パンデミック下でリスクに基づいた監査を継続する
IRCA Principal AuditorのGordon McNeil氏は、原子力、防衛、航空宇宙、民間航空など、さまざまな業界でグローバルな監査を行ってきました。新型コロナウィルス感染拡大の中でリモート監査をどのように継続して実施できるかについてのご自身の経験や助言を紹介していただきます。
>quality.org の英文記事はこちら
国内および国際的な認証機関や認定機関を含め多くの組織は、今回の新型コロナウィルスの影響の中、現地訪問の代わりにリモート審査を導入しましたが、そのような監査の実施は以前からISO 19011マネジメントシステム監査ための指針に含まれていました。この指針は監査員のための有用な参照文書です。
2020年3月、英国政府が不要不急の移動を控えるよう最初の要請を発出した際には、私の組織のサプライチェーンに対するマネジメントシステム監査が突然一切できなくなりました。現地での対面での供給者監査はもはや望ましい形でなくなり、当初は新型コロナウィルスの拡大状況を見守っていたため、その2カ月間の監査計画が失われました。その後、代替となる監査方法を徹底調査することにしました。
この調査では、多数のウェビナーに参加したり、リモート監査に関する助言を行ったり、私たち組織のセキュリティおよびIT部署と協議したりして、必要となるアクセスと情報共有を考慮したうえで何が達成できるか、また、何が許容されるかを明確にしました。私たちは止まっていた監査計画をすぐに再開することができ、現在は当初の計画通りに進められています。
経験から学ぶ
私たちは皆、デミングのPDCAサイクルになじみがあります。現地監査からリモート監査への切り替えに関するPDCAサイクルの中で重要な要素が一つあるとするならば、それは計画 (P ) でなければならないと私は思います。適用範囲や基準の明確化はどのような種類の監査でも必須ですが、それだけでなく、起こり得る不測の事態に備えた計画が必要です。
不測の事態に備えて計画しておけば、中止や計画の組み直しをすることなく監査を計画通り再開させることができます。以下はリモート監査を価値あるものにし、またスムーズに実施するのに役立つ30項目です。
- 監査を遠隔で実施する場合と、状況が回復するまで監査を実施しない場合のリスクを比較評価する。
- 未知の新規供給者に対する初回監査の場合は、遠隔からの監査で対応できる程度にリスクが低いかどうかを見極める。
- 監査計画が現地監査とリモート監査の組合せになることを考慮し、監査サイクル全体の中でうまくバランスをとる。
- 関係者全員が遠隔で参加するためのICT能力を持つことを確実にする (ビデオ映像と音声を含む)。
- 監査中に利用する場所を考慮し、中断や混乱がないようにする。
- 必要な参加者を含む、監査の適用範囲及び基準について合意する。
- 監査前に事前ミーティングを行い、ビデオ映像や音声をテストし、オンライン接続が切断された場合の連絡先 (電話番号が望ましい) を被監査者全員に周知する。
- 可能な場合、被監査組織のプロセス/ 手順を事前にレビューする。
- 該当するタイムゾーン、GMT (グリニッジ標準時), BST (英国夏時間), UTC (協定世界時) などが監査時間に関して考慮されていることを確認する。
- 関係者全員で会話できる共通言語について合意する。
- 存在する可能性のある文化上の違いを考慮する。
- 対面のときよりも、ボディーランゲージが読みにくいことに留意する。
- 特にパンデミック時には、被監査者が直接または間接的に個人的な影響を受けているかもしれない事実を思いやる。管理者がスタッフの一時解雇や自宅待機を余儀なくされた可能性や、削減された人員数で、または断片化された労働力で業務を遂行している可能性があることを心に留めておく。
- 場の空気が読み取りにくいため、お互いの発言がかぶる可能性が極めて高い。そのことをあらかじめ考慮しておくか、もしくは、「バーチャル挙手」などのソフトウェア機能を使う合意を得ておく。
- ビデオ映像は音声よりも大量の帯域幅を使用するため、もし音声状況が悪い場合はカメラをオフにするよう取り決めておく。
- 初回会議、まとめ会議、最終会議には以前と同じくメリットがある。
- 可能な場合は、ライブストリーミングを利用して施設見学を実施できると役立つ。
- 目の疲れを取ったり体をほぐしたりするため、定期的に必ず休憩をとる。
- 証拠の見直し及び事実の検証を行うための定期的な休憩を要求し、提供された情報を確認し分析する。
- 休憩時は、プライバシー保護のためにビデオ映像をオフにし、マイクはミュートにしておく。
- 関係者全員が同じ場所にいるわけではたいため、休憩後の開始時間を取り決めておく。
- 映像を見る場合は、録画なのか、ライブストリーミングなのかを確認する。
- 動画または静止画面撮影を証拠として受け入れる場合は、タイムスタンプが付いていることを確実にする。
- ライブストリームで活動を確認する場合、外部の人が見てもよい活動/ 場所の制限内で、監査員が被監査者に対して何を見せて欲しいかを指示することが重要。
- 人の状況認識力は、カメラ/ 携帯電話を操作しているときに著しく制限されることがあることを留意することが重要。そのため、潜在的な危険がある場所では細心の注意を払う必要がある。
- カメラ/ 携帯電話を操作している人に特定の機械/ 作業領域に行くよう求めることをためらわない。または、もしフォローアップが必要なものがある場合は、すでに訪れた場所であってももう一度行くよう求めること。
- あせらないこと。ライブストリーミングまたは写真の使用は、重要なリモート監査活動の一つであり、現地監査なら実施していたと思われる活動の再現を図るものである。また、十分に詳細なレベルまで監査活動を行うことが重要。
- 供給者の活動によるが、事情が許す限り、現場で監査すべき要素があることを主張しなければならないことがあるかもしれない。
- 監査報告書には、監査できなかったプロセスと、後日そのプロセスを現地で監査しなければならない旨を明記する。
- 監査実施のために用いたICTの有効性についての監査員からのフィードバックは、リスク及び機会を更新するために用いること。
リモート監査と現地監査のどちらにもメリットとデメリットがあるのは明らかです。製造、加工、ある種の検査などの特定の活動は現地監査がもっとも適しています。こういった活動はリモート監査で無視されたのではなく、監査員に認識されている状態であり、コロナが収束した折には再訪問されます。
私たちの目標は、サプライチェーン監査の必要性を放棄するのではなく、自分たちの活動を現状に合わせて適応させることによって、顧客や規制当局に信頼を持ち続けてもらうことでした。新型コロナウィルスの影響で私たちは現在リモート監査を実施していることは事実ですが、この未曽有の災禍にもかかわらずリスクに基づいた監査を続けられていることを認めるほうがより重要なのではないでしょうか。