ISO情報

内部監査とマネジメントレビューに関する質問100選 質問79〜82

Q79 : 共通テキストには、今までにない利害関係者のニーズと期待である要求事項を決定しなければならない問要求事項がありますが、内部監査ではどのように監査すればよいですか?

A79:箇条4.2に次の要求があります。
「組織は,次の事項を決定しなければならない。- XXXマネジメントシステムに関連する利害関係者、- それらの利害関係者の,関連する要求事項」
組織は自分一人では生きていけません。必ずいろいろな関係者との連携から社会に存在していけます。最初に「XXXマネジメントシステムに関係する利害関係者」を決めることを要求し、その次に「利害関係者の,関連するニーズ及び期待(すなわち,要求事項)」を決めさせようとしている意図は、社会に存在する関係者、すなわち利害関係者からの要求事項にはできるだけの配慮が必須であるという意図です。
内部監査では、この意図が明確にみえることを確認するとよいでしょう。

Q80 : 箇条4.3に出てくる境界及び適用可能性について教えてください。

A80:箇条4.3には「XXXマネジメントシステムの適用範囲を定めるため、その境界及び適用可能性を決定しなければならない」という要求事項があります。その中に境界、適用可能性という用語が出てきますが、境界とは組織図における境界、すなわち部門と部門を分ける分課分掌を意味します。そのほか、物理的に組織の敷地の境界もあれば、共同倉庫のラックの境界もあり得ます。XXXマネジメントシステムの効力の及ぶ範囲を明確にする一つの手段が境界というわけですが、もう一つ適用可能性も範囲を明確にする手段です。適用可能性は規格の要求事項を組織に適用できるかできないかを意味します。
 あるプロセスあるいは部門には適用できるが他のプロセス、部門には適用できないということもありますし、組織すべてに適用できないということもあり得ます。
ただ、組織は自身の都合で、境界や適用可能性を決めることはできません。規格は、適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。として次の3点を上げています。

  • - 4.1に規定する外部及び内部の課題
  • - 4.2に規定する要求事項 ー製品及びサービス

XXXマネジメントシステムの適用範囲は,文書化した情報として利用可能な状態にしておかなければならないという要求もありますので、内部監査では以上のことを参考にしてください。

Q81:ISO9001:2015には、プロセスアプローチに関しての要求があると聞きますが、内部監査では何を確認すればよいのでしょうか?

A81:9001の序文0.1に、プロセスアプローチの概念は、「Plan-Do-Check-Act(PDCA)サイクル」という概念と「リスクに基づく考え方」という概念を組み込んだものであると記述されているように,9001の3つの概念の内で最とも上位にあるものがプロセスアプローチの概念です。
そして、序文0.3.1には、プロセスアプローチの採用に不可欠と考えられる特定の要求事項が4.4 に規定されているということから、内部監査においては4.4.1の規定を確認することがよいと思います。以下がその確認すべき事項です。

  • ① 組織が決めたQMSに必要なプロセス
  • ② これらのプロセスに必要なインプット
  • ③ これらのプロセスから期待されるアウトプット
  • ④ これらのプロセスの順序及び相互作用
  • ⑤ これらのプロセスの効果的な運用及び管理を確実にするために必要な判断基準
  • ⑥ これらのプロセスの効果的な運用及び管理を確実にするために必要な方法
  • ⑦ これらのプロセスの効果的な運用及び管理を確実にするために必要な監視,測定及び関連するパフォーマンス指標
  • ⑧ これらのプロセスに必要な資源
  • ⑨ 必要な資源の利用
  • ⑩ これらのプロセスに関する責任及び権限
  • ⑪ リスク及び機会への取り組み
  • ⑫ これらのプロセスの評価
  • ⑬ これらのプロセスの意図した結果の達成を確実にするために必要な変更
  • ⑭ これらのプロセス及び品質マネジメントシステムの改善
  • ⑮ プロセスの運用を支援するための規定文書
  • ⑯ プロセスが計画どおりに実施されたと確信するための記録

プロセスアプローチについて内部監査で確認すべきことは、このように沢山あります。①~⑯までを確認すれば、9001の要求事項の8割くらいは確認したことになります。
なぜ、8割も確認したことになるのかは紙面が限られていますのでまた次の機会にしたいと思います。

Q82:共通テキストのプロセスの定義には、インプット及びアウトプットという用語が出てきますが、内部監査ではどのように扱うのですか?

A82:共通テキスト箇条3.12プロセスの定義は、「インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動」となっており、ご質問のインプットとアウトプットが出てきます。
 組織を事業経営というプロセスの塊と捉えると、インプットは顧客からの要求であり、アウトプットは顧客へ納入する組織の成果物です。事業経営というプロセスは大きすぎて管理できませんので、日常的に従業員が管理する対象にまで細分化しなければなりません。どんな大きさまで細分化すればよいのかは組織の状態、例えば規模、扱っている製品・サービス、従業員の力量などによって異なり、組織が決めなければなりません。共通テキスト箇条4.4で「組織は、この規格の要求事項に従って、必要なプロセス及びそれらの相互作用を含む、XXXマネジメントシステムを確立し、実施し、維持し、かつ、継続的に改善しなければならない」と要求している「必要なプロセス」は、まさに従業員が管理できる大きさにまで細分化されていることが必要です。
 内部監査では、まずXXXマネジメントシステムに必要なプロセスを確認し、それぞれのプロセスに関してのインプットとアウトプットが適切に決められているのかをチェックします。

関連コース
内部監査員2日間コースとして、下記のコースがございます。併せてご覧ください。
【品質】ISO 9001内部監査員2日間コース
【環境】ISO 14001内部監査員2日間コース
【情報セキュリティ】ISO/IEC 27001内部監査員2日間コース
【労働安全衛生】ISO45001対応 労働安全衛生内部監査員2日間コース
【食品】ISO 22000:2018年版対応 ISO 22000 内部監査員2日間コース

内部監査員スキルアップコース(1日)コースはこちらをご覧ください
【品質】ISO 9001:2015対応内部監査員スキルアップコース(1日)
【環境】ISO 14001内部監査員スキルアップ1日コース
【情報セキュリティ】内部監査スキルアップコース