おはようございます!マネジメントオフィスいまむらの今村敦剛です。
よく「ISOの内部監査は、3年間で全部門を網羅すればいいんですよね?」という質問を受けることがあります。これは何かで具体的に示されたルールなのでしょうか?それとも単なる一つの考え方なのでしょうか?
スポンサーリンク
ISO 9001:2015の要求事項に書いているの?
残念ながら、ISO9001の規格には「内部監査では3年間で全部門を網羅しなさい」とは書いていません。
ただ、「監査プログラムは、関連するプロセスの重要性、組織に影響を及ぼす変更、及び前回までの監査の結果を考慮に入れなければならない。」とありますので、計画(例えば内部監査の間隔や範囲)はリスクや重要度に基づいて決める、というのが基本です。(これを根拠に、プロセスごとに監査の軽重をつけることは可能でしょう)
ところで、「部門」ではなく「プロセス」と書いている点には注目が必要ですね。ISOマネジメントシステム規格には「部門」という考え方はなく、あくまでも「プロセス」が基本です。
ISO 19011:2018「マネジメントシステム監査のための指針」はどうか?
ここでも「内部監査では3年間で全部門を網羅しなさい」とは書いていませんね。ISO19001では
監査プログラムの及ぶ領域は、被監査者の規模及び性質のほか,監査の対象となるマネジメントシステムの性質、機能性、複雑さ、リスク及び機会のタイプ、並びに成熟度に基づくことが望ましい。
とか
小規模の又はそれほど複雑でない組織の場合には、監査プログラムの規模は、適切に縮小できる。
と書いていますが、これもISO9001 9.2と同様、軽重をつけてよいよ、ということですね。
IAF Mandatory Documentではどうか
内部監査に対するガイドラインではありませんが、マネジメントシステム認証機関に対するガイドラインであるIAF Mandatory Document(IAF MD 1:2023)も見てみましょう。
ここは少しヒントになるかもしれませんが、
審査プログラムは、認証範囲に含まれる全てのプロセスが、各周期中に審査されることを確実にするよう設計されなければならない。
と書かれています。周期というのは認証書の有効期限の3年間のことですから、認証機関に対しては(=外部審査においては)3年間で全プロセスを監査するということがここでわかりますね。でも認証機関に対してのガイドラインなので、これを根拠に「内部監査でも全部門(全プロセス)を3年間で全部見る」とは言えませんよね。
他規格(IATF16949)ではどうか
IATF16949では「9.2 内部監査」で、はっきりとこう書いていますね。
9.2.2.2 品質マネジメントシステム監査
3年の間に全ての品質マネジメントシステムの全てのプロセスを監査しなければならない。
9.2.2.3 製造工程監査
3年の間に全ての製造工程および全てのシフトを監査しなければならない。
これがISO9001の認証取得企業の間でも知られたため、「内部監査は3年で一巡」があたかもISO9001のルールであるかのように語られているのかもしれません。
で、結局はどうすればいいの?
とはいえISO9001では、監査頻度や監査範囲はリスクに応じ適切に設定すべきもの、という程度の記述しかありません。3年サイクルで全範囲をカバーすることが絶対に必要だ!とまではいいませんが、実務上は3年サイクルで全範囲をカバーするよう計画を立てることが望ましいと個人的には思います。監査に軽重をつけてよいとはいえ、長年にわたって監査対象になっていないプロセスがあるというのは、それはそれでリスクだと思いますしね。
