【データで見る】ISO9001の外部審査でよく不適合になる箇条トップ10(3)

おはようございます！マネジメントオフィスいまむらの今村敦剛です。

ISOの外部審査で不適合になるのってイヤですよね。どういうポイントに外部審査員が注目するのかがわかると、そこを強化できるのに……ってお思いの管理責任者の皆様に朗報です（外部審査のために準備するというのは本末転倒ですが）。今回の連載では、ISO9001の外部審査でよく不適合になる箇条を紹介したいと思います

スポンサーリンク

前回までの記事はこちら

おことわり

この記事は、DNV GLが公開しているISO 9001 Top 10 Finding in 2019: Practical Actions For The Futureという資料に基づいて考察をしています。

皆様の実感と異なる部分があるかもしれませんが、DNVの認証対象組織である世界各国12,250社程度への監査実績をもとに分析したデータであり、特定の業種だけのものではなく、世界各国のいろいろな業界の情報をまとめたものです。

【不適合第5位】7.1.3「インフラストラクチャ」

箇条7.1.3（インフラストラクチャー）に関しては、DNVのレポートではあまり具体的に書いていないのですが、個人的な印象としては、たとえば設備や機械の保守（メンテナンス）が不十分であることが不適合の原因になりがちかな？と思います。

【不適合第6位】10.2「不適合及び是正処置」

箇条10.2（不適合および是正処置）では、DNVのレポートによると、原因分析とはすなわち「真因分析」であることが強調されています。表面的な原因分析にとどまる場合は不適合としているのでしょうかね。確かに規格の主旨としてそれは間違いないのですが、表面的な原因分析にとどまることが即不適合とした扱うかどうかは、悩ましいところですね。（個人的には、何度も推奨事項で指摘しているにも関わらず真因分析が甘ければ、そこでようやく不適合を出すかな？という印象ですが）

またDNVのレポートによると、是正処置の水平展開の可能性（類似の不適合の有無、又はそれが発生する可能性を明確にする）は、複数サイトが適用範囲に入っている場合、そのサイト全てで可能性をレビューする必要がある、と書いていますね。これは確かにそうかもしれません。それができていないと不適合と指摘されるケースは確かにあるでしょう。

【不適合第7位・10位】9.2「内部監査」9.3.2「マネジメントレビューのインプット」

内部監査（9.2）とマネジメントレビュー（9.3）がトップ10に入っていますね。

DNVのレポートでは、箇条9.2（内部監査）は、たとえば内部監査の計画が十分に実行されていない場合（例えば3年間のうちで監査されていない部署や箇条がある等）が挙げられています。

箇条9.3（マネジメントレビュー）の中でも、特にインプット（トップに報告すべき内容）に関する箇条9.3.2が10位にランクイン。DNVのレポートを読むと、複数サイトの場合に、インプットがもれなく本社のトップに報告される仕組みがないというケースを例として挙げていますね。

【不適合第8位】6.1「リスク及び機会への取組み」

箇条6.1「リスク及び機会への取組み」も不適合の多い項目として挙げられていますが、これはやはり2015年になって以降、まだ「リスクへの取り組み」が何なのかを組織がふわっとした形でしか理解できていなくて対応に苦労しているという状況があるんだろうと個人的には思います。

リスクをちゃんと評価していなかったり、見つけたリスクに対して適切な対策が取られていないことが、不適合として指摘されます。

【不適合第9位】7.5.3「文書化した情報の管理」

最近ではあまり問われなくなった文書化要求も、箇条7.5.3がトップ10にランクインしています。これはDNVのレポートでは、文書へのアクセスのことを挙げています（どうやって現場が文書類にアクセスするかが決められていない、アクセスできない等）。その他にも、文書の正確性や最新版管理の仕組みの問題もありそうですね。

その他、個人的に注意が必要だと思う箇条

トップ10には上がりませんでしたが、個人的に思う不適合あるある箇条は、他にも、8.6「製品及びサービスのリリース」（検査）や、8.4「外部から提供されるプロセス，製品及びサービスの管理」があります。

検査のやり方が適切でなかったり、取引先を承認するための手順がはっきり決まっていないといった点が、不適合として指摘されることが多いように思いますね。