ISOの規格要求事項であるから、認証(審査登録)を受けるためにはその会社(組織)は内部監査をしていなければならない。あるいは認証を受けずに自己宣言するにしても内部監査をしなければならない。ISO規格以外の簡易EMS規格であるエコステージでもエコアクションでも内部監査は必須要件だ。現時点ドラフトであるけど、ISO14005では内部監査は段階的であるようだ。
昔の、つまり1987年のISO9001と9002では内部監査は要求事項だったが、ISO9003では要求事項ではなかった。内部監査というものがそれほど重要なのかどうか、どうなのだろうか? |
もっとも私が今まで審査に立ち会った経験からいえば、審査員であっても審査をする力量をお持ちの方は半分もいないと思う。
ママゴト内部監査をママゴト審査がチェックしているのか・・_| ̄|○
反論する前にすべての審査員が力量があれば第三者認証制度の危機はありえなかったという論にご同意いただけないだろうか?
まさか、すべては組織の虚偽説明に原因があるなんて
まあ、そんなわけで内部監査は必須であるから、あっちでもこっちでも、全ての組織は内部監査をしている。ではどんな内部監査をしているのだろうか?
ISO規格の文章そのままで、述部の「・・すること(14001)」とか「・・しなければならない(9001)」を、単純に「・・しているか?」に変えただけのチェックリストを作って内部監査をしている企業や監査員は非常に多い。昨日や今日、認証した組織だけでなく、認証してから10年以上経過している組織でもそんなところがある。
規格の述部を疑問文にしただけの内部監査が無意味ということではない。システムを構築するときの1回だけは必須だ。
|
「経営に寄与する内部監査チェックリスト」なんて銘打って市販している内部監査チェックリストも似たようなものだ。一度そういう市販のチェックリストを見せてもらったが、あんなものを購入するのはお金をどぶに捨てるようなものだ。
| 4.1一 般要求事項 | 当社のQMSが実務と融合している状況を具体的に説明してください。 | 説明を聞いても意味ないです。帳票や文書と、現実の業務を観察すればいいでしょう。 |
| 4.1一般要求事項 | QMSの有効性を継続的改善するということはどういうことですか。 | なこと、内部監査で聞くまでもないだろう! |
| 4.2.2品質マニュアル | 品質マニュアルの活用方法を述べてください。 | えつ!品質マニュアルって活用するものだったの? 審査員に見せるためのものと思っていた。 |
| 5.4.2品質マネジメントシステムの計画 | 品質目標達成のためにPDCA が回っていることを説明してください。 | 現実の記録を見て判断しましょう。口頭の応酬では・・ |
| 5.5.1責任及び権限 | 責任権限表の全社への周知方法を説明してください。 | 会社職制と異なる責任権限があるのだろうか? |
はっきりいって、そんなチェックリストで行う内部監査は、経営に寄与する内部監査どころか、内部監査でさえない。それはママゴトか、あるいは内部監査をするための基礎練習だろう。練習レベルの内部監査を過去15年もしている企業を私はたくさん知っている。
仕事をせずに練習したり教育を受けていて月給をもらえるとはうらやましい。
もっとも余計なアドバイスをすると殴られたりするかもしれないので、私はそのような稚拙な内部監査を見ても黙っている。 
|
そんな内部監査に業を煮やして、内部監査を改善しようとか、経営に寄与するような効果を出そうと語る人はたくさんいます。
いや結構なことです。内部監査は遊びじゃないです。ママゴトでもないです。企業の業務が法規制や会社のルールに基づいて行われているかを確認する内部牽制が第一の目的ですが、その過程や結果において業務の無駄や重複、あるいは時代に合わせて有効なものとし、更には効率性をあげていくことは素晴らしいことです。
そういった方々はいろいろな手法、アプローチを提示して改善を語っています。いや、素晴らしいことです。イチャモンを付けるつもりはありません。 そういった提案の多くは、規格項番ごとのチェックではなく、仕事の流れを質問して、それが適正であるかどうかを確認する、いわゆるプロセスアプローチってのが多いようです。
「あなたの部門では過去1年間に導入した設備がありますか?」とか、「あなたの部門ではどんな不良が発生していますか?」なんて質問ではじまり、それに対する相手の回答に応じて次の質問は分岐していきます。そしてその部門の問題点を見つけて、その問題が該当するISO規格項番の不適合としてとりあげるというのがそういった提案のメインである。
具体的な応酬を想像してみよう・・
「あなたの部門で化学物質を導入するときの手順を教えてください。」と始めてみよう。「化学物質といいいますが私たちは対象範囲は一般家庭用などを除いたもの、具体的にはMSDS提供が義務のものに限定しています。導入手順は、安衛法やその他の法規制を基に決めています。まず新しい化学物質を使用したい部門は、『新化学物質使用伺い』というものを記載して安全管理者に伺いを出します。法令では設備や有資格者などについての規制がありますので、同じ工場の他の部門で使っているものでも、その部門が新規に使う場合はこの伺いを出すことになります。様式はこれこれです・・」それを聞いた内部監査員は、たとえば「最近出された伺いを見せてほしい」となり、それに関する手順が適正に行われているかをトレースしていくことになるだろう。
こういったアプローチを行う気がきいた監査員なら、そのやりとりの中で、環境側面、法規制の把握、運用管理、教育訓練、文書、記録、監視測定、是正処置など複数の要求事項についての適合・不適合の情報を得ることができるだろうと推察する。
まさに微笑ましいと申し上げておきたい。といっても感心するほどではない。
私がそういった内部監査の評価を問われたら、まあ60点くらいと思う。不合格ではないが、誉めるどころではない。最低ラインというところだろう。
最近ISO雑誌に載っていた内部監査の改善事例には、他の手法もいくつか載っていた。
会議形式で行う方法とか、事前に質問票を渡しておいてその回答について議論するとか、まあいろいろあるようだ。
正直言って、私はそういう監査の実際を見ていないので適正か否か判断しかねる。
私の考えを申し上げますと、いろいろな手法があっても良いのですが、絶対にしなければならないことがあるということです。申し上げたように私はそういう内部監査を見ていないので論評はできないが、もしそしてそういう内部監査方法を提案している方が私の考える要件を満たしていないなら、内部監査は不合格だろう。
それは何かと言えば証拠の収集です。項番順であろうが、プロセスアプローチであろうが、業務フロー検証であろうが、会議形式であろうと、いかなる方法であっても監査とは徹底した証拠の収集あるいは観察によって行わなくてはなりません。
理屈から考えてみましょう。
監査とは依頼者から調査を依頼されて行うものであり、依頼者に調査依頼されたことについて報告することです。そのとき自分が確認したことなら自信をもって報告できるでしょうけど、伝聞では自信を持てないでしょう。
「○○について誰々さんはこう語っていました」というものは内部監査報告ではない。
「○○について調査したところ、○○でした」でなければならないはずだ。
私の方法を述べる。化学物質について前述した方法をとるなら、とるでもよい。しかし「最近導入した事例を見せてください」なんて甘っちょろいものではだめです。前回の監査以降の全件を出してもらいます。そして抜取して見るなんて手抜きなんてしませんよ。
指サックをはめて全部の記録をめくるのです。指サックをしないと能率が悪いし、指をなめるのはみっともない。それにカーボン紙ですと指が汚れます。ひたすら何十件もチェックしますと、伺出は部長がすべきとなっているところが課長のハンコしかないとか、MSDSの添付がないとか、添付されているMSDSが法改正前の物だったり、そういうのが見つかるのは普通です。
これだけで、責任権限、運用管理、文書管理、記録管理などなどの項目がチェックできちゃいます。
楽で簡単じゃないですか!
|
マニフェスト票ってのも面白い。これを1000枚くらいめくるといろいろ問題に気づくでしょう。お間違えないように、マニフェスト票というのはA票、B2票、D票、E票のセットですから、1000枚といいますと4000枚めくることになります。そんなに大量にチェックしたら日が暮れるなんて言ってはいけません。力量があればあっという間と言っては嘘ですが、まあ1時間もあればできるでしょう。そうしますと、B2票以下には処分業者名が書いてあるけどA票には書いてないとか、A票の数字とB2票の数字がずれている・・つまり後で記入したとか、おもしろいのが見つかります。
マニフェスト票に数量の記載漏れが見つかった時あなたはどのように判定しますか?
知らない方がいるかもしれないので・・ マニフェスト票に数量未記載は罰金50万である。 もちろん行政がマニフェスト票に数量未記載を見つけても、罰金なんていいません。だけど保健所長あるいは市の担当部局の長の名前で事業所長宛に顛末書と再発防止策を出せとお手紙がきます。 結構重大問題なのです。 |
もうひとつ例を上げよう。
是正処置の記録をたくさん見るとすべての様式が是正完了まで埋まっているが、不具合の内容は類似とか全く同じなんてのを見ることは多い。そういうのを見て間違っても「全て是正処置まで完了していた」なんてアホを語ってはいけませんよ。
再発しているなら是正されていないということです。でも即「4.5.3是正処置並びに是正処置及び予防処置」の項番の不適合とも言えません。真の問題は、教育システムが悪いのか、コミュニケーションが機能していないのか、あるいはと・・それだけでは分からないのです。
いずれにしても、おもしろいと喜んだり、珍しいケース(いやみだよ)だと驚くことが目的ではないのです。たくさんの証拠を見るということ自体が重要なのです。
我々は現象を見てその問題を探らなければならない。是正とは不具合現象を直すことではなく、不具合の原因を取り除くことであるから、是正ができるものを不適合としなければならない。それはすなわちマネジメントシステムにさかのぼるはずだ。
現象を見つけてそれを不適合にすれば被監査側がしっかりしていないと真の是正はできない。マネジメントシステムの弱点を不適合にすれば被監査側はなんとか考えるだろう。 といいつつ、私は相手の力量を見て、根源的なものを不適合とするか、即物的なことを不適合とするかを判断している。子供にむずかしいことを言っても無駄だ。あれをしろこれをしろと言わないと進まないのは事実。 |
そんなことを踏まえると、現象を不適合としたり、少数のサンプル(証拠)から適合・不適合を判断するのは完全な間違いだと分かる。現象を見つけたら、その問題を考えて、それがマネジメントシステムの不適合か否かを考え判定することが必要だ。
数字の書き漏れが、手順を決めてないのか、決めた手順が不適切なのか、教育の不備なのか、運用の不備なのか、それを検出していないのは監視測定に問題があるのか、内部牽制つまり遵守評価の仕組みが悪いのか、見つけても是正処置を怠っているのか・・考えることは山ほどあります。だからこそ内部監査は・・審査も同じですが・・おもしろいのですよ。
ということは現象を見つけるということは内部監査の第一ステップに過ぎないこと、そして大量の証拠を見なければならないことはお分かり頂けると思う。
この重要な第一ステップを抜かして、それ以降の分析をしようってのは、そりゃ無理というか無意味というべきか・・
お間違えないように、帳票などの証拠を調べるのに、抜取で良いとか悪いということではない。監査員が心証を得られるか否かということが大事なことだ。そして心証を得るということは、和やかな話し合いでもなければ、詰問でもない。証拠物件をみて、そこから得られることがすべてだということだ。
内部統制などの本を読むと、業務監査においてリスクアプローチとか抜取の理論的根拠などを考えている人も多い。受入検査のようにAQLを決めて行うことができれば客観的で良いと思うけど、実際には母集団も危険率も特定できないのだからどうすべきかわからない。現時点、私は統計的と言える監査方法を知らない。 加藤重信さんは監査には何件抜き取るとか何件あったらどのように判断するかというシナリオを作って臨めとおっしゃっている。そのとおりなのだが私はそのシナリオを統計を根拠に作れないでいる。 |
このようにいかなるアプローチであろうと方法であろうと、監査とは徹底した証拠の収集でなければなりません。証拠、すなわち帳票、記録、現場、業務遂行状況、そういったものをとにかく多数観察すること、それが絶対に必要なことです。現場や現実を見ない監査は監査ではありません。内部監査なんて上品な会議室で行われるものでもなければ、帳票もめくらず結論を出すことでもありません。
いや、そういう言い方は間違いなのでしょう。本当は、たくさんの事象を見ているとおのずから問題が見えてくる、ということなのです。教育記録でも、内部監査報告書でもたくさん見ていれば、価値があるか、愚にもつかないものなのかが見えてくるでしょう。三現主義というのは真理なのです。
それに、私は品質監査とか環境監査というものが存在するとは考えていない。それは業務監査の一項目に過ぎないと思っている。そして会計監査にしろ業務監査にしろ、監査とは帳票をめくること、現場を見ることと同義です。被監査部門とにこやかに話しあうことが監査なら、その監査は真実をつかむことはできないでしょう。いや監査ではない歓談なのかもしれない。
監査で経営課題を見つけたり改善を提案することは理想と思います。しかしはじめから経営課題を見つけようとか改善を提案しようという発想もおかしいでしょう。監査において、たくさんの証拠を見ることによって、そういう結果が得られたら良いとは思います。もちろん、監査でたくさんの証拠を調べた結果、経営課題を見つけないこともあるだろうし、改善提案がない場合もあるでしょう。
しかし監査の第一で最大の課題である、業務が法規制や会社の決まりに基づいて行われているか否かの心証は得なければならないし、そうでなければ監査ではないでしょう。
ISO規格に適合しているか否かを見る必要なない。なぜなら、規格要求は手順書に展開されていなくてはならないからだ。会社の規則を守っているなら規格要求を満たしていると考えて間違いない。
|
本日の主張
私は監査はいかにあるべきかなどと頭の中で考えたのではない。年間100事業所くらいにお邪魔して監査を行っている。そういう経験からの出てきた結論です。
本日のお断り
おばQの語る内部監査は時間がかかりそうだとおっしゃる方がいるかもしれない。
一部門の監査に1時間とか1時間半しかとっていなければそうでしょう。でもそんな短時間なら元々まっとうな内部監査ができるはずがありません。最低3時間くらい確保してください。あるいは1日くらいかけても見返りがあれば良いのではないでしょうか。
ぶらっくたいがぁ様からお便りを頂きました(10.03.22)
ISO規格に適合しているか否かを見る必要なない。なぜなら、規格要求は手順書に展開されていなくてはならないからだ。会社の規則を守っているなら規格要求を満たしていると考えて間違いない。 当たり前田のクラッカーと言いたいところですが、おそらく登録組織の95%はこれを主眼に粛々と行っていることでしょう。 もし認証を返上して、ついでに自己宣言すらしないことになった場合、果たしてそれでも内部監査を実施するのでしょうか? 興味シンシンです。 |
たいがぁ様 毎度ありがとうございます 私の経験から申しますと、当たり前と思っている審査員は少ないようです。 不思議なことです。 |
しょうちゃん様からお便りを頂きました(03.03.26)
エコアクションの内部監査 毎度お世話になります。しょうちゃんです。 ISO規格以外の簡易EMS規格であるエコステージでもエコアクションでも内部監査は必須要件だ。 とありますが、多分、エコアクションは内部監査は必須要件ではなく、環境活動レポートの公表が必須要件だったと思います。 KESは内部監査必須だったと思います。 ということで、5年ほど前に両者が相互認証する計画がありましたが、この辺の折り合いが付かずに決裂したと聞いています。 ・・・アレ?誰から聞いたんだった?・・・最近物忘れが激しくって・・・ |
しょうちゃん様 毎度ありがとうございます。 おっしゃる通りです。エコアクション2004では内部監査は必須ではありませんでした。しかし現実には審査の場で内部監査をすることを推奨として出されているケースを多々存じております。 2009年に改定されたエコアクション2009では100人以上の組織では内部監査が必須、それ以下であっても次年度以降は推奨となったようです。 下位文書などを見ていないので詳細はわかりません。 |
うそ800の目次にもどる