「内部監査の緊急課題」 –(シリーズ3)自分たちのビジョンをビジネスの成果物に落とし込むことができるか? (その2)
IRCA ジャパンのテクニカルエグゼクティブであるRichard Green がISO 専門誌、月刊アイソスに連載した「内部監査の緊急課題」のシリーズ3は保証に関する緊急課題です。シリーズ3の (その2) では、監査員が提供する保証が信頼に足るものであると認められるためには何が必要か、また第三者認証審査と内部監査は何が違うのかを検討していきます。
信頼性がなければ、保証を提供しても意味がありません
最終的に、監査員が提供するすべての保証が信頼できるものであると認められるためには、監査を依頼する人 (監査顧客) が監査員の力量を考慮に入れることが非常に重要です。附属書SL では、力量を「意図した結果を達成するために、知識及び技能を適用する能力」と定義しています。ですから、監査員は、監査をどう実施すべきかを理解し、そのように監査を実施することができなければなりません。
ISO 19011
マネジメントシステム監査の手引きは、監査能力を向上させたいと真剣に考えている人たちは必ず読むべきものです。この規格の土台をなすのは、監査の6原則 (もうすぐ7原則になりますが) であり、監査員が順守しなければならない重要な「ルール」です。 新しい7原則は以下です。
高潔さIntegrity | 監査員は監査を正直に、勤勉に、かつ責任感をもって行わなければなりません。 |
---|---|
公正な報告Fair presentation | 監査員には、ありのままに、かつ正確に報告する義務があります。 |
専門家としての正当な注意Due professional care | 監査員は、広範な注意及び判断をもって活動しなければなりません。 |
機密保持Confidentiality | 監査員は、機密性のある情報を取り扱うときは慎重でなければなりません。 |
独立性Independence | 実行可能な限り、監査員は監査の対象となる活動から独立していることが望まれます。 |
証拠に基づくアプローチEvidence based approach | 監査員は、検証可能な証拠に基づき理にかなった結論を出さなければなりません。 |
リスクに基づくアプローチ(DIS 19011:2017 から追加)Risk based approach | 監査員は、リスクと機会を考慮した監査のアプローチを採らなければなりません。 |
さらに、内部監査員を含むすべての監査員/審査員は、監査原則、プロセス及び方法、マネジメントシステム規格やその他の参照文献、組織及びその状況と適用される法的要求事項及びその他の要求事項に関連する知識と技能を持つことも当然のこととして求められています。
ISO 19011 では、さらに監査を実施する要員に期待される個人の行動を規定しています。これには以下のようなものがあります。
- 倫理的である すなわち、公正である、信用できる、誠実であり、分別がある
- 心が広い すなわち、別の考え方を進んで考慮する
- 外交的である すなわち、目的を達成するよう、人と上手に接する
- 観察力がある すなわち、物理的な周囲の状況及び活動を積極的に観察する
- 知覚が鋭い すなわち、状況を認知し、理解できる
- 適応性がある すなわち、異なる状況に容易に合わせることができる
- 粘り強い すなわち、根気があり、目的の達成に集中する
- 決断力がある すなわち、論理的な理由づけ及び分析に基づいて、時宜を得た結論に到達することができる
- 自律的である すなわち、他人との効果的なやり取りをしながらも、独立して行動できる
- 不屈の精神をもって行動する すなわち、たとえ他人から受け入れられなくとも、倫理的に行動する
- 改善に対して前向きである すなわち、進んで状況から学ぶ
- 文化に対して敏感である すなわち、被監査者の文化を観察し、尊重する
- 協働的である すなわち、審査チームメンバー及び被監査者の要員を含む他人と共に効果的に活動する
監査員が必要な力量を発揮し、期待される行動を示すことを確実にするため、DIS ISO 19011:2017 では、箇条7.3で組織が監査員のパフォーマンスを評価する基準を策定することを要求し、箇条7.4で監査員のパフォーマンスを評価するための方法を決定することを要求しています。箇条7.5では、監査員が要求されるレベルに達していない場合にどうすることが望ましいかが示され、箇条7.6では、力量の維持は一度限りの活動ではなく、継続的なプロセスであることが確認されています。
ISO 19011 を内部監査プログラムを計画し、実施するための枠組み、そして監査員と監査チームリーダーの適格性評価のための枠組みとして利用することにより、組織は自らのビジネスマネジメントシステムを客観的に保証するための信頼性のある仕組みを持っているということを実証することができます。
ステークホルダーがさらなる保証を必要とする場合、組織に「第三者」の審査を要求してくるかもしれません。第三者審査は、審査される組織から独立した、適切な資格を保持する個人または組織により実施されます。通常、これらの審査員は認証機関で働いており、国際規格あるいは省令との適合性を立証するために迎え入れられたり、法的あるいは規制要求事項の枠組みとの適合性を判断するために迎え入れられたりします。どちらの場合も、第三者審査員は、厳格なガイドラインに従い、監査所見が組織内で実際に行われていることを示すように設計されたプロセスに従って、活動しています。
第三者の認証機関は、組織が要求事項を満たしていると判断できるときには、組織が要求事項を満たしているということを確認する証明書を発行します。この証明書はマーケティングの目的や、事業拡大のために使用されます。認証は非常に人気があることは、最新のISO (国際標準化機構) のサーベイが示しており、全世界で発行された証明書の数は前の年に比べ8% 増加しています。
このサーベイは、2016年12月31日時点において、認証機関が164万枚あまりの証明書を発行していることを示しており、これらのうちの圧倒的多数は、品質マネジメントシステム規格であるISO 9001 の要求事項に適合しているという保証を示したいという組織のものです。このうち93%はISO 9001:2008 に対するものであり、新しいISO 9001:2015 版のものはたった7%に過ぎません。最大の成長率を示したのはエネルギーマネジメントシステムとIT サービスマネジメントシステムです。
残念ながら、すべての認証機関が同じように高水準で運営されているわけではありません。したがって、組織が証明書を持っているということだけでその組織が協力/連携するに足るよい組織であるという保証するには不十分です。追加の確認を実施する必要があり、これは通常二者監査という方法で行われます。二者監査はある組織が他の組織に対して、一緒にビジネスをやっていくことが適切であるかを判断するために行います。この場合、監査基準は組織が定めます。この基準は、ある特定の仕事に対する潜在的な供給者の単発の契約のためであったり、より一般的な供給者の資格要件を問うものであったりします。
第三者の保証 対 内部の保証
第三者認証は重要な役割を担いますが、多くの場合、適切かつ厳格な内部監査のプロセスは事業に近接し、事業をよく理解しているがゆえに、組織で実際に起こっていることについてより適切な所見を示すことができます。内部監査員はしばしば第三者審査員より劣るもののように見做されるなど、組織から過小評価されがちです。これは正しい評価ではありません。そうではなく、組織は内部監査の機能に投資をし、人材を育成し、プロセスを確立していかなければなりません。
もちろん、トップマネジメントが監査所見に基づき活動する準備ができていなければ、これらの努力は無駄になります。ステークホルダーに保証を与えるために重要なのは、監査で不適合や順守違反が発見されたときにトップマネジメントがこれに対処するために迅速に行動するかどうかにかかってきます。トップマネジメントが監査員の特定した不具合に進んで対処できなければ、組織のステークホルダーが満足な保証を与えられることはありません。
次号では
内部監査員は、組織内で日々仕事をしていますから、改善の機会を特定し、改善を推し進めるのに理想的な立場にいると言えます。しかしながら、大抵の場合、内部監査員の権限は単に保証を提供するということに限られてしまっています。次の記事では、監査基準が保証を越えて改善の領域にまで広がった場合、内部監査員の役割がどのように組織に多大な価値を与えることができるかということを検証していきます。