知り合いの会社のISO14001審査で「内部監査のチェックリストが不備」という不適合が出されたという話を聞いた。というよりその会社の人が相談に来たのであるが・・
はじめに私の頭に浮かんだのは、ISO規格をそのままに語尾だけを「すること」から「しているか」に変えただけの、認証当初のチェックリストのままなのだろうということであった。それなら当然だよな、たぶんISO 認証してから3年くらい経つはずだと思った。
しかし、話を持ってきたというか、相談に来た人の話を聞くと、そうではない。
説明によると、今までまさにISO規格の語尾を変えただけのチェックリストを使って内部監査をしてきたのだが、当然のことながら監査の効果が出ない。そこで昨年、内部監査の効果を出そうと、いろいろと会社内部で検討したそうだ。
まず計画策定にあたっては経営者に監査への期待を聞きとり、また過去の内部監査結果、報道された事故や違反、そしてもちろん被監査部門の環境側面から監査プログラムを策定したそうだ。
そして監査方法も規格要求項目ごとに「文書や記録があるか・ないか」を聞くのではなく、業務全般について問題点の検出するよう業務の進め方を観察して、観察した結果が会社の規則に適合しているか、更に監査員の見識にてらして妥当か改善の余地があるかどうか見ようとしたそうだ。そういう内部監査になると「具体的・詳細な項目を決めた、エビデンスの有無を確認するチェックリストでは運用できない」と判断し、一般方向を決めて、調査の詳細、つまり何をどのように聞き取るかを監査員の裁量に任せるようにしたとのこと。もちろん最終的に適合・不適合を判定するときには、規格要求と社内ルールが監査基準であることはいうまでもない。
私がすごいと思ったのは内部監査員の要件を、従来は外部の環境内部監査員研修受講者としていたのを、会社の部長以上の管理職としたとのこと。考えてみればISO規格など知らなくても監査はできる。なぜならISO規格要求事項が会社規則に展開されていなければそもそもEMSは不適合なのだ。だから会社の仕組みを知っていて、その通り運用されているかを監査すれば、ISOの内部監査を満足することになる。
なぜISO規格を知らなくても会社の仕組みを知っていれば内部監査ができるのか? なんて問う人はそもそも内部監査員は無理、ISO審査員も不適格であることは立証できる。
|
EMSやQMSなんてない、あるのはMSのみだという私の持論を実践していただき感謝の念に堪えない。
といっても別に私が頼んだわけでもなく、私の利益になるわけでもない 
ところがその内部環境監査の改善がISO審査で問題だとなった。
所見報告書によると、
「4.5.5内部監査 内部監査は内部監査プログラムを立てて実施されているが、チェックリストの項目が包括的で、具体的でない。」とある。
そして審査では口頭で次のように言われたそうだ。
「内部監査のチェックリストは内部監査の目的とそれを反映した調査事項は記載しているが、規格対応の適合を具体的に点検するチェックリストになっていないのが問題である。」
不適合の根拠は4.5.5である。具体的に該当する規格文言は記載してなかった。
私がもう10年以上も前に審査員研修を受けたとき、不適合とは項番だけでなく不適合に値する具体的な文言を書くことと習った。この審査員はどこの研修機関を修了したのだろうか? あるいは習ったことを忘れてしまったのだろうか?
「4.4.5文書管理 ○○手順書の承認された記録がない」なんてCARは要件を満たしていません。 「4.4.5aでは文書を発行前に承認することを要求しているが、現場で使われていた○○手順書の承認した記録の提示を受けなかった。」くらいは書きたいものだ。 そのように根拠を明示しようと努めることこそ審査や監査の質を維持する要件である。根拠ない不適合は、提起された問題が不適合ではなく、審査・監査が不適合であることを示すものである。 最近、EMS審査員も更新の際にCPDを要求されるが、CPD以前に規格の理解とか審査の手順を忘れていないかを試験するべきではないだろうか? |
まあ、規格にあれば不適合となる根拠の書き漏れがあっても許してあげよう。
ところが今回の内部監査のチェックリストの不適合の根拠がちょっと見あたらないのだ。
ええと、規格のどの文言に不適合なのか検討してみよう。
| 規格文言 | 私の考え |
| 4.5.5内部監査 組織は、次の事項を行うために、あらかじめ定められた間隔で環境マネジメントシステムの内部監査を確実に実施すること。 | このセンテンスでないことは間違いない。 |
| a)組織の環境マネジメントシステムについて次の事項を決定する。 1)この規格の要求事項を含めて、組織の環境マネジメントのために計画された取決め事項に適合しているかどうか。 | 規格の要求事項は社内の手順に展開されているから、社内のルールの順守を点検すれば、必然としてISO規格要求の順守は確認できる。 仮に、社内のルールが規格要求に不適合であるなら、過去の審査がめくらだったということになる。 |
| 2)適切に実施されており、維持されているかどうか。 | これも社内の手順をチェックすること、手順が順守され運用されていることを確認することによって帰納される。 |
| b)監査の結果に関する情報を経営層に提供する。 | この内部監査は、まさに経営者が求めていたことを報告しているわけで、このセンテンスを満たしている。 |
| 監査プログラムは、当該運用の環境上の重要性及び前回までの監査の結果を考慮に入れて、組織によって計画され、策定され、実施され、維持されること。 | このセンテンスを満たしていることは間違いない。 |
| 次の事項に対処する監査手順を確立し、実施し、維持すること。 −監査の計画及び実施、結果の報告、並びにこれに伴う記録の保持に関する責任及び要求事項 | このセンテンスを満たしていることは間違いない。 |
| −監査基準、適用範囲、頻度及び方法の決定 監査員の選定及び監査の実施においては、監査プロセスの客観性及び公平性を確保すること。 | このセンテンスを満たしていることは間違いない。 |
うーん、まず規格文言を満たしていないとか、反しているというところは見つからないようだ。
それに待ってくれ、そもそもどこにもチェックリストという言葉は出てこない。監査プログラムを作れという要求はある。監査プログラムとはどのようなものかといえば、聞きとり事項を羅列したものではなく、監査の計画書という趣旨だろうと思う。
知りたければ具体的要件はISO19011に明示してある。
|
ということは審査員のミスジャッジになるのだろう。
あるいは確信犯的行為なのかもしれない。
この場合、確信犯などと大げさなことではなく、審査員がISO規格を勘違いしたという可能性もある。 もちろん不適合の根拠を示さないことは審査員の稚拙さを示す証拠である。 |
監査をするためにチェックリストを作ることは必要条件なのであろうか?
過去、ほとんどのケースにおいて監査チェックリストを作ってきたと思う。私も6割方は作成してきた。
しかし作成しない場合、いや作成できない場合もある。
どのような場合か?
まったく予備知識がない企業に監査に行く時、監査チェックリストを作れるだろうか?
具体的に書くと、例えば事前情報がまったくなくて、初めての会社に環境遵法監査に行くことがある。そんなことがあるのか?と思うかもしれないが、そんなのは私にとって普通のことだ。これから取引しようかと検討中のメーカーや外注先が、環境法規制を守っているか見てほしいなんて依頼は普段のことである。
その時、売上規模とかプレス屋かめっき屋かくらいはわかっても、近隣の状況、どんな設備があるのか、その他の工場管理状況なんて全然わからない。予備知識がなければ監査できませんなんて言うなら明日にも失業してしまうだろう。いや失業以前に己の誇りをなくしてしまう。
そういうときは(それが日常なのだが)己の知識と経験から、そして目ざとさに信頼を置いて、観察したものを基に、遵法が適正かを判断するしかない。事業内容を聞き取り、工程を観察し、何を聞くべきかをその場で決め、そして聞き取り、大丈夫か否かを判断するしかない。まさにプロセス監査である。
そりゃあらゆる法規制を羅列した包括的、一般的なチェック項目を羅列したチェックリストを作っておいて、それを基に聞き取るという手もあるだろう。しかし、まあ、一度してみると良くわかるが、そんなこと現実の監査では不可能で、そういった全般的な知識とかを背景に、臨機応変に聞き取り、監査基準への適合を判断することになるだろう。
言い換えると包括的なチェックリストが頭に入っていないと、仕事ができないということだろう。
チェックリストなしの監査が異常ということではない。ひとつ参考になる事例をあげる。
JAB MS302-2008へのパブリックコメント及び処置についてのパブリックコメントで、認証機関ペリージョンソン(PRJ)から次のような意見があった。
| コメント内容 | JAB回答 |
「手書きメモやチェックリストについても、検討しなければならない。とまで踏み込んで要求するべきではない。当社では、チェックリストは、プロセス審査を阻害しかねないとして、廃止している。 よって提案として、『有効性を確認するために足る十分な情報を収集し、検討しなければならない。』という表現にとどめ、手書きメモ云々まで言及する必要はない。認証機関の判断を尊重すべきではないか。」 |
「この文書はIAF 基準文書を変更することなく翻訳して使用しております。したがいまして、ご提案の変更を行うことはできません。 但し、手書きメモやチェックリストが要求されていると受け止められるような表現にならないように修正をしました。」 |
となっている。
つまり、認証機関は審査にあたって「チェックリストを使用しないことが認定機関によって認められている」ということだ。
ということは、審査においてチェックリストが不要ということであり、同様に内部監査においてもチェックリストは必須要件でないと言い切ってよいと考える。
もちろん、その認証機関では詳細なチェックリスト作成を要求事項としていたのかもしれないが、ISO/IECガイド66では認証機関が独自に要求事項を定める場合、書面にして誰でも入手できることが要求だからその可能性もない。
さて、お読みになられている人はもう飽きてきた頃だろう。
結論に入る。
この会社の内部監査の仕組みは全然おかしくないと思う。
さて、審査結果に対してどう対応するべきだろう。
私が当事者ならそれなりに行動するが、当事者ではない。
- 次の選択肢がありますよとアドバイスをしただけである。
- 内部監査のチェックリストを審査員のお好みにあわせて作成する。
- 検討結果、現状で問題ないと是正報告を出す。
- なにもせずにほおっておく
催促する段になって、審査員も考えが変わるかも知れず、もめずに不適合でなかったことを認める可能性もある。
- 異議申し立てをする。
- 審査機関を換える。
あなたならどれを選びますか?
もし、その審査員あるいは関係者がこの拙文をお読みになって、その会社に「チェックリストが不十分と言ったのは当方の勘違いでした。取り消します。」と申し出るのが一番ではないかと愚行する。
私はもめるのはあまり好きではない。
ぶらっくたいがぁ様からお便りを頂きました(08.05.06)
なんとも不可解な指摘もあったものですね。 チェックリストというものは、内部監査の目的によってその内容や構成は大きく変わってくるものだと思います。 ご紹介された事例の会社では、内部監査の目的を従来は規格への適合性確認に重きを置いていたのを、業務改善のための問題点抽出にシフトされています。 前者が目的であった頃は、規格の項番に従って質問数はできるだけ多く、漏れなく○×が付けられる内容にするのがよいやり方だったかもしれません。 質問も「はい」「いいえ」で答えられるものがいいでしょう。 (例:「設備点検記録簿はありますか? 毎日キチンとつけていますか?」) しかし、後者を目的とするのであれば違ってきます。 普段から苦情、不適合製品、設備の稼動状況などいろんな監視測定を行っているわけですから、あらかじめ問題が潜んでいそうな箇所は見当がつくはずです。質問分野をそうしたところに絞り込んで、そうした問題を炙り出すことができる内部監査にする必要があります。 質問も「はい」「いいえ」で答えられるものではなく、具体的な答えを引き出すことができるように、また質問をどんどん掘り下げていくことができるように工夫が必要です。 (例:「この設備点検記録簿の項目に沿ってチェックすればトラブル発生が防止できることはどうしてわかりますか?」) そうすると、指摘された「チェックリストの項目が包括的で、具体的でない。」のは当たり前ということになります。限られた時間で質問を掘り下げて行うのですから、どうしても質問数は少なくなって“包括的”でなくなります。 また、最初の質問こそ具体的ですが、回答を元に突っ込み質問を続けていくわけですから以降はアドリブになっていくために、あらかじめチェックリストには書きようがありません。 (例:「日常点検では異常がないのに、頻繁に設備のトラブルが発生しているのはなぜですか?」 「別の修理記録簿に書かれている故障箇所が点検項目に含まれていませんが、なぜですか?」 「修理記録を元に点検箇所や方法を見直すことが行われていないのはなぜですか?」) こうして考えると、適合性の確認には有用であったチェックリストが、有効性の向上を目的とした場合にはあまり役に立たないことがわかります。 チェックリストは、それを用いるかどうかを含めて組織がその意図に沿った設計をするべきものであって、審査員は、その内容にケチをつけるのではなく、意図に沿ったパフォーマンスが得られているかどうかを見なければなりません。 また、もし指摘をするのであれば、チェックリストの内容がどうたらではなく、質問がどのように掘り下げられていったのかを調べて、それが甘かったのであれば、内部監査員の問題点抽出能力を高めるための教育を充実させてはどうかといった建設的な指摘を行うべきであろうと思います。 ご紹介された会社では、せっかく“業務改善のための内部監査”をすることができたのに、こんなくだらない指摘をされては、また“ISOのための内部監査”に逆戻りしてしまうかもしれませんね。 ところで、更に疑問があります。 「内部監査のチェックリストは内部監査の目的とそれを反映した調査事項は記載しているが、規格対応の適合を具体的に点検するチェックリストになっていないのが問題である。」 はて、規格は“内部監査員が、内部監査で、規格への適合性をダイレクトに確認すること”を求めているのでしょうか。 規格には、「この規格の要求事項を含めて、組織の環境マネジメントのために計画された取決め事項に適合しているかどうか」という「事項を決定する」ために内部監査を実施しなさいとあるだけです。 つまり、必ずしも内部監査員自身が内部監査において直接それを行う必要はないわけで、例えば内部監査員の報告に基づいて管理責任者が規格への適合性を確認したってかまわないわけです。こうした考えに基づけば、内部監査員(この事例の場合は、部長)が規格を知っている必要はありません。 知らないよりは知っている方がいいですが、それよりも、問題点を発掘してその根っこがどこにあるのか、どうすればその問題が解決できそうなのかといったことを調査・分析する能力を高めることの方がはるかに大事です。 内部監査員養成教育なるものは、本来そうした技法修得をメインに据えるべきであると思いますが、世の教育機関が主催するそれは規格の解釈と演習だけに終わるものが多く、カネと時間のムダだなあと思います。 しかし、見れば見るほどヘンな指摘内容ですね。 そもそも、ISO9001の序文には「品質マネジメントシステムの構造の均一化又は文書の画一化が、この規格の意図ではない」とあります。ISO14001でもこれは同じことが言えるはずであり、内部監査のチェックリストが網羅的でなければならないとする根拠はこの一文からも否定できます。 また、具体的でないことがどうして悪いのかも疑問です。具体的=正で、抽象的=誤と決め付けてかかっているようです。 抽象的な質問の方が効果的な場合だってあります。例えば「最近、何か気がかりな事象はありますか?」という質問は具体的でなく抽象的ですが、とても有用です。 「そういえば、最近、設備の○○が異音を出すことがあるので気になる」 「それはいけませんね。いっしょに見に行きましょう」 といったように、問題点の発見に近づくアプローチとしてはいい質問です。 |
ぶらっくたいがぁ様 いつもご指導ありがとうございます。 非常に残念なことは、これが実話であることです。 私はチェックリストの効用は否定しません。特に、私の本業である遵法点検の場合、監査先の特定施設や業務を事前に把握している場合は、漏れがないことを安心して監査できますので『非常に楽』でございます。 でも、遵法監査は適合性監査の最たるものですから、監査としては原始的な段階であることは間違いありませんね。 誰でも遵法監査ができるとは思ってませんけど
会社を良くするための監査になると、項目を決めてというより、方向を決めてすることになるでしょう。ところで、この場合の処置、はたしてどうなるのでしょうか? 私にはわかりません。 ただ、過去の経験からすると、多くの会社では確率半分は「審査員の期待する規格項番順のチェックリストを作ることになるでしょう。 私は直接の関係者ではありません。頼まれれば相談には乗りますけど・・・ しかし、この審査員、力量はどうなんでしょう? といいつつ思うんです、こういう審査員は文章作成能力が優れていてCPDなんて一発で問題なく通るんでしょうねえ もっともこの不適合の問題を問題と思わない審査員や審査員評価機関の担当者もいるのでしょう。 まあ、それがISO認証制度の限界かな 世の中のISO事務局がたいがぁ様のような方ばかりであれば、日本のISO審査とはものすごい真剣勝負の場であろうと思います。 審査員はお気楽で審査に行けるはずがありません。毎回、必死の形相で、今回は議論を納めることができるか?審査員が主導権を取れるだろうか?異議申し立てを食らわないか?いや生きて帰ってこれるだろうか?と思いつつ電車や飛行機に乗るのではないでしょうか? しかしながら、21世紀の日本のISO審査はそのような真剣勝負ではなく、竹刀の試合でもなく、寸止めルールでさえなく、師匠が弟子を教える場のようです。 なにしろそう雑誌に書いている審査員がいましたもんね |
右顧左眄様からお便りを頂きました(08.05.09)
ISO審査での内部監査不適合 相変わらず読み応えのある文章を読ませてもらって、感心した勢いで、つい軽い文章を書いてみたくなりました。 「監査」は業務内容を知らない人がまともにできるものではありません。 充実した「監査」結果をだすために部長級の監査員をそろえた経営陣の英断に感服します。 業務内容や会社の仕組みの知識経験がそこそこでの監査員ができるのは「監査やってきた」という「しるし」をもってくるだけ、しかも被監査側の費やした時間はむだになっただけという悲惨な結果。この「しるし」のためにチェックリストは極めて有効。 一方、実のある改善をしようとしているベテランには細切れに項目分けされたチェックリストは邪魔で苦手。その結果、監査側にたっても、被監査側にたっても規程を写して作ったチェックリストとは異次元で仕事をするから追いかけるのが大変。 この間でなんとか適当にまとめるしかないではないでしょうか。 |
右顧左眄様 毎度ありがとうございます。 「しるし」のためにチェックリストは極めて有効とは、また悲しいことを言っちゃってくれますね それって監査の意味がありませんねということと同義ですよ 企業側【ISO規格に内部監査があるから、しようか】 審査側【ISO規格に内部監査があるから、してください】 そんな成り行きでしているなら、やめた方がいいですよね。 企業の内部統制としての内部監査が存在して、そしてISOで言っている品質監査とか環境監査がどういう位置関係というか、従来からのどの部分がそれに当たるのかということを考えて、そして理解しないと、全く意味のないことです。 しかし、規格を読みなおすとISO9001:1987では「internal quality audit」、ISO14001:1996では「environmental management system audit」といってましたが、ISO9001:2000でもISO14001:2004でも「internal audit」としたのは規格策定者もはじめは企業の仕組みを理解していなかったのでしょうか? しっかりしろと言いたいですね。 |
ISO14001の目次にもどる