内部監査員の認定に資格や外部教育は必須ですか?ISMS・Pマークが求める「力量」の正解とは?
「内部監査管理規程」の2.1内部監査員についてですが、PMS、ISMSまたはISO審査の有資格者が行う教育を修了した者または同等の知識を有する者とあります。
この基準は決まりまたは必須なのでしょうか?
当社は14名程度の小さい会社ですので、会社規模からすると御社提供の「内部監査員研修」を行ったレベルと考えてます。これでは、知識不足を指摘されますか?
ご質問ありがとうございます。14名規模の組織であれば、外部の有資格者と同等の厳しい基準を設けるべきか、実務との兼ね合いで悩まれるのは当然のことです。
結論から申し上げますと、規程にある「有資格者による教育」や「同等の知識」という基準は、必ずしも外部資格を必須とするものではありません。自社に最適な「認定基準」を独自に設定し、運用することが認められています。
質問者様が懸念されている「知識不足による指摘」を防ぐため、以下の3つのポイントで整理・解説いたします。
1. 規格が求めているのは「資格」ではなく「能力」
ISMS、Pマーク、ISO9001のいずれの規格においても、「特定の外部研修を受けなければならない」という強制規定はありません。求められているのは、「監査を適切に遂行できる能力(力量)があること」と「客観性・中立性が保たれていること」です。
したがって、「自社で作成した教材を用いた内部勉強会を修了した者」を監査員として認定しても、規格上の問題はありません。
2. 「知識不足」と指摘されないための境界線
「御社提供の研修レベルで十分か」という点ですが、結論としては「十分可能」です。ただし、審査員は以下の2点を厳しくチェックします。
- 監査の手順を理解しているか:
監査チェックリストを使いこなし、不適合(ルール違反)を見つけ、是正を促すまでの流れを理解している必要があります。 - 審査時に受け答えができるか:
審査当日、監査員が「どのように監査を行ったか」「なぜこれを不適合としたのか」という質問に、自社の規程に基づいて回答できれば、知識不足を指摘されることはまずありません。
逆に、たとえ外部研修を受けていても、自社の業務ルール(規程)を理解していなければ「認定基準が不適切」と指摘されるリスクがあります。
3. 小規模組織における「独自性」のある運用提案
14名程度の規模であれば、以下のステップで「力量」を担保し、記録に残すことをお勧めします。
- 内部監査員研修の実施:
弊社の「内部監査員研修資料」を用いて、監査の目的と手法を学ぶ。 - 理解度テスト・認定:
研修後に簡単な確認テストを行い、合格者を「内部監査員」としてトップマネジメントが任命(認定)する。 - 力量評価表への記録:
「誰が、いつ、どのような教育を受け、どのレベルの知識を有しているか」を一覧表にまとめておきます。
これにより、審査員に対して「自社の規模に見合った適切な教育訓練を実施し、能力を確認した上で選任している」という強力なエビデンス(証拠)となります。
4. 弊社の共通「内部監査規程」の活用
弊社のサンプル文書集(ISMS / Pマーク / ISO9001)で提供している内部監査規程は、これら複数のマネジメントシステムを効率よく運用できるよう、共通の枠組みで設計されています。
「立派な資格」を目指すよりも、「自社のルールが正しく運用されているかをチェックできる実務的なスキル」を重視した認定基準を設けてください。それが結果として、審査員からの高い評価と、真に意味のある内部監査につながります。
