監査でエラーを探していませんか?それは仕事ではない
~監査員に課された、たった二つの目的~
新人にいきなり「あなた、今日から監査員ね」と命じれば、十中八九その人はエラー探しに走るだろう。サイン漏れを発見し、計算ミスを指摘し、記載漏れを列挙して報告書に並べる。本人は仕事をしたつもりだ。だが、これは監査ではない。
ISO 13485 第8章は、内部監査の目的をたった二つに限定している。第一に、QMSが規制要求事項およびこの国際規格、組織が定めた品質マネジメントシステム要求事項に適合しているか否かの確認。第二に、QMSが効果的に実施され維持されているかの確認である。「エラーを探せ」とはどこにも書かれていない。
役割分担を明確にしよう。エラーを見つけるのはQC(品質管理)の仕事である。そのエラーが全て潰されたことを確認するのはQA(品質保証)の仕事である。そして監査員は、QC・QAを通過してなお残っているという事実そのものを問題にする。サイン漏れを「サインがない」と書くのではない。「QC・QAを通過してなおサイン漏れが残っている。すなわちQMSが有効に機能していない」と指摘するのである。
日本企業はこの構造を理解せず、QC・QA・監査の三段階で同じエラー探しを繰り返す。海外からは「日本人は三回チェックする」と揶揄されてきた。三回チェックしても、保証も有効性の確認もない以上、QMSは一向に成熟しない。
そしてもう一つ、監査員に求められるのはリスクの発見である。出荷済みの製品にいくら指摘を出しても後の祭りであり、監査の本旨は「明日以降、同じ問題が起きない」と確証を得ることにある。リスクを見つけ、QMSそのものの見直しを指導する。これこそ監査員の本来の仕事である。具体的な指摘の書き方も変わる。「サインがありません」ではなく「QC・QA を経てなおサイン漏れが残るのは、文書管理手順 X.X におけるレビュー要件が形骸化しているためであり、当該手順の改訂を要する」ーーこう書けば、初めて監査の指摘になる。
明日からの監査では、エラーリストを並べる前に自問してほしい。私はQMSの有効性を判定したか、リスクを発見したかーーと。それができなければ、その時間は監査ではない。経営者の目となり耳となる存在、それが監査員である。「公儀の隠密」と揶揄された時代の比喩そのままに、監査部門は経営者直結の組織として機能すべきものである。
出典:MDR 03(約 1:03〜1:09)/ISO 13485 8.2.4