内部監査向上策
11.08.06
ご注意
本日はいささか冗長に過ぎたと反省しています。
あまりの長さに呆れたら読むのをおやめください。あらかじめお断りしておきます。

最近、私のブログに内部監査について駄文を重ねている。
フィアフォックスの場合下記リンクが機能しないようです。
2011.07.26 内部監査はマンネリ化するのか
2011.07.27 内部監査はマンネリ化するのだろうか?
2011.07.28 マンネリ化ということは進歩がないということだ
2011.07.30 マンネリ化は悪いことなのか?
2011.07.03 知り合いから相談を受けた

本家も駄文であるのは変わりないのだが、ちょっと考えてまとめて書いてみようと思う。
2011年現在、ISOの内部監査を向上させようというのが流行(はやり)らしい。おっと、証拠なくして語ってはいけないというのはISO世界の鉄則である。証拠をあげよう。ウェブサイトで「内部監査員+向上+教育」なんかで検索するといくつも講習会やコンサルのブログがひっかかる。講習会の案内を見ると、監査技術の向上、スキル向上、力量向上、スキルアップ、内部監査の充実などという言葉が並んでいる。ブログを見るとコンサルなのだろう、内部監査をレベルアップしよう、させてあげますと書いている人がいる。そんな講習を受ければすばらしい内部監査ができるようになるのだろう。その他にもしょっちゅう研修機関から監査員講習のダイレクトメールはくる、ISO規格の月刊誌アイソスでも内部監査向上を取り上げている。もっとも、この雑誌では毎年1回は内部鑑査の特集をしているようだ。

内部監査を向上させようという理由をいくつか考えてみた。
内部監査の低レベルが低い組織が多いのだろうか?
確かに私の見聞きするところ、そういう会社は多数を占めているようだ。とはいえ、今突然そのことに気がついたわけでもないだろう。10年もの間、気が付かなかったなら今も気がつかないことだろう。あるいはISO認証して10年も15年も経って、内部監査のレベルが低いことに気がついたとしても、すぐさま改善しなければと思うものだろうか? 今レベルが低いと気がついても10年間そうだったのなら、そのままでもいいじゃないかと思う人もいるだろう。
それともISO認証している企業が、超低成長どころか世界的大恐慌のきざしを肌身に感じて、会社の改革・変身のために内部監査を活用しようと考えたのかもしれない。だが今まで役に立たなかった内部監査に期待するより、全管理職に改善を考えろと檄を飛ばしたほうが効果はありそうだ。
もし費用削減を図るつもりなら、内部監査に期待するのではなく、交差費を切るとか、付き合いで入っている団体会員をやめるとか、月刊誌や新聞を購読するのをやめたりしたほうが間違いなく効果はある。官報を購読していたなら止めても支障はないだろう。そしてISOのための内部監査が役に立っていないなら、内部監査を向上させようという前に、内部監査をやめようという発想になるに違いない。

ISO関連の講習会、例えば内部監査員研修とか環境側面評価講座とか規格解釈というものは、不景気のせいか、最近だいぶ減ってきている。
認証機関が副業としてやっていた講習会は今時分ほとんど廃業というか開催されていない。10年も前は、認証機関の売上は、審査、出版、講習会の3本柱だと聞いたことがある。今は出版もなし、講習会もなし、審査費用もがた減り、大変だ。
研修機関で講習会が本業というところは逃げるところがないから、講習会で食っていくしかない。しかし、JRCAの登録者数もCEARの登録者数も大幅減少しており、新たに審査員研修を受けようという人も大幅減少している。
いまどきISO審査員研修で最大限の20人の参加があることはないだろう。今年参加した複数の方に聞くと受講者が4人とか5人ということだった。3人以下では開催できないと聞く。
そういうところが審査員研修受講者減少の売上を補うために内部監査研修という商品の売上を伸ばそうと、内部監査講座の受講者を集めようとしているのだろうか。

新規にISO認証する組織が少なくなってきており、コンサルや審査員が飯を食っていくために、内部監査を指導するという新しいビジネスのキャンペーンを始めたのかもしれない。もっとも10年前、15年前にまっとうな内部監査を指導しなかったコンサルや審査員が、まっとうな内部監査を指導できるとも思えない。それができたなら10年前にしていたはずだ。それとも、10年前だってあるべき内部監査の指導は出来たのだが、一挙に企業のレベルをあげてしまうと後々の仕事がなくなってしまうから小出しにしていたのだろうか? そんなことはあるまいとは思う。

まあ、理由はともあれ内部監査を改善しようという意欲は買う。カイゼンこそ日本の底力、カイゼンなくて明日の栄光どころか生き残りはない。
しかし内部監査を良くしようという言葉を聞くと、それは正しいことかと思うのは私があまのじゃくだからだろうか?
というところから話を始める。
今までは長い前振りなのだ。

なにごとでも改善は大事だ。だが改善するには何が問題なのか、あるいは更に良くするには何を良くすべきかを考えることが必要だ。そんなこと当たり前のことじゃないか。
つまらない例えだが、算数の成績を上げようとして、国語を一生懸命に勉強する小学生がいるはずがない。算数の成績を上げようと思えば、算数の勉強をしなければならない。そしてその前に、算数の成績を上げることが必要かという判断があるだろう。
これはおかしなことではない。算数で10点あげるのに10の努力が必要で、理科で10点あげるのに努力が5で良いなら理科を勉強したほうが良いだろう。またなにごとも逓減の法則があるから、一番成績の悪い科目を勉強すべきかもしれない。

何をばかな話をしているのだとおっしゃいますか?
案外、ばかな話ではないのかもしれません。あなたはなぜ内部監査を見直そう、向上しようと考えたのでしょうか? 教育訓練でもなく文書管理でもなく、なぜ内部監査なのでしょうか?
../pdca.gif ISO14001もISO9001も、シューハートサイクルとかディミングサイクルとかPDCAが大事だといっている。そんなことはISOが現れる前、それどころか戦国時代においても古墳時代においても、そして経営でなくても、農業でも、戦争でも、料理でも、道を歩くにしても普遍的な真理であった。
何か目標を達成しようとするとき、あるいは現状を維持しようとするとき、そのための手立てを考えて、実行して、うまくいっているか様子を見て、必要な対策をするということは当たり前、生物のフィードバック機能そのものだ。
さて、内部監査とはいったいなんだと考えると、この手立てを考えて、実行して、様子を見て、必要な対策をするというループの中の、様子を見るということ、チェックであることも言うまでもない。

あなたの会社でいろいろ問題はあるだろう。わが社には問題はないなんて遠慮しなくても良い。問題のない会社はないし、問題の存在さえ認識していないならいっそう危ない。
問題を解決するには、問題の原因を究めねばならない。そして原因を取り除かなければ問題は解決しない。
体調不良で熱が出たとき、解熱剤を飲ませればおしまいとはいかない。場合によっては熱を下げないほうが良いかもしれないし、いずれにしても発熱の原因を突き止めなければ病気は治らない。もっとも人間の場合は、治癒する力があるから診断を誤ってもある程度の範囲なら生命力によって回復する。というか、ほとんどの病気は個人の潜在力で治癒しているのだと私は思う。
しかし企業においてビジネス上のあるいは生産現場での問題は当面の対症療法をとれば、あとは自然に治癒するということは決してない。
何を道草食っているのか?と思われた方、あなたは正しい。老人がヨタヨタとさまよっているだけです。

要点は、問題を解決するには原因を究めねばならないということ。そしてあなたの会社で問題があったり、改善しなければならないことがあったとき、その原因は内部監査にあるのかということをはっきりさせないとならないということです。
内部監査のレベルが低いより高いほうが良いという理屈はまったくない。内部監査が良くても売上が伸びることはないし、製造技術が進歩することもない。どう考えても、内部監査が会社の重要な位置を占めているということはありえない。
もし内部監査が会社の最重要項目という会社があれば、その会社はおかしい。内部監査とは内部けん制機能であって、会社の本来業務は内部けん制ではない。会社は社会に製品やサービスを提供するために存在しているのであって、その本来業務の最重要部門は、物を作ったり、輸送したり、販売したり、サービスを提供することであり、会社が悪さをしないようにチェックする部門が最重要部門であるはずがない。
ということで、会社を良くするために内部監査を改善しようという発想はないだろうと私は思う。あるいは、内部監査が不十分で重大な不具合が生じたのだろうか? しかし内部監査が不十分で重大な不具合が起きたということもおかしい。内部監査が不十分で重大な不具合を見逃すことはあるかもしれない。しかし見逃しは内部監査の責任であっても、問題の原因は内部監査ではない。前に述べたように内部監査はチェック(C)なのだから、内部監査をいくら向上させたとしても、業務本来は向上しない。本来業務を伸ばすのはなによりも計画(P)である。

いや、そんな大げさなことではないのですとおっしゃるかもしれない。今年の内部監査前に、ちょっと監査員に教育したいのだということかもしれない。
お待ちなせえ〜
そんな軽い気持ちでやっちゃいけません。重い気持ちならいいのかというと、どうなんでしょうか? 重い気持ちとは、暗い気持ちなんでしょうかね? 私は暗いのが嫌いなので部屋はいつも明るく・・
いかなるものであっても目的ってものがあるでしょう!?
先ほどもいいましたが、監査員教育する目的は何でしょうか? 前回の内部監査でなにか不具合があったなら、それについて対策することそのものが教育でしょうし改善でしょう。わざわざ内部監査員教育なんて銘打つことはありません。
ところで、おたくの内部監査はチェックリストを使っているのでしょうか? 使っている、そりゃあ良かった・・何が良いのか分かりませんが・・
チェックリストを作る前に、監査プログラムを策定しているんでしょう?
あ、監査プログラムってこれですか? 部門と、実施予定日と、監査員のご芳名ですか・・ISO規格に書いてある、前回までの監査結果とかその部門の環境上の重要性・・普通は環境側面でしょうけど・・そんなことはどこにあるのでしょうか?
あ、監査前の説明会でお話をしているのですか? で、チェックリストは毎回同じものを使っていると・・フンフン

正直言って、日本のISOの内部監査の7割はこんなレベルだと思う。それじゃあ内部監査は時間の無駄に過ぎない。このようなレベルの内部監査であればレベルアップすることは必要だろうと思う。だが、それは内部監査員教育でできるとは思えない。いや、できないだろうと思う。
内部監査の手順あるいは仕組みを変えなければ改善はできない。どうすれば改善できるのかと途方にくれますか?
私は武蔵のごとく決して後悔もせず逡巡もしない。即決断・即実行である。
まず内部監査に期待することを決定する。
ISO審査のためなんだよというなら、手を打たないということも選択肢にある。だってなにをするにも手間隙はかかるので、リソースは無駄にできない。戦争でも経営でも撤退という選択もある。
そうではなく内部けん制に効果のあるようにしたいでも、遵法をチェックしたいでもよいか、目的と期待するレベルをはっきりさせる。
そしたらそれに応えるには、どのように内部監査の仕組みを変えるべきかを考えなければならない。誤解のないように、内部監査員の力量を設定するのではない。内部監査の仕組みを設計するのだ。
監査目的を定め、監査プログラムの仕様を決め、その手順を決める。その結果、内部監査の仕組みは決まる。内部監査のチェックリストなど瑣末な作業文書に過ぎない。
チェックリストは作業文書であるというのは私の言葉ではなく、ISO19011に明記してある。 そもそもISO9001でもISO14001でもISO19011でも、最近改定されたISO17021でもチェックリストを要求していないどころか、言及さえしていない。

要するに、内部監査改善のために監査員教育をしますというような講習会はありえない。そんな宣伝をしている人たちは、ろくな内部監査はできないだろう。せいぜいがISO規格適合を確認する内部監査ができる程度であろう。内部監査改善のためには、内部監査事務局への教育講座とか、内部監査システム見直し講習会でなければならない。
もうひとつご注意を、
そのへんのISO審査員とかコンサルに内部監査を依頼するのはやめた方が良い。あなたの会社にはもっと適任で力量のある内部監査員候補者がいる。え、ごぞんじない?
あなたの会社には管理者がいるでしょう。部長、課長、という人たちです。そういった管理者は会社の仕組みを知っているだろうし、製品やサービスの中身も知っている。そして他部門に一言どころか口を挟みたい人が多いことだろう。そういう人を内部監査員をお願いするべきだ。
え!ISO規格を知らないから内部監査ができないですって?
なぜ内部監査員がISO規格を知らなければならないのでしょうか? ISO規格でもなんでもお読みになってください。そんなことを書いてあるはずがありません。
あなたは「ISO14001 4.5.5 a)1)この規格の要求事項を含めて、組織の環境マネジメントのために計画された取決め事項に適合しているかどうか」を行うにはISO規格を知っていなければならないとお考えになったのでしょうか?
でもISO14001の冒頭に「4.1 組織は、この規格の要求事項に従って、環境マネジメントシステムを確立し、文書化し、実施し、維持し、継続的に改善し、どのようにしてこれらの要求事項を満たすかを決定すること」とあります。これはつまりISO規格をそのまんま会社の中では使えないだろう。だから会社のルールに展開しなさいということなのです。会社の人は会社のルールしか知る必要はありません。法律だって知らなくても良いのです。
驚くことなかれ、多くの法律は法律を社内の手順書に展開することを求めているのです。
省エネ法、消防法、労働安全衛生法、電気事業法その他もろもろ
ISO規格を知らなければ内部監査ができないなんて語る審査員には「ISO規格を理解しないで語ってはいけない」と教えてあげましょう。
私はいつもそんなことをしております。

ISO規格とマニュアルと会社の文書の関係は下図のようになっております。
ISO規格とマニュアルの関係図
会社のルール(明文・不文)を知っているなら監査はできる。だって実務がその通り行われているか否かを判断し、可能ならばいっそうの改善を提案することなのだから。
そしてISO規格と会社のルールのつながりはマニュアルに書いてあるので、必要なら見ればよいし、普通はそんなことを知る必要もない。

ちょっと待てよ、内部監査員教育とは会社規則を教えることなのだろうか?
実は等価ではない。ISO19011を読んでもお分かりのように、内部監査員の力量は、個人的特質、内部監査の技能、そして固有技術である。会社のことを知り尽くしても、個人的資質と監査の技能は付いてこない。まあ、会社員を長くしていれば個人的特質は備わるだろうし、備わらない人ははじかれてしまうだろう。内部監査の技能は管理者をしている人なら十二分だと私は思う。


普通の管理者なら毎日していることに過ぎない。

本日の妄言
今日は駄文であるだけでなく長文である。お読みになる人のためにはならないが、ブラインドタッチの力量向上にはなったことだろう。
いや、私は元々ブラインドタッチはできるので力量維持にはなっただろう。
N様からお便りを頂きました(2011.08.09)
管理者は大変
最近は内部監査物のが多いですね。審査という視点ではなのですが・・・
最近、社員満足度調査の支援ということで何社かにお邪魔しています。結果の読み解きも含めて支援するので現場の管理者の方とも接する機会があるのですが、色々悩んでいるようです。
”私は武蔵のごとく決して後悔もせず逡巡もしない。即決断・即実行である。”といっても、なかなかできないというのが実情のようです。
印象で申し訳ないのですが。

いわゆる管理者の仕事としては、課業管理の他に、コミュニケーションを含めて社員が働く環境の整備、ステークホルダーとの調整毎が多く、責任は多いものの経営資源に対する決定権があいまいで、肝心なところで決められないという環境に置かれているようです。「火中に栗」があるのはわかるもののの、だれがするのかを決められないといったところでしょうか?
もっとも、管理するにも固有技術があると思うのですが、そうした管理技術を習得する場も教えてくれる場も十分ではないような気がしており、「普通の管理者なら毎日していることに過ぎない。」ことができていないという気がします。
回数は少ないのですが、審査の場で「内部監査」のお話を聴いていても”形式的”にチェックリストをもとに、”内部監査しています”的な話が多く(最も審査員にはバカばかしくて話せるかということもあるかもしれませんが)、リーダーシップの不在を感じ、困ったなという気はします。
昨日は「立秋」。これからは涼しくなるはずですが、やはり暑い日が続くようです。
おばQ様もご自愛のほどを。

N様 毎度ありがとうございます。
管理者といっても会社によっていろいろなケースはあるでしょう。
だから管理者が内部監査員をするということが、困難な会社もあるかもしれません。
しかし私は内部監査というものを、ISOのためとか、審査があるからというものに考えてほしくありません。
ISOとか、審査とまったく切り離して、内部監査が役に立つものでなければ長続きするはずがありません。言い方を変えれば、ISO認証してしなければならないことがたくさんあると思いますが、それが結果として会社のためになると認識されなければ認証は風化しいつかは朽ちることは必定です。
現実にいまそうなりつつあります。
そうじゃないよ、ISO規格で決めていることは実際に役に立つのだということを認識しなければ本当ではありません。
そんなことを考えております。


うそ800の目次にもどる