9.2 内部監査
9.2.1 一般
組織は、XXXマネジメントシステムが次の状況にあるか否かに関する情報を提供するために、あらかじめ定めた間隔で内部監査を実施しなければならない。
a)次の事項に適合している。
-XXXマネジメントシステムに関して、組織自体が規定した要求事項
-この規格の要求事項
b)有効に実施され維持されている。
解説:
9.2.1では、内部監査の基本的な考え方を規定しています。いくつかキーワードの説明をします。
①情報
情報の定義は「意味のあるデータ」です。ポイントは、だれにとって意味のあるデータか・・・です。通常、内部監査は監査依頼者の指示で行いますので、監査依頼者にとって「意味のあるデータ」と捉えるのが自然です。監査依頼者はトップマネジメントなどの経営層である場合が多いです。
内部監査員は、経営層にとって「意味あるデータ(情報)」を提供する必要があります。
経営層にとって価値のない情報提供をしないよう、経営層の意図をくみ取って内部監査をする必要があるため、経営層の代行として内部監査をするべきと言われています。
②あらかじめ定めた間隔(planned intervals)
定期的(regulatory)に内部監査をすることは求められていません。
定期的という用語は、強制力をもつため法令等で定められている場合に使うことが多いです。
したがって厳格な運用が求められます。
他方、あらかじめ定めた間隔は、自主的に頻度を決定して実行するという意味あいが強いです。
柔軟な運用ができるのが特徴です。例えば、繁忙期が重なったため内部監査の時期を少しずらすといった対応が可能です。
③適合
組織自体が規定した要求事項への適合と、規格要求事項の適合の2種類の適合を評価することが要求されています。組織自体が規定した要求事項とは、自社で定めたルールです。具体的にはXXXマニュアル、各種規定、手順書、標準類です。組織の定めたルールを守っているかどうかの確認です。
要求事項への適合は、要求事項が求めている文書化した情報(文書・記録)の有無の確認がメイン
になります。なぜならならば、ISOを認証している場合、要求事項を満たしたマネジメントシステム
が構築され、運用されていることを審査機関が毎年確認しているからです。要求事項のモヤっとした内容はプロの審査員に任せ、内部監査では現物確認にフォーカスするのがよいです。
④有効に実施され、維持されている
XXXマネジメントシステムが、実際に機能していてるか、継続的にブラッシュアップしているか
という意味です。形式的な運用、硬直的な運用になっていないかの確認です。
※メルマガで配信したコラムを修正・加筆したものです