QMSの大誤解はここから始まる 第13回 ISO登録維持のための年中行事として、内部監査とマネジメントレビューをちゃんと継続してやっています。 (2018-1-8)
2018.01.05
新年、あけましておめでとうございます。
今年も毎週記事のアップを続けていきたいと考えております。どうぞ宜しくお願い致します。
さて、早速ですが新年の1回目は、引き続き現在の「大誤解」シリーズの第13回目、
『ISO登録維持のための年中行事として、内部監査とマネジメントレビューをちゃんと継続してやっています』
というテーマでお届けします。
それではどうぞ。
*****************************
表題の誤解は、認証維持以外には全く役に立たない形骸化したISOの典型です。まずは、「役に立たない内部監査の典型」から紹介しましょう。
-現場、現物を見ることなく文書を中心に会議室のような場所でやっている。
-文書記録で稀に記録の不備などを見つける程度のアウトプットである。
-監査プログラムは策定していないので、監査スケジュールは、いつも(毎年)同じ内容である。
-監査チェックリストはあるが、研修機関の初歩的な教材みたいなものをいつも使ってチェック欄に☑を付けて終わっている。
-以上のような状況なので、内部監査チームは特段の準備は行ってない。
-経営者は、内部監査はISO維持の活動としか認識していないので、監査のアウトプットには期待していない。
ざっと考えただけで、以上のようなことが挙げられますが、QMSの改善に寄与するようなものはなく、これでは何の付加価値も生まれません。
次にマネジメントレビューについてですが、1年に1回の経営者が係るイベントとして、ISO年中行事として定着している組織が少なくありません。
ISO9001のマネジメントレビューへのインプット項目は、内部監査を始め経営者の役割責任を全うするために必要な、自組織のQMSの現状認識のための情報であり、それらの多くは日常的に行われている活動と考えますが、これらの活動がマネジメントレビューというISO用語になった途端に、事業プロセスから乖離したISO認証維持だけの活動となってしまっているようです。
以上のように、形骸化した内部監査とマネジメントレビューでは、“内部監査は審査で不適合をもらわないための予行演習”と考え、認証維持のために「内部監査とマネジメントレビューのセット」を毎年の審査日程の前に行って画一的な記録を準備するというところに留まってしまっています。
これでは、品質マネジメントシステム(QMS)を活用した事業プロセスの改善に寄与することは到底できません。
このテーマでは、この誤解を解くために、内部監査とマネジメントレビューの意義を再認識し、それらの実施方法について具体的なヒントを提供したいと思います。
内部監査とマネジメントレビューは、組織のQMSのプロセスが有効に機能しているかどうかを判断するうえで、ISO9001品質マネジメントシステムのPDCAのCとAにあたる重要なプロセスです。
組織のマネジメントプロセスに位置づけられ、経営者が最も注目すべきものです。
これら二つのプロセスが有効に機能することにより、経営者の正しい判断が導けるのです。
内部監査とマネジメントレビューをISO9001認証維持だけのためと考えるのではなく、重要な経営ツールと位置付けて、組織のマネジメントシステムに取り込み、運用することでISO9001:2015の箇条5.リーダーシップの要求事項となった、事業プロセスとQMSの統合が実現可能となるのです。
1.内部監査について
内部監査が提供する付加価値として、次のようなものがあります。
・リスクの検出により問題の顕在化⇒有効な是正・予防処置
・改善の機会を特定⇒QMSの改善
・有効な監査アウトプット(監査結論)⇒マネジメントレビューへのインプットとなり的確なトップ判断
「内部監査のプロセス」として考え、効果的なアウトプット(監査結果)を導くためには戦略的な計画に基づいて行うことが必要です。
・監査プログラムの重要性
内部監査の計画(PLAN)として、監査プログラムがあります。
これは監査日程、時間、場所(被監査部門)、監査員名などを決めた単なる監査計画(監査スケジュール)とは違うものです。
この監査プログラムが監査の質を決めると言って過言ではありません。
監査プログラムの定義は、ISO9000:2015 の3.13.4 で“特定の目的に向けた、決められた期間内で実行するように計画された一連の監査”とあります。
そしてISO9001:2015の内部監査の要求事項である9.2.2 a)では“頻度、方法、責任、計画要求事項及び報告を含む、監査プログラムの計画、確立、及び維持。監査プログラムは、関連するプロセスの重要性、組織に影響を及ぼす変更、及び前回までの監査の結果を考慮に入れなければならない”とあります。
そうです!監査プログラムはいつも同じでは意味がないということに気づいたと思います。
いつも同じプログラムではなく、その時の組織のQMSの状況から、重点志向で監査プログラムを策定することなのです。
事例を使って説明しましょう。
例えば、新製品が立ち上がったと想定してください。
この新製品は新しい設計、最新の製造プロセスで製造され、失敗の許されない戦略的な製品です。
組織にとって、この新製品を品質不具合なく顧客に提供することが当面の最優先課題です。
そこで、今度の内部監査プログラムは「新製品××の製品実現プロセス」を対象にすることに決定しました。
その新製品の顧客関連プロセス、設計・開発プロセス、購買プロセス、製造プロセス、検査プロセスなどの一連の製品実現のプロセスが対象になります。
この監査の対象プロセス、対象部門、監査基準(顧客、組織の基準類)、監査員(個々のプロセスにおいて力量が認められた監査員の選定)、監査日程、予算、完了報告などの一連の活動が監査プログラムの中味になるのです。
異なる例をもう一つ、購入部品の納入品質に問題が多く、それが原因で受入れ検査パフォーマンス、製造工程等に支障が起こっている状況が続いているとします。
次の内部監査は、この機会をとらえて外部提供品に関してISO9001の8.4項を中心とした購買プロセス(サプライヤの選定プロセス、監視プロセス、評価プロセスなど)を重点的な監査プログラムに設定するのも良いかも知れません。
8.4購買プロセスに関連しての支援プロセスであるISO9001の箇条7の要員力量管理プロセスやコミュニケーションなど、更に、第2者監査などもこの監査プログラムの中に含めれば組織のサプライヤ管理プロセスが効果的に検証できて問題ある領域が顕在化し、改善の機会を提供できると考えられます。
このように関連するプロセスの重要性、組織に影響を及ぼす変更、を考慮すれば、時宜を得た課題で監査プログラムを策定することになり、いつも同じパターンのISO9001の逐条的で形骸的な内部監査にはならないのです。
監査プログラムは、その時の組織の状況により色々な監査プログラムが考えられますが、目的別には次のような分類もできます。
-適合性確認型(例:法規制適合、規格適合、例えば、ISO9001に基づくQMSを構築したばかりの組織であれば、すべてのISO9001の要求事項への適合を確認する目的から、多少逐条的でもいいでしょう)
-リスク発掘型(例:製品品質リスク、組織変更リスク、サプライヤ変更リスクなど、潜在的なリスクを発掘するため、特に変化点に対応して計画する)
-課題顕在化型(例:クレーム低減など慢性的な問題の原因を顕在化させる)
-システム改善パフォーマンス向上型(例:品質目標の展開・達成状況など組織全体を通してPDCAを検証)
このように重点志向で、認証周期に合わせて3年サイクルで全ての規格要求事項に関連するプロセスの監査プログラムを策定すれば、実効のある内部監査が実現できるのです。
・監査準備とチェックリスト
監査プログラムが決定したら、内部監査の対象にしたプロセスに関する準備作業が必要です。
監査対象プロセスで使用されている基準、手順の理解を始め、以前の監査(内部、外部)の結果、プロセスのパフォーマンスに関する最新情報の収集。
そして、それらをインプットとして監査のためのチェックリストを作成することが効果的な結果を得るために重要です。
・内部監査において
監査基準に適合していることを実証できる監査証拠(客観的証拠ともいう)を得る方法として、適切なサンプリング注1)により、以下のような方法で情報を入手して検証します。
-関係者(責任者、作業者を始めとした要員など)との面談(質問と聞き取り)
-現場、現物(プロセスが実行されている場所)の観察
-文書・記録のレビュー
注1) 監査で、すべての活動や記録などを見ることは出来ません。
そこで重要なのがサンプリングです。
監査するプロセスを代表する内容であること、そして仮説をたてることがポイントです。
それは“これがうまくいっていれば、そのプロセスが適切に維持されているであろう”という観点から、最も条件の悪い事例や問題のありそうな案件を選定(サンプリング)するのがコツです。
サンプリング計画はできれば監査準備の中で行うのが効率的です。
プロセスアプローチの内部監査では、プロセスの実施状況とアウトプットを検証することが最も大事です。
即ち文書・記録だけの確認でなく、プロセスが実行されている現場で関係者への質問を含めて現物と現実(事実)を見ることが大事なのです。
アウトプットを検証する事例として、現場における作業者の観察で、作業手順が守られていない状況が発見されたら、その作業の結果として、当該の製品に問題が発生していないかどうかということが最も重要なことです。
これがプロセスのアウトプットの検証という事です。
2.マネジメントレビューについて
ISO9000シリーズで、“経営者による見直し”、“マネジメントレビュー”という言葉が登場して久しいですが、この本来の意義が何であるか正しく理解されず、審査において相変わらず規格の要求事項通りの「マネジメントレビューへのインプット」と「マネジメントレビューからのアウトプット」の1年1回の項目一覧表を作成して示している組織を見かけます。
先ずは、マネジメントレビューは、1年に1回やるものという誤解を解く必要があります。
普通の会社なら、経営者は規格の「マネジメントレビューへのインプット」にあるような事項については1年に1回とかではなく、日常的な事業活動の中で随時報告を受けていると思います。
多くは、会議体(品質会議、経営会議、部門長会議など)で、またはトップが単独で報告を受け経営上の判断することもあると思います。
これがマネジメントレビューの原形です。
日常的に行われているこのような、経営者による活動を、例えば月次マネジメントレビューとして位置づけ、1年に1、2回というくくりで、年間または半年を総括レビューとして次期の組織のQMS計画に盛り込んでゆく仕組みにすると、まさに事業プロセスとQMSとの統合が実現できます。
重要なことは、マネジメントレビューのインプットになる情報の信頼性を、そのプロセスの責任部門が的確にアウトプットすること。
そして経営者によるレビュー結果のアウトプット(指示事項等)が組織の活動に落とし込まれること。
それらの活動のPDCAが監視され、次回のレビューで報告(インプット)、評価(アウトプット)されることです。
これこそが望ましいQMSのPDCAとなるのです。
(長谷川 武英)