ISO 19011の改訂―あなたが知っておくべきこと

概観

「ISO 19011:2026 マネジメントシステム監査のための指針」が発行されましたが、この重要な規格の第4版は「革命というより進化」と表現するのが最も適切です。

この規格への更新や修正の多くは軽微なものですが、この記事で触れられていないものも含め、マネジメントシステム監査員は変更点を十分に把握しておかなければなりません。

ISO 19011:2026の序文で述べられているとおり、おそらく最も重要な変更点は、遠隔監査方法に関する手引が拡充されたことです。これは、ISO/IEC TS 17012:2024「適合性評価―マネジメントシステム監査における遠隔監査方法の使用のための指針」に含まれる手引を導入することによって進められました。附属書Aも拡充されており、遠隔監査方法及び仮想的な場所に関する手引が提供されています。

より一般的な更新事項の中には、読みやすさを向上させるために規格全体の表現を見直したことが含まれますが、変更の中には、「audit (監査)」を「auditing」に更新するといったごく軽微なものもあります。

箇条 3 ― 用語及び定義

この規格の2018年版をご存じの方は、「remote auditing method（遠隔監査方法）」に関して3.4が新たに追加されたことで、既存の用語3.4から3.26までの番号が変更されたことに気づくでしょう。

また、箇条3では、「observer (オブザーバー)」という用語には技術専門家が含まれないことが今や明確になり、一方で3.12 (以前は3.11) では、「outcome of an audit (監査の結論)」が「result of an audit (監査の結果)」に変更されています。

箇条 4 – 監査の原則

箇条4の各原則の文言は再構成されていますが、原則の実質的な意味は変わっていません。独立性の原則において、「内部監査では、監査員は、実行可能な場合には、監査の対象となる機能から独立した立場にあることが望ましい」という文言が削除されました。その代わりに、独立性を確保できない場合には、「偏りをなくし、客観性を保つあらゆる努力を行うことが望ましい」ことを組織に注意喚起しています。

リスクに基づくアプローチの原則の文言では、これが監査の計画、実施及び報告に実質的に影響を及ぼすよう適用される必要があるだけでなく、監査プログラムの計画及び実施にも適用される必要があることが認識されるようになりました。

箇条 5 - 監査プログラムのマネジメント

箇条 5 の更新点の1つとして、監査対象となるマネジメントシステムの適用範囲が、監査プログラムの範囲を決定する際のインプットとして特定されるようになりました。

箇条 5 ではさらに、監査プログラムの設計において、気候変動が被監査者にとって関連する課題かどうかを考慮すること、また被監査者によるテクノロジーやデジタルツールの活用についても考慮することが望ましいと認識されるようになりました。

「チーム」の構成は、監査チームを選定するための基準の中で明確にされており、監査プログラムには、必要に応じてオブザーバーの参加基準や、組織の状況に関連する情報を含めることが望ましいとしています。

監査プログラムにおけるリスクと機会は、単に「considered (考慮)」されるだけでなく、今や「determined (決定)」されるべきであり、そのためには証拠をレビューし、結論を出すことが必要となります。

「資源に関するリスク」の例は、監査員の独立性及び/または公平性の欠如、不適切な監査方法の選定、並びに監査プログラムに従って監査を実施しないことを含むように拡大されました。また、監査プログラムをマネジメントする人は、プログラムの実施に対する不当な影響のためにリスクが生じないようにしなければならないことも明確にしています。

監査プログラムに対する追加のリスクとして、トップマネジメントの支援の欠如、被監査者及び/または監査証拠の不在、並びに安全でない、または有効でないITツールに基づく監査方法の選択が新たに特定されています。

箇条5に対するその他の更新には、異なる監査方法が組織に及ぼす相対的な影響を考慮することが望ましいという助言 (例は附属書Aに示されています) が含まれており、また、監査報告書の配布先に関して「関連する利害関係者relevant interested parties」は「あらかじめ決定した関係者 previously determined parties」に改められています。

箇条6 - 監査の実施

箇条6の改訂内容には、不適合を格付けする場合には、監査を行う組織が用いる基準を定義し、周知することが望ましいとする新しい文言が含まれています。

細分箇条 6.3.2.1には、合同監査を行う際の具体的なリスク配慮事項を規定する新たな段落が追加されています。箇条6でも新たに、監査中に特定された重大なリスクは、監査依頼者及び被監査者に加えて、監査プログラムをマネジメントする人にも伝達することが望ましいとしています。監査目的が達成できない場合には、監査依頼者及び被監査者に加えて、監査プログラムをマネジメントしている人にもこれを報告することが望ましいとしています。

箇条7―監査員の力量及び評価

箇条7では、特定の監査に対する監査員の力量を決定する際に、使用される監査方法に関する監査員の知識と技能を考慮することが望ましいと助言しています。その際には、監査の実施を円滑にする際に新たな技術を使用することによる影響についての理解、その適切性、並びに新しい技術に基づくプロセスを監査する能力を含めることが望ましいとしています。監査員はまた、プライバシー関連を含む情報セキュリティについても理解している必要があります。

また、監査プログラムをマネジメントする人 (複数可) が、監査員のパフォーマンスを評価する際に、被監査者や利害関係者からのフィードバックを考慮することも推奨されています。

附属書A―監査を計画及び実施する監査員に対する追加の手引

複数の箇条に新しい文章が導入されていますが、最も実質的な変更が加えられたのはA.12で、第二者監査の実施に関する新しい文章が追加されたほか、A.15及びA.16にも追加が行われています。

A.15とA.16の間で文言が移動され、箇条書きは並び順や位置、番号付けが変更され、既存の文言も修正されるとともに、新しい文言が導入されました。

A.18にも新しい文言があり、不適合が提起された場合には、監査基準が満たされなかった理由を記録することが望ましいことを監査員に想起させています。

監査員にとってどのような意味合いがあるのか

監査プログラムをマネジメントする人々や監査員自身にとって最も重要な行動の1つは、より技術に重点を置いたプロセス、製品及びサービスを監査し、より技術的に複雑な監査手法を用いるための力量を習得し、維持することです。被監査者が直面するリスクをよりよく理解することも重要であり、また、遠隔監査方法を効果的に適用する能力も不可欠です。

ISO 19011 は要求事項ではなく指針のままですが、マネジメントシステム監査におけるグッドプラクティスのための「頼りになる」規格として認識されています。したがって、マネジメントシステム監査員にとって、改訂された規格に精通することは重要です。

ISO 19011の第4版に対する更新の多くは軽微に見えるかもしれませんが、用語、定義、箇条番号、箇条タイトルの変更は、監査報告書の作成に影響を与えることになります。また同様に、不適合の格付けに用いる基準の定義及びコミュニケーションに関する変更も影響を及ぼします。

ISO 19011:2026がISOから入手可能となった今、監査員は、この記事で概説されていないいくつかの変更を含め、すべての変更について最新の情報を把握しておく必要があります。