「ISO19011 MS監査のための指針」2011年改定
3月2日テクノファー大阪でISO19011マネジメントシステム監査のための指針2011年改定版のポイント解説セミナーを受講しました。
講師は日本規格協会 品質マネジメントシステム(以下MSと記載)対応委員でISO19011の改定作業にも携わった福丸典芳先生です。
受講の目的は、これまで弊事務所では数十社の中小企業の皆様を対象に内部監査員養成の出張研修をさせていただいていますが、変更点を今後の研修内容に織り込むためです。
以下、ISO19011の今回の主な改正点の概要を紹介しますので、これまで受講された企業の方は、今後の内部監査への追加事項としてご参照ください。
<規格の変更点の概要>
1. 第1者、第2者監査対象の規格に変わった
これまでのISO19011は、第1者から第3者までのMS監査のための指針であったが、第3者(認証審査)の基準が認証機関認定基準のISO/IEC27001:2011の織り込まれたことから、ISO19011は第1者監査(内部監査)と第2者監査(サプライヤー監査)だけを対象とした指針に改定された。
2. 対象とするMSの範囲の拡大
ISO19011:2002は「品質及び環境MS監査のための指針」であったが、対象範囲が品質MS、環境MS、労働安全衛生MS、情報セキュリティMS,輸送安全MS,記録MS,事業継続MSまで拡大された。
これは、多くの組織では、自社にあった形で必要なMSを選択し統合又は複合したMSを構築している。今回の改正では内部監査の際にこれらに対応した複合監査(各システムの統合監査)という形で対応できるようにし、内部監査の効率化を図れるように改正したことです。
これら7種類の監査に対し監査員が必要とする知識及び技能は、付属書Aで例示されている。
3. トップマネジメントの役割の重視
ISO19011:2011の第5章 監査プログラムに管理では
「トップマネジメントは、監査プログラムの目的が設定されていることを確実にすること。監査プログラムの管理者として、一人又は複数の力量を備えた人を任命する」ことと規定している。
これは、内部監査が形骸化する一つの原因は「トップマネジメントが自組織の経営のチェックに内部監査を活用していないことから生じている」というこれまでの反省に基づき追加された条項です。
なお、監査プログラムとは「特定の目的に向けた決められた期間内で実行するよう計画された一連の監査のための取り決め」のことです。弊事務所の研修の中では監査プログラムの簡単な例として「年間監査計画書」という形式を紹介しています。
監査プログラムの目的は、経営上の優先事項やプロセス・製品の特性、MSへの適合の状況、利害関係者の期待やニーズなどによって、その時々に変わる。
内部監査を例にとると、監査プログラムの目的は
1)対象となるMS規格に対する適合を検証する
2)法的要求事項並びに組織が約束したその他の要求事項への順守を確実にするためのMSの能力を検証する
3)MS及びそのパフォーマンスの改善の改善点を見つける
4)特定された目的を満たす上での、MSの有効性を判定する
5)MSの目的が、方針及び全体的な事業目的と両立し、整合しているかを評価する
などがある。
ISO19011規格には、具体的に記載されていないが、内部監査の目的は企業文化の成熟度や、MSの成熟度によっても変わる。一般的には、認証取得の初期段階では内部監査の目的は1)や2)であるが、MSが成熟してくると3),4),5)へと移行することに注意する必要がある。
また、組織の年度事業計画は、組織が今年度運営管理する事業活動を達成するための方策からなっているので、内部監査をどのようなプロセスに対して、どのような時期に行うのが効果的であるかを考えて、実施時期、回数を設定する必要がある。例えば、新製品の設計・開発が5月から9月、製造が10月から開始の場合には、設計開発プロセスの時期を10月にすることで効果的な内部監査が実施できる。
4. 監査に関わるリスクへの対応
下記はテクノファのISO19011活用術のセミナー紹介ページからの転載です。
赤字が、第5章監査プログラムの管理に関わる追加、変更のある項目です。この中で「5.3.4監査プログラムに関わるリスクの特定と評価」という項目が新規に追加になった。
監査プログラムのリスクとは、例えば
・計画の策定では、監査プログラムを適用する範囲の決定が適切ではない
・資源では、監査の実施に十分な時間が割けない
・監査チームでは、監査を効果的に実施するための力量を備えていない
・実施では、監査プログラムに対するコミュニケーションが効果的でない
・記録の管理では、監査プログラムの有効性を実施するための監査記録の保護が十分でない
・監査プログラムの監視・レビューでは、監査プログラムの成果が効果的に監視されていない
といったことです。
監査プログラムの管理者は、監査プログラムのリスクを特定し、監査プログラムの手順を確立しなければならない。
例えば、
・監査の計画では、統合監査時の監査時間の配分を検討する。
・監査チームでは、監査員及びチームリーダーの力量を保証する、適切な監査チームを選定し役割及び責任を明確にする。
・監査の実施では、サンプリングの精度が有効となるようなサンプリング方法を利用する。
・監査プログラムの監視・レビューでは、監査プログラムのパフォーマンスとして、監査時間の順守状況、監査指摘の実施率を監視し、その有効性をレビューするといったことです。
監査に関わるリスクへの対応については、第6章でも同様の記述が追加になっている。
6.3.2監査計画の作成では、監査によって生み出される組織の対するリスクを認識し対応することが追加になっている。
リスク対応の例としては、以下のようなものがある。
・監査チームメンバーの存在が、安全衛生、環境及び品質に影響を与えないように行う。
・被監査者の製品、サービス、インフらに対して脅威を引き起こさないようにする(例えば、クリーンルーム設備における汚染)。
・複合監査では、異なるMSの運用プロセスの相互関係、並びに競合する目的及びそれらの優先順位に対して特別の注意を払う。
5. その他
「第6章 監査の実施」の内容は、リスク対応が追加になったことを除けば、特に大きな変更はない。
ただし、監査所見、監査結論について、従来からも実施されていたことであるが、その内容がより明確に記述された。
用語の定義 3.4 監査所見
収集された監査証拠を、監査基準に対して評価した結果
注記1)監査所見は適合又は不適合を示す。
注記2)監査所見は、改善の機会の特定又は優れた実践事例の記録を導き得る。
注記3)監査基準が法的及びその他の要求事項から選択される場合、監査所見は順守又は不順守と呼ばれる。
⇒ISO9004:2009 8.3.3 内部監査の考え方
問題、リスク及び不適合の特定、優れた実践事例の特定及び改善の機会に焦点を合わせる。
ISO19011 6.4.8 監査結論の作成
監査結論では、次の事項を扱うことができる。
監査結論では、次の事項を扱うことができる。
a)監査基準への適合の程度及びMSの頑健さ、強みの認識。これには目的に見合うMSの有効性を含む。
b)MSの効果的実施、維持及び改善
c)MSが引き続き適切、妥当、有効で、かつ、改善が継続することを確実にするためのマネジメントプロセスの能力
d)監査目的の達成、監査範囲の網羅性、監査基準の励行
e)監査目的で明示されている場合、所見に関する根本原因
f)傾向を特定する目的で、監査された異なる領域における同様の所見
(これは、例えば、品質の監査で環境についての問題を見つけた場合、そのことも記載するように、という意味です)
監査結論では、上記のa)~f)についての強み,弱み結論として記載する。
監査報告書は、監査結論に監査所見を加えたものとなる。
上記の内容を踏まえた監査報告書の例として、セミナーテキストに下図の例が紹介されている。
この例は、いつも監査報告書をまとめるときに苦慮している自分には頭の整理になった。
| 固定リンク
「j よい監査(審査)」カテゴリの記事
- リスクに基づく考え方(2024.04.16)
- システム思考/システムアプローチ(2024.04.15)
- プロセスアプローチとは(2024.04.14)
- プロセスとは(2024.04.13)
- ISO品質・環境統合内部監査チェックリスト(2020.05.05)
この記事へのコメントは終了しました。
コメント