2025年10月17日
目次
Close
「内部監査や是正処置で失敗してしまうのでは…」
このような不安をお持ちではないでしょうか。
ISOの運用において、内部監査と是正処置は組織の信頼性を高めるうえで欠かせないプロセスです。
しかし、監査の進め方や不適合への対応を正しく理解しないまま進めてしまうと、表面的なチェックや応急処置で終わってしまい、同じ問題を繰り返してしまうリスクがあります。
本コラムでは、内部監査の基本的な考え方から、不適合を正しく判断するポイント、そして是正処置を効果的に進めるための「5つのステップ」まで、体系的に解説します。
最後までお読みいただくことで、内部監査と是正処置を「義務」ではなく「組織改善のチャンス」として活用できるようになり、再発防止と継続的改善につなげる第一歩を踏み出していただけます。
1.ISO内部監査の基本を理解する
(1)内部監査の目的と役割
ISOの内部監査は、単なる欠点探しではなく、組織のマネジメントシステムがISO規格の要求事項を満たし、効果的に機能しているかを確認し、継続的な改善を促すことを目的としています。
内部監査は「組織の健康診断」に例えられ、業務プロセスや仕組みに潜む問題点を見つけ、改善することで、組織全体のパフォーマンス向上を目指します。
具体的には、規格要求事項や社内規程、顧客要求、法令順守の適合状況を確認し、マネジメントシステムの有効性を評価して改善の機会を明確化します。また、リスクと機会への対応が計画通り運用され、成果(KPIや目標)が達成されているかを確かめる役割も担います。
さらに、内部監査は経営層へ実態と課題を客観的証拠に基づいて報告し、資源配分や方針見直しにつなげる重要な役割を果たします。日常業務に埋もれがちなばらつきやムダ、属人化を可視化し、是正処置や予防措置の起点となることも狙いの一つです。
ただし、内部監査は“問題探し”ではなく、要求事項への適合性と有効性の確認を主眼に置くことが重要です。また、形骸化を防ぐため、年1回の形式的な実施にとどまらず、リスクの高いプロセスに重点を置いた監査計画を立てることが求められます。
(2)内部監査と外部審査(=認証審査)の違い
内部監査と外部審査はよく混同されますが、明確な違いがあります。
- 内部監査
- 組織の従業員(または外部のコンサルタント)が自己点検として実施します。目的は組織の改善です。
- 外部審査
- 外部審査=認証審査です。認証機関の審査員が客観的な視点で実施します。目的はISO認証の維持または取得です。
外部審査は「試験」のようなもので、内部監査は「予習」や「模擬試験」と考えましょう。外部審査(=認証審査)で不適合を出さないためにも、内部監査で徹底的に自己点検し、是正処置を進めておくことが極めて重要です。
| 観点 | 内部監査 | 外部審査(=認証審査) |
| 目的 | 自社マネジメントシステムの適合性・有効性確認と改善 | 認証の維持・更新の可否判断 |
| 重点 | 会社の目標達成、リスク対応、業務改善 | 規格要求への適合確認 |
| 柔軟性 | 高い(重点プロセスへ配分可) | 限定的(審査プログラムに従う) |
| 成果物 | 不適合・観察事項・改善提案、是正処置要求 | 不適合・観察事項、是正処置要求 |
| 価値 | 自社の経営課題に直結する示唆 | 認証の客観的裏付け |
(3)監査で確認すべきことは「監査基準」と「客観的証拠」の関係
内部監査では、「監査基準」と「客観的証拠」を照らし合わせることが大切です。
監査基準
ISO規格の要求事項、組織の規程やマニュアル、手順書、法規、契約・顧客要求、目標・KPI、リスク対応計画など、「何が正しい状態か」を示すルール。
客観的証拠
記録、データ、帳票、ログ、画面、品物、会話の事実、観察結果など、「実際に何が起こっているか」を示す再現可能で検証可能な事実。
これらを基に、基準と実際の運用状況を比較し、不適合があれば指摘します。不適合の指摘は、必ず「客観的証拠に基づいているか」が問われます。
良い監査質問の例
- 「○○手順書第3章では〜と定めていますね。そのとおりに実施された事例をご提示いただけますか?」
- 「対象期間△△の記録(××ログ、△△帳票、発注書No.……)を拝見してもよろしいですか?」
- 「このプロセスにおけるリスク対応計画はどのように実施されていますか?」
- 「この記録は、どのような基準に基づいて作成されたものですか?」
監査では、基準と証拠の合致/不一致を淡々と判定することが求められます。曖昧な表現(例:多分、だいたい etc.)は避け、具体的な事実に基づいて評価を行うことが大切です。
2.是正処置で失敗しないための実務ポイント
是正処置の目的は「再発防止」です。同じ問題が二度と起こらないよう、根本原因を突き止め、効果的な対策を講じることが重要です。そのためには、適合・不適合の正しい判断基準を理解し、適切に対応する必要があります。
(1)適合・不適合の正しい判断基準
不適合の定義
- 不適合(Non-Conformity)
- 監査基準に対して、実施状況が満たしていない事実があり、客観的証拠で裏付けられる状態。
例:「手順書通りに作業が行われていない」
「必要な記録が残されていない」
- 観察事項(Opportunity for Improvement)
- 監査基準を満たしているものの、改善の余地があると判断される状態。不適合ではないが、将来的なリスクを指摘。
例:「記録は取れているが、フォーマットが手書きで読みにくい」
「データ入力の手順が複雑でミスを誘発しやすい」
NG判断例
- 「○○さんは忙しそうで手が回っていない」→主観で不適合にしない。
- 「前も聞いた気がする」→証拠や再現性がない。
判定チェック(監査員用)
- 基準は明確か(条項/文書名/版数/適用範囲)。
- 事実は観察・記録・データで証明できるか。
- 単発か継続か(期間・件数)。
- 影響の範囲(安全/品質/セキュリティ/納期/コスト/法令/顧客)。
- 再発リスク(原因の恒常性・管理の弱点)。
判断のポイント
いきなり不適合とするのではなく、まずは「なぜこの状態になっているか」を関係者にヒアリングし、事実関係を明確にすることが大切です。不適合の指摘は、感情や憶測を排除し、客観的な事実に基づいて行いましょう。
(2)是正処置の正しい進め方:5つのステップ
是正処置の目的は「再発防止」であり、根本原因を特定し、効果的な対策を講じることが重要です。以下の5つのステップで進めることで、是正処置を確実に実施できます。
①問題の特定と不適合の記録
不適合を特定し、具体的な内容を記録します。記録には以下を含めると効果的です。
- 基準
- どの規格や手順に違反しているか(例:文書管理手順 第4.2)。
- 事実
- 何が起きたか(例:記録の欠落、手順の逸脱)。
- 証拠
- 記録やデータ、観察結果など(例:対象期間の記録、サンプルNo.)。
- 影響
- 不適合が及ぼす範囲や重大度(例:顧客影響、法令違反)。
良い例
「文書管理手順(版A、4.2)に“承認後は改訂履歴に記載”とあるが、2025/07/01〜2025/07/31の改訂3件(DOC-20250701-01/…-03)に履歴記載がない。」
悪い例
「記録が不足している。」
②根本原因の徹底追究(「なぜ?」を繰り返す分析)
表面的な原因ではなく、真の根本原因を探るために「なぜ?」を繰り返します。
例:「文書改訂履歴の未記載」
- なぜ未記載? → 担当者が失念。
- なぜ失念? → 改訂フローで履歴記載が作業リストに無い。
- なぜ作業リストに無い? → 手順改訂時にチェックリストへ反映されなかった。
- なぜ反映されなかった? → 手順改訂のレビュー観点に“チェックリスト更新”が定義されていない。
- なぜ観点が無い? → 文書管理の「メタ手順(手順を改訂する手順)」が未整備。
- 根本原因
- 文書管理のメタ手順が欠如しているため、下位ツールへの反映が保証されない設計。
③効果的な是正処置計画の立案
根本原因に基づき、具体的な対策を立案します。計画には以下の要素を含めると効果的です。
- 具体性(Specific)
- 何を変えるか(例:メタ手順の新設、チェックリスト更新)。
- 測定可能性(Measurable)
- 成果指標(例:改訂案件の履歴記載率100%)。
- 実現可能性(Achievable)
- 実行可能な範囲で計画する。
- 関連性(Relevant)
- リスクや目標との関連性を明確にする。
- 期限(Time-bound)
- 実施期限を設定する(例:設計:◯/◯、試行:◯/◯、本番:◯/◯)。
④処置の実施と記録
計画に基づき、是正処置を実施し、記録を残します。記録には以下を含めます。
- 実施内容
- 新旧対照表、改訂通知、教育資料、出席表など。
- 変更管理
- 版数、適用開始日、過去記録の扱い。
- 周知活動
- 関係者への告知やトレーニング記録。
⑤有効性レビューで再発防止を確認する
是正処置の効果を確認し、再発防止が達成されているかを評価します。
確認方法
- サンプリング(例:直近30件の記録を確認)。
- トレンド評価(例:欠陥率、手戻り率)。
- 現場ヒアリング(例:運用負荷や抜け穴の有無)。
合否判定
- 有効
- 3か月連続で履歴記載率100%達成、教育テスト合格率95%以上。
- 未達
- 追加措置(例:チェックポイント強制化)を設定し、再レビューを実施。
是正処置は、単なる問題解決ではなく、組織全体の改善と成長につながる重要なプロセスです。適切な手順を踏むことで、再発防止と業務の効率化を実現できます。
3.ケーススタディ:失敗例と成功の秘訣
(1)「応急処置」で終わってしまう是正処置
失敗例
「製品の出荷検査記録に記入漏れが多い」という不適合に対し、「担当者全員で気を付けるように」と注意喚起するだけで終了してしまう。
なぜ失敗か
これは一時的な「応急処置」であり、根本原因(例:マニュアルの不備、教育不足)を解決していないため、再発のリスクが高い。
改善策
- チェックリストの必須化や承認時の自動バリデーションを導入。
- 教育・評価を含めた仕組み全体の見直しを行う。
不適合記述の具体例
×「次回から注意」
○「承認ワークフローに“改訂履歴未記入時は承認不可”の制御を追加し、テストケース#01〜#05で期待どおり動作を確認」
(2)「担当者任せ」で進まない是正処置
失敗例
是正処置を不適合を出した部署に丸投げし、進捗管理をしない。結果、現場で後回しにされ、完了が遅れる。
なぜ失敗か
是正処置は組織全体で取り組むべき活動であり、個人や部署に任せきりでは形骸化する。
成功アプローチ
- RACI(責任分担)の明文化と経営層の承認を得る。
- 部門横断のワーキンググループを設置し、進捗や障害を週次でレビュー。
- 阻害要因があれば管理層が迅速に除去する。
(3)成功の秘訣は「横展開」で組織全体を改善すること
成功例
「出荷検査記録の記入漏れ」という不適合の是正処置として、原因となった「マニュアルの改訂」と「再教育の実施」を他部署にも適用する。
なぜ成功か
同様の問題が他部署でも発生している可能性があるため、一つの不適合から得た学びを「横展開」することで、組織全体のプロセスを効率的に改善できる。
対応策
- 改善内容を共通テンプレートに反映し、標準化を進める。
- 影響分析を行い、対象部門をリスト化して適用計画を策定。
- 教育を実施し、有効性レビューを行う。
- 監査結果をナレッジ化(例:再発事例集、良い記述集 etc.)し、次回監査のチェック観点に組み込む。
これらの事例から、是正処置を単なる「応急処置」や「担当者任せ」で終わらせず、組織全体で取り組み、学びを横展開することが、継続的改善の鍵であることがわかります。
4.是正処置から予防・改善へ
(1)再発防止と予防的な取り組み
是正処置は、発生した問題への対応にとどまらず、再発防止や予防的な取り組みを通じて、組織全体のリスクを低減することが求められます。
- リスクの特定
- 内部監査や日常業務を通じて、将来的に不適合につながる可能性のあるリスクを洗い出します。
- 予防処置の実施
- 洗い出したリスクに対して、未然に防ぐための具体的な対策を講じます。
例:「新入社員が配属される部署では、初任者研修に監査基準の理解度テストを導入する」
- 教育と仕組み化
- 教育は役割別(管理者、実務担当者、新任者)に分け、理解度テストで記録を残します。また、ITを活用して必須入力や自動チェック、ログ監視などを仕組み化し、ヒューマンエラーを防ぎます。
予防チェックリスト(抜粋)
| 内容 | ✓ |
| 手順改訂時に関連ツール更新の観点がある | |
| 承認ゲートに自動チェックがある | |
| 重要記録はシステムで必須化されている | |
| 新任者向けオンボーディングに該当手順が含まれる | |
| KPIに逸脱率や再発率が定義されている |
(2)継続的改善につなげる方法
ISOマネジメントシステムの本質は、継続的改善(PDCAサイクル)を通じて、組織のプロセスを進化させることにあります。
PDCAサイクルの実践
- P (Plan)
- 監査計画を立てる
- D (Do)
- 監査を実施する
- C (Check)
- 是正処置の有効性を確認する
- A (Act)
- 監査結果や是正処置の学びを次期計画やマニュアル改訂に反映させる
データに基づく改善
内部監査から是正処置、有効性レビュー、マネジメントレビューまでのPDCAを“数字で回す”ことが重要です。
ダッシュボード例
- 不適合件数(重大/軽微)
- 再発率
- CAPA達成率
- 平均リードタイム
- 監査指摘から是正完了までの総日数
経営の意思決定
再発率が下がらない領域に対して、要員、IT、教育などの資源を重点的に投入します。
現場からの改善提案の活用
現場からの改善提案を監査で拾い上げ、小さな是正(Quick Win)を積み上げることで、組織全体の改善を促進します。
このように、是正処置を単なる問題解決にとどめず、予防や継続的改善に結びつけることで、組織のマネジメントシステムをより強固なものにしていくことが可能です。
5.まとめ
本コラムでは「ISO内部監査と是正処置で失敗しないための実務ポイント」を解説しました。要点をまとめておきましょう。
まず、内部監査について以下を解説しました。
- 内部監査は欠点探しではなく、マネジメントシステムの有効性確認と改善の起点である。
- 外部審査との違いを理解し、内部監査は「予習」として徹底することが重要。
- 監査基準と客観的証拠を照合し、事実に基づいて適合・不適合を判断する。
次に、是正処置の実務ポイントについて解説しました。
- 不適合は基準との不一致を客観的証拠で裏付けて判断する。
- 是正処置は「再発防止」が目的であり、5つのステップ(不適合記録 → 根本原因分析 → 計画 → 実施 → 有効性レビュー)を踏むことが不可欠。
さらに、ケーススタディを通じて以下を示しました。
- 「応急処置」や「担当者任せ」は失敗の典型例。
- 成功の秘訣は、改善策を横展開し、組織全体でプロセス改善に活かすこと。
最後に、是正処置を単なる対応で終わらせず、予防や継続的改善につなげる方法について解説しました。
- 再発防止の仕組み化や教育を強化する。
- データに基づいてPDCAを回し、マネジメントレビューに反映する。
- 現場からの改善提案を取り入れ、Quick Winを積み重ねる。
本コラムを参考に、内部監査と是正処置を単なる「義務」ではなく「組織を成長させる仕組み」として活用し、失敗しない実践につなげていただければ幸いです。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISO9001認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ