附属書ＳＬとJIS Q 19011（ISO 19011）
マネジメントシステム規格の共通化

マネジメントシステム規格の共通化

ISO 9001、ISO 14001、ISO 22000、ISO 45001、ISO 27001など、マネジメントシステム（以下ＭＳ）に関する多数のＩＳＯ規格があり、それぞれ、規格適合性への管理基準（要求事項）や監査基準（適合性認定制度）が策定されています。
　これらの規格は個別に策定されてきたため、それらの要求事項の間には、異なる用語や定義の違いなどが生じ、複数のＭＳを実践したり適合性の認証を受けたりするときに矛盾が生じることもありました。

これを解決するために、多くのＭＳ規格を包含して、共通の基準を策定する動きが進んでいます。特定の技術や業種を対象としたＭＳ規格の共通化は困難ですが、ビジネス系のＭＳでは類似点が多くあります。その部分をなるべく共通化しようとするものです。
　　・附属書ＳＬ（Annex SL）：要求事項の構成と用語定義の共通化
　　・JIS Q 19011（ISO 19011）：内部監査の共通化への指針

附属書ＳＬ（Annex SL）

参照：ISO/TMB/TAG対応国内委員会「Annex SL（ＭＳＳ上位構造、共通の中核となるテキスト及び共通用語・中核となる定義）和文テンプレート」（ https://webdesk.jsa.or.jp/pdf/dev/md_4947.pdf）

主として規格の要求事項の共通化です。ＩＳＯでの共通化委員会の報告の附属書として策定されました（「ＳＬ」は単なる番号です）。附属書ＳＬのさらにAppendix2として「ＩＳＯ共通テキスト文書」が規定されています。

ＭＳ規格に関する規定ですから、読者対象は、一般企業のＭＳ推進者よりも、ＭＳ規格の策定者やＭＳ監査者を対象にしています。しかし、これを理解することは、個々のＭＳ規格を理解するのに効果が高いので、ＭＳ推進者にも役立ちます。

構成の共通化

ＩＳＯ共通テキスト文書は、次の構成になっています。ＭＳ規格は、この構成で記述することとされています。
　個々のＭＳ規格で、独自の内容にするときは、「4.3 品質マネジメントシステムの～」や「6.2 環境目的及び～」のように XXX（ＭＳ名）を付けることにより共通と混同しないようにします。

• 序文
• 1．適用範囲
• 2．引用規格
• 3．用語及び定義
  3.3要求事項（requirement）、3.4 マネジメントシステム（management system）、3.9 リスク（risk）、3.17 監査（audit）、3.21 継続的改善（continual improvement）など
• 4．組織の状況
  4.1 組織及びその状況の理解、4.2 利害関係者のニーズ及び期待の理解、4.3 XXXマネジメントシステムの適用範囲の決定、4.4 XXXマネジメントシステム
• 5．リーダーシップ
  5.1 リーダーシップ及びコミットメント、5.2 方針、5.3 役割，責任及び権限
• 6．計画
  6.1 リスク及び機会への取組み、6.2 XXX目的及びそれを達成するための計画策定
• 7．支援
  7.1 資源、7.2 力量、7.3 認識、7.4 コミュニケーション、7.5 文書化した情報
• 8．運用
  8.1 運用の計画及び管理
• 9．パフォーマンス評価
  9.1 監視，測定，分析及び評価、9.2 内部監査、9.3 マネジメントレビュー
• 10．改善
  10.1 不適合及び是正処置、10.2 継続的改善

用語の共通化

ＭＳ規格で用いる用語は、「3．用語及び定義」で示した用語を定義した意味であることとしています。異なる用語や定義にするときは、「情報セキュリティ目的」のように「XXX」を付けることが望ましいとしています。
　以下、いくつかの用語と定義を示します。

• 3.4 マネジメントシステム（management system）
  方針及び目的（又は目標），並びにその目的（又は目標）を達成するためのプロセスを確立するための，相互に関連する又は相互に作用する，組織の一連の要素。
  
  • 注記１　一つのマネジメントシステムは，例えば，品質マネジメント，財務マネジメント，環境マネジメントなど，単一又は複数の分野を取り扱うことができる。
  • 注記２　マネジメントシステムの要素は，目的（又は目標）を達成するための，組織の構造，役割及び責任，計画策定，運用，方針，慣行，規則，信条，目的（又は目標），並びにプロセスを確立する。
  • 注記３　マネジメントシステムの適用範囲としては，組織全体，組織内の固有で特定された機能，組織内の固有で特定された部門，複数の組織の集まりを横断する一つ又は複数の機能，などがあり得る。
• 3.9 リスク（risk）
  不確かさの影響。
  
  • 注記１　影響とは，期待されていることから，好ましい方向又は好ましくない方向に乖離することをいう。
  • 注記２　不確かさとは，事象，その結果又はその起こりやすさに関する，情報，理解又は知識に，たとえ部分的にでも不備がある状態をいう。
  • 注記３　リスクは，起こり得る“事象”及び“結果”，又はこれらの組合せについて述べることによって，その特徴を示すことが多い。
  • 注記４　リスクは，ある事象（その周辺状況の変化を含む。）の結果とその発生の“起こりやすさ”との組合せとして表現されることが多い。
• 3.12 プロセス（process）
  インプットをアウトプットに変換する，相互に関連する又は相互に作用する一連の活動。

ＩＳＯ共通テキスト文書の内容

「4．組織の状況」～「10．改善」においては、小項目での共通な要求事項の骨格を示すとともに、必要に応じて「規格作成者への注記」として、XXXで追加や変更をするときの留意事項も示しています。

JIS Q 19011:2019（ISO 19011:2018）
マネジメントシステム監査のための指針

参照：kikakurui.com「JIS Q 19011:2019」（ https://kikakurui.com/q/Q19011-2019-01.htmlt ）

監査のタイプ

監査は、監査組織と非監査組織の関係から次のように区分できます。

• 第一者監査
  監査組織と非監査組織が同じ。すなわち内部監査です。
• 第二者監査
  親会社、購買元、委託元などが自らの要求事項への適合性を検証するために子会社や供給者などを監査することです。
• 第三者監査
  
  • 法的監査
    会計監査などのように、法令や規制などに基づく監査です。
  • 認証審査／認定監査
    ＭＳ規格適合性認証制度などの審査・認定の監査です。

ISO 19011の目的

多くのＭＳ規格は、規格適合性の認証制度などの監査基準がありますが、内部監査に関しては不十分なことが指摘されていました。ISO 19011 は、多様なＭＳ規格の第一者監査と第二者監査を主な対象にして、共通化を進めるための指針です。用語の定義を含む、監査の実施方法や監査員に関する事項を解説する内容になっています。

ISO 19011 は、指針（ガイドライン）です。一般のＭＳ規格のように要求事項を網羅したものではなく、共通的な監査について原則、ＭＳとしての取組み、監査の進め方、監査人の力量などについて基本的な事項を掲げたものです。
　主に内部監査を行うときの、監査部門や非監査部門が認識すべきガイドラインだといえます。

JIS Q 19011:2019 の構成

• 序文
• 1 適用範囲
• 2 引用規格
• 3 用語及び定義
• 4 監査の原則
• 5 監査プログラムのマネジメント
  5.1 一般 5.2 監査プログラムの目的の確立 5.3 監査プログラムのリスク及び機会の決定及び評価 5.4 監査プログラムの確立 5.5 監査プログラムの実施 5.6 監査プログラムの監視 5.7 監査プログラムのレビュー及び改善
• 6 監査の実施
  6.1 一般 6.2 監査の開始 6.3 監査活動の準備 6.4 監査活動の実施 6.5 監査報告書の作成及び配付 6.6 監査の完了 6.7 監査のフォローアップの実施
• 7 監査員の力量及び評価
  7.1 一般 7.2 監査員の力量の決定 7.3 監査員の評価基準の確立 7.4 監査員の適切な評価方法の選択 7.5 監査員の評価の実施 7.6 監査員の力量の維持及び向上
• 附属書A（参考）監査を計画及び実施する監査員に対する追加の手引

３　用語及び定義

「マネジメントシステム」や「リスク」など多数の用語が定義されていますが、原則として附属書ＳＬと同じです。ここでは監査に関係するものを掲げます。

監査（audit）と監査の種類

監査基準が満たされている程度を判定するために，客観的証拠を収集し，それを客観的に評価するための，体系的で，独立し，文書化したプロセス。

• 注記１　内部監査は，第一者監査と呼ばれることもあり，その組織自体又は代理人によって行われる。
• 注記２　外部監査には，一般的に第二者監査及び第三者監査と呼ばれるものが含まれる。第二者監査は，顧客など，その組織に利害をもつ者又はその代理人によって行われる。第三者監査は，適合に関する認証・登録を提供する機関又は政府機関のような，独立した監査組織によって行われる。

• 複合監査（combined audit）
  一つの被監査者（3.13）において，複数のマネジメントシステムを同時に監査すること。複数の分野固有のマネジメントシステムを単一のマネジメントシステムに統合する場合，これは統合マネジメントシステムと呼ばれる。
• 合同監査（joint audit）
  複数の監査する組織が一つの被監査者を監査すること。

監査手続用語の定義

• 要求事項（requirement）
  明示されている，通常暗黙のうちに了解されている又は義務として要求されている，ニーズ又は期待。
  
  • 注記１　 “通常暗黙のうちに了解されている”とは，対象となるニーズ又は期待が暗黙のうちに了解されていることが，組織及び利害関係者にとって慣習又は慣行であることを意味する。
  • 注記２　規定要求事項とは，例えば，文書化した情報の中で明示されている要求事項をいう。
• 監査基準（audit criteria）
  客観的証拠と比較する基準として用いる一連の要求事項。
  
  • 注記１　 監査基準が法的（法令・規制を含む。）要求事項である場合，監査所見において“順守”又は“不順守”の用語がしばしば用いられる。
  • 注記２　要求事項には，方針，手順，作業指示，法的要求事項，契約上の義務などを含んでもよい。
• 客観的証拠（objective evidence）
  あるものの存在又は真実を裏付けるデータ。
  
  • 注記１　客観的証拠は，観察，測定，試験又はその他の手段によって得ることができる。
  • 注記２　監査のための客観的証拠は，一般に，監査基準に関連し，かつ，検証できる，記録，事実の記述又はその他の情報から成る。
• 監査証拠（audit evidence）
  監査基準に関連し，かつ，検証できる，記録，事実の記述又はその他の情報。
• 監査所見（audit findings）
  収集された監査証拠を，監査基準に対して評価した結果。
  
  • 注記１　監査所見は，適合又は不適合を示す。
  • 注記２　監査所見は，リスク若しくは改善の機会の特定，又は優れた実践事例の記録を導き得る。
  • 注記３　監査基準が法令要求事項又は規制要求事項から選択される場合，監査所見は“順守”又は“不順守”と呼ばれる。
• 監査結論（audit conclusion）
  監査目的及び全ての監査所見を考慮した上での，監査の結論。

「４　監査の原則」～「７　監査員の力量及び評価」

４　監査の原則

互いに独立して監査を行ったとしても同じような状況に置かれれば，どの監査員も同じような結論に達することができるようにするための原則として、次の７原則を示しています。

• 高潔さ：専門家であることの基礎
• 公正な報告：ありのままに，かつ，正確に報告する義務
• 専門家としての正当な注意：監査の際の広範な注意及び判断
• 機密保持：情報のセキュリティ
• 独立性：監査の公平性及び監査結論の客観性の基礎
• 証拠に基づくアプローチ：体系的な監査プロセスにおいて，信頼性及び再現性のある監査結論に到達するための合理的な方法
• リスクに基づくアプローチ：リスク及び機会を考慮する監査アプローチ

５　監査プログラムのマネジメント

監査プログラム（audit programme）とは、特定の目的に向けた、決められた期間内で実行するように計画された一連の監査であり、監査を計画し、手配し、実施するのに必要な活動の全てを含みます。
　この章では、監査プログラムの管理に関する手引を提供し、並びに監査プログラムを管理する責任の割当て、監査プログラムの目的の決定、監査活動の調整及び監査チームへの十分な資源の提供といった課題を取扱っています。

マネジメントシステムですから、プロセスアプローチによりＰＤＣＡサイクルが構成されます。
監査プログラムの管理のためのプロセスフローを示します。

６　監査の実施

監査チームの選定を含めて、品質及び／または環境マネジメントシステム監査の実施に関する手引です。

• 監査の開始
  監査チームリーダーの指名→監査の目的、範囲及び基準の明確化→監査の実施可能性の判定→監査チームの選定→被監査者との最初の連絡
• 文書レビューの実施
• 現地監査活動の準備
  監査計画の作成→監査チームへの作業の割当て→作業文書の作成
• 現地監査活動の実施
  初回会議の開催→監査中の連絡→案内役及びオブザーバの役割及び責任→情報の収集及び検証→監査所見の作成→監査結論の作成→最終会議の開催
  （右図：情報収集から監査結論に至るまでのプロセスの概要）
• 監査報告書の作成、承認及び配付
  監査報告書の作成→監査報告書の承認及び配付
• 監査の完了
• 監査のフォローアップの実施

７　監査員の力量及び評価

ISO 19011 では、内部監査も対象にしているので、認証監査の監査員のような専門家ではなく、企業内から選ばれた監査員になることがあります。そのため、監査員に必要な力量に関する手引を提供し、監査員の評価プロセスを示しています。なお、力量（competence）とは、実証された個人的特質、並びに知識及び技能を適用するための実証された能力です。

• 個人的特質
  監査の原則に従って行動できる特質であり、次の特質を挙げています。
  
  • 倫理的である。すなわち、公正である、信用できる、誠実である、正直である、そして分別がある。
  • 心が広い。すなわち、別の考え方または視点を進んで考慮する。
  • 外交的である。すなわち、目的を達成するように人と上手に接する。
  • 観察力がある。すなわち、物理的な周囲の状況及び活動を積極的に意識する。
  • 知覚が鋭い。すなわち、状況を直感的に認知し、理解できる。
  • 適応性がある。すなわち、異なる状況に容易に合わせる。
  • 粘り強い。すなわち、根気があり、目的の達成に集中する。
  • 決断力がある。すなわち、論理的な思考及び分析に基づいて、時宜を得た結論に到達する。
  • 自立的である。すなわち、他人と効果的なやり取りをしながらも独立して行動し、役割を果たす。
• 知識及び技能
  各ＭＳ分野に共通する事項として、次の知識及び技能を挙げています。
  
  • 監査の原則、手順及び技法
  • マネジメントシステム及び基準文書
  • 組織の状況
  • 当該分野に適用される法律、規制及びその他の要求事項
  監査チームリーダーには、さらに次の知識及び技能を求めています。
  
  • 監査の計画を策定し、監査中に資源を効果的に活用する。
  • 監査依頼者及び被監査者との連絡では監査チームを代表する。
  • 監査チームメンバーを取りまとめ、指揮する。
  • 訓練中の監査員を指揮及び指導する。
  • 監査チームを統率して、監査結論を導き出す。
  • 種々の衝突を防ぎ、解決する。
  • 監査報告書を作成し、完成する。