ISOのマネジメントシステムで必ず要求されるのは内部監査です。これを少なくとも年1回以上実施していないと重大な不適合になりかねません。認証を維持する組織は機能しているかどうかは別として監査は行っています。
ただ、その中身をみると残念なものが多く、非常に勿体ないと思う組織が多々あります。今回は、内部監査を機能させたい、レベルアップをしたい組織に是非お伝えしたい内容です。ご参考になれば幸いです。
内部監査の目的とは
ISOマネジメントシステムの内部監査は、システム監査です。構築した手順や基準をもとにそれらに従って活動がおこなわれているのかを確認し、そうでなければ不適合となります。そうすると改善の機会が得られることになります。
この「システムの改善の機会をつくること」が内部監査の目的です。ただ、殆どの組織がこの目的を理解しているのかはこれまでの審査からみてもはなはだ疑問です。
なぜ、改善の機会を求めているのか?これは、組織がマネジメントシステムの継続的改善をしていかないと成長しないことは明白です。全てのマネジメントシステムの規格でも要求されています。この事を理解せずに、「維持審査があるから実施している組織」又は「指摘が0であることが何年も続いているという組織」が少なからず存在します。
組織の成長にマネジメントシステムを活用すること。当たり前の事ですが、この事が浸透している組織は、有効な内部監査が出来ています。
有効な内部監査にするためには「組織の目的」を言語化すること
組織でなぜマネジメントシステムに取り組んだのかという事が共有されているでしょうか?「こういう事をするために」、もしくは「こうなりたいから」マネジメントシステムをやろうとしたんだと思いが当初あったと思います。(認証を取りたいからというのは論外です。)
先般ある企業の情報セキュリティの内部監査を支援しました。ここでは推進する事務局が監査の対象となりました。
事務局では、「全社員に情報セキュリティの重要性と情報セキュリティの事件・事故が発生した際のインパクトについて発信し、コミュニケーションを活発にし、それぞれの現場での自発的な取り組みを促進させる」という目的で取り組んでいましたが、中々情報セキュリティに対する認識が上がらない状況が続いていました。
内部監査は、その組織の目的が達成するシステムになっているかという観点で実施します。
「全社員への発信はどうなっているのか?」、「情報セキュリティの教育は誰に対してどのように実施しているのか?」、「トップマネジメントとの連携はうまくいっているのか?」というように聞いていくと、事務局の目的通りの運用が行われているのかどうかが明らかになり、改善点が見出されました。内部監査の目的である「改善の機会」を多く持つ事が出来ました。
その目的の実現に有効なシステムでないのであれば、その基準となる文書の改定や活動の変更にシフトしていかなければいけません。規格要求事項を満たしていることは前提ですが、掲げた目的が実現せず求める成果が得られていないのであれば、改善を進める手段として内部監査を活用すべきです。
一度この視点で監査をやってみませんか?トップと事務局の想いを共有する機会にもなります。まず目的を言語化してください。マネジメントシステムの4節の「組織の状況」には、「組織の目的に関連し、マネジメントシステムの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならない」と要求されています。
組織の目的がしっかり言語化しないと課題の特定が疎かになります。
あなたの組織は目的を言語化していますか?