「内部監査規定(リンク先はこのブログの内部監査規定です)」と内部監査ガイドを使って、内部監査についての教育をはじめます。
- 内部監査ガイドは、Amazon Kindle:「ISO内部監査の取扱説明書」、このブログでは「内部監査ガイド」のページにまとめています。
内部監査は、不適合や観察事項を指摘するために行うわけではありませんが、内部監査員は、不適合や観察事項と判断するための基準を意識していることが必要です。
ここでは、内部監査員(リーダー、メンバー)による是正処置のポイントについて教育します。
不適合の是正処置を例に説明しますが、観察事項についても同様です。
内部監査員育成の登場人物を簡単に紹介します。
内部監査責任者の「はかせ」。社内ではISOの人といわれるtこともありますが、博士(工学)でもあります。
社会人経験は浅いものの知らないことにも前向きに取り組む「レイ」さん。上司から推薦された内部監査候補者。
社会人経験の浅いレイさんと同期の「ソラ」さん。途中から内部監査員教育に参加予定です。
内部監査の是正処置の報告
内部監査での不適合の対応は次の2段階に分かれます。
- 不適合の修正(除去)、原因究明及び是正処置の実施
- 是正処置の有効性の確認
をもって完了となります。
まずは、不適合の指摘から是正処置の完了について説明します。
不適合の指摘から是正処置の計画まで
内部監査での不適合の指摘から是正処置までの一例は次の通りです。
ここでは、是正処置の対応は、監査対象部著の監査リーダーが主となり、監査責任者がフォローするものとします。
- 監査リーダーは、監査対象部署長に是正処置の報告を求めます。
- 監査対象部署長は、不適合を除去(修正)し、不適合の原因と対策(再発防止策)と、是正処置の計画(完了時期)を監査リーダーに報告します。
- 監査リーダーは、報告内容を確認し、監査責任者に報告します。
- 監査責任者は、不適合が除去(修正)と是正処置を確認します。
なお、不適合の是正処置の計画は(実施予定、完了予定)は、内部監査実施日から1か月(4週間、20営業日)以内、是正処置の完了までは3か月を目安にしています。
監査リーダーが不適合に対応するOJTとして利用する場合には、監査リーダーに逐次ポイントや指示を与えるようにしています。
不適合の除去及び是正のポイント
不適合の除去(修正)、不適合の原因究明と是正処置は、監査対象部署長が行います。
この時、監査リーダーは、監査対象部署長をフォローします。
不適合の除去(修正)と是正のポイントは次の通りです。
- 不適合が発生した原因究明(対策ありきではなく、本当の原因を探すようにします。)
- 不適合の影響を小さくする(応急処置により不適合の影響を小さくします)。
- 不適合発生の原因に対応する再発防止策(根本的な対策による是正処置)
不適合を指摘する場合、監査リーダーとして応急処置、原因と是正処置についてある程度イメージできる(落としどころが分かる)ことが必要です。
是正できなかったり、是正に長い時間がかかると、是正処置の有効性確認が難しくなります。
是正処置のフォローアップ
是正処置のフォローアップは、監査リーダーが行います。
内部監査で不適合とした場合、監査リーダーが是正処置の実施まで、ある程度イメージできていないと、原因究明や是正処置のフォローが難しいようです。
不適合の原因究明や是正について、監査リーダーは、監査対象部署長の相談相手のような一面もあります。
監査対象部署長は、是正処置を行い、監査リーダーに報告します。
監査リーダーは、是正処置の連絡や報告がない場合、必要に応じ是正処置の進捗について自ら確認します。
監査リーダーが行う是正処置の評価は、次の通りです。
- 是正が完了していると判断した場合、監査終了
- 是正が完了していると判断できない場合、是正のやり直しを指示(是正処置を実施するのは監査対象部署なので、指示というよりは依頼の意味合いになります。)
- 是正になっていないと判断する場合には、監査責任者に報告し、指示を仰ぐ。(いわゆるフォローアップ監査をイメージしていますが、現実的ではないと考えています。こうならないように不適合を是正させる力量が監査リーダーや監査責任者には必要です。)
是正処置の最終確認
監査責任者は、内部監査不適合の是正処置完了後、管理責任者に報告します。
管理責任者は、不適合の是正処置を最終的な確認を行い、マネジメントレビューのインプット情報に反映します。
参考:是正とフォローを意識して不適合にしても
内部監査で是正とフォローを意識して不適合にしたものの、是正処置(再発防止策)を実行できず、内部監査責任者として困ったことがあります。
営業部署の内部監査で見積書は、営業が個人管理しているということで確認したところ、実態は次の通りでした。
- 発行した見積書の控えをリストで管理している。
- 発行した見積書は、お客様に送信したメールしかない。
- 見積書を作成したエクセルのファイル(シート)しかない。
是正策として、
- 見積書は必ず電子化(PDF化)しているので、複合機で作成したPDFを管理する。
ことになりました。
しかし、実際に何もしなかったため、
- 是正策を実施したが思っていたより継続が難しいことがわかったため、見積書の個人管理を周知する。
ことにして、不適合のフォローアップを完了させたことがあります。
翌年の内部監査でその後どうなったか確認したところ、「何もしていないし、何も変わっていない。」ことを確認することになりました。
内部監査責任者としては、部署長といえど内部監査での言葉をそのまま信じるのではなく、自分の判断で是正策を実施できるかどうかも含めて判断するようになりました。
まとめ
「内部監査規定(リンク先はこのブログの内部監査規定です)」と内部監査ガイドを使って、内部監査についての教育をはじめました。
内部監査は、不適合や観察事項を指摘するために行うわけではありませんが、内部監査員は、不適合や観察事項と判断するための基準を意識していることが必要です。
ここでは、ここでは、内部監査員(リーダー、メンバー)による是正処置のポイントについて、以下の項目で説明しました。
不適合の是正処置を例に説明していますが、観察事項についても同様です。
- 内部監査の是正処置の報告
- 不適合の指摘から是正処置の計画まで
- 不適合の除去及び是正のポイント
- 是正処置のフォローアップ
- 是正処置の最終確認
- 参考:是正とフォローを意識して不適合にしても
