PR

内部監査の運営(マネジメント):内部監査の中期的リスクと機会

はじめての内部監査責任者

「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。

そこで、QMSの内部監査を想定して次のように考え、

  • 「5 監査プログラムのマネジメント」は、内部監査の中期計画
  • 「6 監査の実施」は、定期内部監査

内部監査の(3年程度の)中期計画について説明しています。

ここでは、内部監査の中期的リスクと機会について説明します。

なお、「JISQ19011マネジメントシステム監査のための指針」の説明では、何をいっているのかよく分からなくなるので、私なりに解釈しています。JISQ19011の正確な意味を知りたい場合には、JIS規格をご参照ください。

スポンサーリンク

内部監査の中期計画におけるリスク

「JISQ19011マネジメントシステム監査のための指針」の「5.3 監査プログラムのリスク及び機会の決定及び評価」で述べられているリスクを、20名規模のモノづくり会社にあてはめ、以下に列挙します。

計画作成

中期計画では、これまでの内部監査実績を振り返り、失敗したことを考慮して作成します。

定期内部監査を積み上げていくと、内部監査目的に関する失敗や内部監査を実施しての失敗というのはあまりありませんが、こうしておけばよかったと思うこともありますので、気づいたらメモを残し、監査終了後に振り返り、次回の監査計画で考慮できるようにすることがポイントです。

資源

一番大きな制約となる資源は、内部監査に割り当てられる監査員です。

内部監査員としての力量だけでなく、各人の本務(組織上の業務)の都合により内部監査を担当できない場合もあります。

最初から内部監査責任者を監査リーダーに含めてしまうと、対応できなくなる場合もあるので注意が必要です。

はかせ
はかせ

内部監査責任者としては、どうしても必要な監査リーダーを確保できないときは、OJTとして若手の育成を兼ねて、自分でやることも覚悟しておくようにします。

他には、リモートでの内部監査では、設備と場所の確保も配慮が必要です。

監査チームの選定(監査メンバー)

内部監査員を育てないと、いつまでたってもいるメンバーで何とかする状態から抜け出せません。

内部監査員の力量が不足していれば、内部監査のレベルを上げることもできません。

はかせ
はかせ

内部監査責任者として明確に意識していたわけではありませんが、「品質目標に部署長としれやりたいことを設定すれば、少なくともその目標については達成できるようになりますよ。」とか、「業務改善やISO教育の場として内部監査を利用してください。」と伝えたりするようにしていました。

実際に改善していくのを確認できると、他人事ながらうれしいものです。

コミュニケーション

コミュニケーションと言っても漠然としていますが、品質マニュアルには必要な内部・外部コミュニケーションが明記されています。

内部監査を計画する際には、品質マニュアルで明確にした内部・外部コミュニケーションについて、どの部署で何を確認すればよいかを事前に明らかにしておきます。

実施

内部監査が実際にはじまり、終わるまでの間に起きないようにする注意事項と考えています。

例えば、次のようなことは、改善します。

  • 日時調整など内部監査実施のために必要な調整がうまくいっていない。
  • 内部監査時の情報セキュリティや機密保持についてのルールをきちんと守らない。

監査対象部署の出席者は部署長が出てくることがほとんどです。

  • 日程調整や内部監査員との会話や記録の定時など、部外秘となるようなことにも触れることがあります。
  • 特に情報セキュリティや機密保持については、内部監査員は他の内部監査員には口外しないといった細心の配慮が必要です。

「これくらい」と思うだけでも信用を失い、コミュニケーションに悪影響が出ます。こうなってしまうと、業務改善のためといくら説明しても、監査対象部署が内部監査に協力してくれることが期待できなくなってしまいます。

はかせ
はかせ

内部監査員の人選は、コミュニケーション上のトラブルが発生しないことを最優先しています。

文書化した情報の管理(記録や文書の取り扱い)

内部監査で対象となる記録や文書の取り扱いについて、品質マニュアルや規定類でさだめられていないものについて、事前に検討しておく必要があります。

内部監査では、様々な記録や文書を目にします。

記録や文書の媒体も紙の書類に加え、電子化されたファイルやシステム上の画面などで確認することもあります。

内部監査員が必要とする監査記録の残し方について、事前に検討しておく必要があります。

例えば、

  • エビデンス(客観的な証拠)とする場合には、監査時に確認した記録を、監査記録から特定できればよいので、文書名、文書番号、発行日等の情報が必要になります。
  • 必要に応じ、写真を撮る場合もありますが、監査後は破棄することが原則です。

ISO外部審査においても、記録等を見せても審査報告後には返却されますので、これが原則だと考えています。

監査員に限らずやたら記録を持ちたがる人もいますが、その記録を関係者でない人が目にしたり、流出したことを考えると、必要な記録を必要な期間だけ保管するのがよいと考えています。

情報セキュリティでいう「Need to Knowの原則」は、記録や文書の管理でも同様だと考えています。

監査計画の監視、レビュー及び改善(振り返り)

内部監査の中期計画だから3年間変更してはいけないという理由はありません。

社外だけでなく社内の環境も変化の激しい時代です。毎年の定期内部監査の結果、中期計画の変更が必要な場合には、変更すべきだと考えています。

定期内部監査が終わったら、監査目的を達成できたかを含め、問題や改善点はないかなどをレビューします。

  • 内部監査の状況(様子)についても、できれば、内部監査責任者は確認したいところです。

定期内部監査の結果を踏まえて、中期計画の改善や変更の必要性について振り返ります。

中期の内部監査目的の達成に影響がある場合は、目標や計画の変更も考慮します。

  • 3年計画とはいえ、年1回の定期内部監査の結果をフィードバックすることになることには、注意が必要です。
  • もう1年様子をみるという判断があったもおかしくはないと考えています。

監査対象部署の参加者と協力、サンプリングする証拠

内部監査の参加者が原則監査対象部署の部署長の場合、都合が悪ければ次級者が対応するのか、リスケするかの検討が必要になります。

はかせ
はかせ

ISO外部審査直前に部署長、次級者共に直前に欠席となり、代理の部員をフォローしたことがあります。代理の部員も突然のことで驚いていましたが、審査員が対応できるので、問題にはなりませんでした。

この場合、内部監査ではリスケとなります。別のケースで、内部監査のはじめの挨拶が終わると席を立ち、終了時に戻ってきた部署長がいましたが、この時は困りました。

また、内部監査で確認する記録等は、原則サンプリングになります。

サンプリングがどの程度できるのか(母集団や母数をどう選ぶか)などを事前に検討しておくことが必要です。

確認したい事象に対し、証拠となる情報があってもサンプリングする条件を選べず、出せる情報をサンプリング情報とするケースもありますので、サンプリングできるか分からない場合には、内部監査の早い段階で客観的証拠として利用できるかどうか確認します。

内部監査の中期計画における機会

リスク同様、「JISQ19011マネジメントシステム監査のための指針」の「5.3 監査プログラムのリスク及び機会の決定及び評価」で述べられている内部監査の中期計画を改善する機会を、20名規模のモノづくり会社にあてはめ、以下に列挙します。

  • 改めて言われることでもない当たり前と思う様なことです。
  • 実際に内部監査責任者として内部監査計画を作る際に考慮していることです。
  • どこまでやるかにもよりますが、何か特別なことではないのですが、実際にやろうとすると実現不可能と思えることもあり、悩ましく思うことでもあります。

1回の訪問で複数の監査を行う

1日の間に複数の部署の内部監査を行うということです。

  • 1日1部署とすると、10部署あれば最短でも10営業日必要になります。
  • 内部監査よりも実務優先と考えていますので、リスケジュールも想定しておきます。
  • 内部監査期間が長くなりすぎることにメリットはないと考えています。

具体的には地理的な制約、及び、内部監査員は自分の仕事と内部監査員を兼務しているので、内部監査のスケジュール(日時)を考慮します。

  • 本社の内部監査は、午前と午後で2部署の内部監査をする。
  • ただし、同じ内部監査リーダーが同一日に2つの内部監査を担当することは避ける。
  • 月~金の5営業日の間、同じ内部監査リーダーが連続して内部監査をさせない。最大でも月、水、金の3件とする。

18部署の内部監査を内部監査責任者と監査リーダー(ベテランと若手)の計3人で行ったことがあります。

内部監査の目的は業務改善の資とすることですが、内部監査として必要な形を優先することにしました。決してよいことではありませんが、時間的制約もあるため次の方針で進めました。

  • PDCAを回せている部署は、短時間で要領よく進める。
  • PDCAを回せていない部署は、記録の有無の確認にとどめる。

現地への移動時間及び距離を最小限に

例えば、東京に本社、営業拠点が北海道、仙台、名古屋、大阪、福岡のような場合、

  • 初日の午前に名古屋、午後は大阪の内部監査
  • 工場の内部監査に合わせて、工場品証の内部監査

といったイメージです。

出張と同じ考え方だと思います。

監査チ-ムの力量レベルを、監査目的を達成するために必要な力量レベルに合わせる

これは、必要性は理解できますが、監査目的を達成できる、つまり、業務改善の資となる内部監査を実施できる監査員は限られます。

このため、監査対象部署のレベルと内部監査員の力量を考慮して、内部監査計画を立てます。

具体的には、

  • 監査員の力量が必要な部署の内部監査は、対応できる監査員を割り当てる。
  • 力量が不足する場合は、想定されるリスク(問題発生)に対し、どうするかあらかじめ説明する。監査で問題が発生したら監査中に内部監査責任者に連絡させる。
  • 監査対象部署のレベルが高い場合には、力量レベルが低い内部監査員を割り当てる(前年通りの対応で、監査が進むことを予想できるため)。

といった対応をします。

また、監査目的を達成できる力量を持つ内部監査員を育てることも含まれます。

内部監査員の育成は、1年ではできません。このため、コミュニケーションは取れる候補者をスカウトし、内部監査未経験者を3年目にはOJTで監査リーダーを担当させることを目標に教育・訓練(育成)をしています。

余談になりますが、「内部監査員の外部講習を受ければ内部監査はできるだろう。」と言われることがあります。

正直なところ内部監査の知識や、コミュニケーションの取り方や質問の仕方などは外部講習でも、社内教育でも可能です。

しかし、実際に内部監査ができるかどうかは、内部監査の場に同席したり、実際にやらせてみないと見極めができないというのが正直なところです。

監査日を、被監査者の主要なスタッフが参加可能な日に合わせる

監査計画に日程調整は、なかなか手間のかかる作業です。

内部監査計画を配布する前に、内部監査日時を確認していたこともありましたが、リスケは当たり前に発生しましたので、以下の様にしています。

内部監査スケジュールは、次のことのみ考慮して作成します。

  • 毎月の定例会議(営業会議、技術会議や安全衛生会議)を外す。
  • 部署内の週次ミーティングのある月曜日は避ける。
  • 監査対象部署の部署長がプロジェクトや長期出張などがある場合は別途調整。

次に、内部監査員を割り当て、内部監査計画を作成します。

内部監査計画は、約1か月前に配布します。

その後、変更があれば個別に対応します。

また、内部監査日時の調整は、原則として内部監査責任者が受け、日時の調整は、担当する内部監査リーダーが行うようにしています。

はかせ
はかせ

心配や不安な気持ちを感じないわけではありませんが、任せないことにはいつまでたってもできるようにならないので、そこは割り切っています。

スポンサーリンク

まとめ

「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。そこで、QMSの内部監査を想定して、

  • 「5 監査プログラムのマネジメント」は、内部監査の中期計画
  • 「6 監査の実施」は、定期内部監査

と考えることで、QMSの内部監査に当てはめて説明しています。

ここでは、内部監査の中期的リスクと機会について、以下の項目で説明しました。

  • 内部監査の中期計画におけるリスク
    • 計画作成
    • 資源
    • 監査チームの選定(監査メンバー)
    • コミュニケーション
    • 実施
    • 文書化した情報の管理(記録や文書の取り扱い)
    • 監査計画の監視、レビュー及び改善(振り返り)
    • 監査対象部署の参加者と協力、サンプリングする証拠
  • 内部監査の中期計画における機会
    • 1回の訪問で複数の監査を行う
    • 現地への移動時間及び距離を最小限に
    • 監査チ-ムの力量レベルを、監査目的を達成するために必要な力量レベルに合わせる
    • 監査日を、被監査者の主要なスタッフが参加可能な日に合わせる
スポンサーリンク
タイトルとURLをコピーしました