の一部として、被監査組織が監査基準にどの程度適合しているかを評価します。これにより、組織の適合性が明確になります。
マネジメントシステムの効果的な実施、維持及び改善
マネジメントシステムが効果的に実施・維持・改善されているかどうかを評価します。これは組織のパフォーマンスと品質向上に関連する重要な要素です。
マネジメントシステム及び各プロセス(業務活動)の有効性
個別のプロセスや業務活動がマネジメントシステムの一部としてどの程度効果的に機能しているかを評価します。有効なプロセスは組織の全体的な効率性に寄与します。
監査目的の達成の程度
目的が達成されたかどうかを確認し、その達成度合いを明示的に報告します。監査が成功裏に実施され、目的が達成された場合、これを強調します。
監査プログラム(監査計画書)の適切性
結論には、監査プログラムが適切に設計され、実施されたかどうかに関する評価も含めます。監査プログラムが効果的であれば、今後の監査活動の指針となります。
監査所見(指摘事項)の分布
監査所見(指摘事項)がどの部門やプロセスに分布しているかに関する情報も含めます。これにより、問題の優先順位付けが可能になります。
監査所見(指摘事項)の原因の分析
監査所見の原因についての分析も含まれます。原因の明確化は、改善プロセスの一環として役立ちます。
監査活動全体の要約として、組織に対する提言や改善の方向性を示す重要な部分です。改善活動への道筋を示し、マネジメントシステムの品質と効率性を向上させるのに役立ちます。
監査所見(指摘事項)の区分・格付け
(1)不適合
不適合には重大な不適合と軽微な不適合の2つのカテゴリがあります。以下にそれぞれの例を示します。
a) 重大な不適合の例
重大な不適合の例を記載します。
- 経営、事業に悪い影響を与えるマネジメントシステムの欠陥が観察された場合
- システムの要求事項が全く欠落している場合
- システムの要求事項が全く実行されていない場合
- 目標達成に関して、マネジメントシステムが全く効果をあげていない場合
- システムの欠陥により、利害関係者の要求事項や法規制要求事項を満たしていない場合
- 同じ要求事項における小さな不適合がいくつか発見される場合、または特定の部署に不適合が集中して発見される場合
経営、事業に悪い影響を与えるマネジメントシステムの欠陥が観察された場合
この場合、経営や事業に悪影響を及ぼす問題が、組織のマネジメントシステムで見られたということです。たとえば、品質管理システムが機能不全で、不良品が市場に流通しているといった具体的な問題が示唆されます。
システムの要求事項が全く欠落している場合
組織が特定のシステム(例:品質管理、情報セキュリティ)を構築すべき要件を全く満たしていない状況を指します。つまり、そのシステムが存在しない・構築されていないということです。
システムの要求事項が全く実行されていない場合
システムは存在するものの、その要求事項が適切に実行・実施されていない状態を指します。システムがあるが、適切に機能していないということです。
目標達成に関して、マネジメントシステムが全く効果をあげていない場合
組織が設定した目標やターゲットを達成するために導入されたマネジメントシステムが、目標達成に対してほとんど効果を上げていない場合を指します。つまり、システムが目標達成に寄与していない状態です。
システムの欠陥により、利害関係者の要求事項や法規制要求事項を満たしていない場合
組織のシステムに欠陥があり、それにより関連する利害関係者や法規制からの要求事項を満たしていない状態を指します。
例えば、環境保護規制を順守するためのシステムが不十分で、規制要件を遵守していない場合です。
同じ要求事項における小さな不適合がいくつか発見される場合、または特定の部署に不適合が集中して発見される場合
同じ要求事項に対していくつかの小さな違反(不適合)が見つかった場合。また、ある特定の部署で不適合が集中して発見されたことを指します。
たとえば、品質管理要件に対する複数の小さな違反が発生しているか、特定の製造部門で品質問題が多発しているという具体的な状況です。
b) 軽微な不適合の例
軽微な不適合の例を記載します。
- 経営、事業に直ちに悪い影響を与えるものではなく、限られた時間の中で対策を取ることができる場合
- マネジメントシステムの要求事項の一部が欠落又は実施されていない場合
- 目標達成に関して、マネジメントシステムの効果があまりみられない場合
- 改善やレベルアップへのアクションがない場合
経営、事業に直ちに悪い影響を与えないが、限られた時間で対策を取ることができる場合
このケースでは、組織内で問題が発生していますが、その問題がまだ経営や事業に直ちに重大な悪影響を及ぼしていない状況です。
ただし、問題が解決されなければ将来的には影響を及ぼす可能性があるため、限られた時間内に問題に対処する必要があります。
例えば、品質管理プロセスに一部の欠陥があるが、製品の品質にはまだ大きな問題が発生していない場合です。この場合、早急な対策が必要です。
マネジメントシステムの要求事項の一部が欠落又は実施されていない場合
ここでは、組織のシステムが存在し、一部の要求事項は実施されていますが、その一部が欠落しているか、適切に実施されていない状況を指します。
例えば、情報セキュリティマネジメントシステム(ISMS)が一部のセキュリティポリシーを実行していない場合です。これはセキュリティリスクを増加させる可能性があります。
目標達成に関して、マネジメントシステムの効果があまりみられない場合
この場合、組織がマネジメントシステムを導入しているが、そのシステムが設定された目標やターゲットの達成に対して効果的でないという状況を指します。
例えば、品質管理システムが導入されているが、製品の品質に関する問題が依然として頻発している場合です。これはマネジメントシステムの改善が必要であることを示唆しています。
改善やレベルアップへのアクションがない場合
このケースでは、組織が既存のマネジメントシステムを運用しているが、そのシステムを改善し、レベルアップするための具体的なアクションが実施されていない状況を指します。
組織は現状に満足しており、システムの持続的な改善を怠っている可能性があります。この場合、組織はシステムの向上と効果性の確保のために行動する必要があります。
不適合は早急に対応する項目
これらの不適合の区分は、監査報告書において問題の深刻度を示すのに役立ちます。重大な不適合は直ちに対処が必要であり、軽微な不適合は改善の機会として考えることができます。
どちらの場合でも、不適合に対する是正措置や予防措置が重要です。
(2)観察、(3)提案、(4)優れた事例/推奨事項/ストロングポイント
監査所見(指摘事項)の区分・格付けには、観察、提案、優れた事例/推奨事項/ストロングポイントの3つのカテゴリがあります。
(2) 観察(改善の機会)
- 不適合とはいいがたいが、処置した方がよいと思われる場合
- 明確な判断を下すためにはさらなる調査が必要な場合
- 不適合ではあるが、事業や業務への影響が少なく、是正処置は必要ないと判断される場合
不適合とはいいがたいが、処置した方がよいと思われる場合
この状況では、特定のプロセスや業務において問題(不適合)が発見されましたが、それが重大なものではなく、業務に直接的な悪影響を及ぼすほど深刻ではない可能性があります。
ただし、問題を放置すると将来的により大きな問題となる可能性があるため、予防的な措置が必要です。例えば、製造プロセスで品質のわずかな低下が見られる場合、これは直ちに生産に深刻な影響を与えないかもしれませんが、品質の維持に取り組むことが重要です。
明確な判断を下すためにはさらなる調査が必要な場合
このケースでは、問題が発見されたが、それに対する明確な判断を下すには、さらなる調査や分析が必要であると判断されます。
問題の根本原因や影響を理解するために、追加の情報が必要です。
例えば、財務データの異常が検出された場合、その異常がなぜ発生したのか、組織全体にどのような影響があるのかを調査し、正確な判断を下すための準備を行います。
不適合ではあるが、事業や業務への影響が少なく、是正処置は必要ないと判断される場合
ここでは、不適合が特定されましたが、その不適合が事業や業務に対して影響が限定的であり、是正処置を実施するまでのコストや手間が不相応に高い場合、是正処置は必要ないと判断されます。
つまり、問題の重大度と対策のコスト対効果を比較し、是正処置を行う必要性を判断します。
例えば、オフィス環境で僅かな設備の不調がある場合、それが業務にほとんど影響を及ぼさない場合、是正処置を優先しないことが選択されるかもしれません。
(3) 提案(提案事項)
- 不適合や観察(改善の機会)ではないが、改善のための推奨事項がある場合
- マネジメントシステムの改善や効率化を促進するための提案事項
不適合や観察(改善の機会)ではないが、改善のための推奨事項がある場合
このケースでは、特定のプロセスや業務に不適合や観察がない場合でも、改善の余地や機会が存在すると認識されています。
つまり、既存の方法や手順には大きな問題はないが、より効率的に運用するための改善提案があります。
例えば、生産ラインが正常に稼働している場合でも、生産効率を向上させるための新しい機器を導入する提案があるかもしれません。
マネジメントシステムの改善や効率化を促進するための提案事項
この場合、組織は既存のマネジメントシステムを改善し、より効率的に運用するための提案を検討しています。
これには、プロセスの効率化、文書管理の最適化、トレーニングプログラムの改善などが含まれることがあります。
例えば、品質管理システムの改善提案では、品質検査プロセスを自動化し、人的エラーを削減する方法が含まれるかもしれません。このような提案は、組織全体の運用を向上させ、リソースの有効活用を可能にします。
これらの提案事項は、組織が継続的な改善プロセスを採用し、マネジメントシステムをより効果的に運用するために役立ちます。組織はこれらの提案を評価し、実施すべきかどうかを検討し、必要に応じて変更を加えます。
(4) 優れた事例/推奨事項/ストロングポイント
- マネジメントシステムの効果的な実施、維持、および改善において、優れた実績を示した活動がある場合
- 他の部門や組織におけるベストプラクティスとして共有できる事例や推奨事項
- マネジメントシステムの一部で特筆すべき成功事例や強み(ストロングポイント)
マネジメントシステムの効果的な実施、維持、および改善において、優れた実績を示した活動がある場合
このケースでは、組織がマネジメントシステムを効果的に運用し、優れた結果を達成した具体的な活動や成果があります。
たとえば、品質管理システムの実施において、不良品の削減率が大幅に向上し、顧客満足度が高まったといった成功事例があります。このような実績は、他の組織や部門に共有し、ベストプラクティスとして示すことができます。
他の部門や組織におけるベストプラクティスとして共有できる事例や推奨事項
ここでは、組織内のある部門やプロジェクトが、特に成功した方法やベストプラクティスを他の部門や外部の組織と共有する事例を指します。
たとえば、環境管理システムを実施する際に、持続可能な実践方法やリサイクルプログラムを開発し、他の組織に対して共有することができます。これにより、業界全体で環境に優しいプラクティスが広まります。
マネジメントシステムの一部で特筆すべき成功事例や強み(ストロングポイント)
この場合、組織のマネジメントシステムの特定の側面や領域で、特筆すべき成功事例や強みが存在します。
たとえば、情報セキュリティマネジメントシステム(ISMS)の実施において、組織が特に効果的なデータ保護プロトコルを確立し、セキュリティ侵害のリスクを最小限に抑えているという強みがあるかもしれません。
このような成功事例や強みは、組織内で認識され、他の領域や組織に適用するための模範例となります。
これらの事例や推奨事項は、組織内での学習と成長を促進し、マネジメントシステムの改善と効果的な実施に貢献します。
改善の継続
これらの区分と格付けは、監査報告書において各監査所見の性質と重要度を示し、改善の方向性を指摘するのに役立ちます。
不適合から優れた事例まで、幅広い情報を提供し、組織のマネジメントシステムの品質向上に貢献します。
監査所見(指摘事項)の書き方
(1)記述のガイドライン
監査所見(指摘事項)を記述する際の基本的なガイドラインは以下の通りです。
- 不備が発見された領域の記載
- 監査の基準の記載
- 事実(監査証拠)を提供
1. 不備が発見された領域の記載
不備が発見された領域(業務・部署・場所)を明確に指摘します。例えば、以下のように記述できます:
- ○○プロセスにおいて、〜〜〜
- △△部署において、〜〜〜
2. 監査の基準の記載
監査の基準(ISO規格、食品安全マニュアル等)に言及し、逸脱があることを記載します。例えば、以下のように記述できます:
- ××標準で~と規定されていたが、
- ▽▽には、○○を行う手順になっていたが、
3. 事実(監査証拠)を提供
事実(監査証拠)を提供し、具体的な情報で逸脱の程度を記載します。例えば、以下のように記述できます:
- ○月○日の「◇◇記録」には、××が記入されていなかった。
- ○○月に計画された「▽▽」が、××になっても実施されていなかった。
これらの基本的な要素を含めることで、監査所見の記述が正確で簡潔であり、監査基準からの逸脱が明確に伝わるようになります。
抽象的な内容や憶測や推測を避け、客観的な情報を提供することが大切です。
(2)監査所見(指摘事項)の記載例
不適切な例と適切な例を以下に示します。以下に、指摘事項と要求事項を明確に示した改善例を示します。
- どこで
- 監査基準
- 監査証拠
- 要求事項
どこで
⇒ 「○○製品のHACCPプランにおいて、CCPである△△工程では」
監査基準
⇒ 「3時間に1回の頻度で、テストピースを通過させ、感度を確認することが規定されている。」
監査証拠
⇒「 ○月○日は9時から16時まで製造していたが、管理記録では、始業前に実施しているが、以降の実施記録がなかった。」
要求事項
- 「CCPである△△工程において、3時間に1回の頻度でテストピースを通過させ、感度を確認するプロセスを実施してください。」
- 「監査証拠を提供して、このプロセスの実施記録を明示的に示してください。」
監査報告書の書き方のまとめ
今回は、内部監査を実施した際の監査報告書の記載方法についてまとめました。
報告書によって改善しなければいけないポイントが明確になるため、情報の漏れがないように記載することが重要です。
PDCAを回せるように完成度の高い報告書を作りましょう!
この記事でわかることは以下の通りです!