ISO 19011:2018 主な変更点と影響
2018年7月、マネジメントシステム監査の計画、実施及び報告に関する指針を提供する ISO 19011が改訂され、『ISO 19011:2018 Guidelines for auditing management systems (マネジメントシステム監査のための指針)』として発行されました。この記事では、今回の改訂では何が考慮されたのか、主な変更点は何か、監査に関わる人々にとってどのような影響があるのかを概観します。
CQI|IRCAとISO 19011
マネジメントシステム監査員の評価登録、監査員及びマネジメントシステムやクオリティに関わる幅広い要員の力量やトレーニングの基準に関する専門機関であるCQI|IRCA は、ISO19011改訂の担当プロジェクト委員会、PC 302のリエゾンAの組織として、最初の委員会草案 (CD) 作成の段階から、規格策定プロセスのすべての段階の委員会総会に参加し、本規格改訂に深く関わってきました。この間、CQI|IRCAのウェブサイトに設置したコメント募集のツールを通じて、IRCA登録審査員/監査員を含むCQI|IRCAの登録メンバーから120ものコメントが寄せられ、CQI|IRCAはこれらのコメントを委員会に挙げ、その多くは委員会により採用されました。CQI|IRCAは本改訂においてもっとも多くのコメントを提出した組織でした。
今回の規格改訂により、監査員は、組織のビジネスの戦略的方向性を見据え、リスクに基づく視点に立つことにより、組織から頼りにされる存在となる方向へ一歩踏み出したとCQI|IRCAは考えています。
なお、ISO 19011は第一者監査 (内部監査)と第二者監査 (例えばサプライヤー監査) を主たる対象としており、第三者認証審査については、別途ISO 17021-1に審査の要求事項が定められています。ただし、ISO 19011は序文において、ISO 19011は第三者認証審査に対しても、追加的な手引を提供し得るとしています。
>> CQI|IRCAのテクニカルレポート 『ISO 19011:2018 国際規格を理解する』
ISO 19011改訂で考慮されたことと主な変更点
ISO 19011の第1版が発行されたのは2002年でした。これは品質マネジメントシステムと環境マネジメントシステムの監査のみが対象の規格でした。その時点で発行されているISO マネジメントシステム規格はこの2つだけだったからです。その後、2011年の最初の改訂時までに、さまざまな分野を対象とするマネジメントシステム (MS) 規格が多数策定されました。このため、2011年版ではさまざまなMS監査のための汎用的な指針へと大きく姿を替え、附属書Aとして「分野に固有の監査員の知識及び技能に関する手引及び例」も追加されました。
ISOによる2011年版の見直しは2015年10月に始まり、2016年4月、新プロジェクトとして承認され、改訂の作業が始まりましたました。2011年版発行から5年の間に、テクノロジーの驚異的な進歩、さらに数を増したMS規格とそれによる混乱への対応として策定された附属書SL、グローバル化するサプライチェーン、世界をリードする企業におけるガバナンスをめぐるさまざまな問題の発覚など、マネジメントシステム監査を取り巻く状況は大きく変わりました。今回の改訂では、ISO 9001、ISO 14001、ISO 22000、ISO 45001、ISO 27001をはじめとする附属書SL準拠の規格への対応、複数の分野のマネジメントシステムを包含するマネジメントシステム及びその監査への対応、また、テクノロジーの進歩による監査活動の変化 (例えばICTを使用した遠隔監査) や監査される活動/情報の変化 (例えばテレワーキング、あるいは電子化された文書/記録類) などへの対応が考慮されました。
上記は、監査プログラムや監査の方法についてだけでなく、監査プログラムマネジャーや監査員を含む関連の要員の力量要件においても考慮されています (例えば、監査プログラムをマネジメントする人には今後 ICT、プロジェクトマネジメント、リスクマネジメント、プロセスマネジメントの知識/技能が必要としています)。
規格のまえがきでは、2011年版からの主な変更点として以下を挙げています。
- 監査の原則に7つ目の原則として「リスクに基づくアプローチ」の追加
- 監査プログラムのリスクを含む、監査プログラムのマネジメントに関する手引の拡充
- 監査計画の策定をはじめとする監査の実施に関する手引の拡充
- 監査員に要求される共通の力量要件の拡充
- 成果物 (例えば計画書) ではなく、プロセス (計画の策定) を重視するための用語の調整
- 分野 (例えば品質、環境、情報セキュリティなど) に固有の監査員の知識及び技能に関する手引 (旧附属書A) の削除
- 新しい概念 (例えば、組織の状況、リーダーシップ及びコミットメント、仮想監査、コンプライアンス、サプライチェーンなど) の監査に関する手引の追加 (旧附属書 B → 新しい附属書A)
なお、2011年版の附属書A『分野固有の監査員の知識及び技能に関する手引』に関しては、有用であるということを委員会としては認めていたにもかかわらず、対応しなければならないマネジメントシステムの数の大幅な増加もあり、今後、それが陳腐化しないように、すべてを更新し続けていくことはだれの手にも余ると判断され、その結果、今回規格から削除されたとのことです。
MS 規格への附属書SLの導入とISO 19011
今回の改訂の目的の1つに附属書SL準拠の規格への対応があります。附属書 SLが導入されるまでのMS規格の世界では、規格ごとに異なる用語と定義、同じようでありながら、微妙に異なる要求事項が混在していました。しかし、それでは、こちらの分野の要求事項を満たそうとすると、あちらの分野の要求事項が満たせないといったことが起こりかねません。ビジネスのマネジメントにおいては、品質だけ、あるいは環境だけに対応するということはありません。現に、複数のマネジメントシステムを並行して運用、あるいは統合して運用する組織がますます増えてきています。
そこで、MS規格に共通の枠組み (HLS=high level structure 上位構造と訳されていますが、全体的な構成ということです)、共通の用語と定義、共通の本文を提供する附属書SLが策定されたのです。2018年現在、ISO 9001やISO 14001といった主要規格をはじめとして、多くのMS規格が附属書SL準拠のものへと改訂されたり、附属書SLに準拠して策定されています (例えばISO 45001)。
ISO 19011そのものはMS規格ではないため、附属書SLに規定された共通の枠組みと共通の本文は採用されていませんが、ISO 19011全体を通して附属書SL準拠の規格が考慮されています。
具体的なところでは:
- 附属書SL準拠のMS規格に合わせて用語と定義が追加/改訂された
- 7つ目の監査の原則として、「リスクに基づくアプローチ」が明記された
- 組織の状況 (context) を監査するための手引が追加された (附属書 A)
- リーダーシップとコミットメントを監査するための手引が追加された (附属書 A)
- リスク及び機会を監査するための手引が追加された (附属書 A)
などがあります。
附属書SLでは、組織のマネジメントシステムと組織の戦略的方向性との整合が要求されています。つまり、監査員は組織の製品及びサービス、オペレーションの現場の知識だけではなく、組織の戦略的方向性や組織のビジネスを理解し、これについて経営層と議論をするだけの知識と力量を備えている必要があるということになります。
ISO 19011:2018が与える影響
ISO 19011は要求事項ではなく、ガイダンス規格です。したがって、組織は必ずしも監査のやり方を変えることを要求されているわけではありません。
しかし、組織は、自分たちの監査に関するアプローチを見直し、この規格に含まれる手引を活用することによって、監査プロセスをより効果的にし、より力量のある監査員を育成することができるとCQI|IRCA は考えています。
例えば、今回、監査プログラムをマネジメントする人の役割が大きく変わり、力量要件に根本的な変更がありました。監査プログラムをマネジメントする人は、組織の状況 (context) を検討し、被監査組織の内部及び外部の課題と利害関係者の要求事項を理解しなければなりません。そして、リスクに基づくアプローチ (7番目の監査の原則)を採用し、ハイリスクの分野、あるいはパフォーマンスに問題があるところに焦点を当てることを確実にしなければなりません。また、監査プログラムを監視し、監査プログラムの目的を達成するために、必要な場合、変更や改善を行わなければなりません。このため、監査プログラムをマネジメントする人には、プロジェクトマネジメント、リスクマネジメント、プロセスマネジメントに関する力量が求められるのです。
また、ISO 19011:2018 のもたらした重要な変更の1つに、監査証拠の定義の変更があります。これまでは、監査証拠は「検証できる情報」でしたが、2018年版では、「ある程度検証の対象となり得る情報」、つまり、グレーゾーンの情報までが監査証拠になり得るとされています (6.4.7)。監査員は、特に附属書SL に準拠する規格を監査する際には、監査証拠にどの程度信頼を置くことができるかを専門家として判断 (附属書Aに手引があります)をしなければならなくなります。
監査チームリーダーには、監査を効率的、かつ効果的に実施するのに役立つ必要な力量だけでなく、被監査組織のトップマネジメントと戦略的な事項を協議する力量が要求されます。また、監査チーム内に協力的な業務関係を構築し、チーム内の問題に対処するためのリーダーシップを発揮する必要があります。さらに、情報通信技術 (ICT) を理解し、適用することができなければなりません。
ISO 19011:2018 から、監査プログラムの目的の設定はトップマネジメントから、監査依頼者に移っています。監査プログラムの目的は戦略目標と整合したものであることが重要です。また、監査依頼人は、監査プログラムが効果的に実施されていることを確認する必要があります。
このように、ISO 19011 には今回の改訂でさまざまな新しい概念や手引が導入されました。しかし、ISO 19011:2018にも、当然のことながら、まだ不十分な点が多くあります。特に監査の特定のトピックに関する手引を提供する附属書Aの中には、まだまだ実用的とは言えない手引もあります (例えばサプライチェーンの監査に関する手引)。
とはいえ、ISO 19011はすべてのマネジメントシステムの有効な監査のために有用な枠組みを与えるものとして、あらゆる組織に役立つものであり、CQI|IRCA の審査員/監査員トレーニングコースと審査員/監査員登録スキームの根幹をなす非常に重要な規格であることは間違いありません。
なお、IRCA 登録審査員/監査員の方は日本語版と英語版を無料で閲覧/ダウンロードいただけます(ログインが必要です)。