監査計画書(ISO)の作成のポイントと注意点!

今回は、内部監査の準備と計画について解説していきます。

監査計画書って何をするもの?

監査計画書は監査するための計画を作成したものだよ!

監査を実施するにあたって、監査計画書を作成しなければいけません。

監査計画書の作り方がわからないとお悩みではないですか?

今回の記事では、監査計画書の作成のポイントについて詳しく解説していきます!

この記事でわかることは以下の通りです!

  1. 内部監査のステップ
  2. 準備・計画しなければいけない2つのこと
  3. 準備・計画しなければいけない2つのこと
  4. 監査プログラム作成
  5. 監査プログラム作成事例

それでは解説していきます!

内部監査のステップ

内部監査は、下記の大きく分けると、3つのステップで実施されます。

STEP

準備・計画

STEP

実施

STEP

フォローアップ

内部監査概要

内部監査をいきなり実施します!と言っても、いきあたりバッタリではしっかりとした内部監査を実施することができません。

やはりなんでも準備と計画は大事です!ということで実際に内部監査の準備について解説していきます。

準備・計画しなければいけない2つのこと

実際に準備と計画をしなければいけないことは、下記の2つです。

事前準備しておくもの
  1. 監査計画書の作成
  2. チェックリストの作成

チェックリストの作成に関しては下記の記事で説明しています。

今回の記事では、監査プログラムである監査計画書の作成方法について解説していきます。

監査プログラムの作成概要

内部監査とは

このセクションでは監査プログラムを作成するにあたっての大枠を記載します。それぞれの項目の詳細については、のちほど一つ一つ解説します。

監査プログラム、または監査計画書は、個々の監査活動の内容を決定する際に最も重要な文書の一つです。

以下に、監査プログラムの作成に関するポイントを説明します。

1) 監査プログラム(監査計画書)の要素

監査プログラムには、次の要素を明確に記述します。

監査計画書の要素
  1. 監査の目的
  2. 監査の範囲
  3. 監査の頻度、時期
  4. 監査の基準
  5. 監査チーム
  6. 機密保持
  7. 必要な資源
  8. 監査スケジュール

あらかじめ明確に記述しておくことで、スムーズに計画を立てていくことが可能です。要素については、次のセクションで説明します。

2) リスクの考慮

監査プログラムの作成に際して、以下のようなリスクを考慮します。

リスクの考慮
  1. 監査目的及び監査範囲の適切性
  2. 監査時間などの資源
  3. 監査員、監査チームの力量
  4. コミュニケーション
  5. 機密保持、セキュリティの確保
  6. 監査の方法

監査目的及び監査範囲の適切性

監査の目的や範囲が不適切である場合、監査活動の有効性に影響を及ぼす可能性があります。適切な目的と範囲を設定することが重要です。

監査時間などの資源

監査に必要な時間、人員、予算などの資源が不足している場合、監査が不十分になる可能性があります。

適切な資源を確保する計画が必要です。

監査員、監査チームの力量

監査員やチームが必要な専門知識やスキルを持っていない場合、監査の品質が低下する可能性があります。

適切なトレーニングやリソースの提供が必要です。

コミュニケーション

監査対象者との効果的なコミュニケーションが不足している場合、情報収集や問題の特定が難しくなります。

コミュニケーション戦略を考慮することが大切です。

機密保持、セキュリティの確保

監査活動が機密情報やセキュリティに関わる場合、その保護策が不十分であると情報漏洩やセキュリティ侵害のリスクが高まります。

セキュリティ対策を考慮する必要があります。

監査の方法

監査手法が不適切である場合、監査の信頼性が低下する可能性があります。適切な方法を選択することが重要です。

3) 承認と修正

監査プログラム(監査計画書)は、監査実施前に作成され、監査の責任者によって承認されます。

また、監査の目的、範囲、基準などに変更がある場合、必要に応じて監査プログラムを修正します。

監査計画書は監査の進行と評価のための重要なガイドとして機能します。

監査プログラムの大枠の説明はここまでです。これから、1つ1つの項目について深掘りしていきます。

監査プログラム作成

監査プログラム作成

監査プログラムを作成するにあたって、下記の8点です。

監査プログラムに記載するポイント
  1. 監査の目的
  2. 監査の範囲
  3. 監査の頻度、時期
  4. 監査の基準
  5. 監査チーム
  6. 機密保持
  7. 必要な資源
  8. 監査スケジュール

(1)監査の目的

監査の目的は、その監査においてどのような情報を得たいのか、また何を達成しようとしているのかを明確に定義するものです。

ただやらなければいけないと決まっているからという理由で実施するものではありません。

監査活動が組織の方針や目標と整合し、組織の実績やパフォーマンスの改善に貢献できるような目的を設定することが重要です。

以下は、監査の目的を明確にする際に考慮すべき要因の一部です。

監査の目的
  1. 経営上の優先事項
  2. 商取引上およびその他の事業上での課題、問題点
  3. 法的および契約上の要求事項、組織の約束事項
  4. 顧客や利害関係者のニーズと期待
  5. 被監査者における不具合や顧客クレームの発生状況
  6. 前回までの監査結果
  7. 組織のマネジメントシステムの成熟度
  8. 監査実施に際して発生する被監査者に対するリスク

経営上の優先事項

組織の経営陣が特定の課題や重要な事項に焦点を当てている場合、監査の目的にそれを反映させることができます。

たとえば、品質向上、コスト削減、リスク管理などが優先事項となる可能性があります。

商取引上およびその他の事業上での課題、問題点

組織が取引先やパートナーとの関係において特定の課題や問題点を抱えている場合、それらに関連した監査を実施することが考えられます。

たとえば、納期遅延、品質不良、契約違反などが該当します。

法的および契約上の要求事項、組織の約束事項

法律や契約に従う必要がある場合、監査の目的はこれらの要求事項の遵守を確認することに焦点を当てるかもしれません。

また、組織自体が顧客や利害関係者に対して約束した事項も考慮されます。

顧客や利害関係者のニーズと期待

顧客や他の利害関係者のニーズや期待に対応するために、監査の目的を設定することが重要です。

たとえば、顧客の要求事項に合致する製品を提供するための品質監査が考えられます。

被監査者における不具合や顧客クレームの発生状況

過去の不具合やクレームの発生状況を考慮して、監査の目的を設定します。

これにより、再発防止策の評価や品質改善が可能です。

前回までの監査結果

前回の監査で特定された課題や改善の進捗を確認し、新しい監査の目的を設定します。

前回の監査結果は、連続的な改善に関する情報源として活用されます。

組織のマネジメントシステムの成熟度

組織のマネジメントシステムがどの程度成熟しているかに応じて、監査の目的を設定します。

成熟度の低いシステムでは、基本的なコンプライアンス確認が中心となるかもしれません。

監査実施に際して発生する被監査者に対するリスク

監査を実施する際に、被監査者に対するリスクを評価し、それに対処するための目的を設定します。

たとえば、特定の部門での不正行為のリスクが高い場合、その部門を対象とする監査を実施するかもしれません。

監査の目的を明確にすることは、効果的な監査計画の策定と、組織の持続的な改善活動の支援に不可欠です。

(2)監査の範囲

a) 監査の範囲の明確化

監査の範囲を明確にすることは、監査計画の重要な一部です。通常、以下の項目が監査の範囲を明らかにするために考慮されます。

範囲の明確化
  1. どのプロセス(業務活動)、部署を監査するか
  2. ISO規格のどの要求項目を監査するか
  3. マトリックス表を参考にする
どのプロセス(業務活動)、部署を監査するか

監査の対象となる具体的なプロセスや部署を特定します。例えば、生産プロセス、品質管理部門、人事部門などが監査の対象となります。

ISO規格のどの要求項目を監査するか

ISO規格にはさまざまな要求項目が含まれており、これらの要求項目に対する適合性を確認するため、具体的な要求項目を指定します。

マトリックス表を参考にする

マトリックス表は、特定のプロセスや部署がどのISO要求項目に関連しているかを示す有用なツールです。この表を活用して、監査の範囲を設定します。

役職やチーム、部署によって、活動は異なるので、どの役割を担っているのか明確にして、範囲を決定します。

監査計画では、通常、あらかじめ定められた期間(たとえば3年間)ですべてのプロセスや部署を監査する計画を立てます。

ただし、ISO規格は毎年すべてのプロセスや部署を監査することを要求していないため、重要な領域は毎回監査することが望ましいとされています。

b) 監査範囲の設定

監査範囲の設定は、監査の目的に応じて行われます。以下は、監査範囲を設定する際に考慮すべき要因の一部です:

  1. 監査の対象となる活動、部署の数、重要性、複雑さ、類似性、場所
  2. マネジメントシステムの有効性への影響
  3. 適用される監査基準
  4. 前回までの監査結果とプログラムの見直し
  5. 利害関係者からの情報、顧客の苦情
  6. リスクと機会の変化
監査の対象となる活動、部署の数、重要性、複雑さ、類似性、場所

監査の対象となる活動や部署の特性に応じて、監査範囲を設定します。例えば、製造工程が多様である場合、異なる工程を監査する必要があります。

マネジメントシステムの有効性への影響

監査範囲は、マネジメントシステムの有効性に直接的な影響を与える要因に基づいて設定されます。重要なプロセスや部門が有効性に大きな影響を持つ場合、これらを重点的に監査します。

適用される監査基準

適用される監査基準や規格に従って、監査範囲を設定します。特定の規格に準拠する必要がある場合、これに基づいて監査を実施します。

前回までの監査結果とプログラムの見直し

過去の監査結果やプログラムの見直しを考慮して、新しい監査範囲を設定します。前回の監査で特定された課題や改善の進捗を確認するために、これらを含めることが重要です。

利害関係者からの情報、顧客の苦情

利害関係者からの情報や顧客からの苦情がある場合、これらの情報を監査範囲に含め、関連するプロセスを評価します。

リスクと機会の変化

組織や業務に関連するリスクや機会に対する顕著な変化がある場合、これらの変化を評価するために監査範囲を調整します。例えば、製品の不具合が頻発する場合、品質管理プロセスを詳細に監査する必要があるかもしれません。

監査範囲の適切な設定は、監査の効果的な実施と組織の持続的な改善に寄与します。

(3)監査の頻度、時期

内部監査の頻度と実施時期は、監査計画を策定する際に考慮される重要な要素です。

監査の頻度

内部監査は通常、定期監査と臨時監査の組み合わせとして計画されます。

監査の頻度
  • 定期監査
  • 臨時監査
定期監査

定期監査は、あらかじめ定められた間隔で行われる監査です。

これは組織のマネジメントシステムやプロセスを継続的に評価し、改善するための重要な手段です。例えば、年次監査は定期監査の一例であり、毎年同じ時期に行われます。

臨時監査

臨時監査は、通常の監査スケジュール外で行われる監査であり、トップマネジメントや管理責任者、食品安全チームリーダーなどが必要に応じて実施することがあります。

臨時監査は、予期せぬ問題や緊急の状況に対応するために用意されます。例えば、重大なクレームや事故が発生した場合、迅速な対応が必要とされるため、臨時監査が実施されることがあります。

内部監査の実施時期

内部監査の実施時期(タイミング)には、以下のような例が考えられます:

内部監査の実施時期
  • マネジメントシステムの構築または変更時
  • 経営、組織、方針、プロセス、製品の大幅な変更
  • 審査登録機関の定期審査の前
  • 緊急事態、事故、重大クレーム、重大な不適合性の発生後
マネジメントシステムの構築または変更時

新しいマネジメントシステムを導入したり、既存のシステムに重要な変更を加えた場合、内部監査が行われることがあります。これにより、変更の効果と適合性が確認されます。

経営、組織、方針、プロセス、製品の大幅な変更

重要な変更が発生した場合、それがマネジメントシステムにどのように影響するかを評価するために内部監査が実施されることがあります。

審査登録機関の定期審査の

審査登録機関が定期的に組織を審査する前に、内部監査が行われて、組織が規格に適合していることを確認することがあります。

緊急事態、事故、重大クレーム、重大な不適合性の発生

緊急事態や重大な問題が発生した場合、その原因や対策の効果を評価するために迅速な内部監査が実施されることがあります。

内部監査の頻度とタイミングは、組織の状況やリスクに応じて調整されるべきであり、組織のマネジメントシステムの改善と合致するように計画されます。

(4)監査の基準

監査の基準は、監査を実施する際に参考にするルールやガイドラインです。これらの基準に従って監査を行い、組織のパフォーマンスを評価します。

以下に、監査の基準の主要な要素を紹介します。

  1. ISO規格
  2. マネジメントシステムのルール
  3. 法規制、顧客との契約、その他の組織が同意した要求事項

ISO規格(FSSC22000、ISO22000、ISO/TS22002-シリーズ)

ISO規格は、国際的に認められた基準であり、多くの産業で品質、安全性、環境などの管理システムを評価するために使用されます。

例えば、FSSC22000は食品安全管理システム、ISO22000は食品安全性の国際規格、ISO/TS22002-シリーズは食品製造業に関連する技術仕様です。

これらの規格に基づいて監査を行い、規格に準拠しているかどうかを確認します。

マネジメントシステムのルール

監査の基準は、組織内で定められたマネジメントシステムのルールや規則にも基づいています。これには以下が含まれます。

  • マニュアル:組織のプロセスや手順に関する公式な文書
  • 規定、手順書等の文書:具体的なプロセスや手順に関する文書化された情報
  • 文書化されていない手順・ルール:文書になっていないが、組織内で従うべき慣習や規則

例えば、製造プロセスにおいて、特定の製品の生産手順が文書で定義され、それに従わなければならない場合、監査ではこの文書化された手順が遵守されているかどうかを確認します。

法規制、顧客との契約、その他の組織が同意した要求事項

組織が遵守すべき法的要件や顧客との契約、他の組織との合意事項なども監査の基準となります。これらの要求事項に合致しているかどうかを確認します。

例えば、ある食品会社は、法的に規定された衛生基準を守ることが法的要件であり、また顧客との契約にも含まれています。監査では、これらの要求事項に準拠しているかどうかを確認し、食品の安全性を保証するための基準を評価します。

以上の基準に従って監査を行うことで、組織の適合性やパフォーマンスを評価し、改善の機会を特定するのに役立ちます。監査は、組織がルールと規制に従い、品質と安全性を維持し、顧客との信頼関係を築くための重要なプロセスです。

(5)監査チーム

監査の成功は、適切な監査チームの選定に依存しています。監査の責任者は、監査の目的を達成するために必要な力量を考慮し、適切な監査チームを組む責任があります。

当然、監査を行える力量がなければいけません。

以下に、監査チームの選定に関する考慮事項と具体例を示します。

監査チーム
  • 監査目的に適した力量
  • 監査の複雑さと複合監査
  • 法的要求事項、契約上の要求事項、専門性
  • 利害抵触の回避

監査目的に適した力量

監査チームを選定する際に、監査の範囲や基準を考慮して、監査チーム全体として必要な力量を確保します。

例えば、情報セキュリティの監査を行う場合、情報セキュリティの専門家やサイバーセキュリティのスペシャリストを含めることが必要です。

監査の複雑さと複合監査

監査の複雑さに応じて、監査チームの選定を行います。

複合監査、つまり複数の監査基準や規制に従う必要がある場合、さまざまなスキルや専門知識を持つ監査員が必要です。

監査が特に複雑な場合、専門家の参加が不可欠です。

法的要求事項、契約上の要求事項、専門性

監査には法的要求事項や契約上の要求事項が影響することがあります。また、組織が特定の専門性を求める場合もあります。

例えば、特定の法的要求事項に関する監査では、法的専門家の協力が必要とされることがあります。

利害抵触の回避

監査員が監査の対象となる業務活動に対して利害関係を持つ場合、利害抵触を回避するために注意が必要です。

例えば、特定の部門の従業員が監査対象である場合、その部門からの監査員の参加は利害抵触の懸念を引き起こす可能性があります。

このような場合、他の部門からの監査員を選定するか、利害抵触の回避策を導入することが考えられます。

監査チームの選定は、監査の効果的な実施において決定的な要素です。

適切な監査チームを組むことは、信頼性のある監査結果を確保し、組織のパフォーマンスを評価するのに不可欠です。

(6)機密保持

監査の実施に際しては、機密情報の保持、情報セキュリティの確保、および安全衛生に配慮する必要があります。以下に、これらの配慮事項に関する詳細を説明します。

機密保持
  • 機密保持と情報セキュリティの配慮
  • 安全衛生の確保

品質と食品安全保証への影響の考慮

機密保持と情報セキュリティの配慮

監査チームは、監査証拠を収集する際に被監査者から提供される情報を保護し、機密情報の漏洩、改ざん、紛失を防ぐための対策を講じなければなりません。

これは、以下のような事項を考慮します。

監査証拠の取り扱い:収集した証拠は適切に保管され、機密情報が第三者に漏洩しないように注意が払われます。例えば、電子ファイルや文書はセキュアな場所に保存され、アクセス制御が適切に設定されます。

情報セキュリティポリシーの順守:被監査者の情報セキュリティポリシーに従い、機密情報を保護します。例えば、情報へのアクセス制限や暗号化が適用されることがあります。

安全衛生の確保

監査は、作業現場や施設内で行われることがあります。監査員は自身の安全衛生を確保するための対策を講じる必要があります。これには以下が含まれます。

作業現場での安全対策:作業現場での観察や調査を行う場合、適切な安全対策を実施します。例えば、必要な安全装備の着用や作業環境への適切なアクセスを確保します。

健康への配慮:監査員の健康を守るために、特定の危険な環境での作業に際しては、必要な健康検査やワクチン接種などの措置が取られることがあります。

品質と食品安全保証への影響の考慮

監査が品質や食品安全に関する領域に関連する場合、監査活動が作業環境や製品に与える影響を評価します。例えば、生産ラインの停止が生産に影響を与える可能性があるため、その影響を最小限に抑える方法を考慮します。

以上の配慮事項は、監査の実施においてプロフェッショナリズムと責任を確保し、被監査者との信頼関係を維持するのに役立ちます。安全性、機密性、品質、および情報セキュリティの確保は、監査プロセス全体の重要な要素です。

(7)必要な資源

監査を効率的に実施するためには、必要な資源を事前に明確にすることが重要です。以下に、監査に必要な資源の考慮事項と具体例を示します。

必要な資源
  • 監査活動を計画し、実施し、管理し、及び改善するために必要な要員
  • 監査方法により必要となるもの
  • 特定の監査目的にふさわしい力量を備えた監査員及び技術専門家の利用可能性
  • 監査の範囲及び監査時の制約事項、問題点から必要となるもの
  • 情報通信技術の利用可能性

監査活動を計画し、実施し、管理し、及び改善するために必要な要員

監査を実施するためには、適切な監査員が必要です。これには、監査のプロジェクトマネージャー、主任監査員、サポートスタッフなどが含まれます。特に監査の規模や複雑性に応じて、十分な人員を確保することが重要です。

監査方法により必要となるもの

監査方法に応じて、特定の設備や物品が必要になります。例えば、面談形式の監査では会議室や録音機器が必要であり、監査チェックリストやサンプリング方法を使用する場合はそれらの資料が必要です。

特定の監査目的にふさわしい力量を備えた監査員及び技術専門家の利用可能性

監査の対象が特定の技術や専門知識を要する場合、それに対応できる専門家やコンサルタントが必要です。例えば、情報セキュリティ監査ではセキュリティ専門家が必要となります。

監査の範囲及び監査時の制約事項、問題点から必要となるもの

監査対象の範囲や制約事項に応じて、特定の資源が必要になることがあります。例えば、特定の地域での監査を行う場合、移動手段や宿泊施設が必要です。

情報通信技術の利用可能性

監査において情報通信技術を活用する場合、必要な設備や機器を用意する必要があります。これには、パソコン、プロジェクター、テレビ会議システムなどが含まれます。

監査に必要な資源は、監査計画の一部として事前に考慮し、確保されるべきです。適切な資源の提供は、監査の効率性と成功に大きく寄与します。監査チームは、これらの資源を活用して、目標達成と改善の機会を最大限に引き出すことができます。

(8)監査スケジュール

監査スケジュールは、監査を計画し、実施するための日程と時間割です。以下に、監査スケジュールの設定に関する要点を説明します。

監査スケジュール
  • 監査範囲の特性を考慮する
  • 前回監査の結果を考慮する
  • 監査チームの力量

監査範囲の特性を考慮する

監査スケジュールを設定する際に、監査対象となるプロセス(業務活動)や部署の特性を考慮します。

これには、プロセスの複雑さ、人員数、重要性、問題の発生状況、システムの運用成熟度などが含まれます。

例えば、ある製造プロセスが高度に複雑で重要性が高い場合、それに対する監査にはより多くの時間が必要かもしれません。

逆に、シンプルな業務プロセスであれば、短い時間で監査が終了する可能性があります。

前回監査の結果を考慮する

過去の監査結果を参考にし、以前特定された問題点や改善が必要な領域に対する再監査の頻度や重要性を評価します。

前回の監査で重大な問題が浮き彫りになった場合、それに焦点を当てた監査が必要かもしれません。

監査チームの力量

監査スケジュールを設定する際に、監査チームのメンバーの能力や経験も考慮します。特に専門的な領域に関する監査が必要な場合、適切な専門家を含めることが重要です。

監査スケジュールは、これらの要因を総合的に考慮して設定されます。そして、設定された日時と時間内で監査が効率的に実施され、監査の目的が達成されるように計画されます。

監査スケジュールは、監査プロセス全体を効果的に管理し、組織が適切なタイミングで改善策を講じるための重要な要素です。

3. 監査プログラム事例

監査プログラム作成

(1)年間監査計画書の例

年間監査計画書は、組織が特定の年度に実施する監査活動の計画をまとめた文書です。以下は、年間監査計画書の一般的な項目です。

年間監査計画書に記載する項目
  • 監査の目的
  • 監査の範囲(プロセス/部門、ISO規格の要求事項)
  • 監査基準
  • 監査時期
  • 監査チーム

監査の目的:

年間監査計画の目的を明確に記述します。たとえば、組織のマネジメントシステムの有効性を評価し、改善の機会を特定することが一般的な目的です。

監査の範囲(プロセス/部門、ISO規格の要求事項)

監査の対象となるプロセス、部門、ISO規格の要求事項を具体的に指定します。これにより、監査の焦点が明確になり、対象範囲が定義されます。

監査基準:

監査が基準とする規則や要求事項を明示します。これにより、監査が組織のコンプライアンスや品質基準に合致しているかどうかを評価できます。

監査時期:

年間監査計画において、各監査の実施時期をスケジュールに基づいて記述します。たとえば、第1四半期にプロセスAの監査、第2四半期に部門Bの監査などが記載されます。

監査チーム:

各監査に関与する監査チームや監査員の人数と選定基準を明示します。適切なスキルや経験を持つ監査員を選ぶことが重要です。

年間監査計画書は、組織が年度ごとに監査活動を計画し、リソースを適切に割り当て、監査の効果的な実施を確保するための重要な文書です。下記が記載例です。

この計画書を作成することで、組織は監査活動の一貫性を確保し、組織のパフォーマンス向上に寄与するための戦略的なアプローチを確立できます。

年間監査計画書

小規模事業者の場合は、同時期にすべての監査をしてもいいですね!

(2)個別の監査プログラムの作成例

監査実施前に、監査を実施するための具体的な計画書、つまり監査プログラム(監査計画書)を作成します。計画書には、上記で説明した次の項目が含まれます。

個別の監査プログラムの作成ポイント
  1. 監査の目的
  2. 監査の範囲
  3. 監査の頻度、時期
  4. 監査の基準
  5. 監査チーム
  6. 機密保持
  7. 必要な資源
  8. 監査スケジュール

上記のポイントを盛り込みながら、作成します。

内部監査個別計画書

監査プログラム(監査計画書)は、監査の効果的な実施を確保し、監査の結果を評価するための重要なツールです。

これにより、監査活動が計画通りに実施され、組織の適切な運用とコンプライアンスを確保できます。

まとめ

監査の計画である監査計画書は監査にあたって非常に重要なツールです。漏れのないように精査して作り上げましょう!