おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO9001:2015各箇条解説シリーズ、今日は箇条9.2「内部監査」について解説をします。規格が内部監査に何を求めているかとあわせて、どうすれば内部監査がうまくできるかということについても少し触れたいと思います。
動画でも解説しています(無料・登録不要)
箇条9.2「内部監査」規格要求事項(9.2.2)
内部監査の計画はメリハリをつけて
まずa)ですが、これは内部監査の計画を作りなさいということですね。いつ、誰が、どの部署の、何を監査する、みたいなことですね。一般的には「内部監査計画書」のようなものを作って関係各部署に配布するんだと思います。
この時に気をつけておきたいのは、a)の黄色で強調した一文です。ここ、効果的な内部監査をする上で、とても重要なポイントです。監査プログラムは、関連するプロセスの重要性、組織に影響を及ぼす変更、及び前回までの監査の結果を考慮に入れなければならない。とありますが、これはリスクに基づく考え方だと言えそうです。内部監査のチェックリストを作って、上から順にまんべんなくチェックをしていくようなやり方ではなく、問題がおきそうなところや、問題がおきたら大変なことになりそうなところに重点をおくことを考えなさいうということですね。
ここに書かれている「内部監査プログラムで考慮に入れること」については、下記の例をごらんください。
例えば関連するプロセスの重要性に応じて監査をする場合、製品・サービスの品質に重大な影響のあるプロセスを優先的・重点的に監査すると書いていますね。例えば、うどんという製品をお客さんに提供する場合、異物混入って相当ヤバいことですよね。もし虫でも入っていたら、一気に店の評判がガタ落ちです。そうならないよう、お客さんにうどんを提供する直前で、異物混入がないかどうかをチェックするプロセスがあるならば、そこを重点的に監査をするみたいなイメージですね。
チェックの具体的な内容も、異物混入を見抜ける力量を持った人がチェックしているのかとか、忙しいからと言って異物混入のチェックが甘くなっていないか、みたいなことを監査するわけですね。このように、リスクにもとづいてメリハリをつけた計画を作りなさいというのが、この黄色の部分で言っていることです。
このようなメリハリのある監査計画を作ることができる力量を持った人が、計画を作り、内部監査を実施するのが理想でしょうね。このあたりの力量は、箇条7.2「力量」の中で明確にしておくのが望ましいでしょう。
b)の監査基準というのは、一般的にはマニュアルなどの文書、そしてISO9001:2015の規格などでしょうし、監査範囲は一般的には箇条4.3で決めた適用範囲のことなんでしょうね。
c)はちょっと重要です。客観性・公平性というのがここのキーワードですが、監査員は自分の仕事を監査しないというお約束があります。自分で自分の仕事をチェックすると、甘くなってしまう恐れがありますからね。もちろん内部監査員は、内部監査ができる力量を持った人を選定する必要もあります。
a)からc)までが内部監査の計画に関することですね。こうしてたてた計画は、このような内部監査計画書に落とし込むと、関連各部署にも周知が行き届くでしょう。
内部監査計画書を作りなさいという文書化の要求はありませんが、計画ってこんなイメージなんだよってことをわかってもらえたらと思います。
内部監査結果の報告・修正・是正・記録
d)は内部監査の結果を、監査対象となった部門はもちろん、その他の必要な人にも報告しなさい、ということです。内部監査の結果は、箇条9.3マネジメントレビューでもトップに対して報告されることになっていますね。
e)は監査の結果、不適合がでたならば、修正(手直し)をして、是正処置(再発防止策)を講じなさいということです。箇条10.2で要求する不適合及び是正処置のプロセスにしたがって対処することになります。
最後のf)は、監査の記録をとっておきなさいということですね。一般的には、内部監査報告書というものにまとめたり、監査でいろいろと記入をしたメモやチェックリストなどを記録として保持するケースが多いと思います。内部監査報告書は、外部審査機関のフォーマットなどを参考にして作るとわかりやすいかなと思います。
内部監査は小分けにしてやるのも一つの方法
内部監査がなかなかレベルアップしないのは、年1回しか内部監査をしないという理由も大きいんじゃないかと思います。年1回だと、規格の意味もやり方も忘れちゃいますもんね。
今日、この記事のなかで、リスクに基づく考え方で、優先的・重点的なテーマを絞って監査するという方法を説明しましたが、年1回にこだわらず、テーマを絞った小規模な内部監査を、年間に何回かにわけて実施する、という方法もあるでしょう。