ニューノーマルに適応する: 第三者審査
CQP MCQIであり、PQMS とQMS のIRCA Lead AuditorであるDamien Tiller 氏は、業務受託会社(Service Organization)における内部統制保証報告やサイバーセキュリティに関する内部統制保証報告としての、SOC® Service Organizations: Trust Services Criteria Report を利用して、リモート監査に特有な課題を克服する方法を紹介しています。
多くの企業が、ベンダーの選定やデューデリジェンス監査をリモート監査に切り替えています。特にライフサイエンス業界では、今回、初めてリモート監査を実施する企業もあり、監査員自身もウェブ会議ツールを使った監査の難しさに慣れる必要がありました。しかし、世界各地に監査員を派遣する費用を考えると、新型コロナウイルス感染症を克服した後も、多くの企業がリモート監査を利用し続けるでしょう。
IRCAのLead Auditor である私の目から見て、現地を訪問することの利点のひとつは、ボディランゲージから読み取ったり、証拠を見つけるまでの時間で明らかになるストーリーや休憩所で耳にする内輪の話などの周辺情報が得られることです。
現地審査を回避する
2020年12月に開催された英国の医薬品医療製品規制庁 (Medicines and Healthcare Products regulatory Agency =MHRA) の「適正製造基準 (GMP) シンポジウム」で、規制当局の監査員がリモート監査への移行の際に課題に直面したことを認めました。規制庁のリモートでの査察に関するガイダンスは、現場での査察が不可能な場合、GxP組織がリモートで査察を実施することができるが、可能な限り、現場を査察し、フォローアップする必要があるというものでした。しかし、まだ現場監査/査察に戻れる段階ではありません。
企業の立場では、リスクを低減し、ベンダーの品質、コンプライアンス、情報セキュリティの実践について、よりよい知見を得る必要があります。これは、SOC® Service Organizations: Trust Services Criteria Reportのようなレポートを使うことで達成できる可能性があります。このレポートは、全部で200の条項をカバーしており、指摘された例外事項も詳細に記載されているので、より明確なベンダーのリスクプロファイルを作成するために使用することができます。SOC レポートは、補足的な現地監査を実施する必要がないことを正当化するのに十分な情報を提供してくれることが多いという点で、ISO認証よりも望ましいかもしれません。
デューデリジェンスのチェック
物理的な監査をすることが困難だという課題を緩和するには、デューデリジェンスの十分なチェックが適切に実施されたことを証明することができなければなりません。これは、ISOの認証などのサプライヤーのコンプライアンス文書の詳細なレビューと組み合わせて、リモート監査で行うことができます。しかし、リモート監査で見ることができるものには限界があり、対面での監査のほうがよりよいレベルの洞察を得ることができるため、ISO の証明書のレビューだけでは十分ではないというのがまだ衆目の一致するところです。
ベンダーを評価する際に、特にリモートで評価する場合には、どの証拠をレビューするかが非常に重要です。ISO 9001 (品質マネジメントシステム要求事項) やISO 27001 (情報セキュリティマネジメントシステム要求事項) などの認証は保証を提供するものですが、情報の透明性には限界があります。組織は、いくつかの軽微な指摘事項があっても認証を取得することができます。しかし、これらの指摘事項が評価者の許容できるリスクプロファイルを越えている可能性もあり、認証だけではこれを確認する方法はありません。このため、ISO 9001 などの認証だけで、リスクが十分に軽減されていることを規制当局に示すことができるかどうか、製薬企業は不安になるかもしれません。
SOC審査
もっと何かが必要だと、私は考えています。解決策として考えられるのは、プロバイダーのセットアップの方法、実装している管理策、あらゆる逸脱や例外事項を徹底的に詳述するものを使用することでしょう。SOC審査では、組織の管理とベストプラクティスに関する約200の側面を検査します。情報セキュリティ、データインテグリティ及び可用性に焦点を当てることで、ISO 9001と27001に適合するマネジメントシステムに関する十分な洞察が得られます。
サプライヤー評価の際にSOCレポートによって、より多くのリスクの低減が確認できる理由は、審査の実施スタイルにあると私は考えています。組織がSOCに準拠していることを示すためには、関連する管理策があることを示すだけでなく、その管理策が6か月から12か月の間、効果的に運用されていることを示さなければなりません。このような長期にわたる多面的な審査は、顧客が数年に1~2日現地監査を実施したとしても実行できることではありません。(SOC レポートでは) 審査員が段階的に調査した内容と、すべての観察事項の詳細を確認できるため、ほかの方法では見られない透明性が確保されます。組織がどのように運営されているかを深く理解することは、通常の業務運営に戻ったとしても、望ましいことです。
ISO認証には非常に限られた情報しかありませんが、SOCレポートには、監査しやすい形式で構造化された詳細が記載されています。独立した (SOCの) 審査員の報告書には、組織のリーダーの声明が含まれています。「サービスの内容」には、プロバイダーがどのように構成され、管理されているかが正確に記されています。さらに重要なのは、レポートには審査員が見た観察事項や例外事項が含まれていることであり、これらには真に透明性があります。
一部の規制機関からは、SOC審査は企業が費用を負担しているため、その有効性は不明であるという指摘がありますが、これはどのような認証や審査でも同じことが言えるのではないでしょうか。ISO の審査員にもサービスの対価が支払われます。多くの審査員は、契約開始前に費用の大部分を請求します。これは、よい審査や不利な記述がない報告書のためにお金を受け取っていると思われないようにするためのアプローチです。ある意味では、顧客が自分たちで評価を行うよりも独立した評価であると見做されるかもしれません。顧客がサプライヤー監査を行う場合、すでに優先しようとするサプライヤーが決定していることもあるかもしれません。その場合、思い込みやリスクの軽視につながるような無意識のバイアスがかかる可能性があります。そこにいくと、SOCの審査とレポートは管理体制が整っていますから、顧客企業からお金を得ているとはいえ、真に独立した企業の情報を提供するものであると言えるでしょう。
現地監査ができないと、組織のリスクプロファイルを正確に把握する能力が低下します。SOC – Service Organizations: Trust Services Criteriaの審査レポートの詳細な調査結果を利用することにより、これらの組織の透明性を高めることができます。SOCは、標準的なマネジメントシステム審査に匹敵するレベルの保証を提供します。また、監査対象となる記録や期間の範囲から、現地監査よりも優れた評価が得られると主張する人たちもいます。
SOC レポートについてのより詳細な情報はこちらから