【ISO19011：監査要員の育成 連載記事目次】

1. 監査の用語の定義

2. 監査に関連する規格・内容

3. 内部監査とは

4. 監査員の力量及び評価

5. マネジメントシステム監査員の共通的な知識及び技能

6. 監査員の適切な評価方法の選択

7. 監査プログラム

8. 監査プログラムの確立

9. 監査の実施、監査活動の準備

10.監査活動の実施

11.良い内部監査

監査員の力量はISO19011の箇条７「監査員の力量及び評価」がある。ISO審査員コースを受けても良いし、構築時のコンサルタントの指導を受けても良い。大事なことは、9.2内部監査のa)の1）“品質マネジメントシステムに関して、組織自体が規定した要求事項”の為の、マニュアル・手順書・仕様書又は製品・サービスを基準とした監査を行えるようにすることと考えている。今回は、連載で「監査要員の育成」について解説します。

【（その７）目次】

８．監査プログラム
8-1 内部監査のＰＤＣＡサイクル
8-2 内部監査のフロー図
8-3 監査プログラム（箇条5 監査プログラムのマネジメント）
8-4 監査プログラムのマネジメントの一般（箇条 5.1 一般）
8-5 (箇条5.2)監査プログラムの目的の確立
8-6 (箇条5.3)監査プログラムのリスク及び機会の決定及び評価

８．監査プログラム

8-1 内部監査のＰＤＣＡサイクル

ISO19011の表題は、「マネジメントシステム監査のための指針」であり、ISO規格の用語の定義を読むと、監査プログラムは次のように記載している。

“特定の目的に向けた、決められた期間内で実行するように計画された一連の監査。”

この規格の19011を読むと、箇条５は「監査プログラムのマネジメント」となっている。その「監査プログラムのマネジメント」のＰＤＣＡサイクルも回っている。

5.1一般、5.2監査プログラムの目的の確立、5.3監査プログラムのリスク及び機会の決定及び評価が、プラン（P)と考える。5.4監査プログラムの確立、5.5監査プログラムの実施は、Do（ドウ）と見える。5.6監査プログラムの監視がC（チェック）であり、5.7監査プログラムのレビュー及び改善の改善（Act）と判断できる。また、複数年にわたる監査を計画する、監査プログラムと行っている。

一方、箇条６では「監査の実施」がある。

当該の監査プログラムの監査の実施では、5.5監査プログラムの実施と、6.4監査活動の実施の違いがある。この違いは、年間の監査計画の実施と、定められた当日の監査計画と言える。そのように考えると、箇条７監査員の力量及び評価は、当日の監査を行う為の要員への力量について決まっている。

規格にいう「9.2内部監査」は、ISO19011の要求事項を考えて監査を行うことになっている。そしてその監査において、①各マネジメントシステムに関して、組織自体が規定した要求事項、③この国際規格の要求事項、及び③有効に実施され、維持されている、である。

内部監査において①及び②においては適合かが確認されている。難しいのが、③の有効に実施され維持されているかである。これには高い力量の監査員が、マネジメントシステムの成否に大きく影響している。

8-2 内部監査のフロー図

監査プログラムをフロー図にまとめてみた。

年間計画書　→　監査目的策定　→　監査案内　→　監査の実施　→　報告　→　マネジメントレビュー　→　経済状況の把握　⇒　次年間計画書に続く（PDCAサイクル・スパイラルアップ）

監査プログラムのフロー

8-3 監査プログラム（箇条5 監査プログラムのマネジメント）

箇条５には、次の項目がある。

　5 監査プログラムのマネジメント  
　　5.1 一般  
　　5.2 監査プログラムの目的の確立  
　　5.3 監査プログラムのリスク及び機会の決定及び評価  
　　5.4 監査プログラムの確立  
　　5.5 監査プログラムの実施  
　　5.6 監査プログラムの監視  
　　5.7 監査プログラムのレビュー及び改善

監査プログラムのマネジメントは、定めている用語の定義からこのように考える。監査プログラムのマネジメントは、「特定の目的に向けた、決められた期間内で実行するように計画された一連の監査に関する取決め」の、「組織を指揮し、管理するための調整された活動」である。

9.2内部監査では、特定の目的があり、例えば品質マネジメントシステムでは「1.適用範囲」で能力実証と顧客満足が規定されている。そして、品質マネジメントシステムの要求事項は、組織の事業目的の達成の為に策定されている。

8-4 監査プログラムのマネジメントの一般（箇条 5.1 一般）

監査プログラムは、一つ若しくは複数のマネジメントシステム規格又はその他の要求事項に対処し、単独で又は組み合わせて（複合監査）行う監査がある。また、監査プログラムの及ぶ領域は、被監査者の規模及び性質のほか、監査の対象となるマネジメントシステムの性質や機能性や複雑さ、リスク及び機会のタイプ並びに成熟度に基づいている。ホッとしたのは、「小規模の又はそれほど複雑でない組織の場合には、監査プログラムの規模は、適切に縮小できる」と見つけた時であろう。

監査プログラムは、決められた期間内で有効にかつ効率的に監査を行えるように、情報を含めて資源を特定する。そのような情報には，次の事項を含める。
 
a) 監査プログラムの目的 
b) 監査プログラムに付随するリスク及び機会（5.3参照）並びにそれらに対処する活動 
c) 監査プログラム内の各監査の範囲（及ぶ領域，境界及び場所） 
d) 監査のスケジュール（回数・期間・頻度） 
e) 監査のタイプ。例えば、第一者監査となる内部監査又は第二者監査のQMS 8.4の外部から提供されるプロセス、製品及びサービスの管理等での、ISO認証における監査や消防査察などの当局の査察等の外部監査 
f) 監査基準 
g) 採用する監査方法 
h) 監査チームメンバーの選定基準 
i) 関連する文書化した情報

8-5 (箇条5.2)監査プログラムの目的の確立

監査依頼者は、監査の計画策定及び実施を指示する。内部監査の場合の監査依頼者は、被監査者（監査を受ける人）又は監査プログラムをマネジメントする人でもあり得る。監査プログラムの目的は、監査依頼者の戦略的方向と整合し、その方針及び目的・目標を指示する。そのプログラムの目的は、組織全体又は組織内の固有で特定された機能、或は、組織内の固有で特定された部門並びに複数の組織の集まりを横断する一つ又は複数の機能等であり得る。

監査プログラムの目的の例には、次の事項を含み得る。
 
− 方針及び目的・目標、並びにその目的・目標を達成するための監査プロセスを確立するための監査プログラムの一連の要素、及びその監査パフォーマンスの改善の機会を特定する。 
− 被監査者が、自身の状況を明確にする能力を評価する。 
− リスク及び機会を決定し、それらに対処する有効な活動を特定し実施する、その被監査者の能力を評価する。 
− 全ての関連する要求事項、例えば法令・規制要求事項や、順守のコミットメント及びISO規格の認証に関する要求事項に適合する。 
− 外部提供者の能力における信頼を獲得し、維持する。 
− 被監査者のマネジメントシステムの、継続的な適切性や妥当性及び有効性を決定する。 
− マネジメントシステムの目的（又は目標）が、組織の戦略的方向と両立し、整合しているかを評価する。 

8-6 (箇条5.3)監査プログラムのリスク及び機会の決定及び評価

被監査者の状況に関係してリスク及び機会があり、それらは監査プログラムに付随している。そして、目的の達成に影響を及ぼし得る。監査プログラムをマネジメントする人は、監査プログラム及び資源に関する要求事項を策定す。その際に考慮されるリスク及び機会に適切に対処するために、それらを特定し、監査依頼者に対して提示する。
 
次の事項に付随するリスクがあり得る。
 
a) 計画の策定。例えば、関連する監査目的の設定における失敗並びに監査の及ぶ領域、回数、期間、場所及びスケジュールの決定における失敗。 
b) 資源。例えば、監査プログラムの策定又は監査の実施に十分な時間、機器及び／又は訓練を与えない。 
c) 監査チームの選定。例えば、監査を有効に行う全体としての力量が不十分である。 
d) コミュニケーション。例えば、外部・内部コミュニケーションのプロセス・手段が有効でない。 
e) 実施。例えば、監査プログラム内における調整が有効でない又は情報セキュリティ及び機密保持を考慮していない。 
f) 文書化した情報の管理。例えば、監査員及び関連する利害関係者が必要とする文書化した情報の決定が有効でなく、監査プログラムの有効性を実証するための監査記録の保護が十分でない。 
g) 監査プログラムの監視、レビュー及び改善。例えば、監査プログラムの成果が有効に監視されていない。 
h) 被監査者の参加可能性及び協力、並びにサンプリングする証拠の利用可能性 

次回は、8-7 (箇条5.4)監査プログラムの確立から解説します。