内部監査実施の秘訣

投稿日：2018/10/16 更新日： 2019/08/16

寄稿記事: 監査という業務は何も新しいものではありません。特に財務関連の監査については以前から、さまざまな手引があります。この記事では、マネジメントシステム内部監査が近年、どのように変わってきてるか、内部監査をするには何から始めたらよいかについてお伝えします。

執筆者: David Winterburn, NQA Quality Principal Assessor

quality.org掲載の英文記事はこちらから

目次
内部監査とは
内部監査プロセスをどのように定めるか
内部監査の計画をどのようにスタートするか?
初回会議
内部監査を実施する
最終会議を実施する
その次にすることは? フォローアップをどうするか?
内部監査に関する、NQAの一審査員からの一般的なヒント

内部監査とは

内部監査は第一者監査と呼ばれることもありますが、組織、あるいはその代行者が、組織をマネジメントするために実施するものであり、組織の適合性の自己宣言の裏付けとすることもできます。

内部監査に関する最初の質問は、おそらく、「なぜ内部監査を実施すべきなのでしょうか?」となるでしょうが、この質問に対する答えは、ISO 9001:2015の箇条9.2内部監査の部分に明確に述べられています。監査は実施「しなければならない」のです。もし規格に適合しようとするなら、選択肢はありません。内部監査は、規格に照らしたマネジメントシステムの適合性の評価のための重要なマネジメントツールです。

内部監査実施について何が要求されているかを理解するためには、まずISO 9001:2015の箇条 9.2.1 を見てみましょう。9.2.1は、組織の品質マネジメントシステムが組織自身の要求事項に適合しているか、ISO 9001の要求事項に適合しているか、そして効果的に実施され、維持されているかに関する情報を得るために、内部監査をあらかじめ定められた間隔で実施しなければならないとしています。

しかし、これが組織の品質マネジメントシステムの状況 (context) にどのように関連するのでしょうか?

監査基準は、適合しているかを決定するときの参照先として使われるものであり、既知のプロセスあるいは活動について何を達成しなければならないかを記述するものです。監査対象の基準は、内部監査プログラムをマネジメントする人 (通常、品質マネジャー) が設定し、監査員と関連の部署の合意を得ます。

※内部監査実施については下記の記事もご参照ください。
>内部監査の緊急課題 (6シリーズ 13回)
>英国企業における (統合) 内部監査の実践事例

内部監査プロセスをどのように定めるか

ISO 9001は、組織は自分たちのプロセスを反映したマネジメントシステムをもつことを要求しています。組織のマネジメントシステムは、規格の要求事項を満たす必要がありますが、単に規格を反映するのではなく、まず第一に組織の要求事項に基づいていなければなりません。

規格を満たすことのみを優先すると、組織を助けるどころか、結果的に組織を邪魔するマネジメントシステムになってしまう可能性があります。そもそもの目的は、組織の業務をマネジメントする助けとなるシステムをつくることです。

つまり、組織は以下のことをする必要があります:

組織内のプロセスを明確にする
それらのプロセスの順序と相互関係を明確にする
管理の方法を決定する
監視のための方策を確定し、監視する
プロセス実施をサポートする文書化した情報を維持する

内部監査のステップの簡単なリストは以下です:

内部監査を計画する
初回会議
内部監査を実施する
最終会議
フォローアップ

内部監査の計画をどのようにスタートするか?

監査の手配

被監査部門と監査の調整をするときには、「自分たちの悪いところを暴こうとしているのでは」という印象を与えないようにすることが重要です。企業によっては、書面で通知を出す方法を採用していますが、小さな会社では、電話を掛け、「来週の金曜の午後に訪問します」というアポイントを取るのもよいかもしれません。

最初の重要な局面は、監査範囲 (すなわち、監査対象となるプロセスの部分) に関して同意を得ることです。監査範囲は、品質マネジャーが監査プログラムの一環として特定し、監査の境界を定めるものです。

次の局面は、対象部門のどの人たちに関与してもらうかについて同意を得て、必要な時間を確保してもらうことです。また、安全上の問題をクリアするため、そして監査中に上がってきた所見についての同意を得るために案内役が必要となるかもしれません。

監査チーム

組織によっては、チームとして複数の監査員が一緒に活動することがあります。その場合、監査員のうちの1人がリーダーとなります。監査員間で、あらかじめ、作業の割当てについて同意を得ておくほうがよいでしょう (例えば、だれがメモを取り、だれがプロセスのどの側面を監査するか)。

内部監査プログラムを作成するときには、下記について考える必要があるでしょう:

ビジネス上のリスクと機会
組織の登録適用範囲と戦略的方向性
前回挙げられた不適合、また取られた処置が有効だったか
内部及び外部監査の結果
各プロセスをどのくらいの頻度で内部監査したらよいか (上記の点をレビューした後に検討)
客観性と公平性を確保するためには、だれが監査したらよいか
監査員は監査対象のプロセス/活動に関与していないか
監査する力量があるか
力量があることをどのように決定したのか
経験/資格/トレーニング
内部監査プログラムと個々の監査を被監査側にどのように伝達するか
内部監査報告書 (文書化した情報) はどのように利用できるか

初回会議

初回会議を実施する際には、下記の点を確認しましょう。

被監査側との初回会議では、内部監査では、例えば下記を監査することによって、継続的改善の証拠など、
組織のプロセスの有効性と効率性を検証するものだということを説明する
● 顧客情報、スコアカード/ダッシュボード/報告書/クレーム
● KPIと目標; 関連性、傾向分析及び継続的改善
● 他のプロセスとのつながりとインタフェースの管理; インプット/アウトプット
● リスクコントロール
内部監査の基準である規格及び/または要求事項を確認する
例えば、下記のような所見の格付け
● 重大不適合
● 軽微不適合
● 改善の機会
だれが関与するのか
何を見るのか、プロセスアプローチを用いた内部監査は、PDCA モデルに基づき、下記を含む文書化したマネジメントシステムをサンプリングして監査する:
● 文書化した情報
● 物理的なプロセス/活動
● 要員との面談
所見が見つかったときにとるべき処置には、例えば以下がある
● 修正: 不適合を応急に正すためにとる処置
● 根本原因分析: どのように、またどうして不適合が起きたのかを分析し、決定する
● 是正処置: 不適合を取り除き、再発を防止するためにとる処置
これらの処置をとるまでの時間軸

内部監査を実施する

国際規格 ISO 19011 「マネジメントシステム監査のための指針」は、第一者 (内部) 監査、第二者監査、あるいは第三者審査のいずれにおいても、監査には初回会議があると言っています。

内部監査の場合、どのくらい正式にするかはその企業のスタイルで決まります。監査員が忘れてはならないのは、監査には真剣に取り組むということです。もし、「会議」という言葉は大げさだという場合は、会議という言葉を使う必要はありません。第一の目的は、被監査者が監査の全体的な目的を自覚しているかを確認することです。もしも、握手をして、コーヒーを飲みながら同僚と一言二言、話をすることでこの目的が達成されるなら、それで要求事項を満たしていることになります。ISO 19011には次のような実際的な助言があります「多くの場合には、例えば、小規模な組織での内部監査では、初回会議は、単に監査がこれから実施されることを伝え、その監査の性質を説明するだけでもよい」。

最初にするのは、これまでの内部監査をレビューし、何か所見が挙げられていないか、もし挙げられている場合は、これを是正するためにとられた処置が有効であったかを検証することです。

次に、選んだプロセスを監査し、監査中に見た関連の客観的証拠をサンプルし、記録することですが、これには下記が含まれます。

文書化した情報 – 下記などがあるでしょう。内容、文書名、参照、発行日などを忘れないように:
▼ 報告書
▼ 販売契約書
▼ 議事録
▼ 購買契約書
▼ 配送関連の文書
▼ 作業票
▼ 校正記録
▼ 法令点検記録
▼ 現場検査記録
▼ 製品/サービス検査記録
▼ 力量記録

注記: このリストは完全なものではなく、単なる例です。実際にサンプルする文書化した情報は監査するプロセスによってさまざまです。
内部監査の際に面談した要員 – 内容、その人の氏名、役職名と部署を忘れないように。内部監査中に会った人々の力量をフォローアップする際にこれらの情報が必要になります。
内部監査中に確認した物理的なプロセス/活動 – 例えば下記など、実際に見たことの詳細を忘れないように:
▼ 使用している機器、例えば機械/資産番号
▼ 直近のサービス日程
▼ 法令点検の有効期限
▼ 作業番号と詳細、例えば設計図、プロセスカード、作業指示書/プロセスフローチャート/手順書
▼ 検査機器、例えば、校正の状態はきちんと把握されているか、実際に適切であり、使用に適しているか
▼ 部品/製品 – 使用期限はあるか

注記: このリストは完全なものではなく、単なる例です。実際にサンプルするものは、監査するプロセスによって異なります。

監査するときには、自分たちは情報を与えるためではなく、情報を集めるためにここにきているのであるということを忘れないようにしましょう。ですから、監査の面談の際には、主に話をするのは、被監査者のほうだということになります。話す時間のバランスからいうと、80% 対20% を目標にしましょう。いつもそのようにできるとは限りませんが、1つの目標とはなります。

「私には六人の誠実な召使いがいます。私が知っていることは、みなその召使いたちが教えてくれたのです。召使いの名は『なに』『なぜ』『いつ』『いかに』『どこで』そして『だれが』です。」
ラドヤード・キップリング: 子どもの象 Rudyard Kipling, The Elephant Child

被監査側にたくさん話してもらうためには、監査員は具体的なことについて質問をして、その答えに耳を傾ける必要があります。被監査側から得る情報の量とタイプは、監査員がどのような質問を問いかけたかにより変わってくるものです。

最終会議を実施する

導入部分は必ずしもいつも必要とは限りませんが、監査のこの段階で初めて関与してくる人々がいれば、その人たちに再度伝えることがあるかもしれません。監査範囲と目的は、何を監査したのかを被監査者に理解してもらうために明確にする必要があります。特に、初回会議の際に指定した領域をすべてカバーした、あるいはカバーできなかった場合はそうです。例えば、時間がなかったり、対象の要員がいなかったために予定していた監査を完了させることができなかった場合です。

監査員は、監査中に見つけた所見の概要を発表します。このとき、監査員はこれを自分たちの所感としてまとめて、システムがうまく機能している領域について被監査者にフィードバックする機会としましょう。そうすれば、監査はだれかの足を引っ張るようなものではないという印象を与える役に立ちます。(いつもではありませんが) 不適合について話し合うということはよくあることでが、不適合は個別に提示しましょう。

不適合が受け入れられたときは、監査員は是正処置について、完了までの日程を含めて確認しましょう。不適合のあと、挙げられた観察事項をすべて伝えましょう。受け入れてもらえない不適合については、よく調べ、合意に達するよう努力しなければなりませんが、それでもだめな場合は、品質マネジャー (もしくはこれらの問題の仲裁を担当する人) に委ねるべきです。そうでなければ、問題解決のため、次のマネジメントレビュー会議に引き渡すこともあるでしょう。

最後に、監査員は監査中の協力に対して被監査者にお礼を述べ、監査報告書がいつごろできるかについて伝えます。

次のことを配慮する必要があります:

内部監査中の協力に関して被監査者にお礼を言う
内部監査はサンプリングによって行われているため、不確実な要素があることを説明する
所見の分類の方法も含め、被監査者にすべての所見について伝える
内部監査の総括を伝える
提起されたすべての所見について、修正と是正処置を実施するための時間枠を被監査者に説明する
質問がないか確認する

その次にすることは? フォローアップをどうするか?

不適合が提起された場合、不適合が適切に是正されたことを確認するために、チェックすることが重要です。フォローアップとは、処置が行われたかということを単に確認するだけではなく、提起された不適合を取り除くために、取られた処置は有効であったかを検証するものです。

フォローアップを行うときには、一種の「ミニ監査」のように取り扱うことが重要であり、何を見たかという証拠を指定の様式 (是正処置報告書) に記録しなければなりません。

是正処置が行われていない場合、単に是正処置のことを忘れてしまっただけなのかどうかを監査員は判断しなければなりません。そのような場合は、期限を1週間かそこら、伸ばすこともできるでしょう。ところが、問題を解決しようとする気持ちがそもそもまったくないというような場合は、解決のために、その不適合を管理責任者に「委ねる」しかないかもしれません。

是正処置は行われたが機能していない場合、つまり不適合がまだある場合、同じ是正処置報告書上で他の是正処置に同意するか、別の是正処置報告書をあげるのはあり得ることです。

是正処置が行われ、有効であるということになれば、不適合をクローズすることができます。

その際は、次のことを考慮する必要があるでしょう: