「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。
そこで、QMSの内部監査を想定して次のように考え、
- 「5 監査プログラムのマネジメント」は、内部監査の中期計画
- 「6 監査の実施」は、定期内部監査
内部監査の(3年程度の)中期計画について説明しています。
ここでは、3年程度の中期内部監査計画を実施するうえでの、中期内部監査計画の監視とレビュー及び改善(中期内部監査計画の継続的改善)について説明します。
なお、「JISQ19011マネジメントシステム監査のための指針」の説明では、何をいっているのかよく分からなくなるので、私なりに解釈しています。JISQ19011の正確な意味を知りたい場合には、JIS規格をご参照ください。
中期内部監査計画の監視
3年程度の中期内部監査計画をマネジメントするということは、毎年行う定期内部監査と定期内部監査間の活動を3年間、監視(観察)し、レビュー及び改善を続けること、つまり評価することです。
中期内部監査計画を評価する項目を列挙します。
- スケジュ-ル(計画された予定)を守り、中期的な内部監査計画の目的を達成しているか。
- 内部監査チームメンバーのパフォ-マンス(1人の内部監査員は複数の立場(役割)にあることを考慮します。例えば、1人の内部監査員、内部監査メンバー、内部監査リーダーなど)
- 中期内部監査計画を担当する内部監査チ-ムとしての能力
- 内部監査依頼者(ISO管理責任者)、内部監査対象部署の関係者(部署長やヒアリング対象者など)、内部監査員などからのフィ-ドバック
- 内部監査のプロセス全体における文書化した情報(記録や文書、エビデンス)が十分であること及び妥当であること
中期内部監査計画の見直し(修正)が必要な要因を以下に列挙します。
- 内部監査所見
- 内部監査対象部署(対象部署及び全社)のマネジメントシステムの有効性及び成熟度のレベル(例えば、一部の部署のことであり全社的な事象ではないとか。)
- 内部監査中期計画の有効性
- 中期内部監査計画や定期内部監査の範囲
- 品質マニュアルに定めた規格の要求、及び、組織(会社)がコミットメントするその他の要求事項
- 外部提供者
- 特定した利害抵触
- ISO管理責任者(監査依頼者)の要求事項(個別指示などを含む)
これらの事項については、内部監査計画の見直し(修正)が必要か否かを問わず、客観的な証拠(エビデンス)が必要です。
また、マネジメントレビューインプット情報への反映も必要です。
中期内部監査計画のレビュー及び改善
内部監査計画をマネジメントする内部監査責任者やISO管理責任者は、内部監査の目的を達成しているかどうかを評価するために、定期内部監査と中期内部監査をレビューします。
言い換えると、定期内部監査の1年間と中期内部監査計画の3年間という視点で、実施した内部監査をレビューするということです。
定期内部監査と中期内部監査のレビューの結果は、定期内部監査計画及び中期内部監査計画を改善するインプット情報となります。
内部監査をマネジメントする内部監査責任者やISO管理責任者が、実施することを以下に列挙します。
- 内部監査計画の全体的な実施状況についてのレビュー
- 改善の領域(範囲、対象部署、対象業務など)及び改善の機会(具体的な例示)の特定
- 必要な場合には、定期内部監査計画や中期内部監査計画の変更(修正)
- 内部監査員の専門的な能力(力量)についての継続的な教育・訓練のレビュー
- 内部監査結果の報告(内部監査責任者からISO管理責任者、社長への内部監査完了報告、マネジメントレビューのインプット情報への反映)
- ISO管理責任者や関連する利害関係者とのレビュー
レビューでの考慮事項を以下に列挙します。
- 中期内部監査計画の結果と傾向
- 中期内部監査計画のプロセス及び関連する文書化した情報との適合(客観的な情報、エビデンスに基づいていること)
- 関連する利害関係者から新たに出てきたニーズや期待(願望を含む)
- 中期内部監査計画の記録(個別の定期内部監査についての記録と全体的なことに関する記録)
- 代わりの又は新規の監査方法(コロナ禍によるリモート内部監査の適用範囲の拡大)
- 代わりの又は新規の、内部監査員を評価する方法(内部監査員の人数や各内部監査員の力量向上などにより、評価基準や評価方法の変更が必要になります。)
- 中期内部監査計画に関連する(影響を与える)、リスク及び機会、社内外の課題への対応の有効性
- 中期内部監査計画に関係する機密保持及び情報セキュリティ上の課題
中期内部監査計画の継続的改善
ここまで、3年程度の中期内部監査計画を実施するうえでの、中期内部監査計画の監視とレビュー及び改善(内部監査中期計画の継続的改善)について説明しました。
下図は、中期内部監査計画と定期内部監査との関係を示していますが、
(定期内部監査計画を3回、3年分)≠(中期内部監査計画)
という関係になります。
中期内部監査計画と定期内部監査計画との関係
図 中期内部監査計画と定期内部監査計画との関係
中期内部監査計画は、
- 定期内部監査間の活動を含めた3年間の内部監査の計画
という意味です。
内部監査3年間の継続的改善に必要なのは
3年間、内部監査を監視、レビュー、改善するということは、内部監査の継続的改善ということです。
継続的改善のためには、内部監査報告書とチェックリスト以外に、以下のエビデンス(文書化した情報)が必要です。
- 定期内部監査に関すること(各部署のこと、全社的なこと)
- 定期内部監査と定期内部監査との間のこと
- 3年間を全体的にみたこと
まずは、メモでよいので、文書化して残すことからはじめることをおすすめします。
内部監査責任者として心掛けること
定期内部監査というと、毎年同じ様なワンパターンで対応できそうなイメージがありましたが、実際には次のような影響を受けます。
- 全社プロジェクト(開発や大きな案件など)
- 組織変更による部署長の異動
- 内部監査員の個人的な予定
この他にも、
- 内部監査責任者の本来業務により影響(準備時間が少ない)を受ける。
- 余裕をみた計画にしようとすると計画自体が成立しない。
- 分かってはいても(リスクを受容して)発生後に対応することを選ぶ。
ようなことも珍しくはありません。
このため、限られた資源(内部監査員)で計画するだけでなく、
- 内部監査計画を配布してからの内部監査日時の変更
- 内部監査を実施して起きる様々な事象への対応
- 内部監査報告書やチェックリストまとめ
など、予想外のことが起きると想定しておくことが、内部監査責任者には必要だと考えています。
そして、予想外に対応するためには、
- 内部監査員のスカウトと育成
- 内部監査員の力量向上
が不可欠です。
まとめ
「JISQ19011マネジメントシステム監査のための指針」を読んでいて、私が分かりにくいと感じたのは、「箇条5 監査プログラムのマネジメント」と「箇条6 監査の実施」の違いです。そこで、QMSの内部監査を想定して、
- 「5 監査プログラムのマネジメント」は、内部監査の中期計画
- 「6 監査の実施」は、定期内部監査
と考えることで、QMSの内部監査に当てはめて説明しています。
ここでは、中期内部監査計画の継続的改善について、以下の項目で説明しました。
- 中期内部監査計画の監視
- 中期内部監査計画のレビュー及び改善
- 中期内部監査計画の継続的改善
- 内部監査3年間の継続的改善に必要なのは
- 内部監査責任者として心掛けること
