言わずもがなですが、ISOマネジメントシステム認証審査では、「適合の証拠」を収集することが、現地審査に訪問した審査員の基本的な役割です。
ISO17021-1:2015では、「審査証拠の収集」について、以下の要求があります。
(以下、規格から引用)
9.4.4 情報の入手及び検証
9.4.4.1 審査証拠となるように、審査中に、審査目的、審査範囲及び審査基準に関する情報(機能間、活動間及びプロセス間のインタフェースに関連する情報を含む。)を適切なサンプリングによって入手し、検証しなければならない。
9.4.4.2 情報の入手方法には、次を含めなければならないが、これに限定するものではない。
a) 面談
b) プロセス及び活動の観察
c) 文書及び記録のレビュー
(規格の引用ここまで)
ISOマネジメントシステム認証に関わっている人なら「常識」ですが、現在、マネジメントシステムの監査は「リスクベースアプローチ」です。
ちなみに、「リスクベースアプローチ」と対照的なアプローチは、「ルールベースアプローチ」です。
私がマネジメントシステム審査に関わり始めた1990年代前半の多くの審査員は、「ルールベースアプローチ」でした。
当時、それは当然で、マネジメントシステム規格で、「○○を文書化すること」と規定しているのですから、審査員は、ある業務プロセスの文書化や文書に沿った活動を実施しているか、検証することが仕事でした。
しかし、「リスクベースアプローチ」になってからは、審査員は、「リスクを起点にて、効果的、かつ効率的に目的目標を達成しているか」を確認するようになり、「組織の手順書の確認」は、「組織が必要と判断したもの」をちらっと確認する審査スタイルに変りました。
つまり、マネジメントシステム規格自体から、規範的な要求事項が減り、組織は“リスクに基づく考え方”を実践し、組織が自らの製品・サービスやプロセス等に潜むリスク(目的達成に対する不確実さ)を検討して、組織にとっての最善策を自分で決める」ことになったので、審査では、それを確認するのが主体になったのです。
ただし、印象論ですが、「組織が規定した手順書の必要性、有効性」という観点では、審査員の検証は減ったように思います。
審査証拠の収集は、規格に規定されているように「面談(インタビュー、聞き取り)」、「プロセス及び活動の観察」、「文書及び記録のレビュー」ですが、現状は、「聞き取りと記録のレビュー」が主体です。
要は、「効率的、効果的、有効性が損なわれている組織の規定類」(例:この規定は本当に必要なの?このようなルールでいいの?)があったとしても、その検証は、マネジメントシステム審査の中では、あまり行われないように思います。
(※ 自分を変える“気づき”ロジカル・シンキングのススメ メルマガ839号より)
【好評発売中!】
『事例で学ぶコンプライアンスⅠ』(トータルEメディア出版)
『できるビジネスマンのマネジメント本』(玄武書房)
https://www.amazon.co.jp/dp/4909566066/
【よかったらメルマガ読者登録お願いします♪】↓
(パソコンでアクセスしている方)
http://www.mag2.com/m/0000218071.html
(携帯でアクセスしている方)
http://mobile.mag2.com/mm/0000218071.html
Twitter:https://twitter.com/ariga9001