BLOG ISOブログ

ISO内部監査は、企業・組織が運用するマネジメントシステムが、ISO（国際規格）の要求事項および自社・自組織の規程に適合しているかを確認するための重要なプロセスです。

適切な内部監査の実施は、マネジメントシステム運用上の不備を早期把握につながり、継続的改善へ向けた取り組みの支援にも寄与します。

本記事では、ISO内部監査の概要・目的をはじめ、実施手順、質問例に加え、内部監査実施時の留意点について体系的に解説します。

ISO内部監査とは？

ISO内部監査とは、運用しているマネジメントシステムが国際規格である「ISO」が定める要求事項、および自社・自組織の規程に適合しているかを確認する目的で、企業・組織自身で実施する評価プロセスです。以下では、内部監査の役割、実施頻度・実施時期、および外部審査との違いについて解説します。

内部監査の役割

ISO内部監査には、マネジメントシステムが規格要求事項および企業・組織自身が定めた規程に適合しているかを検証する役割があります。内部監査を実施するのは、運用上の課題および潜在的なリスクを早期に把握し、是正・改善の促進が目的です。

内部監査の監査員は、独立した立場から客観的に評価を行い、得られた結果を経営層へ報告します。報告された情報を基に、マネジメントレビューが実施されます。

内部監査の実施頻度と実施時期

ISO内部監査を実施する頻度および時期は、企業・組織の規模、業態・業務特性、リスクの度合いなどを考慮して決定します。内部監査は年1回以上の実施が求められており、一般的には1年ごと、6か月ごとなど、あらかじめ定めた間隔での実施が望ましい頻度です。

内部監査の実施計画については、監査対象となる各部門の繁忙期や担当する監査員の業務状況等を参考にして、年度当初に1年分をまとめて策定するとよいでしょう。
なお、新規事業の立ち上げ、大規模な組織改編および規格要求事項・規程等に対する大きな不適合が発生した場合、臨時の内部監査の実施を検討する場合もあります。

内部監査と外部審査の違い

ISOの内部監査と外部審査はいずれもマネジメントシステムの有効性を評価する手段です。しかし、実施目的および主体となる実施組織が異なります。内部監査は企業・組織内の従業員が監査員を担当し、マネジメントシステムの運用状況を自律的に検証・改善する目的で実施します。

一方、外部審査は第三者の審査機関が行い、ISO（国際規格）への適合性を客観的に判断するものです。内部監査の実施状況と成果の確認を含め、マネジメントシステムの有効性の評価を行い、ISO認証を維持・更新する目的があります。

ISO内部監査を実施する目的とは？

ISO内部監査を実施する目的とは、ISO（国際規格）および自社・自組織の規定に準拠しているか、マネジメントシステムの運用状況を確認することです。内部監査は、審査機関による外部審査とは異なり、企業・組織自身で行います。以下では、ISO内部監査を実施する目的について解説します。

マネジメントシステムの有効性の確認

ISO内部監査を実施する背景には、マネジメントシステムが計画通りに運用され、企業・組織自身が定めた目標の達成に寄与しているかを確認する目的があります。

業務に関する規程・手順が形式的に存在するだけでなく、現場で実際に運用され、定められた通りに業務が進められているかを確認し、その有効性を客観的に評価します。内部監査から得られた情報は、マネジメントシステムの改善点を特定する根拠となり、マネジメントレビューにおいて経営判断にも活用されます。

法令および規格要求事項に対する適合性の確認

ISO内部監査には、マネジメントシステムの運用状況が、関連する法令およびISO規格の要求事項に適合しているかを確認する目的もあります。

法的義務違反、規格要求事項あるいは企業・組織自身が定めた規程に対する重大な不適合があれば、企業・組織の信頼性および社会的評価に影響を及ぼす恐れがあるため、極めて重要な評価プロセスです。業務規程・手順書のほか、是正処置記録、マネジメントレビューの実施履歴との整合性、実務での運用状況などを照合し、規格要求事項あるいは企業・組織自身が定めた規程との乖離について確認します。

リスク及び機会への取り組み状況の評価

ISO内部監査は、企業・組織が特定したリスク及び機会に対して、適切な対応を実施しているかを評価する重要な役割を担います。リスク及び機会への取り組みとは、企業・組織が事業活動に影響を及ぼす可能性のあるリスク（悪い影響）と機会（良い影響）を体系的に把握し、対策を講じるためのプロセスです。

内部監査では、リスクアセスメントの実施状況、対応策の有効性、結果に対するフォローアップの適切性などを通じて、リスク及び機会への取り組みの実施状況を確認します。企業・組織運営における潜在的な課題を抽出・抑止し、機会を最大限に活かすための改善活動を推進する目的があります。

関連記事：ISO規格における「リスク及び機会への取り組み」とは？定義や実践方法を解説

外部審査に向けた事前確認

ISO内部監査には、外部審査に備えて事前にシステムの不適合および運用上の課題を把握し、改善するための準備段階として実施する目的もあります。課題を抽出して指摘を行い適切な是正処置につなげ、外部審査時の不適合を最小限に抑えるためです。

内部監査は単にマネジメントシステムの運用状況を点検するものではなく、企業・組織の事業活動を支援しつつ、外部審査を円滑に進めるための戦略的な確認活動としても機能します。

ISO内部監査の進め方

以下では、ISO内部監査の進め方について、手順ごとに詳しく解説します。

1. 内部監査計画の策定とリスク対応状況の確認

内部監査は、企業・組織の経営方針や戦略、事業計画、および品質方針や情報セキュリティ方針およびリスクマネジメント方針に基づき、体系的に実施されます。監査対象部門および日程を定めた実施計画を策定する際、リスク及び機会の取り組み状況を考慮する場合もあります。たとえば品質に大きな影響を与えるプロセス、過去の内部監査での不適合、顧客要求事項などを考慮し、リスクの高い部分を重視して計画を立てれば、効果的かつ効率的な監査の実施が可能です。なお、全ての規格に共通しますが、毎回、全ての規格要求事項を監査しなくても構いません。審査する立場からすれば、認証の有効期間である3年間では全ての規格要求事項を網羅していただきたいですが、活動の重要性等を考慮していただき、“この項目は毎回”“この項目は3年に1回”等とメリハリをつけて実施するのもOKです。可能であれば、「監査プログラム」（複数回の監査計画）を作成し、いつの監査でどの項目を監査するかがわかるマトリックスのようなものを作成するとよいでしょう。

2. 監査対象と評価基準の明確化

ISO内部監査の信頼性を確保するには、監査対象の範囲と評価基準を明確に定義することが不可欠です。内部監査の対象は、企業・組織の経営、業務プロセスおよび活動単位ごとに設定し、評価基準についてはISO規格要求事項、法令、自社・自組織の規程などを根拠にします。

3. ISO内部監査チェックリストの整備と事前共有

ISO内部監査を実施する監査員は、評価基準に基づくチェックリストを作成します。リスト化された質問項目は、監査の網羅性および評価基準の平準化を担保し、確認漏れを防ぐ役割を果たします。
はじめて内部監査を実施する場合、チェックリストを事前に監査対象部門へ共有する場合もあります。内部監査の焦点が明確になれば、被監査側も必要な資料の事前準備が可能になるため、監査の円滑化に効果的です。なお、内部監査では日常の現場状況の確認が重要であるため、監査の回数を重ねたらチェックリストを事前に共有せずに監査を実施します。

関連記事：【サンプル付き】ISO9001内部監査のチェックリストの作成方法とは？
関連記事：【無料サンプル付き】ISO27001の内部監査に役立つチェックリストの作成手順と内部監査の流れを解説

4. 現地審査・ヒアリングの実施

ISO内部監査の当日は、現地審査による状況確認および関係者へのヒアリングを通じ、業務が規程・手順通りに実行されているかを検証します。是正処置記録との整合性、作業手順の順守状況、ISOの規格要求事項への適合状況などを重点的に確認する工程です。

5. 管理策・仕組みの有効性を評価する

ISO内部監査では、単に規程順守の有無を確認するだけでなく、マネジメントシステムの有効性を体系的に評価します。計画・実行・確認・改善（PDCA）のサイクルが適切に機能しているかを検証し、システムの実効性に関わる課題を抽出します。

6. 不適合事項と改善提案の報告

ISO内部監査の結果は、客観的事実に基づいて整理したうえで、不適合事項と改善提案を報告書に取りまとめます。不適合の根拠を明示し、是正の方向性を明確化するとともに、企業・組織の継続的改善を促す建設的な内容の提示が不可欠です。

関連記事：ISO不適合とは？定義・原因・是正処置の対応方法を解説

7. 是正処置とマネジメントレビューへの反映

ISO内部監査で指摘された不適合に対して、監査対象部門は原因分析を行い、是正処置を計画・実施します。是正処置実施後、その対応結果と有効性をマネジメントレビューで確認します。

紹介した一連の流れが、企業・組織全体の改善につながる一般的な内部監査のプロセスです。

関連記事：ISOで求められる是正処置とは？定義・位置づけ・対応手順を体系的に解説

ISO内部監査の質問例

ISO内部監査では、質問事項をあらかじめ作成し、監査の妥当性と評価基準の明確化を図る必要があります。以下では、ISO内部監査の質問例を関連する項目別で紹介します。

方針・目的に関する質問例

方針・目的に関する質問例は、以下のとおりです。

質問項目	内容
方針の整合性	品質方針や情報セキュリティ方針は、企業・組織の経営方針や戦略と整合していますか？
方針の周知	方針は全従業員に周知され、理解・浸透していますか？
目標設定	組織目標は測定可能な指標として設定されていますか？
目標の評価	目標の達成状況は定期的にレビューされていますか？

リスクアセスメントに関する質問例

リスクアセスメントに関する質問例は、以下のとおりです。

質問項目	内容
リスク特定	リスク及び機会はどのような方法で特定されていますか？
評価基準	リスク評価の基準や手法は文書化されていますか？
対応策	リスク対応策の計画と実施記録は適切に管理されていますか？
結果の反映	リスク評価の結果は、方針や目標設定に反映されていますか？

運用管理策に関する質問例

運用管理策に関する質問例は、以下のとおりです。

質問項目	内容
手順書管理	運用手順書やマニュアルは最新版が整備されていますか？
手順順守	実際の業務は定められた手順に従って実施されていますか？
変更管理	業務変更時の手順改訂や承認プロセスは機能していますか？
管理策の有効性	実施中の管理策はリスク低減に効果を発揮していますか？

教育・訓練に関する質問例

教育・訓練に関する質問例は、以下のとおりです。

質問項目	内容
教育計画	各職務に必要な知識・スキルに基づいた教育計画がありますか？
実施記録	教育・訓練の実施記録が保管されていますか？
効果確認	教育の効果や理解度を評価する仕組みがありますか？
資格管理	必要資格・認定の取得・更新状況は管理されていますか？

是正処置・改善活動に関する質問例

是正処置・改善活動に関する質問例は、以下のとおりです。

質問項目	内容
不適合管理	不適合の発生時、原因分析は適切に行われていますか？
是正処置	是正処置の計画と実施内容は文書化されていますか？
有効性確認	実施した是正処置の有効性確認は行われていますか？
再発防止	同種の不適合が再発していないか確認されていますか？

外部審査への準備に関する質問例

外部審査への準備に関する質問例は、以下のとおりです。

質問項目	内容
審査準備	外部審査に向けた事前確認は実施されていますか？
指摘事項対応	前回の外部審査での指摘事項はすべて是正されていますか？
記録整備	証跡となる文書・記録は整然と整理されていますか？
関係者対応	審査当日の対応者・立会者は明確に指定されていますか？

ISO内部監査を実施する際のポイント

ISO内部監査を実施する際は、以下の項目に重点を置いて進めれば、より効果的に機能します。

• 目的を明確にする
• 内部監査員の独立性を確保する
• 効果的な監査計画を策定する
• リスクに基づくアプローチをとる
• チェックリストを活用する
• 規格要求事項および自社・自組織が定めた規程の適合性を評価する
• マネジメントシステムの有効性を確認する
• 指摘内容は具体的な証拠を揃えて記録する
• 是正処置をフォローする
• マネジメントレビューに活用する
• 継続的改善の絶好の機会と捉える

内部監査は、単に規程・手順の有無やその実施状況などの現場確認を行うだけではなく、形式的な仕組みに陥らないよう、マネジメントシステムの有効性を確認する主旨で実施されるものです。

実施する目的を明確にしたうえで、内部監査の計画的かつ効果的な実施が求められます。

総括

本記事では、ISO内部監査の概要・目的、進め方と具体的な質問例、ならびに実施時のポイントについて解説しました。

内部監査は、規格適合の確認のみならず、企業・組織の成熟度向上、ならびに継続的改善を促進する重要な仕組みです。その目的に向けて計画的に実施するとともに、結果を経営方針・施策戦略に反映し、組織運営に寄与する仕組みとして機能させる必要があります。