ISO9001/ISO14001 コンサルティング・研修
57 8.2.2項    内部監査 実務の視点による
ISO9001:2000の解説(新版) 
35-02-57
 8.2.2 内部監査
[第1節] 組織は、品質マネジメントシステムの次の事項が満たされているか否かを明確にするために、あらかじめ定められた間隔で内部監査を実施しなければならない
  a) 品質マネジメントシステムが、個別製品の実現の計画(7.1参照)に適合しているか、この規格の要求事項に適合しているか、及び、組織が決めた品質マネジメントシステム要求事項に適合しているか。
  b) 品質マネジメントシステムが、効果的に実施され、維持されているか。
[第2節]
  [第1文] 組織は、監査の対象となるプロセス及び領域の状態と重要性、並びにこれまでの監査結果を考慮して、監査プログラムを策定しなければならない。
  [第2文] 監査の基準、範囲、頻度及び方法を規定しなければならない。
  [第3文] 監査員の選定及び監査の実施においては、監査プロセスの客観性及び公平性を確保しなければならない。
  [第4文] 監査員は自らの仕事は監査してはならない。
[第3節] 監査の計画及び実施、記録の作成及び結果の報告に関する責任、並びに要求事項を規定するために、“文書化された手順”を確立しなければならない。
[第4節] 監査及びその結果の記録は、維持しなければならない(4.2.4 参照)。
[第5節]     
  [第1文] 監査された領域に責任をもつ管理者は、検出された不適合及びその原因を除去するために遅滞なく、必要な修正及び是正すべてがとられることを確実にしなければならない。
  [第2文] フォローアップには、とられた処置の検証及び検証結果の報告を含めなければならない(8.5.2参照)。
      注記 ISO19011を参照
 
 
1.要旨

  本項は、狙いの顧客満足の実現を図る トップマネジメントによる統制活動としての内部監査の必要を指摘し、内部監査がその狙いに沿って効果的なものであるための計画、実行とその管理に関する要件を規定している。
 
  組織の品質マネジメントに係わる業務が、その業績目標たる組織の品質目標(5.4.1項)の狙いの顧客満足が実現するように、また、その狙いに反することが起きないように、決められた通りに実行されているかどうかを、当該業務と独立した第三者に体系的に調査させる内部監査の活動の手はずを、本項の規定に則って整え、手はずに則って内部監査を定期的に実行しなければならない。
 
 
2. 背景 及び 関連事項
2-1. 監査
(1) 監査の特質
  監査は、経済活動など社会的活動の信頼性や公正さを維持する手段として歴史的にも古く、今日でも会計監査を中心に広く活用されている管理統制手段の一種である。 監査活動も検証や評価の活動であるが、その特徴は、上位者、下位者及び第三者の三者関係の存在において、第三者が下位者の行動や結果を検証、評価して、上位者に報告するという枠組みにあるとされる(71a)。 西山氏は「他人を信頼し一定の業務を委ねた者(委任者)の要請に基づいて、第三者(監査人)が、その他人(受任者)の行動の状況又は成果を調査、検討し、その結果について委任者に対して自らの意見を表明する一連の手続きを監査という」と説明している(72)。 同氏によると監査は、受任者の業務実行の状況を、委任者が日常的に、また、効果的に監視、監督できない場合に行なわれるものである。 委任者が直接調査しないのは、委任者と受任者間の信頼関係を損なわないためであり、独立した第三者たる監査人だからこそ批判的に調査を行い、結果を率直に報告できることが期待されるからある(72)。
 
  監査は、監査対象により会計監査と業務監査に大別され、前者は企業の決算に関し公認会計士により行なわれる財務諸表監査などであり、後者は株式会社の監査役による経営監査、情報システムに関するシステム監査、経営管理手段としての内部監査などである。また、監査主体により内部監査と外部監査に分かれる。 主として、前者は経営の自主的管理手段として内部の監査員により行なわれる監査であり、後者は組織の利害関係者のために法規制によって外部の監査人により行なわれる監査である。
 
(2) 各種の監査
@ 会計監査
  監査は会計監査を抜きに語れない程に、監査は会計監査を前提として発展してきたとされている(71b)。 会計監査の中心は金融商品取引法による財務諸表監査であり、監査人の付す適正意見は経営者の作成する財務諸表が公正妥当な企業会計の基準に準拠した適正な内容であることの保証である。 この場合、業務の委任者は株主、受任者は経営者、監査人は公認会計士である。
 
A 内部監査
  内部監査は、組織の経営における内部統制の手段のひとつとして行なわれる。 内部監査には監査業務と診断業務があり、監査業務は、マネジメントの諸業務の遂行状況を合法性と合理性の観点から検討、評価し、これに基づいて、マネジメントの目標の効果的な達成に関して意見を表明し、可能ならば達成のための助言や勧告を行なうこと(73a)である。ここに、合法性とは法や手順の順守、合理性とは目標達成に対する効果や効率に、それぞれ関係する。 内部監査の目的は、業務の遂行状況の適否を経営の目標達成が可能かどうかの観点で評価し、判断し、問題を明らかにすることである。 内部監査における業務の委任者は経営者であり、受任者は各部門の管理者、監査人は組織の要員又は外部の専門家の内部監査員である。
 
  組織の規模が拡大し、活動拠点が分散するにつれ、権限の分化が拡がり、トップマネジメントによる直接的な監視や監督が希薄になる。 内部監査は、このような状況で組織の目標の達成に向けて諸業務が行なわれるようにする効果的な管理方法であるとされている。 組織には、事業活動に係わる諸業務をそれぞれの観点から管理する各種の実行管理業務が存在し、場合によっては専ら特定の実行管理業務を担当する機能部門も設けられている。 内部監査は、これらの実行管理業務の実行状況をも対象として、組織のマネジメント のすべての業務の実行が、マネジメント の目標達成に向けて行なわれているかどうかを検討、評価する。 監査員は管理者の業務実行状況を公正に監査し、結果を トップマネジメント に報告する。
 
B ISO19011による 監査
  規格は本8.2.2項末尾の「参考」に、内部監査に関してISO19011規格(140)を参照すべきことを記している。また、ISO9000規格もそこから監査関係の用語の定義を引用して記載している。 これによると、「監査」とは「監査証拠を収集し,それを客観的に評価して、監査基準が満たされている程度を判定する体系的で,独立し,文書化されたプロセス」#24である。
 
  ISO19011では、監査の関係者を監査依頼者、被監査者、監査員と呼び、監査依頼者は必ずしも監査対象業務の委任者ではない。 そして、各関係者が顧客、組織、供給者、又は、第三者のいずれであるかによって、監査を3種類に分けている。 すなわち、内部監査は第一者監査と呼ばれ、組織が供給者の、又は、顧客が組織の品質マネジメントシステムを自身で又は代理人により監査するのを第二者監査、第三者が組織の品質マネジメントシステムを監査するのを第三者監査と呼ぶ。ISO9001規格適合性に関する認証機関の審査は第三者監査である。
 
 
2-2. 監査の手順
(1) 監査の規範
@ 監査基準
  財務諸表監査で公認会計士が順守すべき規範は「監査基準」(75)であり、金融庁の企業会計審議会が設定している。内容は、監査の目的の定義の他、監査人の能力や資質と行動規範を定めた一般基準、及び、監査の実行と結果の報告に関する手順を定めた実施基準、報告基準から成る。 国際的にはIFAC(国際会計士連盟)が「国際監査基準」(76)を定めている。 また、情報システムに関する監査について「監査基準」と同様の内容構成の「システム監査基準」(77)が経産省により定められている。
 
A 内部監査基準
  内部監査は組織の自由な活動であるから、これを規制するものは存在しないが、日本内部監査協会が内部監査の意義と手順を「内部監査基準」(73)として公開している。 また、国際的には、IIA(内部監査人協会)が「専門職的実施のフレームワーク」として3種類の指針を定めており、この中に内部監査人が順守すべき規範「強制的指針」(11)が示されている。 これは、財務諸表監査の「監査基準」と同様、内部監査の定義、倫理綱要、及び、内部監査の手順から構成されている。
 
B ISO19011規格
  品質マネジメントシステム に関する規格は、ISO9001とISO14001用に別個に存在したのが統一されて、ISO190011(品質及び/又は環境マネジメントシステム監査のための指針)として2002年に発行された。 内容は、監査用語の定義の他、監査員の行動規範(4. 監査の原則)、監査の手順(5, 6章)、監査員の能力要件(7. 監査員の力量及び評価)で構成されている。このことからも、ISO19011が国際的に確立した監査の規範を基本としていることが伺える。
 
(2) 監査の目的
  監査の狙いに関連する用語として、監査目的、監査目標、監査テーマ、監査要点、監査ポイント、監査視点、監査項目などがあり、相互に重なった意味で使用されて、区別は必ずしも明確ではない(79)。
 
  一般に、「目的(purpose)」はある事を行なう理由、ある物事の効用に関する。 例えば、財務諸表監査の目的は「利害関係者の利益擁護」であり、システム監査の目的は「情報化社会の健全化に資すること」であり(79)、内部監査の目的は「経営目標の効果的な達成に役立つこと」(73a)であると説明されているが、これらは監査の効用に係わる目的である。
 
  一方、財務諸表監査の規範である監査基準(75)では監査の目的を定義しているが、要約すると、経営者の作成した財務諸表が、一般に公正妥当と認められる企業会計の基準に準拠して適正であるかどうか判断することである(75a)。 同じように言えば、内部監査は、経営目標の効果的達成に対して経営諸活動の遂行状況が適切かどうかを判断することである。これらは監査を行なう理由としての監査の目的である。 ISO19011の前身のISO10011-1規格は、「監査を始める理由」として次を挙げ(141a)、規格が扱う監査の目的を例示していた。 @は供給者の選定、Aは供給者の定期評価に関連する監査で、いずれも第二者監査の目的である。Bは内部監査の目的であり、CはISO9001規格適合の自己宣言が目的である。
 
@ 契約関係を結ぼうとする時の供給者を評価するため
A 契約関係の枠内で供給者の品質システムが引き続き規定要求事項を満たし実施されていることを検証するため
B 組織が自己の品質システムが引き続き規定要求事項を満たし実施されていることを検証するため
C 組織が自己の品質システムを品質システム規格に照らして評価するため
 
(3) 監査目標
  目的(purpose)がある事を行なう理由、ある物事の効用に関するのに対して、目的に関係して何を実現するのかが「目標(objective)」である。 国際監査基準(76)では「財務諸表監査の目標(objective)は、財務諸表が適用すべき会計報告の枠組みに従って作成されているかどうかについての意見を監査人が表明できるようにすることである」と定めている(76a)。 同じ監査のことを、日本の監査基準(75)が監査意見の表明を目的とする活動と表現するのに対して、国際監査基準は意見を表明できるようにすることを目標とする活動と表現していることになる。
 
  ISO19011の「監査プログラムの目的」の例として次を挙げている(140a)。 原文では“objective”であるから監査プログラムの目標のことである。 実際、@は第三者監査である認証のための審査、Aは第二者監査である供給者管理のための監査にそれぞれ関係し、監査で何を得ようとするのかが表されている。 但し、Bも第二者監査であり、Cは第一者監査である内部監査であるが、それぞれの監査の目的を表しているからややこしい。
 
@ マネジメントシステム規格への認証のための要求事項を満たすこと
A 契約要求事項との整合を検証すること
B 供給者の能力に対する信頼感を得ること及び維持すること
C マネジメントシステムの改善に寄与すること
 
  また、同規格は個別の監査活動に関してであるが、「監査で何を達成するのかを明確にするもの」として4つの事例を挙げている(140b)。 これもJIS和訳では「監査の目的」であるが、「何を達成するのか」であることが明記されており、原文は“audit objectives”であるから、これも監査の目標のことである。
 
@ 被監査者のマネジメントシステムの監査基準への適合の程度の判定
A 法規制順守を確実にすることに関する マネジメントシステム の能力の評価
B マネジメントシステム がその目標を満たせるかどうかに関する有効性の評価
C マネジメントシステムの改善可能な領域の特定
 
  監査の目的と監査の目標とは異なる概念であるが、表現によってはある目的が他の目的のための目標になることもあり、慎重な表現上の使い分けが必要である。 ISO19011のJISでは目標(objective)を「目的」と和訳し、「監査プロプラムの目的」「監査の目的」という用語が登場し、ややこしいし、内部監査というものの理解を混乱させる要因にもなっている。
 
(4) 監査要点
  例えば財務諸表監査は、監査人が総合的判断として虚偽記載の有無に関する監査意見を表明することが目的である。 監査人はその目的を実現するために、虚偽記載に結びつく可能性のある事項を、虚偽記載に関係する側面から調査して、監査証拠をあるべき姿と比較して虚偽記載でないかどうかを評価する。 どのような虚偽記載をどのような観点から調査するのかの監査の主題は「監査テーマ」「監査ポイント」とも呼ばれる(79)が、正式な監査用語では「監査要点(audit objective)」である。 すなわち、監査要点とは、監査の目的を果たすために監査人が立証しなければならない要証命題のこと(71c)であり、これは、監査人が監査で達成すべき目標であるから監査目標と呼ぶことができる。 このように監査目標が用いられる場合は、監査要点と同じ意味となる。
 
  財務諸表監査の監査要点は、取引記録の信頼性、資産と負債の実存性、網羅性及び評価の妥当性、費用と収益の期間帰属性及び表示の妥当性などであるとされている。 監査人は当該関してこのような観点から調査し、監査証拠を収集して、それぞれの監査要点に関係する企業会計基準に照らして評価する。 監査員は、各監査要点の評価の結果を総合して、財務諸表に虚偽記載のないことを判断する。
 
  内部監査基準(73)でも、どの事項に焦点をあてて監査を行なうのかの監査要点を明確にするべきことが規定されている(74a)が、他の部分の記述では監査要点はしばしば監査の目標として表現されている。
 
  ISO19011には、原文に“audit objective”という表現がある(140a)が、JISは「監査の目的」と和訳しており、実際にも上記(3)のような意味での監査目標を指している。規格には「監査要点」という用語も、それに相当する概念も存在しない。 ISO19011で監査要点に関係する概念は「監査基準(audit criteria)」である(140c)。 この規格では、監査は「監査基準」が満たされている程度を判定する活動であり、監査員は収集した監査証拠を「監査基準」に照らして評価し、適合か不適合かの「監査所見」(140d)を出す。 「監査基準」はそれぞれの監査要点に関連する方針、手順、要求事項などである。 ある事がそのあるべき姿であるかどうかが監査命題であるとすれば、あるべき姿かどうかの判断基準が「監査基準」である。
 
(5) リスク アプローチ
  監査対象のすべての項目を監査するのは、監査人の負荷や時間、費用の点で困難であり、効率的でない。 監査は監査の目的に照らして監査対象の事項に問題がないかどうかを調査する活動であるから、問題のありそうな事項を優先的または重点的に監査することが合理的である。 例えば財務諸表監査では、虚偽記載があるのに気付かずに、監査人が適正意見を表明するような危険性を避けるために、監査人は監査対象の財務諸表の重大な虚偽記載に繋がる可能性の高い事項を重点的に監査することが原則である。
 
  この監査の様式は、すべての取引や項目について監査する伝統的な精密監査(精査)に対して試査と呼ばれる。 監査基準(75b)では「監査人は、監査を効果的かつ効率的に実施するために、監査 リスクと監査上の重要性を勘案して監査計画を策定しなければならない」と規定し、国際監査基準は、監査計画の立案に当たっては「内部統制の状況を把握し、監査対象の重要性、監査上の危険性その他の要素を十分に考慮して、適用すべき監査手続き、その実施時期及び試査の範囲を決定しなければならない」と、リスク アプローチ による監査を明確に規定している。
 
  内部監査でも一般に、リスク アプローチ の考えで監査が計画され、実行される。 経営の目標の効果的達成に役立つことを目的とする内部監査では、目標達成の阻害要因とその影響の大きさを評価して リスク の高い監査事項や監査命題に焦点を当てて、諸業務の遂行状況が検討、評価される(73a)。
 
  ISO19011は、前身のISO10011-1と共に、リスク アプローチ という表現はもとより、監査の計画や実行における優先付けに関する具体的記述は見られない。 ただし、ISO1001-1では、監査の頻度の決定に関して、経営者や組織、技法や技術の重大な変更、品質システムの変更、及び、前回の監査結果を考慮すべきことが規定され (141b)、 ISO19011でも「適切な情報をサンプリングによって収集する」ことを規定し、これによる監査の結論にも存在する不確実性を留意すべきことを指摘している(140e)。 両規格とも、これら監査プログラム 作成に関する記述にわずかながらも リスク アプローチ の観点が含まれている。
 
(6) 二重責任
  監査基準(75a)では、財務諸表の作成責任は経営者にあり、監査員はそれに対する監査意見の表明の責任を有するという二重責任の原則が明記されている。 監査員には経営者の作成した財務諸表を修正する権限はない。経営者が監査人の発見した不正又は誤謬に同意せず対応をしない場合でも、監査人は毅然として自らの信念に従って不適性意見を表明しなければならない。 逆に、経営者が監査人の意見を聞き入れて修正した財務諸表が経営にもたらす如何なる結果についても、経営者は監査員のせいにすることはできない。 監査では両者は、財務諸表の記載に関して負っているそれぞれ別個の責任を全うしなければならない。 監査員が虚偽記載を見落として不正な財務諸表に適正意見を表明した場合は、株主や会社に損害賠償責任を負うとされるが、これは監査人が「職業的専門家としての正当な注意を払い、懐疑心を保持して監査を行わなければならない」という義務(75c)に反した場合に限られる。
 
  内部監査基準ではその実践要綱(74b)に、監査員の指摘や改善提案事項に被監査側が同意しなかった場合には、監査員はその旨を記した監査報告書を作成すべきことが規定されており、内部監査にも二重責任の原則が適用されるべきことを明確にしている。 管理者は、トップマネジメントからそれぞれの業務の実行を責任と権限と共に委託されており、内部監査員の指摘を受入れた結果、その事自身に係わる、或いは、別の事項において問題を生じたとしても、その責任を回避することができない。また、内部監査員はそれには責任を負わない。 逆に、監査員が管理者の業務実行における問題を見落とした結果、経営目標の達成を妨げるような業務結果が生じた場合は、監査員としての責任なしとはならない。内部監査基準では内部監査人は「その責任を果たすために、熟達した専門能力と専門職としての正当な注意をもって内部監査を遂行しなければならない」と定められている。
 
  ISO19011でも、最終会議で監査の結果について監査チームと被監査側とで意見が食い違い、協議して解決できない場合は、監査員は両方の意見を記録に残さなければならない旨明記されている(140f)。 同規格も被監査者と監査員との間の二重責任の原則を基礎としていることが明らかである。また、同規格も一般の監査の場合と同様、監査員に対して専門家としての正当な注意を払う義務を規定し、更に、倫理的行動、公正な報告、及び、監査対象からの独立性を要求している(140g)。
 
(7) 監査の計画
  ある事項に関する判断ないし監査意見を出すための監査は一般に、対象、時期、監査命題の異なる複数の監査活動から成り、監査チームを構成する監査人が分担して各監査が行なわれる。 この一連の監査は、監査の目的に沿った判断ないし監査意見を組織的、効果的、効率的に得ることができるよう策定された監査計画に基づいて実行され、管理される。
 
  財務諸表監査では監査計画は、監査チームの編成、監査の方法と範囲、監査項目の分担、監査日程を決めたものであり、内部統制の状況、監査対象の重要性、監査上の危険性など リスク要素が十分に考慮されて策定される。 更に、一般に試査とも呼ばれる個別の監査の実行に関して、詳細な リスク要素が考慮された監査実施計画が策定される。監査の実行によって想定外の結果が出ることは珍しくないので、監査計画は監査目的の実現のために柔軟に変更されなければならない。 国際監査基準(78a)でも監査計画は、監査の範囲、時期及び方向を決めた全体監査計画*(overall audit strategy)とそれに基づいて実行される監査の詳細な手順を定めた監査計画*(audit plan)とに分けられている。
 
  内部監査では一般に、中長期監査計画の枠組みの中で年度の監査計画を策定し、更に、個別の監査に対して監査実施計画を策定する(73b)。 年度監査計画は、その年度の経営上の課題に対応して効果的な内部監査とするために、最低でも年次で行なわれる リスク評価の結果を反映して策定されなければならない(74b)。 年度監査計画では、監査方針又は重点目標、監査の対象、実施時期と期間、個別の監査の実施日程が定められる。 年度監査計画には、個別のそれぞれの監査について、必要な監査要点、範囲と実施時期、監査チームの編成などが含まれるが、各監査は経営目標の達成に関する リスクの高い事項に焦点を当て、適切な監査要点が設定され、それに応じた監査員、監査時間が割り当てられていなければならない。 また、必要により監査実行の具体的方法を定めた監査実施計画書が作成される。
 
  ISO19011の監査の枠組みでは、特定の監査の目的毎に策定される「監査プログラム(audit programme)」の下に、一連の個別の監査活動が行なわれる。 「監査プログラム」とは、同じ目的のために特定の期間に実行されるように計画された一連の監査と定義(140h)されているが、実際には各監査の計画、準備、実行を含む監査全体の枠組みを意味している。 「監査プログラム」は通常、監査の目的の効果的、効率的実行のための個別の監査活動の日程計画が中心であり、個別の監査の実行の詳細は監査計画書(140i)に定められる。 個々の監査の実行は監査プログラム によって管理され、「監査の目的」の達成のために必要に応じて修正される。
 
(8) 監査の結論
  財務諸表監査では、監査の結果は監査報告書に記載され、財務諸表に添付して公表される。 監査人はこの報告書で、実施した監査の概要と共に、監査の結論として3種の個別意見とそれを総合しての判断である適正か不適性かの意見を表明し、合わせて、必要により監査意見の理解促進のための追加情報を記載する(71e)。
 
  内部監査では通常、監査の結果は監査報告書に記載され、トップマネジメント 又は監査役等、及び、被監査部門の責任者に報告される(73c)。 報告書には、実施した監査の概要と合わせて、監査対象に対する総合的な意見、及び、指摘事項、改善提案事項が記載される。 内部監査の場合に大切なこととされているのが、監査報告書を作成する前に監査結果について被監査部門に説明し、問題点の相互理解を図ることである。 被監査部門が監査結果を受け入れることによって、迅速で的確な問題対応が図られることになり、以て内部監査を効果的なものとすることができる。 内部監査では監査員には、監査結果の報告だけでなく、改善に結びつく指摘や提案を付すことが望まれる。
 
  また、監査報告書に記載の指摘事項や改善提案事項が、当該の被監査部門によってどのように改善され、問題解決がなされたかは、内部監査部門長によって継続して監視される。 必要な対応がとられず、又は、十分でなく、経営目標達成に許容できない リスク が残留していると判断される場合には、内部監査部門長は被監査部門を統括する役員等に問題提起をしなければならず、議論で合意に至らなければ トップマネジメントや取締役会等に報告しなければならない(73d)。
 
  ISO19011では、監査員は収集した監査証拠を「監査基準」に照らして評価し、適合か不適合か又は改善の提案かの「監査所見」 (140d)を出し、これらと監査目標(JIS和訳「監査の目的」)とを勘案して監査チーム としての「監査結論」(140j)をまとめる。 監査結論は、監査目標に対応する監査の目的に関する総合判断である。 同規格は、監査結論として取り上げるべき事項の例として、@ マネジメントシステムの監査基準への適合の程度、A マネジメントシステムの効果的実施、維持及び改善、B マネジメント システムの継続的改善を図るマネジメントレビューの能力を挙げている(140k)。 @の監査の目的が供給者の選定であればその可否が監査結論であり、Aが認証審査では登録証発行の可否が監査結論であり、また、品質マネジメントシステムの内部監査であれば、狙いの顧客満足の実現に対する懸念の有無が監査結論である。
 
 
2-3. 品質マネジメントの内部監査
(1) 品質マネジメントの内部監査の必要性
  ISO9001は、組織が不良品を顧客に引渡すことを防止し、顧客のニーズと期待を満たす製品を一貫して供給することを図る場合の マネジメントに関する必要条件を規定している。 この必要条件は規格執筆者の発案ではなく、品質で成功した世界の企業の品質マネジメントの体験をとりまとめ、論理化したものである。 しかし、ISO9001が基礎を置く1970〜1980年代の日本の輸出企業が、その優れた品質水準を実現し維持する手段として定期的な内部監査を用いた形跡はない。
 
  最初の品質保証規格と言われるMILQ5898Aは、米国国防省が調達する兵器の品質確保のために供給者に課した業務実行の規範であった。 同省は不良品が納入されることを阻止するために供給者にこの規範を確実に順守させる必要があり、この保証のために契約条件として内部監査の実施を要求したと言われている。 供給者を管理するためのMILQ5898Aを基礎とする品質保証規格は後に欧州に拡がったが、1982年の英国のBS5570で品質保証規格は不良品を出荷しないことを追求する組織の業務指針となり、その効果的な順守の第三者保証によって顧客の製品品質への安心感を保証する規格適合性認証制度が創設された(31c)。この規格もその前身の英国国防省規格にも組織の内部監査の実施の必要が規定されており、これを基礎に作成されたISO9001で内部監査実施の具体的要件が明確にされた。
 
  ISO9001を含む品質保証規格は、供給者が不良品を出荷しないために順守すべき規範である。顧客の組織の製品品質への信頼は、組織が規範を順守していることへの信頼が基礎になる。監査は欧米では、組織の業務実行の統制のための普遍的な手法であり、組織の規範順守の証として組織自身によって内部監査を実施することが採り入れられたと想像される。 ISO9001が内部監査の実施を必要と規定するのは、内部監査が直接に品質保証或いは顧客満足向上につながるからではなく、それに必要な業務が所定の通りに効果的に行なわれるように管理する手段としてである。 ISO19011は、内部監査の意義に関連して「(ISO9001の内部監査は)、品質方針の効果的な実施を監視し、検証するための マネジメントの用具」であると説明している(140m)。 規格作成者のひとりの、内部監査は組織の諸業務が定められた通りに行なわれているとの安心感を組織自身に与えるものであるという説明(22k)も、ISO9001に内部監査を採り入れた理由を明確にするものである。
 
(2) 品質マネジメントの内部監査の意義
  規格の内部監査の目的を94年版(4.17)は、品質マネジメントの諸業務が計画された手はずに則って、不適合製品の出荷を防止する観点で効果的に実行されているかどうかを判定することである旨を要求事項の記述の中で明らかにしていた。 内部監査一般の目的に照らすと規格の内部監査は、品質マネジメントの諸業務の遂行状況の適否を判断することが目的であり、経営の目標の内の品質マネジメントに係わるものである品質方針や品質目標で示される狙いの顧客満足の実現が可能かどうかの観点で評価し、支障となる問題を明らかにすることである。 業務の遂行状況の適否の判断基準が「監査基準」である。 内部監査員は、諸業務が「監査基準」を満たして効果的に実行されているかどうかを評価することを通じて、品質マネジメントの狙いの顧客満足の実現に支障がないないかどうかを判断する。規格の内部監査は業務規範の順守のトップマネジメントによる統制手段であり、狙いの顧客満足の実現を間違いないようにするために行なわれる。 規格作成者のひとりは、「内部監査は改善又は事業効率の向上の余地の特定の用具として用いられるなら更に追加的価値をもたらすことが可能だが、これは規格の要求事項ではない」(22k)との表現で、規格の内部監査が改善ではなく統制を意図するものであることを明確にしている。
 
  ISO9001の論理を説明するISO9000規格は、品質マネジメントのPDCAサイクルの“C”“A”として「品質マネジメントシステムの評価」の項#20を設け、多様な評価活動があるとしつつ、「監査」「レビュー」「自己評価」をその例として取り上げている。ここに「レビュー」とは規格の「マネジメントレビュー」(5.6項)を指し、「自己評価」は自身の品質マネジメントシステムの実行と結果を他の優れた品質マネジメントシステムやそのモデルと比較し評価する手法を意味し、事実上ISO9004の「自己評価」 (132m)を指している。 これに関連して規格執筆者のひとりは、内部監査は品質マネジメントシステムに焦点をあてた「測定」のひとつの態様であり、その役割は「マネジメントレビュー」と「自己評価」という品質マネジメントシステムの他の態様の評価と相互に補完し合うもの」として考えるのがよいと説明している(21L)。 規格の内部監査は、品質マネジメントの効果的な実行の統制のための監視測定の手段のひとつであり、他の種々の方法と相互補完的に使用されるべきものである。
 
  日本では人間重視の経営を土台にした要員の組織への帰属意識と職務忠誠心を前提として、業務実行の統制は管理組織と管理者で十分に担ってきた。 トップマネジメント は組織内の統制が責任であり、管理責任者の報告を通じて、また、自ら主宰するマネジメントレビューはじめ目的別会議、定例連絡の枠組み、現場視察などによって各層管理者の業務実行と結果の掌握を図らなければならない。 日常業務を逐一把握できる小規模組織でも監査は、日常を離れて組織の業務を客観的に眺める良い機会であるとする考え(20f)も正しいが、監査は本来、「委任者が受任者の職務の執行を日常的或いは有効に監督しえない場合に実施される」(72a)ものである。 内部監査の程度は トップマネジメントが、各層管理者が担う業務実行を日常的にどれだけ把握しているか、把握出来るかに依存する。これには、組織の規模や業務の複雑さ、事業拠点の立地や数、法規制の強さなどが関係するが、内部監査の必要な詳しさや厳格さは一般に、次の要素を勘案して判断するとよい。
 
@ 組織の品質マネジメンの実行に対する トップマネジメント の目の届く程度= 内部監査に対するトップマネジメントのニーズの強さ
A 品質マネジメント システム の成熟の程度= 監査で問題が検出される可能性の大きさ
B 狙いの顧客満足に反する状況が実際に発生する可能性の強さ= 品質マネジメント の能力への不安感の強さ
C 狙いの顧客満足の確実な達成の困難さ、達成できなかった場合の事業への影響の大きさ= 顧客満足向上の緊要さ
 
(3) 品質マネジメント の内部監査の手順
@ 監査の実行管理
  ISO9001規格の内部監査は基本的にISO19011に従って行なうことが必要である。 トップマネジメントは、内部監査の実行管理の責任者(JIS和訳では「監査プログラムの管理責任者」)を決め、同責任者からの報告を受けて内部監査の実行状況を監視する。 トップマネジメントは、内部監査の結果を少なくとも マネジメントレビューの場で報告を受け(5.6.1 a)項)、評価しなければならない。 個別の監査毎に監査報告書が発行されるような場合には、内部監査の実行管理の責任者が、各報告書を総括して、内部監査の目的に照らしての監査所見と監査結論をまとめて、トップマネジメント の評価に供するのが適切である。
 
A 監査の計画
  内部監査の実行管理の責任者は、監査の全体計画を監査プログラム(140h)に定め、トップマネジメントの承認を受けて、これを元にして内部監査の実行を管理する。監査は一般に特定の業務又は部門、拠点などに分けて行なわれる。 監査プログラムでは、個々の監査対象と監査実施時期、それぞれの監査で重視すべき監査要点、監査基準、チームリーダー を含む監査チームメンバーを明らかにすることが必要である。この詳しさ(JIS和訳では「監査プログラムの範囲」(140n))は、組織の規模、性質、複雑さなどに応じて効果的な監査実行に必要な程度でよい。 監査プログラムの策定では、監査対象のすべてを一律にではなく、顧客満足の実現に失敗する危険に応じた、めりはりをつけた時間配分を行い、適切な実施時期を決め、また、危険の発見に関連の深い監査対象と監査要点を重視しなければならない。
 
B 監査の実行
  内部監査の手順書の中に、監査で観察された疑念や問題の事実をどのように取り上げ、処置するか、また、処置の結果をどのように確認するかの手順を含めておくことが必要である。 この手順では、監査所見に「監査基準」に対する適合か不適合の判定と共に、適合だが改善の余地がある点の指摘を含めることとしてもよい (140p)。更に、監査チームが監査目的を果たすために必要と考える是正処置その他の改善の処置の必要を監査結論で指摘することを監査手順に含めてもよい (140q)。 手順では、被監査側の責任者が、監査の指摘にどのように対応するか決定し、実行する責任をもつことを明確にすることが必要である。 これらの処置の実行を管理する方法、例えば、被監査側からの報告方法、次の監査で確認するなど実行と効果の確認の方法なども手順に含めておくことが必要である。
 
C 監査の結果
  監査チームは監査活動の最後に最終会議を持ち、監査所見と監査結論について被監査側の理解を得、また、必要な議論を行なうことが望ましい(140f)。 また、被監査側の是正処置や予防処置の予定についての話合いをしてもよい。 監査チームリーダーは、監査の結果の報告書を作成し、監査の実行管理の責任者に提出し、同責任者は監査が所定の通りに実行されたことを確認して、報告書を被監査者など必要な人々に配付する。 監査報告書には、監査所見と監査結論の他、被監査者と合意に至らなかった事項についても両者の見解を明記しなければならない (140r)。 報告書の内容とその利用方法も、組織の必要に応じたものとして内部監査の手順書に含めておくとよい。
 
(4) 品質マネジメントの内部監査員の能力
  JIS和訳「力量」の原英語“competence”は「必要な出来ばえで物事を行なう能力」の意味であり、ISO19011では「証拠で示された個人的特質、並びに、知識及び専門性を活用する能力*」と定義(140s)している。 同規格は個人的特質として、監査の原則(専門家としての正当な注意を払う義務、倫理的行動、公正な報告、及び、監査対象からの独立性)に従って行動できることを挙げている。 その他にも必要な個人的特質として9項目を挙げているが、更に、監査員に必要な知識及び専門性*、教育実績、業務経験、鑑査員訓練、監査経験に関する広範囲な必要条件を示している。 これをすべて備えるとすれば内部監査員のなり手を探すのは大変である。
 
  実務的には内部監査員にはまず、監査技法に関する知識と能力が必要であるが、これによってどのような監査証拠を収集しなければならないかを考えられ、各監査証拠を「監査基準」に照らして適合か不適合かを判断でき、更に、これら監査所見を総合して狙いの顧客満足の実現の可否に関する判断ができなければならない。 これには、組織の品質マネジメントシステムの構造や考え方についての基礎知識が必要であり、監査対象の部門や業務に関する相当の専門知識が必要であり、更に、不良品や顧客のニーズや期待に反する製品が顧客に引き渡されることになる関連業務の繋がりの知識と可能性に関する判断力が必要である。
 
  内部監査の結論は、品質マネジメントの諸業務が所定の通りに効果的に実行されていることを明確にし、次の内部監査までの間にわたってこの状況が維持され、狙いの顧客満足が実現され又は深刻な問題が発生することのないことを保証するものでなければならない。 このような内部監査であるためには、内部監査員が必要な能力と個人的特質を有する上に更に、この責任を自覚することが必要である。
 
   
8.規格要求事項の真意
  内部監査は、組織内の諸業務が経営目標の達成に向けて、定められた通りに実行され、所定の結果が出ることを確実にするためのトップマネジメントによる統制管理活動である。 内部監査は、組織内の隅々まで目の届かないトップマネジメント に代わって内部監査員が組織の業務実行状況を体系的に調査し、結果をトップマネジメントに報告する形をとる。 規格の内部監査の場合は、結果は マネジメントレビュー (5.6.2 a)項)において、組織内の業務実行状況を表す情報のひとつとして、他の業務実行状況と結果に関する情報と合わせて トップマネジメントにより評価され、品質マネジメントの実績の問題点の原因の検討や課題の抽出に活用される。
 
  品質マネジメントに関して内部監査を行なう目的は、品質マネジメントの諸業務が品質方針や品質目標の達成、つまり、事業の維持発展に必要な顧客満足の実現に向けて、効果的に行なわれているかどうかを判定することである。 次の(2)(3)は、この判定のために内部監査で立証すべき命題であり、監査要点ないし監査 テーマ である。 ここに、(2)は品質マネジメントシステムの諸業務の手はずの適合性であり、(3)はそれらの実行に関する適合性である。 観察された個々の事項についてのこの適合性判断は規格では「監査所見」である(140d)。 内部監査員は、監査活動で客観的証拠を収集して(2)(3)が満たされている程度を評価することによって、監査対象の部門又は活動が品質方針に沿って品質目標を達成するように効果的に業務が行なわれているかどうかを判定する。 判定についての内部監査員の意見は、「監査結論」(140j)として表明される。 この監査結論は、組織が必要として品質方針に規定した狙いの顧客満足を実現することができるかどうか、品質方針を逸脱する、或いは、顧客の供給者選択に影響を及ぼすような顧客不満足を発生させないかどうか、に関して業務が効果的に行なわれているかどうかの判定であり、そのための問題点の指摘でなければならない。
 
  組織は、品質マネジメントシステムの計画の一環として、品質マネジメントの内部監査の計画、実行、結果の報告、結果への対応、その追跡、及び、記録の維持に関する手順を確立し、文書化しなければならない。 また、手順を管理された状態で効果的に実行しなければならない。 手順は、内部監査によって狙いの顧客満足の達成の確実さ、又は、それに反する問題の起きる危険性に関する判断を効果的、効率的にできるものでなければならず、次の(1)〜(9)の要件を満たさなければならない。
 
(1) 組織は、品質マネジメントシステムの次の事項が満たされているか否かを明確にするために、あらかじめ定められた間隔で内部監査を実施しなければならない。 [第1節]
  組織は次の(2)(3)を監査要点とする内部監査を定期的に行なわなければならない。「予め定められた間隔」とは“planned intervals(計画された間隔)”であり、 マネジメントレビューも同じ表現で定期的に行なうべきことが規定されている(5.6.1項)。 管理部門が行なう品質管理、設備管理などが日常的な活動であるのに対して、内部監査による統制管理は、マネジメントのサイクルに合わせて行なわれる。 品質マネジメントの定期内部監査の間隔は、品質マネジメントのサイクルに合致し、その マネジメントレビューの間隔に合致させることが必要である。 監査プログラムはこの間隔で策定され、各部門や活動に関する個別の監査活動を次の マネジメントレビュー までに完了させるように日程配置が行なわれる。
定期内部監査で、狙いの顧客満足の実現に向けて品質マネジメントの諸業務が効果的に行なわれているとの判定を下すには、品質マネジメントの業務体系の適合性と実行の適合性を立証することが必要である。 規格は、この立証すべき命題の前者を本(2)として、また、後者を次の(3)として、それぞれ規定している。
 
(2) 品質マネジメントシステムが、個別製品の実現の計画、この規格の要求事項、及び、組織が決めた品質マネジメントシステム要求事項に適合しているか。 [ a)項]
 94年版(4.17)でこれに対応する記述は「品質活動及び関連する結果が計画とおりになっているか」であり、DIS版では「この国際規格の要求事項に適合していること」であった。 ISO14001(4.5.5)でも「この国際規格の要求事項を含む計画された取決め事項に適合しているか」である。 趣旨はこのようなところであると思われるが、記述が殊更に詳細である。 しかし、規格執筆者の解説でもこれら3つの監査要点の個々の説明はなく、他の英文解説書もこれには触れないまま、多くが94年版から意図の変更はないと断定している。TC176商業本(20)は「個別製品の実現の計画には、品質マニュアル、手順書、その他の文書、品質計画書、監視測定日程などが含まれる」と説明するだけで、監査要点としての意味を説明していない。いずれにせよ、このa)項は、確立された品質マネジメントの業務体系、つまり、関連業務の手順と用意された資源が、狙いの顧客満足の実現の観点で適切であるかどうかの判断を行なうべきことの規定であり、その判断の視点が3つの監査要点として具体的に示されていると考えるとよい。
   
@ 品質マネジメントシステムが、個別製品の実現の計画に適合しているか
  主
語の「品質マネジメントシステム」とは、組織の実際の品質マネジメントの業務体系を指し、組織が品質マネジメントのために整えた手はずであり、定められている手順や用意されている資源のことである。「個別製品の実現の計画に適合しているか」は、「7.1参照」が付されていることに着目したJISの意訳である。 英原文は“planned arrangement”であり、通常は「計画された取決め」と和訳されている。 規格では業務の手はずを整えることが「計画する(planning)」であり、「計画された取り決め(planned arrangement)」とはこの整えられた手はずのことである。 規格は、品質マネジメントシステムを構成する諸業務の内の直接的に製品実現に係わる諸業務を7章にまとめ、7.1項でそれら業務の手はずに関する要件を規定している。これに基づいて整えられた製品実現業務の手はずが「計画された取り決め(7.1参照)」である。 この手はずにおいて使用することが決められている要員、設備や文書の管理、或いは、プロセスと製品の監視測定の在り方などは7章以外に記述されているから、規格の条項構成上ではそれらの手はずは品質マネジメントシステムに属する。 つまり条文の意図は、組織の実際の品質マネジメントの手はずが、製品実現の手はずの必要を満たしたものであるかどうか、例えば、製品実現で使用する設備(7.1 b)項)が必要な能力を有するものであることを確実にする手はず(6.3 b)項)が整えられているかどうか、ということであると理解することができる。
 
A 品質マネジメントシステムが、この規格の要求事項に適合しているか
  顧客満足向上を図るために順守する必要のある業務規範である。組織が確立し、それに基づいて業務を実行している実際の品質マネジメントの手はずが、ISO9001規格の各要求事項に適合しているかどうか、という意味である。
 
B 品質マネジメントシステムが、組織が決めた品質マネジメントシステム要求事項に適合しているか
 
「組織が決めた品質マネジメントシステムの要求事項」とは、ISO9001に規定があるか否かを問わず、組織の事業の性質や過去の体験など独自の理由から顧客満足向上を図るために必要な事項として組織内で明確になっている事項のことである。これら事項は、手順書等において考え方とか基準などの形で明確にされていなければならず、実際の品質マネジメントの業務の手はずがこれを満たしていることが必要である。狙いの顧客満足の実現の可否の判定には、実際の品質マネジメントの手はずが、規格の定める必要事項だけでなく、組織が独自に必要と考える事項をも満たしたものとなっているかどうかを評価することが必要である。
品質マネジメントシステムを確立する
 
(3) 品質マネジメントシステムが、効果的に実施され、維持されているか  [ b)項]
  品質マネジメントの諸業務が整えられた手はずに則って実行され、手はずの手順や資源に問題があれば適宜、適切に正されているかどうかということである。 規格では「効果的に実施する」とは、所定の結果が出るように業務を行なうことを意味する。 論理上、所定の手順に則って業務を実行すれば所定の結果が得られるから、「効果的に実施され、維持されている」とは所定の結果が得られていることを意味する。 所定の結果が得られるかどうかは、手順を硬直的に守るだけの形式的な業務実行ではなく、要員が所定の結果を出すことを自らの責任として認識し、手順の意図に沿って業務を実行しているかどうかに依る。
 
(4) 組織は、監査の対象となるプロセス及び領域の状態と重要性、並びにこれまでの監査結果を考慮して、監査プログラムを策定しなければならない。 [第2節 第1文]
  「監査プログラム」は、内部監査を効果的、効率的に行なうための全体計画である(140h)。 品質マネジメントの内部監査は品質マネジメントのすべての業務が対象であるが、監査対象によって監査を行なうのに適したそれぞれの時期があるし、すべての対象を一度に監査するのは内部監査員の動員上も困難で、組織の事業活動に支障をきたしたりする。 内部監査は一般に、業務別や部門別、拠点別、或いは、プロジェクト単位に分け、適切な時期を選んで実行される。「監査プログラム」は実務的には、それぞれの個別監査の狙いと日程、担当監査チームなど大枠を示す予定表である。本項(4)と次の(5)(6)は、監査の実行に関する要件を監査プログラム に関係する要件の形で規定している。
 
  本項(4)は、監査プログラムの策定に係わる リスク アプローチ の必要を規定している。 規格執筆者のひとりは、リスク アプローチ という言葉は用いてはいないが、例えば高率の苦情など問題のある製品実現の業務を特定し、それら業務について他より深い調査を行なうべきである(21ah)と、リスク アプローチ が規格の意図であることを明確にしている。効果的、効率的な監査活動であるためには、監査の大枠を計画する場合、どの監査対象にも一律の監査時間を配分するのでなく、その時点において狙いの顧客満足の実現に影響の大きい、或いは、狙いを逸脱する恐れの大きい業務や部門、拠点に重点をおいて、時間を配分し、適切な内部監査員をあてることが必要である。
 
@ プロセスと領域の重要性
  「プロセスと領域の重要性」とは、その業務又は部門、拠点、製品分野など監査対象が狙いの顧客満足の達成に果たす機能や役割の大きさである。 例えば、不良品を生み出し、或いは、顧客に引渡すことに直接関係する業務やその担当部門に対する監査には、一般に最も多くの時間と広く深い調査が必要である。 製造及びサービス提供に係わる部門や製品の品質に係わる管理部門が監査対象の中心でなければならず、これらには過半から大部分の監査時間を充てることがあってもよい。
 
A プロセスと領域の状態
  「プロセスと領域の状態」とは、当該時点又は期間における特殊な状況や情勢に照らしての顧客満足の狙いの達成への影響の大きさのことを意味している。 例えば、戦略新商品・サービスの開発や市場投入、特定主要設備の稼働、新営業拠点の立上げなどの時期には、それらに関係する業務や部門、拠点の監査は普段より詳しい或いは普段と異なる監査要点の適用が必要になる。また、苦情受理件数が目標を上回っているとか、特定の製品実現の工程に問題を抱えているなどの事情があれば、そこにも監査の目を強めることが必要である。予定されている拠点や設備、商品・サービス の更新の直前の拠点や部門、業務を監査することは意味がない。 また、年度の一定の時期にしか行なわれない業務については、自ずと監査実施すべき適切な時期がある。
 
B これまでの監査結果
  過去に問題指摘の多い業務や部門には指摘の少ない業務や部門より詳細に監査を行なうのが合理的であり、前回に大きな問題があったなら、その対策の実施状況の確認にも時間を掛ける必要がある。
 
(5) 監査の基準、範囲、頻度及び方法を規定しなければならない   [第2節 第2文]
  監査プログラム では、それぞれの個別監査について、「監査基準」「監査の範囲」「監査頻度」「監査方法」を明らかにしていなければならない。これらは、監査プロプラムを記述する文書や個別監査の計画書ではなく、内部監査の手順書に規定してもよい。
「監査基準」は、収集した監査証拠をこれに照らして判断する適合か不適合かの合否判定基準のことであり(140c)、それぞれの監査要点に対応して決められなければならない。 品質マネジメントの内部監査では、ISO9001規格の要求事項、品質マニュアルや各手順書の記述、品質方針や品質目標の記述などが「監査基準」となる。
 
  「監査の頻度」は特定の「監査プログラム」の中で同じ監査対象の監査を複数回繰り返す場合の頻度である。「監査プログラム」の各個別監査が必ず2度以上実行されなければならないという意味ではなく、業務の効果的実行を確実にするためにどの程度の頻度で監査しなければならないかという問題である。 マネジメントのサイクルの中間に中間的な マネジメントレビュー を行い、その評価項目に内部監査結果を必要とする組織では、中間及び最終のそれぞれの マネジメントレビュー に情報を提供できるように複数回の個別監査を行なうことが必要になることもある。また、大きな変更が予定される部門や業務は、変更前に準備状況、変更後に業務実行状況をそれぞれ監査することが効果的であることもある。
 
  「方法」は、最終会議など関連事項を含む監査の時間割、監査員の配置など個別監査の実行の詳細のことと考えればよい。 事業現場の視察を行なうか、面談を職場で行なうか、関係者の集合を求めるかなどの監査の方法についても必要なら明らかにするとよい。
 
(6) 監査員の選定及び監査の実施においては、監査プロセスの客観性及び公平性を確保しなければならない [第2節 第3文]
  内部監査員は トップマネジメントに代わって組織内の業務実行状況を調査するのであり、その活動や判断は客観的で、公正な、正しいものでなければならない。 同じ状況の中で監査が行なわれる限りは、監査員が異なっても同じ監査結論となることが必要である。 監査の結論の客観性、公平性を確保するには、監査員は、倫理的行動、公正な報告、職業専門家としての正当な注意、監査対象からの独立性、証拠に基づくアプローチ の5原則を順守しなければならない(140g)。 このことは、内部監査員の場合は、監査員としての職務遂行力の確保(6.2.1項)と監査員の適切な指名によって実現が図られる。個々の監査への内部監査員の指名に当たっては、監査対象の部門や人々又はその業務実行とに何らの利害関係を有さない者を選定することが必要である。
 
(7) 監査員は自らの仕事は監査してはならない [第2節 第4文]
  小規模な組織では、監査対象の部門や人々又はその業務実行に何の利害関係を有さない内部監査員を選定し指名することは実際問題として困難である。 管理者が自らの責任範囲の部門や業務の監査を行なうこともやむを得ない場合もある。 しかし、せめて自分自身が手を下す業務については監査しないようにしなければならない。
 
(8) 監査の計画及び実施、記録の作成及び結果の報告に関する責任、並びに要求事項を規定するために、“文書化された手順”を確立しなければならない。 [第3節]
  品質マネジメントシステムの内部監査の手順を確立し、文書化しなければならない。 これにはそれぞれの責任者を含む次の手順が含まれていなければならない。
 
@ 内部監査の実行管理の責任者の決定
A 「監査プログラム」、個別監査の監査計画書の策定を含む、監査活動の計画の手順
B チェックリストを含む、監査実行の手順
C 監査所見と監査結論のまとめ方、被監査側との合意形成を含む、監査の結果を取り扱う手順
D 監査報告書を含む、監査結果の報告の手順
E 監査の指摘への対応の決定を含む、監査後活動の手順
F 何を残すかを含む、記録の維持の手順
 
  これら手順は、文書の管理(4.2.3項 )、記録の管理(4.2.4項)、是正処置の実施と管理(8.5.2項)、要員の職務遂行力の管理(6.2.1項)に含めることもよい。また、トップマネジメントへの報告の方法は、マネジメントレビューの手順(5.6項)に含めるのもよい。
 
(9) 監査及びその結果の記録は、維持しなければならない。 [第4節]
  監査及びその結果の記録は、上記(8)の手順に従って維持しなければならない。記録は、次の監査の計画の策定時に参照される。
 
(10) 監査された領域に責任をもつ管理者は、検出された不適合及びその原因を除去するために遅滞なく、必要な修正及び是正すべてがとられることを確実にしなければならない [第5節 第1文]
  内部監査員によって指摘された不適合を処理するのは、監査された領域に責任をもつ管理者である。 指摘された不適合が、品質マネジメントの目標である狙いの顧客満足の実現に支障を来す恐れがあれば、或いは、顧客の評価や信頼に深刻な打撃を与えかねない不良品や品質事故の発生させる懸念があれば、遅滞なく問題を解決する必要がある。
 
  JIS和訳の「〜を除去するために、遅滞なく処置がとられる」は、原文では「〜を除去する処置が、遅滞なくとられる」$63である。 条文の主意は、問題解決の処置が「遅滞なくとられること」であり、この問題解決の処置として、発見された不適合を除去する修正処置#40と、不適合の原因を除去し再発を防止する「是正処置」#241とが挙げられている。
 
  組織の実務では、どのような修正処置や是正処置も、放置した場合の問題の大きさと処置に必要な費用との兼ね合いに基づいて決められる。 これを規格は、是正処置に関連して「不適合のもつ影響に見合うものでなければならない」と明確にしている。 また、実務では、原因の除去の困難な場合が多いから管理の強化で再発防止を図ることが少なくない。 内部監査の指摘の不適合の取り扱いについても同様であり、対応処置は不適合が品質マネジメントの狙いの顧客満足の実現に悪影響を及ぼす可能性と程度に見合うものでなければならない。 IAFの認証審査の指針でも、不適合が偶発的で再発の可能性の低い場合を引き合いにして、内部監査で検出されたすべての不適合に修正と是正処置を適用することは適切でないと明記されている(13)。 しかし、問題解決が必要と判断される場合には、必要な程度の処置が、予想される問題が起きる前に「遅滞なく」実行されなければならない。
 
(11) フォローアップには、とられた処置の検証及び検証結果の報告を含めなければならない   [第4節 第1文]
  「フォローアップ」の英文は“follow-up activities”であり、「監査後活動」の意味である$64。 ISO19011規格の監査の活動は、監査報告書の承認と配付によって完了し(140t)、監査の指摘に対応する活動は「審査後活動」である (140u)。 この「とられた処置」は、文末に「8.5.2参照」が付されているから、監査の指摘に対して被監査側がとった是正処置のことである。
 
  監査後活動は、指摘に対応する処置を決め、実行するだけでなく、それが効果的であるかどうかの検証を行い、その検証結果の記録を維持することを含んでいなければならない。この検証を行なうのが、指摘をした監査チームなのか、監査の実行管理の責任者なのか、或いは、検証のための特別の監査を実施するのか、次回の監査で検証を行なうのかなどにつては、内部監査の手順書の中の監査後活動の手順として決めておくことが必要である。なお、この「とられた処置の検証」は、8.5.2項ではf)項の「是正処置のレビュー*」に相当する。 被監査側は、当該処置の有効性については可能な方法で検証しておかなければならず(8.5.2 e)項)、その記録を監査後活動での検証に対して提出しなければならない
 
 
 
H27.3.10
禁無断転載  (個人的使用のための複写歓迎)
サニーヒルズ コンサルタント事務所