「内部監査の緊急課題」 –(シリーズ3)自分たちのビジョンをビジネスの成果物に落とし込むことができるか? (その1)
IRCA ジャパンのテクニカルエグゼクティブであるRichard Green がISO 専門誌、月刊アイソスに連載した「内部監査の緊急課題」のシリーズ3は保証に関する緊急課題です。シリーズ3の (その1) では、保証に関する2つの問い、「経営層の意図が効果的に実行されているか」と「それは意図した結果を生み出しているか」について見ていきます。
はじめに
利害関係者を満足させることができなかった組織はすべて自滅への道をたどるということは歴史が証明しています。ただちに死に至るにせよ、徐々に死に至るにせよ、最終的な結果は同じであり、その会社は消滅します。
トップマネジメントにとって最も重要な責務はこのようなことが絶対に起こらないようにすることであり、組織のステークホルダーの多岐にわたる要求事項を、少なくとも現実的に可能な限り、一貫して満たすことです。
本シリーズの前回の記事では、ガバナンスにおける緊急課題に焦点を当てました。そこでは、コーポレートガバナンスを有効に保つためには、組織は達成しようとすることを明確にするだけでなく、ステークホルダーのニーズを一貫して満たすという確たるビジョンを持たなければならないということを学びました。
もし、私たち監査員が意図と願望の間のつながりを証明することができたら、私たちは次の段階、すなわち組織は自分たちのビジョンをビジネスの成果物に落とし込むことができる枠組みを実施しているかの検討へと進むことができます。保証に関する緊急課題を考える準備ができたと言えます。
保証に関する緊急課題
Assurance – ‘A positive declaration intended to give confidence’ (source English Oxford Dictionaries)
保証 – 「信頼を与えることを意図した肯定的な宣言」 (出典: オクスフォード 英語辞典) この定義は簡単ですが、保証とは一体何かを簡潔に表現しています。保証とは、物事があるべき姿であるということを表明することができることです。
製造業の黎明期においては、物事は単純でした。顧客が製造者のために製品をテストしてくれました。
このアプローチにはたくさんの利点がありました。少なくとも、高いお金を出して品質の専門家を雇う必要はありませんでした。しかし、顧客の目が肥え、ほかの業者という選択肢が広がるにつれ、単に製品を出荷し、うまく行くように願っているだけではだめだということに組織は早晩気づくようになりました。気に入らなければ顧客はどこへでも好きなところに乗り換えることができるのです。
大量生産の時代が来て、定期検査が導入されました。製品は製造プロセスの重要ないくつかの段階であらかじめ定められた基準に対してチェックされ、結果は合否チェックリストに記録されました。まだ粗削りではありますが、これらの検査は確かに上記の定義に基づく保証活動と認めることができ、最終製品が意図する目的に合致しているという信頼を組織と顧客にある程度まで与えました。
検査における主たる問題は、今もそうですが、評価がおこなわれるのは、実際には製品あるいはサービスが途中まで完了してしまっていたり、すべて完了していたり、場合によっては顧客に引き渡されてしまっているときだということです。生産サイクルのこの段階で不具合を修正するのは費用がかかり、廃棄や手直しが必要だったり、あるいは交換品を供給しなければならない場合があります。必要な保証を提供するためにはよりよい方法があるはずです。
1950年代に、品質について、これとは別の予防的なアプローチが登場しました。それは製品そのものや製品製造のプロセスで品質を計画するということでした。品質保証の誕生です。現在、品質保証は広く実施されていますが、もちろん検査も依然として重要な役割を果たしており、却下されるべきではありません。次回、飛行機に乗るときは、飛行機の初期の時代と同じく、飛行前検査が今も実施されていることに感謝すべきでしょう。
監査の専門家として、私たちは保証の分野に完璧に精通していなければなりません。詰まるところ、物事があるべき状態にあるということについて、証拠に基づいた、公平な保証を提供することが監査員という職業の中心にあるのです。そうであるなら、保証を提供するように求められたとき、マネジメントシステム監査員として信頼を与えるために私たちは何をしたらよいのでしょうか。
CQI (Chartered Quality Institute 王室公認品質協会) の力量のフレームワークは、ここで私たちが答えなければならない2つの問いを提案しています。最初の問いは、「経営層の意図は効果的に実行されているか」、2つ目は、「それは意図した結果を生み出しているか」です。噛み砕いて言うと、「トップマネジメントは組織がやるべきことを決定しましたが、組織は本当にそれを実施していますか」、そして「組織が期待されていることを実施しているとして、それは望んだとおりの結果を生み出していますか」ということです。 差しあたり、まず前者を考えてみましょう。
経営層の意図が効果的に実行されているかを判断する
監査員としてここで探すべきなのは、トップマネジメントが決定した方針をステークホルダーの要求事項を一貫して満たすことができる製品やサービスに落とし込むための手段があるかを確認できる監査証拠です。
「監査証拠」は、通常、「監査基準に関連し、かつ、検証できる記録や事実の記述又はその他の情報」 (ISO 9000:2015 – 品質マネジメントシステム – 基本及び用語) から成り、「手段」とは、通常、ビジネスマネジメントシステムのことです。このビジネスマネジメントシステムはISO 9001:2015 やISO 14001:2015 のような国際規格に基づいている場合もありますし、そうでない場合もあります。
私たちが探しているのは、組織の方針、戦略、目的、計画、プロジェクト、プロセス、個人のタスクと、ステークホルダーが望む結果を安定して生み出すための単一の一貫したマネジメントシステムとを結びつける「黄金の糸」を確認できる監査証拠です。
附属書SL はそのシステムがISO 規格に基づくか否かにかかわらず、すべてのマネジメントシステムを評価するために適用できる設計図を提示しています。
附属書SL の箇条4.4は適合組織が、(事業運営に) 必要なプロセスとそれらの相互関係を含むマネジメントシステムを確立し、実施し、維持し、継続的に改善することを要求しています。片や、箇条5.1はトップマネジメントが「通常の事業」にこれらのプロセスを埋め込むことを要求しています。
箇条 5.2は、組織の状況の理解に基づき、かつ組織がステークホルダーの要求事項を含む適用可能な要求事項満たすことへのコミットを示す方針をトップマネジメントが作成し、周知させることを義務付けています。方針は、マネジメントシステムの目標を設定するための枠組みを与えるものでなければならず、トップマネジメントが組織全体の戦略的方向性と一致することを確実にするものでなければなりません。
箇条6.2 は、マネジメントシステムの目標とそれを達成するためのシステムレベルの計画とを結び付け、箇条8.1はシステムレベルの計画とプロセスの設計、実施、管理とを結びつけます。最後に箇条9.1はマネジメントシステム全体のパフォーマンスと有効性を評価することを要求しています。
これらの要素がすべてあることが確認できれば、監査員は経営層の意図を実施するための手段が実際に確立されていると結論付けることができます。さらに、これらの要素がうまく連携し、意図した結果を途切れることなく提供していることが実証できれば、監査員はさらに一歩進み、「経営層の意図は効果的に実施されている」と結論付けることができるでしょう。
しかし、単に結合されたシステムがあるだけでは、そのことを意図してシステムが設計された結果を生み出すという保証はありません。したがって、監査員は、「マネジメントシステムは意図した結果を生み出しているか」という、保証に関する2つ目の問いを発しなければなりません。
組織が意図した結果を生んでいるかを判定する
これまでのところ、私たちは組織が、意図した結果を生み出す可能性のあるマネジメントシステムを保持しているということを確認することができました。しかし、可能性があるということと実際に実現しているということは、まったく別のことです。
そこで、実際に「現場で」何が起こっているかを精査することが必要となります。プロセスの保証から、製品/サービスの保証の分野へと移り、監視、測定、分析そして評価へとフォーカスを移していきましょう。
附属書SLの箇条9は パフォーマンスの評価を取り扱っています。目的は組織が自らの活動を監視、測定、分析及び評価するために適切な仕組みを確実に持つようにするためです。
組織は、何を監視測定するのか、妥当な結果を確認するためにどのように監視測定するのか、いつ監視測定するのか、いつ監視測定の結果を分析評価するのかを決定しなければなりません。これらの要求事項は製造/提供された製品及びサービスだけでなく、マネジメントシステムの運用そのものにも適用されます。
上記は最終的には組織が決めることではありますが、監査員は組織の決定が正しくないことを示す監査証拠があるときには、これに異議を唱える覚悟が必要です。例えば、重大な不適合が、お金のかかる測定の代わりにお金のかからない監視にするという決断の結果生じた可能性が明らかにある場合、監査員が不適合を挙げることは正当なことでしょう。
組織は、パフォーマンス評価の結果を証拠づけるため適切な文書化した情報を保持することが要求されています。これらの情報は多種多様なフォーマットで保管されている可能性があります。そのため、監査員はハードコピー同様、電子記録について精通している必要があります。「精通している」とはICT システムを使いこなすというだけではなく、そこに含まれているデータと情報が何を伝えているかを解釈できるということ (が必須) です。
内部監査の (9.2) とマネジメントレビュー (9.3) の結果は、システムが意図した結果を生み出し、監査を実施することによって得ようとした保証が提供されているかについて、監査員にさらなる情報を提供するでしょう。
次回は
次回は、監査員が提供する保証が信頼に足るものであることを認められるためには何が必要かを検討していきます。