「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。
そこで、QMSの内部監査を想定して次のように考えました。
- 「5 監査プログラムのマネジメント」は、内部監査の中期計画
- 「6 監査の実施」は、定期内部監査
ここでは、定期内部監査実施前の初回会議から最終会議について、内部監査責任者の視点で説明します。
なお、「JISQ19011マネジメントシステム監査のための指針」の説明では、何をいっているのかよく分からなくなるので、私なりに解釈しています。JISQ19011の正確な意味を知りたい場合には、JIS規格をご参照ください。
定期内部監査の実施
定期内部監査は、事前に配布した定期内部監査の実施計画に基づき実施します。
定期内部監査は、営業、技術、製造など業務内容の異なる部門が対象となるだけでなく、観察事項等のフォローアップや過去の内部監査結果を考慮する必要もあります。
内部監査責任者は、内部監査リーダーに対し、これらについて注意点や確認事項などを事前に伝えます。
内部監査の案内役やオブザーバーへの対応
内部監査に案内役(代理対応をする人)やオブザーバーが参加する場合には、内部監査リーダー(内部監査責任者への報告は必要)、監査対象部署の責任者に同意を得ることが必要です。
内部監査リーダーは、案内役やオブザーバーが、内部監査の実施に影響を与えたり妨げにならないことを条件に内部監査に参加(同席)させるようにします。
案内役やオブザーバーが内部監査に参加する際の約束事(安全管理やセキュリティなど)については、事前に内部監査チームと内部監査責任者を含めて合意を得ることが必要です。
案内役の役割と責任には、次のことを含めます。
- インタビュー参加者、実施時期(タイミング)と場所について内部監査員をサポートする。
- 内部監査対応者のインタビュー場所などへの誘導
- インタビュー場所固有のルール、安全衛生や環境、 セキュリティ・機密保持などのルールについて、監査チーム及びオブザーバーを含め周知し、これらを順守し(事前に検討した)リスクへの対応
- 必要に応じ、内部監査対象部署のメンバーの代理として立ち会うこと
- 必要に応じ、情報収集における不明点を明らかにし、情報収集をサポートすること
初回会議の実施
初回会議の目的は、
- 内部監査計画(内部監査の目的と実施)に対して、内部監査チームと内部監査対象部署が合意していることの確認
- 内部監査チームの紹介(例えば、内部監査リーダーが主にインタビューを実施し、メンバーは記録の確認などの補助を担当するなど)
- 内部監査計画で明確にした目的を確実に実行する。
となります。
初回会議は内部監査リーダーが議長となり、内部監査員に直接対応する関係者と責任者も参加するようにし、質問を受けるようにします。
- 内部監査リーダーは、内部監査の目的(業務改善に資することを目的としていること)、終了時間を守ること、質問や疑問等は遠慮なく言ってもらうことなどを説明します。
- 内部監査は不適合を指摘するために実施するのではないので、協力して欲しいことを伝えることが必要だと考えています。
内部監査リーダーは、案内役などの参加者とその役割や、内部監査チームメンバーにより生じる監査対象部署のリスクを考慮します。
内部監査リーダーは、次の事項について適宜確認します。
- 内部監査の目的、範囲及び基準
- 内部監査計画と関連する監査対象者(部署)との取決め(監査スケジュール)、及び、必要な変更
- 内部監査チ-ムと監査対象部署とのコミュニケーションチャネル(内部監査員が、監査対象部署と連絡を取る場合、誰に連絡するのか。逆に、監査対象部署は、誰から内部監査員に連絡するかを明確にします。
- 内部監査に使用する言語
- 内部監査中は、監査の進捗状況を内部監査対象者に適時知らせること(初回会議で全体の時間配分を説明し、内部監査の進行につれて、どこまで進んでいるかを知らせます。)
- 内部監査チームが必要とする資源及び施設が利用可能であること
- 機密保持及び情報セキュリティに関係すること
- 内部監査チ-ムに対する、関連するアクセス、安全衛生、セキュリティ、緊急時及びその他の取決め
- 監査の実施に影響し得る現地(サイト、現場)での活動
内部監査リーダーは、次の事項に関する情報定時について適宜考慮します。
- 内部監査結果(監査所見)の報告の方法(最終会議では口頭で説明、後日内部監査報告書を送付するなど)
- 内部監査を打ち切ってよい条件(定刻に内部監査対象部署の責任者が不在で代理者が不明、内部監査で確認する記録が提示されないなど)
- 内部監査中に出てくる可能性のある所見の取り扱い方(例えば、不適合になる可能性があると判断した場合には、内部監査責任者に連絡を入れる等、対応方法を事前にきめておきます。)
- 内部監査結果(監査所見)や、苦情、異議などがある場合の対応方法(内部監査責任者に連絡する等)を事前に決めておき、初回会議や必要に応じ内部監査中に説明する。
内部監査中のコミュニケーション
内部監査中の活動は、内部監査チームと内部監査対象部署とのコミュニケーションそのものです。
- なお、法令・規制要求事項の不適合について報告義務がある場合には、内部監査中のコミュニケーションについて正式な取り決めが必要なことがあります。
内部監査リーダーが、内部監査中の重大な懸念事項について次の点に注意します。
- 内部監査の進捗状況、重大な所見や懸念事項については、内部監査対象者や内部監査責任者に連絡します。
- 内部監査責任者への連絡は、限られた時間内での対応となるため、内部監査の進捗状況に合わせ、内部監査メンバーと協力しながら行います。
特に、内部監査中に緊急かつ重大なリスクとなる可能性のある証拠をみつけた場合には、内部監査対象部署長と内部監査責任者に速やかに報告します。
内部監査メンバーは、内部監査の範囲外の課題についても、内部監査責任者や内部監査対象部署に連絡をとる場合に備え、メモを残し、内部監査リーダーに報告します。(内部監査リーダーも同様にメモを残します。
内部監査を進める中で得た監査証拠から、内部監査の目的を達成できないことが明確になった場合には、内部監査リーダーは、内部監査対象部署長及び内部監査責任者にその理由を報告し、どの様な処置をとるか決めます。
この時の処置には、内部監査計画の変更、内部監査の目的や監査範囲の変更、内部監査の打ち切り(リスケジュール)を含めることもあります。
内部監査を進める中で、内部監査計画の変更が必要になった場合には、内部監査責任者と適宜レビューを行い、その結果を内部監査対象部署長に報告します。
複数の内部監査チームで内部監査を行う場合、内部監査責任者は、内部監査リーダーの力量を含め内部監査チーム全員で内部監査の情報を共有するか判断します。
各部署の内部監査結果は、内部監査リーダーから内部監査責任者に報告するものとし、内部監査責任者が必要と判断した情報を、内部監査チームメンバーに連絡するようにしています。
内部監査のために必要な情報の入手可能性と入手経路
内部監査の方法は、内部監査の目的、範囲及び基準、場所などを内部監査計画で定めています。
内部監査の場所とは、内部監査に必要な情報を内部監査員が入手できる現場であり、リモートで接続した場所も含みます。
内部監査に必要な情報に、どこで、いつ、どのようにアクセスできる(確認できる)かは、内部監査を進めるうえで重要なポイントになります。
内部監査に必要な情報が何かを監査対象部署のメンバーに伝え、それらの情報を限られた時間の中で効率的に確認するためにも、内部監査員が内部監査対象部署とコミュニケーションをとれることが重要です。
内部監査中の文書化した情報のレビュー
内部監査中に、内部監査対象部署の管理する文書化した情報のレビューは、以下の理由により必要です。
- 文書化された範囲で、監査基準に対する、 システムの適合性を決定する。
- 内部監査活動を支援する情報を集める。
ここでの文書化した情報のレビューは、内部監査の有効性に支障をきたさないような範囲で、内部監査を通じて行います。(レビューの時間をわざわざとるのではなく、内部監査を進めながらレビューに相当することを確認していくという意味合いです。)
文書化した情報を内部監査計画の時間内に十分な確認できなかった場合、内部監査リーダーは、内部監査対象部署長と内部監査責任者に報告し、内部監査を続行するか、文書化した情報についての懸念が解決するまで中断するか決めます。
内部監査の情報の収集及び検証
内部監査中は、内部監査の目的、範囲及び基準に関する情報を、内部監査対象部署の活動(プロセス)と他の部署も関連する活動(プロセス)に関係する情報を含め、できる範囲で、適切なサンプリングにより収集し、検証します。
文章にすると分かりにくくなってしまいますが、あるプロセスについて懸念がある場合には、サンプル数を増やすなどして情報を集めるという意味合いです。
監査証拠としてどの程度の情報を集めるかは、基本的に検証の対象となりうる最小限の情報とします。
- 例えば、営業活動の情報として、受注の案件を特定できる情報(受注番号、受注日、製品名など、後日特定できるだけの最小限の情報)とします。
内部監査員には、監査証拠がどの程度信頼できるものであるか(適切なサンプリングであるか)を判断するため、内部監査員個人の専門的な判断が必要になります。
内部監査の所見(内部監査報告書、チェックリスト)となる監査証拠は、必ず監査中に記録します。
また、客観的な証拠を収集している際に、何らかの新たな状況や変化、気づいたリスクや機会に対して、内部監査リーダーは必要な対処をします。
情報収集から内部の監査結論に至るまでの典型的なプロセスは、次の通りです。
情報源
→ 適切なサンプリング手段による収集
→ 監査証拠
→ 監査基準に基づく評価
→ 監査所見
→ レビュー
→ 監査結論
また、情報を収集する方法には、
- インタビュー
- 観察
- 文書化した情報のレビュー
がありますが、この方法に限るわけではありません。
監査所見の作成
内部監査基準に照らして監査証拠を評価し、内部監査基準に対して適合又は不適合かを判断し、内部監査の監査所見を決めます。
内部監査の監査所見には、次のことを含める場合には、内部監査計画に定めておきます。
- 根拠となる証拠を伴った適合性及び優れた実践事例
- 改善の機会(観察事項)
- 被監査者に対するあらゆる提言
不適合及びその根拠となる監査証拠は、記録して残します。(内部監査結果に関する根拠は、エビデンスで示せることが原則です。)
不適合の分類(レベル分け)は、次のように組織の状況とリスクにより分類します。(内部監査規定で明確にします。)
- 不適合を定性的に分類する(例えば、軽微、重大)
- 不適合を定量的に分類する(例えば、1から5の5段階とか)
不適合については、内部監査対象部署と不適合としている事象や不適合となる理由についてレビューすることが必要かつ重要です。
内部監査リーダーは、このレビューにより、
- 監査証拠(不適合であることを示す証拠)が正確であること
- 不適合の内容が理解されたこと
について、内部監査対象部署長に確認し、同意を得ます。
レビューにより、監査証拠や監査所見に関して意見の相違がある場合には、それを解決するためのあらゆる努力を試み、必要に応じ内部監査責任者に報告します。解決できなかった課題については、内部監査報告書に記録を残します。
内部監査リーダーは、内部監査中に監査所見をレビューするため、必要に応じて内部監査メンバーと打合せを行います。
- 法令・規制要求事項などの監査基準に対する適合・不適合は、順守・不順守ということもあります。
内部監査の結論:最終会議の準備
内部監査リーダーが、最終会議の前に行う打ち合わせでは、次のことを行います。
- 内部監査の所見及び内部監査中に収集したその他の適切な情報を、内部監査の目的に照らしてレビューする。
- 内部監査プロセスに内在する不確かさを考慮に入れた上で、内部監査結論(特に不適合)について合意する。(例えば、サンプリングが前提となっていることなど)
- 内部監査計画で定めている場合には、提言(助言)を含める。
- 該当する場合には、内部監査のフォローアップについて協議する。(例えば、不適合のフォローアップの方向性や期限など)
内部監査の結論では、次のことを考慮します。
- マネジメントシステム(例えば、営業であれば主として営業業務)の有効な、実施、維持及び改善
- 内部監査目的の達成、内部監査範囲及び内部監査基準を満たすこと
- 前回までの内部監査結果や他部署の内部監査結果などから得られた、類似の所見
内部監査計画に、改善のための提言も含まれることなどを明記していれば、内部監査の結論を改善のための提言や今後の内部監査活動につなげることができます。
マネジメントシステムに関する以下の課題ついては、内部監査責任者の検討事項と考えています。(各部署の内部監査結果を総合的に判断する必要があるためです。)
- マネジメントシステムの内部監査基準への適合の程度
- マネジメントシステムの堅ろう(牢)さ(QMSが経営方針と統合されパフォーマンス向上につながる仕組みとなっている。あるいは、会社の方針や目標と整合がとれていて判断がぶれないといった意味合いと考えています。)
- 意図した成果を満たすことにおけるマネジメントシステムの有効性、リスクの特定、及び内部監査対象部署長がリスクに対処するためにとった処置の有効性
マネジメントシステムが会社のパフォーマンス発揮、内部監査の目的(業務改善等)に役立っているか、各部署が自部署に置いてPDCAを回せているかなどについて検討するということです。マネジメントレビューのインプット情報の一部となります。
最終会議の実施
内部監査リーダーが、内部監査の結果を、内部監査対象部署(長)に報告するのが最終会議です。
最終会議には、必要に応じ以下の参加者が含まれます。
- 内部監査を受けた機能又はプロセスの責任者
- 内部監査チ-ムのメンバー
- 内部監査依頼者や内部監査対象部署長が決めた、その他の関連する利害関係者
内部監査リーダーが最終会議で考慮することを以下に示します。
- 内部監査の結論の信頼性を低下させるかもしれない、内部監査中に遭遇(発見)した状況について、内部監査対象部署長被監査者に知らせる
- マネジメントシステム(品質マニュアルや関連規定)に定められている、又は、内部監査責任者の合意がある場合、内部監査の所見に対処するための処置の計画の期限についての合意
最終会議は、内部監査結果だけでなく、内部監査中に観察したことなどを含めて、内部監査対象部署長に報告します。この際の考慮事項には、次のことを考慮します。
- 内部監査対象部署の目的(品質目標)を達成するために、QMSが有効であるか。
- 内部監査対象部署の状況(社内外の環境の変化等)、リスク及び機会
また、内部監査対象部署長やメンバーが、内部監査についてどの程度理解しているかを考慮することで、最終会議の内容や内部監査について、参加者が理解しやすくなります。
最終会議の議事録は、最終会議の議事録が必要であると決まっている場合には残しますが、内部監査の監査所見と監査結論を口頭で伝えることが一般的です。
以下に該当する場合には、最終会議で内部監査対象部署長に説明します。
- 収集した監査証拠は入手可能な情報のサンプルに基づいたものであり、必ずしも、被監査者のプロセスの全体的有効性を完全に表すものではないことを伝える。(不適合が発見されたからといって、全体が不適合だということではないなど)
- 報告の方法(是正が必要な不適合については、内部監査後速やかに必要な書類を送付します。内部監査報告書は、内部監査規定に従い送付します。など)
- 監査所見について、どのように対処すればよいのか一例や考え方を示す。
- 監査所見に適切に対処しなかった場合に起こり得る結果(不適合や不具合の発生などにつながる懸念があるなど)
- 監査所見及び監査結論の提示(最終会議の内容を内部監査報告書として文書で回答するなど)
- 関係する内部監査後のあらゆる活動(例えば、是正処置の実施及びレビューの進め方や期限、内部監査に関する苦情や異議がある場合は、内部監査責任者に報告してくださいと伝えるなど)
以下については、繰り返しになりますが、内部監査員と内部監査対象部署とのコミュニケーション、根拠(内部監査規定、内部監査計画)に基づき内部監査を実施していることを意識することが重要です。
- 内部監査所見(監査結論)について、内部監査チ-ムと内部監査対象部署との間に意見の相違がある場合には、協議し(話し合い)、解決するようにします。解決できない場合には、記録に残します。(内部監査報告書に残すか、内部監査チーム内の記録として残すかは、内部監査責任者の判断事項になると考えています。)
- 改善の機会についての提言(助言、アドバイス)は、内部監査計画に示している場合には伝えます。ただし、提言には、拘束力がない(あくまで参考情報の提供である)ことを必ず説明します。
まとめ
「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。
そこで、QMSの内部監査を想定して、「5 監査プログラムのマネジメント」は内部監査の中期計画、「6 監査の実施」は定期内部監査と考えました。
ここでは、定期内部監査実施前の初回会議から最終会議について、内部監査責任者の視点で以下の項目で説明しました。
- 定期内部監査の実施
- 内部監査の案内役やオブザーバーへの対応
- 初回会議の実施
- 内部監査中のコミュニケーション
- 内部監査のために必要な情報の入手可能性と入手経路
- 内部監査中の文書化した情報のレビュー
- 内部監査の情報の収集及び検証
- 監査所見の作成
- 内部監査の結論:最終会議の準備
- 最終会議の実施
