ISO内部監査の目的
内部監査は何のためにおこなうのでしょうか。
部門の改善を促し、会社全体の改善につなげて会社を良くするためにおこないます。
被監査部門に貢献できる事を目的として内部監査を実施しましょう。
「ISO規格で決まっているから」「審査のために」それだけでは勿体ないです。何故なら、企業の活動時間を費やすからには付加価値を与えなければならないからです。付加価値として「被監査部門に貢献する」という成果を出すためにおこなわないましょう。
監査の目的
一般的には次のような目的で内部監査を実施します。
- 適合性監査:ルールを守っているか確認する。(例えば、ISO規格要求事項、社内ルールとしてのマニュアルや規程等の文書、法令要求、顧客要求など)
- 有効性監査:マネジメントシステムが目的に役立っているのか確認する。(例えば、顧客満足の向上、環境保全、情報セキュリティの保護など)
- 改善領域の特定:マネジメントシステムにおいて改善できるところがないか確認する。(例えば、手順の変更、新たな技術の導入、システム化、電子化など)
- 問題点の顕在化:マネジメントシステムが機能するのに障壁がないか確認する。(例えば、リーダーシップが発揮されていない、情報共有が図られていないなど)
- 「不適合探し」「粗探し」を目的とする。
- 重箱の隅を突く。(誤字脱字の指摘、捺印漏れ、記載漏れ等々)
- ダメ出しの場にしてしまう。
関連記事
ISO内部監査判定の仕方
適合性監査(順守事項やルールを守っているか)
決まったことが守られているかを確認します。審査機関の審査は基本的には適合性監査となり、ISO規格要求事項との適合性が審査されます。
決まっていること = 監査基準 と 守っているか = 監査証拠 を対比します。
決まっていること(監査基準) : ISO規格、自社の文書(マニュアル / 規定 / 手順書 / 要領書 / 計画書)
守られているか(監査証拠) : 現場での実態や証拠(記録 / データ / 発言 / 現場の活動)
多くの内部監査が適合性監査を目的としています。しかし、適合していて「当たり前」として有効性監査などの改善を促していく監査になっていくことが望ましいと思います。
有効性監査(マネジメントシステムが目的は果たして機能しているかの確認)
「有効性」とは「目的を満たして役に立っていること」です。
ISO9001,ISO14001,ISO27001それぞれに規格要求事項の目的があり、会社として認定取得した目的があります。その目的を満たして、マネジメントシステム導入の狙いを達成しているかを監査します。
ISO9001内部監査の目的
- 顧客満足を高めるために何をすべきか
- 不適合製品を減らすために何をすべきか
- 顧客要求に応えるために何をすべきか
- クレームを減らすために何をすべきか
- 品質を高めるために何をすべきか
ISO9001規格は「顧客の立場からの要求事項」であり、規格の目的は「顧客満足の向上」です。品質内部監査員としては「顧客の視点」をもって、「お客様はどう思うか」という顧客の立場になってISO9001内部監査をおこなうようにしましょう。
ISO14001内部監査の目的
- 環境保全の為に何ができるか
- 地球環境汚染の予防のために何ができるか
- 環境リスクを回避、低減するために何をすべきか
- 環境分野で機会を逃さないために何をすべきか
ISO14001規格は持続的開発のために「環境保全」と「汚染の予防」が目的です。改善はアイディアの積み重ねであり、アイディアは皆さんの気づきから生まれます。小さなことからでも、地球環境の改善に貢献できるようなアイディアを出していきましょう。
ISO27001内部監査の目的
- 情報資産が守られているか
- 新たに発生する情報セキュリティの脅威はないか
- 従業員が情報セキュリティの意義を理解して認識しルールを守っているか
ISO27001規格は情報資産を脅威から守ることを目的としています。その為には、従業員の情報セキュリティに対する意識が重要となります。デバイスや通信手段の多様化にも対応できているか等も監査できるとよいでしょう。
審査機関の審査と内部監査の違い
ISOマネジメントシステム規格要求事項は”what”「何をするか」を要求していますが、”how”「やり方」は要求していません。(やり方は企業それぞれで決めます)。それ故に、ISO規格要求事項は難解です。
皆さんの会社がISOマネジメントシステムを認定していれば、ISO規格要求事項に適合していることになります。ISO規格要求事項では、内部監査の目的に「規格要求事項の適合性」も含まれていますが内部監査では社内ルールの適合性に重点おけばよいです。内部監査で難解な規格要求事項の適合性を監査すると、例えば規格要求事項の解釈など不毛な議論になることもあり得ます。認定機関に規格要求事項を満たした社内ルール(マニュアルや規定等)を認められているのですから、社内ルールを守っていれば、ISO規格要求事項も満たしていると考えて社内ルールの適合性を監査すればよいでしょう。
改善領域の特定
内部監査は他部門監査(自分が所属していない部門)が基本となります。被監査部門が協力的且つ積極的に他者の意見を受け入れる姿勢があれば、外部の視点を用いた改善が可能となります。
例えば、被監査部門を営業部門と想定して、下流工程にあたる製造部門に所属する内部監査員が監査を行う場合には、日常業務での製造部門から営業部門に対する要望(例えば、納期連絡を早めることが出来ないかとか変更管理を確実にして欲しい等)があれば、それを内部監査時に確認することにより、営業部門で気が付かなかった改善の必要性が明確になり、更には協働による改善が可能にもなります。
審査機関やコンサルタントでは気が付かない問題も内部監査だからこそ、社内の関連部門であるからこそ指摘できることは多いと思います。内部監査のメリットですから積極的に改善の種を探すような内部監査になるとよいと思います。
問題点の顕在化
マネジメントシステムはあくまでも仕組みであり入れ物です。中身が伴っていなければ効果を発揮できません。
リーダーシップが発揮されておらず現場でマネジメントシステムが形骸化している、日常業務として管理ができていない、意識の共有が図られておらず活用できていない等々。問題点があることを前提として、マネジメントシステムは構築されているけれど、改善が進んでいない或いは目的が達成できないなどの問題点における原因を明らかにすることを目的におこないます。