ISOマネジメントシステムとAI ― 規格の考え方に基づく、デジタル技術との向き合い方           第5回　外部審査における指摘事例と整理の視点 ― マネジメントシステムの有効性をどのように評価するか

1．はじめに ― 審査における評価の考え方

ISOマネジメントシステムの外部審査では、規格要求事項への適合性の確認に加え、マネジメントシステムが意図した結果を生み出すように有効に機能しているかが確認されます。重要なのは、文書や記録の「存在」そのものではなく、計画された活動が実施され、結果が評価され、必要に応じて改善につながっているか、という運用の実態です。

また、ISO 9001は「組織がどのように運営すべきか」を一律に規定するものではなく、要求事項としての枠組みを示す規格であることが説明されています。そのため、審査においても、特定の方法論やツールの採否ではなく、組織が定めた方法がマネジメントシステムの中で整合的に管理され、有効性が確保されているかが焦点となります。

一方で、「どのような点が指摘されやすいのか」「どの程度で適合と判断されるのかが分かりにくい」と感じる場合があります。こうした点は、審査で確認される観点をPDCA（計画・実行・評価・改善）の流れとして整理し、指摘の背景を“仕組みとして機能しているか”の視点で捉えることで、理解しやすくなります。

本稿では、外部審査において見られやすい指摘の傾向を一般化して整理し、マネジメントシステムの有効性を説明可能な形で捉えるための視点を示します（特定組織への個別助言を目的とするものではありません）。

2．審査で確認される基本的な観点（PDCAとしての一貫性）

外部審査で確認される事項は、対象規格の要求事項に基づきつつ、一般に次の観点で整理されます。

• 計画された活動が実施されているか（Plan→Do）
• 実施結果が適切に記録として残されているか（Do）
• 活動の結果が評価されているか（Check）
• 必要に応じて是正・改善が行われているか（Act）

これらは、プロセスアプローチとPDCA、ならびにリスクに基づく考え方を組み合わせ、プロセスとその相互作用を計画し管理するというISO 9001の枠組みと整合します。

なお、監査（審査を含む）に関する一般的な指針として、ISO 19011は監査の原則、監査プログラムの管理、監査の計画と実施、監査に関与する者の力量評価等のガイダンスを示しています。

3．文書と運用の不整合に関する指摘例（「実態の反映」と「統制」）

審査で確認される代表的な論点の一つが、文書（手順、規程、帳票等）と実際の運用との整合性です。例えば、次のような状態は、運用の統制や再現性の観点から課題として整理されることがあります。

• 手順書に記載された方法と、現場で実施している手順が一致していない
• 改訂した文書内容が、関係部門・関係者に十分に反映されていない（旧版参照が残っている）
• 現場の実態（役割、判断基準、プロセス）が文書に反映されておらず、説明の根拠になりにくい

ここでの要点は、文書の体裁や量ではなく、「組織が定めたルールが、実際の運用を正しく表し、必要な範囲で統制されているか」です。ISO 9001が枠組みを示し、具体的な運用方法を一律に規定しないことを踏まえると、審査では“組織として定めた方法が機能しているか”が確認される、という整理が適切です。

4．記録の不備に関する指摘例（証拠性・追跡可能性・可用性）

記録は、実施した事実や結果を客観的に示す証拠（エビデンス）としての役割を持ちます。そのため、記録の内容と管理状況は、審査で頻繁に確認されます。例えば、次のような状態は、活動実施の客観性や追跡可能性の観点から課題となり得ます。

• 実施日時、実施者、承認者などが不明確で、追跡ができない
• 記録内容が不足しており、活動の実態（何を、どの基準で、どう判断したか）が把握できない
• 記録が所定の場所・方法で保管されておらず、必要時に参照できない
• 規格や組織のルールで必要と定めた記録が作成されていない／抜けがある

審査で確認されるのは「書類があるか」ではなく、「記録が証拠として機能し、説明可能性を支えているか」です。ISO 19011が示す監査の枠組み（監査の実施、力量、監査プログラム管理等）は、記録・証拠の取り扱いを含めて監査を整理する際の参考になります。

5．評価・改善プロセスに関する指摘例（“Check”と“Act”が機能しているか）

マネジメントシステムの有効性を確認する上で、評価および改善のプロセスは中核となります。審査では、例えば次のような状態が“有効性の観点からの論点”として扱われることがあります。

• 目標や指標に対する達成状況の評価が十分でない（評価頻度、評価の根拠、分析の深さ等）
• 評価結果が是正処置や改善に結び付いていない（同種問題の再発、改善のフォロー不足）
• 是正処置が形式的で、原因分析と再発防止の観点が弱い（結果として同様の不具合が繰り返される）

重要なのは、評価や是正処置が「実施したことの記録」に留まらず、意図した結果（再発防止、パフォーマンス向上、リスク低減等）に結び付いているかという点です。PDCAの“Check→Act”が機能しているかが、有効性の判断材料になります。

6．AI・デジタル技術活用に関する整理の視点（技術ではなく管理の仕組み）

近年はAIやデジタル技術を活用した運用も増えていますが、審査において焦点となるのは技術そのものではなく、その活用がマネジメントシステムの中でどのように位置づけられ、どのように管理されているかです。例えば、次のような状態は、管理上の課題として整理される可能性があります。

• AIの出力結果に対する確認・承認のプロセスが明確でない
• 利用目的、適用範囲、入力情報の取扱いなどのルールが整理されていない
• 責任の所在（最終判断者、承認権限者）が不明確で、説明が困難

一方で、利用目的と範囲が整理され、確認・承認が機能し、記録と説明可能性が確保されている場合、手段の違い（AIか否か）が直接的に適否を左右するものではありません。

なお、ICTを用いた適合性評価の枠組みとしてIAFはIAF MD 4を公表しており、ICT利用は情報セキュリティやデータ保護等を考慮したうえで、審査する側とされる側の相互合意のもとで実施する旨が示されています。

7．指摘事項の捉え方（不適合と改善の機会）

審査における指摘事項は、単に不足を指摘するためではなく、マネジメントシステムの信頼性と有効性を高めるための情報として捉えることが重要です。指摘事項は一般に、次のように整理されます。

• 規格要求事項等に対する不適合（要求事項を満たしていない状態）
• 改善の機会（不適合ではないが、有効性向上の観点で改善余地がある状態）

この区別を踏まえ、指摘の背景が「PDCAのどこが弱いのか」「プロセスの統制、記録、評価、改善のどこにギャップがあるのか」という観点で整理できると、対応の優先度や再発防止の方向性が説明しやすくなります。

8．具体例 ― 審査における整理の視点（「存在」ではなく「機能」）

外部審査の評価は、個別の書類不備の有無に留まらず、運用全体の整合性と有効性として整理されます。例えば、次のような状態は、マネジメントシステムが機能している状態として説明しやすくなります。

• 文書（ルール）が実態を反映し、現場で参照・活用されている
• 記録が、実施事実と判断根拠を示す証拠として機能している
• 評価結果が分析され、是正処置・改善に結び付いている（再発防止、パフォーマンス改善が確認できる）

一方で、次のような状態は、形式は整っていても“機能”の観点で課題となり得ます。

• • 文書は整備されているが、実務で使われていない／運用が文書と乖離している
  • 記録は存在するが、重要事項（判断根拠、実施者、日付等）が不足し、証拠として弱い
    このように、評価のポイントは「存在」ではなく「機能（有効性と説明可能性）」にあります。

9．まとめ ― 有効性の観点からの整理

外部審査で確認されるのは、規格への形式的な適合に留まらず、マネジメントシステムが意図した結果を生み出すように有効に機能しているかどうかです。重要な観点は次のとおりです。

• • 文書と運用が一致し、統制されていること
  • 記録が信頼できる証拠として機能していること
  • 評価と改善のプロセスが機能していること
  • 組織として説明可能な状態（目的、責任、根拠、記録）が確保されていること

これらを踏まえることで、審査対応を単なる“確認作業”に留めず、マネジメントシステムの有効性向上につなげる整理が可能になります。

10．本シリーズの位置づけ

本シリーズでは、ISOマネジメントシステム規格の基本的な考え方を軸に、デジタル技術・AIとの向き合い方を整理します。特定の技術やツール、または特定の運用方法の導入を推奨するものではなく、組織が自らの状況に照らして運用を見直す際の参考情報として提供することを目的とします。

本稿で整理した視点はAIに限らず、新たな技術が登場した場合にも適用可能な、ツール非依存の基本的な考え方として位置づけられます。

なお、本稿はISO/IEC 42001 AIマネジメントシステム規格を意図したものではございません。

効果的なマネジメントシステムの認証に関するお問い合わせは、MS認証部 (japan@nemko.com)までご連絡ください。