監査チェックリスト 09.06.26

本日は先日の内部監査の続きである。
あなたの使っている内部監査のチェックリストってどんなものでしょうか?
私は大変興味があります。
ISO内部監査の本の後ろには監査チェックリストなる表が何ページもついているのが普通です。そんなものを使っているのでしょうか? 私はISOの規格適合を見る審査でもなく内部品質監査や内部環境監査でもない。監査基準は遵法のみという二者環境監査であるが、監査の本質は変わらない。どこぞの会社に行ってしっかり法律を守っているか、危ないことをしていないかを点検するときに、いかなるチェックリストを持っていくべきだろうか?
実は私の場合、相手企業に初めて訪問するというケースが多い。そして二度と訪問しないということも多い。しかも、事前情報としては会社名、所在地、大まかな会社概要つまり業種、製品、従業員数、まあそんな程度しかないことが普通だ。
通常のISO審査に比べてはるかにハンディキャップがあることはご理解いただけるだろう。ISO審査なら、組織、範囲、従業員、業種業態だけでなく、該当法規制リスト、著しい環境側面の一覧表、運用のためにどんな文書があるかとその概要が事前情報として手に入るのだ。これほど楽なことはない。
ISO審査が楽じゃないなんておっしゃる審査員がいたら、私と同じことができますか?
私の場合、近隣が住宅地なのか、地目は何なのか、どんな建物なのか、それさえも全然わからない。
最近はグーグルがあるので、住所から空から見た写真が得られるので、だいたいの見当がつくようになった。ありがたい。
だからより具体的なこと、つまり排水処理設備があるかどうかわからない。ボイラーがあるかどうかわからない。めっきをしているかどうかわからない。塗装をしているのどうかわからない。プレスがあるのか、コンプレッサーがあるのかわからない。まあ今どきはどこでも、エアコンやパソコンくらいは保有しているだろうけど・・
そんな会社に伺う時に、いったいどんなチェックリストを持っていくべきだろうか?
すべての環境法規制を羅列した、長〜い長〜いリストを持っていくべきだろうか?
まあ、それでは仕事にならないことは間違いない。時間が無限にあるわけではない。

もうひとつ悪条件がある。私の行き先は環境監査なんて受けたことのない会社が多い。はじめてのことだから、先方は何を聞かれるのかわからないし、質問が理解できないことも多い。「どんな法規制がかかっているのか?」といったところで「?」ということも多いし、法律の名前なんて言い出したら外国語と思われるのがオチだ。
さあ、歴戦の内部監査員よ!どういう切り口から攻めるべきだろうか?
本の後ろに付いているような内部監査のチェックリストでは役に立たないことは受け合う。

私は監査の前にプランは結構考える。
もちろん監査依頼者がいて、監査方針は明示されている。その監査方針から何を重点に見るか、いや正しくは何を見逃さないかを検討する。
監査プログラムに当たるかどうかは定かではないが、何を、どのように、どのくらいの精度で、どのくらいの時間をかけて、点検するのか考える。
図面を書くとき組立図から描くように、プロジェクトを立てる時おおまかな計画をたて、それを具体的に展開するように、パワーポイントのプレゼンをアウトラインからはじめるように、監査はまず監査方針がありそれを監査プログラムというシナリオに展開しなければならない。
もっとも全体計画を決めずに走りだす人もいるし、パワーポイントを一枚一枚から描き始める人もいる。しかしいくらなんでも、部品図から描き始める設計者はいないだろう。
そういうシナリオができれば、もう監査の準備は90%完了だ。チェックリストとはそれを実行するための脚本ではあるが、セリフは一語一句書くことはない。
参考までに
 ・チェックリストとは監査の作業文書である。(ISO19011)
 ・文書化の程度は要員の力量によって異なる。(ISO9001)
チェックリストとは目的じゃない。監査のためのツールに過ぎない。みながみな同じツールを使うことはなく、己の力、身の丈に合った得物を使うべきである。
得物(えもの)手で扱う武器
だから私は私に合ったチェックリストを使っている。実は、私の使う監査チェックリストというものはキーワードしかない。

最近のこと、某会社の監査をすることになった。その会社はISO14001認証をしている。その会社から、事前にチェックリストが欲しいといってきた。別に秘密でもないし、事前点検をしてくれたほうが手間が省けるからと送ってやった。するとチェックリストが分かりにくいという。そりゃそうだ、私は他人様(ひとさま)がわかりやすいようにチェックリストを作っているわけではない。自分が良い監査をするためのツールとして作っているのだ。
そこからが異常である。その会社ではチェックリストがわかりにくいので、自分たちが監査チェックリストを作るから、それで監査をしてほしいという。
絶句である。笑ってしまうべきだったのだろうか?

監査の目的っていったいなんだ?
私は依頼者から遵法点検を指示され、最大限の努力を払ってそれに応えなければならない。私のお客様は被監査部門ではなく、依頼者なのだ。

誤解があるかもしれないので最後に一言
監査とは被監査部門のために行うのではありません。
依頼者のために行うのです。
ぶらっくたいがぁ様からお便りを頂きました(09.06.27)
そこからが異常である。その会社ではチェックリストがわかりにくいので、自分たちが監査チェックリストを作るから、それで監査をしてほしいという。
まるで生徒が「先生が出すテストは難解でいい点数がとれそうもありません。
そこで自分たちで問題を考えましたから、それでテストしてください」と言うようなものですね。

あなたの使っている内部監査のチェックリストってどんなものでしょうか?
ウチのチェックリストは1回限りの使い捨てなので、何度でも繰り返し使えるようなものはありません。それも、監査事項1個に「ファースト質問」が1個だけ、監査事項は通常4〜5個ぐらいですから、チェックリストには質問が4〜5個書いてあるだけのいたってシンプルなものです。
それだけ少ないのなら内部監査は5分で終わるのではと思われるかもしれませんが、ゆうに2時間はかかります。なぜなら、質問は単純に「はい」や「いいえ」で答えられるものではないからです。
あくまで「ファースト質問」にすぎないので、相手の回答から深堀の追加質問が始まります。ここから先はアドリブであり、質問者の力量頼みとなります。
例えばこんな具合です。
「この半年でトラブルのあった設備は何ですか? その点検記録はありますか?」
ここで被監査者からトラブルのあった設備が何であるか、どんなトラブルであったか、それがどんな結果を及ぼしたかなどの情報が得られます。
それを基に監査員は、原因はちゃんとわかっているのか、必要な対策はとられているのか、従来の点検項目で発生を防げなかったのはなぜか、防止に必要な点検項目は新たに設けられたのか、その箇所と点検方法・頻度は適切なのか、といったことを深堀質問していき、潜在する問題点は残っていないかを調べていきます。場合によっては、もっといい保安管理方法はないかのディスカッションになる場合もあります。
というわけで、この「ファースト質問」から始まる一連の問答だけでも軽く20分ぐらいは必要になります。ディスカッションにまで発展すると、ファースト質問3つで終わりということだってあります。

つまり、チェックリストは問題点を焙り出すためのトリガーとしての役割しかありません。ウチでは、まず管理責任者が内部監査の目的(テーマ)と部門ごとの重点監査事項を監査リーダーに伝えます。それを基に監査リーダーが上記の例のような質問を考えて監査に臨みます。
規格要求事項との照合だけしかしないのなら山ほど質問を用意してそれを毎回使えるでしょうが、ウチでは有効性監査しかしないのでチェックリストは主役ではなく脇役、目次でしかないのです。

おお!たいがぁ様はまさに私とまったく同じじゃありませんか!
本に載っているような小学生用の監査チェックリストではどうしようもないでしょうにね
世の中の内部監査・・いや、ISO審査さえそのような当たり前のレベルに至っていないようです。
ちなみにそんなことは考えるまでもなく、ISO19011にちゃあんと書いてあります。
ISO9001では完ぺきにISO19011を引用し、ISO14001でも参考としています。おっと、JAB基準ではISO審査においてISO19011を引用しています。
なぜISO審査でオママゴトチェックリストを使い、内部監査で小学生用のチェックリストを使っているのでしょうね?
有効性審査なんて言う前に、審査で使っているチェックリストを評価すれば期待できるか、期待できないか自明でしょう。
といってもISO認証制度の関係者はこんなウェブサイトを見てないでしょうね。

ぶらっくたいがぁ様からお便りを頂きました(09.06.27)
どうも内部監査についての誤った解釈があるのではないかと思います。
つまり、「内部監査員が」内部監査において規格との適合性を確認しなければならないと。
そんな解釈をするから「環境方針は定められていますか?」とか「製造課長の責任と権限は何ですか?」なんてアホな質問を身内同士でするはめになるのでしょう。もし、授業参観ならぬ家族向けに職場参観なるものがあったとして、自分の子供が来ていてそんなアホ問答を目にしたら、「お父さん、どうしてお互いに知っているはずのことを顔を付き合わせて真剣に聞いているの? バカみたい」と言うことでしょう。また、それにどう答えるのでしょうか。「これは認証を維持するために必要な儀式なんだよ」とでも答えるしかありません。
おっと、裸の王様の逸話を思い出しました。
規格には、内部監査員が直々に規格との適合性を確認しろなんて書いてありませんから、管理責任者が内部監査の結果から適切であることの確信を持てればそれで十分なはずです。もしそれで不十分であれば、認証機関が審査でちゃんとチェックしてくれるのですから。
つらつら思うに、内部監査が形骸化する諸悪の根源は、審査の直前にすることにあるのではないでしょうか。つまり、審査で不適合を指摘されないために、ボロを出さないために、あらかじめその芽を摘んでおくことが内部監査の真の目的になってしまっているのです。
本当に業務改善に役立つ内部監査をやろうと思うのなら、そんな「審査員ゴッコ」なんていっそスッパリやめてしまって、審査後3ヵ月から半年後ぐらいのタイミングでやる方がよっぽど効果的です。審査後であれば審査を意識することなく、本当に問題点抽出に専念できるからです。
と、エラそうなことを語っておりますが、こんなカンタンなことに気づくのに実は長い時間がかかりました。

ぶらっくたいがぁ様 毎度ありがとうございます。
「お父さん、どうしてお互いに知っているはずのことを顔を付き合わせて真剣に聞いているの? バカみたい」
日本中にバカとアホがいるようです。

「これは認証を維持するために必要な儀式なんだよ」
結婚式は厳粛であっても晴れがましく、お葬式は悲しくてもあの雰囲気好きです(本当)
でもそんなアホラシイ儀式は好きになれそうありません

弊社の監査は時間をかけて行いますので、審査前にササットできるようなものではありません。ですから1年間かけて行います。株主総会とか決算期は避けますが・・
でも・・・こんなISOが流行しているって、SARSや豚インフルエンザと同じように注意報を出して国民に自衛策をとらせるべきです。審査員が来たらマスクを・・いえいえ、「あなたはISOアホウイルスに侵されているか」と確認しないといけません。
もっともそう聞いても「ハイ感染しています」なんて応える人はいないか


監査チェックリスト ダメ押し 09.06.28
ネットはネタの宝庫である。ネットをさ迷っていると、新しいことを知り、無知を自覚するとともに、他人の無知と、他人が迷っているのを知る。
本日もISOに関する面白いフレーズを見つけた。
「内部監査ではチェックリストがポイントなのに、チェックリストの改良方法がわからない」
この文章を読んで、同感という人も多いのではないだろうか?
「当社はすばらしいチェックリストがあるからそんな懸念はない」と思った方もいるかもしれない。
あるいは「良いチェックリストを販売していますよ」と商売熱心なコンサルもいるに違いない。
いずれにしてもこの文章の意味する「監査においてチェックリストは重要だ」という考えに同意する人は多いのではないだろうか?

しかし、それは完ぺきに間違っている。
驚くことはない。監査で重要なものはチェックリストではない。
そんなことはISO規格に書いてある。
監査で大事なものは監査の目的(audit objectives)と監査プログラムである。(ISO19011)
審査においてチェックリストを止めてしまった認証機関も存在する。審査でチェックリストを使わなくて良いなら、もちろん監査でチェックリストを廃止することもできる。
むしろ、ISO19011では監査はチェックリストに拘束されてはいけないとしている。(ISO19011 6.4.3)
あなたの会社の内部監査が十分機能していないなら・・「内部監査ではチェックリストがポイントなのに、チェックリストの改良方法がわからない」という文句を見て同意した方はその可能性が大きい・・監査チェックリストを改良しようとする前にすることがある。
まず、「監査の目的」がはっきりしているのか?
「監査の目的」を「監査方針」と言い換えてもいい。監査とは依頼者から指示を受けて行うもの。依頼者のご注文がはっきりしていないなら、良い監査ができるわけがない。

そんなことをいうと、監査はISO規格に次のように書いてあるという。
ISO14001;2004 4.5.5
1)この規格の要求事項を含めて、組織の環境マネジメントシステムのために計画された取決め事項に適合しているかどうか。
2)適切に実施されており、維持されているかどうか。

そりゃそれは間違いではない。しかしそれは監査の一般論だ。その次の行に「監査プログラムには、当該運用の環境上の重要性及び前回までの監査の結果を考慮して、組織によって計画され、策定され、実施され、維持されていること。」と書いてあるではないか。
監査で何を見るのかは、被監査組織の環境側面と過去の出来事を反映しないとならないし、更に依頼者のご注文を聞かなければいけない。
ちゃんと内部監査をしようとするならISO19011をしっかりと勉強しないといけない。
おっとISO19011にもチェックリストの要求はないのですよ。
ISO19011でも、「チェックリスト」という言葉は「6.4.3作業文書の作成」という項目に二度でてくるだけだ。
・作成する作業文書にはチェックリストを含む
・監査活動の程度は、監査中に収集した情報の結果によって変化し得る。したがって、チェックリストおよび書式を利用することが、監査活動の制限にならないことが望ましい。
次に、監査プログラムがしっかりとできているかを考えるべきだ。
まさか被監査部門、日程、監査員の割り振りがあればOKなんて思っちゃいないだろう。だが、その思っている人は多いことは間違いない。
そもそもチェックリストっていったいなんだ?
ISO9001にもISO14001にも「監査チェックリスト」なんて言葉がないことを知ってたかい?
監査目的、監査プログラムによって、監査で聞き取ることが決まり、監査を行う時に聞き洩らしを防ぐための「備忘録」がチェックリストである。
監査チェックリストなんて、備忘録に過ぎないんだよ
だから監査の目的が異なればチェックリストも変わるのは必定だ。ゆえに、いつでも使えるとか、すべての部門に適用できるチェックリストが存在するわけがない。
それに監査員のレベルによってチェックリストは変わるし変わらなければならない。
廃棄物契約書をチェックしましょうという時、どのくらいの細かさでチェックリストを作るのですか? 記載項目・許可証・印紙などの主要項目を羅列したものもあるかもしれない。あるいは、記載すべき項目をすべてリストアップするのもあるだろう。それだけじゃなくどういう風に書くべきか、印紙金額の一覧表まで用意するかい?
あるいはみーんな頭に入っていれば、「契約書チェック」の一言ですむかもしれない。知識のある監査員にとって初心者用に余計なことが書いてあればノイズになってしまうだろう。
よって、監査員のレベルによってチェックリストは変わる。

「よいチェックリストを作れば誰にでも内部監査ができる」なんて語るISO審査員もいる。
こういう審査員はいくつかの間違いをしている。
ひとつ
ISO審査は規格適合を見るものである。だからISOの審査ではチェックリストが標準化でき、また成長する必要がない。組織を成長させるための内部監査ではなく、そういう適合性審査だけしかしたことがない審査員はそういう考えになりがちだ。つまり内部監査の意味を誤解している可能性が大である。
有効性審査なんて言っても同じことだ。
しかし内部監査は規格に適合していることを確認しても何の価値もない。会社の不具合とリスクを見つけ、少しでも会社を良くするための情報収集と改善提案のネタ探しをするのである。
内部監査は会社を良くしたり、改善をするために行うのではない。直接的にそれほどの強制力を行使できる監査を行えるのは経営トップだけだろう。通常は、いや基本的に内部監査の存在目的は、経営者に調査報告と改善提案をすることである。
次に
そう語る審査員は監査を行う力量がないことが考えられる。
聞いた話であるが、キーワードだけ並んでいる内部監査チェックリストがあったそうだ。それを見たISO審査員が「こういうチェックリストでは良い監査ができません。SVOCを明確にして誰でもわかるようにしなさい」と語ったそうだ。
その話を聞いて、私はその審査員はまったく監査とかチェックリストというものを理解していないことを理解した。 
2チャンネル風にいえば、その審査員はどこの審査員研修機関を卒業して、その認証機関はどんな教育をしてきたのか?と2時間ほど問い詰めたい。
いやそうではなく、その審査員にはすぐにお帰りいただいて、認証機関に電話をかけて「もうすこしましな審査員を派遣してちょうだい」と言うべきなのだろう。
私が応対しなくて残念であった。

本日の提案
「内部監査ではチェックリストがポイントなのに、チェックリストの改良方法がわからない」と思った方は、チェックリストの改良ではなく、依頼者のご指示が何であるかを再確認すべきである。もし監査の目的がはっきりしていないなら、それを明示してもらうことだ。
監査員は何のために監査をするのかを決める人ではない。
しかしいかなるご注文であってもそれに応えなければならない。

本日のご注意
ネットには「よい内部監査ができるチェックリストがあります!」なんて宣伝は多いが、「かわいい子がいますよ」と客引きをする店にかわいい子がいたためしはない。
ゆめゆめ死に金を使いませぬように


ぶらっくたいがぁ様からお便りを頂きました(09.06.28)
おはようございます。たいがぁです。
師匠、チェックリストの件は相当頭にきたようですね。3連発とは恐れ入りました。

2チャンネル風にいえば、その審査員はどこの審査員研修機関を卒業して、その認証機関はどんな教育をしてきたのか?と2時間ほど問い詰めたい。
いやそうではなく、その審査員にはすぐにお帰りいただいて、認証機関に電話をかけて「もうすこしましな審査員を派遣してちょうだい」と言うべきなのだろう。

まったく同感です。
内部監査とは直接関係ない話なのでコメントしませんでしたが、審査員の記録の要求に辟易している方も大勢いらっしゃるようです。

http://namidame.2ch.net/test/read.cgi/industry/1239363280/

たいがぁ様 毎度ありがとうございます。
まったく プンプン
ISOの評判が下がるのが良くわかります。
それは悲しいことですね、


岩もぐら様からお便りを頂きました(2012.05.16)
初めまして。この春に移動で品質管理部門に在籍することになり来年からは内部監査のリーダーになるように言われた平社員です。
いままでは総務と検査くらいしか経験していません。
社長の言うには、ここ数年内部監査でも是正がほとんど少ないここらで新しい担当者に変えて見方をかえさせてみよう、てなとこらしいです。
さっそく外部の方からチェックリストを試しに作るように言われ派手にダメだしを頂いて、どうしたものかとネットで検索していてこちらのサイトにたどり着きました。
目からうろこで、大変読み応えがあり読み進めているところなのですが、読めば読むほど、自分は不適合でえらいところに充てられたなあという気持ちが湧いてくるばかりです。
業務を完全に理解しているというのも曖昧ですし、まったく途方に暮れてしまいました。
ただ、時間だけは過ぎていくもので、さっそく5月末から内部監査があり、3回サブであとはすべてメインで進むことになっています。
こんな私に、何かアドバイスがありましたら是非頂けないでしょうか。
ここから会社の各部門の業務について遅ればせながら勉強するか不慣れすぎるうちはやはり何かしら忘備録でチェックリスト作るのもやむなしか
どうかよろしくお願いいたします。

岩もぐら様 お便りありがとうございます。
まず言葉の意味ですが、「是正」とは、監査でなにか悪いことが見つかった場合に、それを直すことを言います。社長さんは「是正」とおっしゃったかもしれませんが、その真意は監査で改善すべきことを見つけてほしいという意味かと推察します。
それから私はチェックリストを作っちゃいけないとは申しておりません。チェックリストを作る前に、監査の計画そしてそれを展開したプログラムを作らなくてはいけないよ、そしたらそれを具体化したチェックリストを作りましょうと言っているだけです。
さて、アドバイスといいますか、思いつくことをいくつかあげます。
もし社長さんとお話しすることができるなら、社長さんがどのようなことを想定しているのか、あるいはどこを重視してほしいのかとかお考えを把握したいですね。
例えば、遵法をよくみろとか、年頭に社長が示した計画が予定通りいくかを調べてこいとか、最近起きた問題の対策が適正であるかを点検しろとか、引っ越しの準備が着々と進んでいるかみてほしいとか、とにかく監査を依頼された方のご希望をお聞きすることが第一です。
ISOの内部監査と言えど、監査を依頼する方のお考えに沿って行うのは当然のことです。
社長さんの意図がわかれば、それに沿って計画や仕事がどのように調査、聞き取りをするかの計画を考えます。監査には仕事の流れに沿って行く方法と、要素ごとに進める方法がありますが、社長さんの指示が明確であれば、そのテーマにそって聞き取りをすることになります。調査の構想ができたなら、次に聞き取りすること、見なければならない書類などをリストアップします。これが実はチェックリストといいます。ですからチェックリストは毎回作らなければならないことになります。
そして調査した結果、会社のルールに基づいて仕事が進められているか? 計画は達成するだろうか? 遵法は大丈夫か? などが監査の結論になります。
なお、監査がISO対応であれば、一応規格項番ごとに何を聞いたのかの対照を記録しておくとよいでしょう。そのほうがISO審査で審査員への説明が簡単です。万人に分かりやすいことがもめなくてよろしいでしょう。
と書けばおしまいですが、実際にやってみると要領を得るまで大変です。まあ5部門もしてみればなんとかなるでしょう。
頑張ってください。


ISO14001の目次にもどる