「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。
そこで、QMSの内部監査を想定して次のように考えました。
- 「5 監査プログラムのマネジメント」は、内部監査の中期計画
- 「6 監査の実施」は、定期内部監査
ここでは、定期内部監査実施前の事前準備と計画作成について説明します。
なお、「JISQ19011マネジメントシステム監査のための指針」の説明では、何をいっているのかよく分からなくなるので、私なりに解釈しています。JISQ19011の正確な意味を知りたい場合には、JIS規格をご参照ください。
内部監査開始前の確認事項
定期内部監査は、定期内部監査計画に従い、内部監査対象部署に対し内部監査リーダーと内部監査メンバーの2名で実施します。
- 内部監査責任者は、全部署の定期内部監査の実施について責任を負います。
- 内部監査リーダーは、担当する内部監査の実施について責任を負います。(内部監査リーダーは、内部監査計画後のスケジュール変更、内部監査の実施、内部監査報告書の作成、必要に応じフォローアップまでを担当します。)
内部監査対象部署とのコミュニケーション(連絡手段)
内部監査実施のため内部監査対象部署との連絡について、重要な項目を列挙します。
内部監査責任者は、これらについて、内部監査リーダーの担当範囲(責任や対応手順)などを明確にします。
- 内部監査対象部署長との連絡手段を確認する。(内部監査計画配布時に、スケジュールの変更については、内部監査責任者と内部監査リーダーに連絡するようにしておく等)
- 内部監査員は、内部監査規定及び内部監査計画により示された範囲で内部監査に関する権限を持つことを確認する。
- 内部監査の目的、範囲、基準、方法、及び内部監査チームの構成については、内部監査計画による。変更がある場合、内部監査責任者は、関係者に連絡する。
- 内部監査計画に必要な関連情報を利用できるようにする(ISO管理責任者が内部監査責任者に許可する)。ここでの関連情報には、マネジメントレビューにより特定したリスク及び機会、マネジメントレビューのアウトプット(対処内容)を含む。
- 適用される法令・規制要求事項、並びに内部監査対象部署の活動、プロセス、製品及びサービスに関連するその他の要求事項を決定する(監査対象部署について、品質マニュアルと関連規定の内容を確認する)。
- 情報公開の範囲及び機密情報の取扱いに関して、監査対象部署と合意する(提供される情報は、内部監査の目的のみに使うことや他の内部監査員には開示しないなど)。
- スケジュールや実施場所など、内部監査に必要な準備(必要に応じ立入申請等の手配)をする。
- 例えば、工場の内部監査においては、工場固有の準備(手配)事項として、アクセス、安全衛生、セキュリティ、機密保持などがあり、これらについて事前に決める。
- 内部監査員候補者の同席、オブザーバの参加や内部監査チームのための案内役などの必要性について合意する。
- 各部署の内部監査に関係して、監査対象部署に対する利害、懸念事項やリスクなどについて、その範囲を決める。
- 内部監査対象部署、あるいは、ISO管理責任者と、監査チームの構成について合意する(課題があれば解決する)。
内部監査実施に関する懸念事項の明確化
内部監査計画に示された目的を達成できるかどうか事前に検討します。
内部監査の実施可能性を決める(懸念事項を明確にする)際には、以下のことが利用可能か検討する。
- 個別の内部監査計画を策定し、実施するための十分かつ適切な情報(内部監査員に事前に提供する情報で、前回の内部監査報告書とチェックリスト、ISO審査と内部監査の不適合や観察事項、全社的な不具合情報など内部監査責任者が必要と判断した情報)
- 内部監査対象部署の十分な協力(内部監査計画に加え内部監査実施時にも、不適合を指摘するのが目的ではなく、業務改善のための内部監査であることを説明する。)
- 内部監査を行うための十分な時間及び資源(実際には、限られた時間の中で、内部監査リーダーの時間配分と時間管理に依存する面が多い。記録は最後にまとめて確認する等の工夫も必要となる。見せたくない情報がある場合には、都度言ってもらう事前に説明すると、情報開示への協力を得やすいこともある。)
内部監査を実施不可能な場合には、内部監査対象部署と合意の上で、どの様に対応するか決めます。(どの様にすれば、実施できるかを検討することになると考えています。)
内部監査の事前準備
内部監査対象部署の文書化した情報のレビューとは、具体的には、以下の情報を事前に確認することです。
- マネジメントレビューの結果(インプット情報とアウトプット)
- 前回ISO更新審査の観察事項
- 前回内部監査の不適合や観察事項
- 前回の内部監査報告書とチェックリスト(内部監査リーダーの力量に依存しますが、3年分追えれば十分だと考えています。)
- 前回の品質目標実施計画の実績(内部監査リーダーの力量に依存しますが、3年分追えれば十分だと考えています。)
- 今期の品質目標実施計画の実績(第1四半期分の実績があると、内部監査時にお互いに確認しやすくなります。)
- その他、検討が必要と判断したこと。(内部監査以外の情報、不具合情報、ISO規定類の改訂状況など)
これらの情報は、内部監査責任者が準備して、必要に応じ内部監査員に提供する場合もあります。
定期内部監査計画作成におけるリスクに基づくアプローチ
内部監査責任者は、定期内部監査について計画する際の考慮事項を列挙します。
- 内部監査メンバーを含めた監査チーム全体としての力量(特に内部監査リーダーの確保は重要です。)
- 適切なサンプリング手段(どの様にサンプリングするかをチェックリストを参考にして決めておきます。)
- 内部監査の有効性や効率を改善できそうなことはないか(時間をかけても確認することと、効率的に確認することを分けること)
- 内部監査の計画(進め方)により、内部監査目的の達成に与えるリスクがないか(時間配分を誤り、エビデンスの確認ができないなど)
- 内部監査の実施により生じる内部監査対象部署に対するリスク(上から目線での質問などにより非協力的な態度になると、次回の内部監査にも影響が出る)
この他、内部監査対象部署のリスクとなることを列挙します。
- 内部監査員がその場にいることにより、内部監査対象部署の安全衛生や、環境及び品質に悪影響を与えてしまうこと
- 製品、サービス、人やインフラストラクチャ(設備等)への悪影響(例えば、クリーンルーム内の汚染など)
いずれも、事前に検討することで、どの様なリスクがあり、どの様に対応するかを決めることができます。
定期内部監査計画の作成
定期内部監査計画の計画書そのものが大きく変わることは少ないと思いますが、実際にどの様な内部監査を実施したかは、定期内部監査に制約条件があるかの様に違ってきます。
定期内部監査計画を配布後でも、社内外の状況により内部監査スケジュールや内部監査リーダーの変更などがあるものと想定して、決めた後に変更するという考え方で進めています。
定期内部監査計画作成時に明確にする事項を列挙します。
- 内部監査目的
- 内部監査範囲(基本的に、品質マニュアルと関連規定の範囲となります。)
- 内部監査基準(内部監査規定、品質マニュアルや関連規定に示された文書化した情報)
- 内部監査実施場所(対面かリモート内部監査か)、スケジュール
- 内部監査チームが、内部監査対象部署の施設(工場)やプロセス(工程)を理解する必要性
- サンプリングの程度を含む十分な監査証拠を得るための監査方法
- 内部監査チーム(リーダーとメンバー)の役割及び責任(案内役やオブザーバ等についても同様)
- 内部監査の対象となる活動に関係したリスク及び機会に応じた適切な資源(安全衛生や必要な立入に必要な費用など)
また、必要に応じ、定期内部監査計画には、以下の事項を考慮し必要に応じ明記します。
- 内部監査対象部署の代表者(部署長を対応責任者として明記する)
- 内部監査で使用する言語(異なる言語の場合は、進め方や時間配分を事前に検討し、監査対象部署との合意が必要)
- 内部監査報告書の記載項目(テンプレートを使用する)
- 内部監査のサポート及びコミュニケーションに関する手配(内部監査対象部署個別の手配を含む)
- 内部監査目的の達成に対するリスク及び発生する機会に対処するための個別の処置
- 機密保持及び情報セキュリティに関係する事項
- 内部監査結果、ISO審査結果、不適合や観察事項とフォローアップ、不具合やマネジメントレビューなどの情報
- 内部監査に関する全てのフォローアップ活動(個別の観察事項の是正を全社に水平展開する等)
定期内部監査計画は、内部監査対象部署及び関連部署に文書配布します。
- 定期内部監査計画の配布は、最初の部署の内部監査予定の約1か月前としています。
定期内部監査計画についての課題については、内部監査リーダー、内部監査対象部署長、内部監査責任者やISO管理責任者とで解決するようににします。
内部監査員への作業の割当て
内部監査責任者は、定期内部監査計画で内部監査リーダーとメンバーに対し、内部監査を実施する責任と権限について説明します。
特に、以下の場合には、内部監査リーダーが判断する前に、内部監査中に内部監査責任者に確認するよう指示します。
- ケース1:内部監査を実施できない場合(内部監査対象部署長が不在、内部監査を実施する準備ができていない場合など)
- ケース2:不適合と思われる事象を発見した場合
内部監査責任者は、次のように対応します。
- ケース1:リスケジュールで対応します。
- ケース2:内部監査リーダーが不適合と判断している事象を確認し、不適合かどうか判断します。
その他、内部監査責任者が対応することには、
- 定期内部監査計画の変更が必要な場合、内部監査は適時対応します。
- 個別の内部監査について指示や配慮事項がある場合、内部監査責任者は、内部監査リーダーに個別に指示します。
定期内部監査において、力量不足と分かっていても内部監査リーダーをさせなければいけない場合もあります。内部監査リーダーには記録確認だけさせ判断させないようなOJTとすると、いつまでたっても力量向上は期待できませんので、内部監査責任者としてある程度リスクを受容することも想定しておくことが必要です。
定期内部監査のためのチェックリスト等の準備
内部監査責任者は、内部監査に必要な文書化した情報(チェックリスト等)を事前に準備し、内部監査リーダー及びメンバーに提供します。
これらの文書化した情報は、定期内部監査において作成した機密情報又は所有者情報を含む文書化した情報の取扱い(口頭及び管理を含む)について、事前に内部監査員全員に周知し徹底します。
内部監査で知りえた情報は、他の内部監査員にも言わないのが原則です。
内部監査員に提供する文書化した情報の例を列挙します。
- マネジメントレビューの結果(インプット情報とアウトプット)
- 前回ISO更新審査の観察事項
- 前回内部監査の不適合や観察事項
- 前回の内部監査報告書とチェックリスト(内部監査リーダーの力量に依存しますが、3年分追えれば十分だと考えています。)
- 前回の品質目標実施計画の実績(内部監査リーダーの力量に依存しますが、3年分追えれば十分だと考えています。)
- 今期の品質目標実施計画の実績(第1四半期分の実績があると、内部監査時にお互いに確認しやすくなります。)
- その他、検討が必要と判断したこと。(内部監査以外の情報、不具合情報、ISO規定類の改訂状況など)
閑話休題:記録の有無を確認するレベルの内部監査
例えば、営業部門の内部監査をする場合、
- A支店では、ある記録を見せて欲しいというとすぐに出てくる。
- B支店では、ある記録を見せて欲しいというと、探しに行って戻ってこない。
といったケースもあります。
この場合、内部監査員の監査内容は、次のように大きく違ってきます。
- A支店では、記録の有無ではなく、業務フローの確認から記録の必要性や困っていることなどの改善のヒントを探します。
- B支店では、最低限必要な記録の有無を確認することに注力することになります。(なければ、不適合となりますので、記録があるといえるエビデンスを探すことになります。)
リモート内部監査をはじめた頃、対面よりもどうしても時間がかかるので、内部監査をスムーズに進めるために確認する記録を事前提出としたことがあります。
確かに提出されるので、記録の有無の確認はOKとなるのですが、記録の中身を確認すると問題があるのは上述のB支店です。仕方ないので、「できていない部署もある」と開き直ってISO審査に臨んだこともありました。
まとめ
「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。
そこで、QMSの内部監査を想定して、「5 監査プログラムのマネジメント」は内部監査の中期計画、「6 監査の実施」は定期内部監査と考えました。
ここでは、定期内部監査実施前の事前準備と計画作成について以下の項目で説明しました。
- 内部監査開始前の確認事項
- 内部監査対象部署とのコミュニケーション(連絡手段)
- 内部監査実施に関する懸念事項の明確化
- 内部監査の事前準備
- 定期内部監査計画作成におけるリスクに基づくアプローチ
- 定期内部監査計画の作成
- 内部監査員への作業の割当て
- 定期内部監査のためのチェックリスト等の準備
- 閑話休題:記録の有無を確認するレベルの内部監査
