ISO内部監査員の養成をどのように行うのがよいか。準備段階における考え方(流れ/プロセス)について、12項目に分けてお伝えしています。
今日はその3回目です。
念のため12項目については再掲します。
1. 自社の内部監査に関連する規程の理解(復習)
2. 直近数年間のマネジメントレビューにおけるトップの指示等の状況把握
3. 自社の内部監査の過去の実施状況の把握
4. 自社の内部監査員の状況(所属部門、年齢、業務経験、監査経験)理解
5. 外部審査(第三者ISO審査)における指摘等の内容把握
6. 過去の内部監査員教育実施記録の確認
7. 過去の内部監査員教育に使われたカリキュラムの確認
8. 過去の内部監査員教育に使われた教材の確認
9. 過去の内部監査員教育における受講者評価記録の確認
10.継続教育の有無の確認及びその内容の確認
11.経営者の内部監査への受け止め方の把握
12.経営者がこの先、内部監査に期待することの理解
3. 自社の内部監査の過去の実施状況の把握
前回の流れの続きになりますが、自社の内部監査に関連する過去の情報は、ある意味、宝の山です。
マネジメントレビューの議事録のチェックを前回していただきましたが、それを踏まえて、いよいよここでは、内部監査の結果である、内部監査報告書の内容確認に進んで行きます。
これも1回分ではなく、複数回分の報告書を必ず確認するようにしましょう。
ただし、複数年分ではなく複数回分と記しました。
その意図をここで補足説明しておきます。
内部監査は、多くの組織では1年に1回行っているのが実態です。しかし、年に1回実施しなければならない、という要求事項は一切ありません。
規格要求事項上は、「あらかじめ定めた間隔で」とあるだけなので、極端な言い方(解釈)をすれば、不定期であっても構わず、次回いつ行うかさえ決まっていればよい、ということなのです。
ただし、それではあまりに乱暴で、組織運営上、効率的、効果的にならないと考えて、年に1回実施する、あるいは年に〇回実施する、と決めて運用管理されている組織が圧倒的に多いのが実情です。
故に、過去の内部監査報告書のチェックであれば、年に1回の実施という組織の方であれば、過去3年分程度の報告書を見ることができれば十分でしょう。
一方で、年に複数回実施している、という組織の方であれば、3年間分の資料を読み解くのは、これは大変です。
少なくとも1年分(何回かはわかりませんが)はチェックするとして、複数年分をチェックするかどうかは時間との兼ね合いで決めるのが良いでしょう。
さて、きょうもそろそろAI先生にご登場いただきましょうか。
前回のマネジメントレビューの議事録のチェックと同じように、内部監査報告書の何をどのように見ていけばよいかを教えてもらいたいと思います。
========================================
A:ISO内部監査員教育を考えるために、ISO内部監査の過去の実施報告書をチェックすることはとても重要な準備作業と考えていますが、そのチェックの際のポイントを教えてください。
A:ISO内部監査の過去の実施報告書をチェックすることは、内部監査員教育の準備作業として重要な役割を果たします。以下は、チェックの際のポイントの例です。
1.監査の範囲
・ 監査の範囲が明確に記載されているか?
・ 監査対象プロセスや部門が明確に識別されているか?
2.監査手順
・ 監査手順が明確に記載されているか?
・ 監査対象プロセスや部門を評価するための基準が記載されているか?
・ 監査結果を判断するための基準が明確に記載されているか?
・ 実施された監査手順が適切であったか?
3.監査報告書
・ 監査結果が明確に報告されているか?
・ 監査対象の改善点や課題が明確に記載されているか?
・ 監査報告書が適切な形式で作成されているか?
4.対応策
・ 監査結果に対する対応策が明確に記載されているか?
・ 対応策が実施されたか、また実施された場合に適切に閉じられたか?
5.監査計画の遵守
・ 監査計画に基づいて監査が実施されたか?
・ 監査計画に基づいて監査報告書が作成されたか?
以上のようなポイントを確認することで、過去の実施報告書から、内部監査の過程や手順、改善点や課題を把握し、内部監査員教育に活かすことができます。
========================================
まずまずの回答が得られました。
ただしここに来るまでに6回の再作成。つまり7回目の回答で得られた情報が上記のものです。
実は1回目の回答もまずますのものでした。
ですが、その視点でもう少し肉付けして欲しいな、と思って再作成をしていったところ、その視点が2回目以降は一切出て来なくなってしまったのです。
大きな捉え方をすれば、あるキーワードにそれも含まれているとは言えるのですが、ですがやはりISOの内部監査を考える上では、そのキーワードは外せません。
さあ、先のAI先生の回答で、私は何というキーワードが出てきていないことへの懸念をもっているかお判りになりますか。
少し考えてみていただければ有難いです。
・・・・
いかがでしょうか、あっ、あれかと思い当たるものありましたか。
さて、AI先生には、そのキーワードを入れ込んだ状態で再度質問を入れ込んでみました。
========================================
Q:ISO内部監査員教育を考えるために、ISO内部監査の過去の実施報告書をチェックすることはとても重要な準備作業と考えていますが、そのチェックの際のポイントを教えてください。ただし、その際に不適合指摘への対処が大事だと思いますので、その点を含めてよろしくお願いします。
A:内部監査の過去の実施報告書をチェックすることは、内部監査員教育の準備作業として非常に重要です。以下は、そのチェックの際のポイントと不適合指摘への対処についてのアドバイスです。
1.目的や範囲の明確化
内部監査報告書は、内部監査の目的、範囲、結果、提言などが記載されています。内部監査員は、この報告書を確認して、内部監査の目的や範囲が明確かどうかを確認する必要があります。
2.不適合事項の特定
内部監査報告書には、不適合事項が含まれています。内部監査員は、報告書からこれらの不適合事項を特定し、不適合事項に対する対策や改善策が適切に実施されているかを確認する必要があります。
3.対処策の実施状況の確認
不適合事項に対する対策や改善策が実施されたかどうかを確認するために、内部監査員は、対処策の実施状況をチェックする必要があります。報告書には、対処策の実施状況に関する情報が含まれています。
4.記録の保管状況の確認
内部監査報告書には、内部監査で収集された証拠や情報が含まれています。内部監査員は、これらの記録が適切に保管されているかどうかを確認する必要があります。
5.次回監査のための改善点の特定
内部監査報告書からは、次回の内部監査の改善点を特定することができます。内部監査員は、報告書を確認して、次回の内部監査で改善すべき点を特定する必要があります。
不適合指摘への対処については、内部監査報告書から特定された不適合事項について、対策や改善策が適切に実施されているかどうかを確認する必要があります。
========================================
今回は、10回以上の再作成を指示することになってしまいました。
プラスアルファの質問を入れると、途端に処理能力が悪くなるようです。よって、段落替えをすることなく、質問の文章をつなげるようにして、ようやくこの答えに至りました。
それをしないと、追加質問のキーワードを強く意識しすぎてしまって、順序が非現実的になってしまう回答ばかりが続いた、というのが状況です。
さて、AI先生の癖はどうでもよいので、本質の話に戻りましょう。
不足しているキーワードが何であったか。どうですか、もうお分かりかと思いますが、あなたの想定と合致していたでしょうか。
はい、そのキーワードは
「不適合」
です。
過去の内部監査で、不適合として指摘した事項があったのかなかったのか。
そして、もしあった場合はその対処がきちんと完了しているかどうか。
これは過去の内部監査の状況確認を進めていく上で、絶対漏らしてはいけない部分です。
そして上記のAI先生の回答ではやはり関連する重要なキーワードが漏れています。
さあ、今度は何か?
・・・・・・・
はい、ここも少し考えていただければ嬉しい部分ですが、回答は
「是正処置」
です。
不適合指摘をした、された後は、是正処置が必須です。
不適合イコール問題があった、ということですから、その問題の修復作業、いわゆる応急処置はすぐさま取らなければなりませんし、それはどの組織でも問題なく行われると言ってもよい部分です。
しかし、それで終わりになってしまっていては、内部監査の意味半減、どころか大幅に高価低減、ということになってしまいます。
問題が起きたら直す、それも2度と再発しないように対策をとることがISO運用の重要なポイントの一つです。
不適合指摘に対しては、なぜその問題が起きたのかの原因調査をしっかり行い、2度と起きないように、つまり再発を防止する策をとってこそ、初めて意味をなしてきます。
ですので、内部監査報告書をチェックしていく上では、不適合指摘が行われていた場合であれば、是正処置(再発防止策とイコールと考えてよいです)が確実に行われているかどうかの確認が何よりも重要なポイントです。
ペーパー上の記載を踏まえたうえで、実際の監査現場ではさらに本当にその記述通りの状況かどうかまで確認することを行うからです。
そして、複数回分の内部監査報告書をチェックしていて、万が一にも同様な事象が再度不適合指摘されているようなことがあれば、相当に問題だ(仕組みが脆弱)という意識を持つ必要があります。
再発防止策をとったはずなのに、それが有効ではなく再発してしまっている、ということになるからです。
もしそのような運用力しかない、ということとなると、お客様にそれが伝わってしまうと、かなり信頼性が揺らぐ、ということにまでつながりかねません。
是正処置がいかに大事な活動か、とういうことを改めてここで再確認しておいてください。
さて、是正処置よりは一段、重要度は下がりますが、もう一つ、AI先生の回答では含まれているとは言い難い、報告書上チェックを確実にしてもらいたい部分についての説明に進みます。
何かと言えば、不適合指摘までは至らなかったものの、今のままで良しとは言えない状況についての摘出、及びその課題への対処です。
いわゆる、改善提案、推奨事項などと言われる部分です。
内部監査においては、基準に対して、該当する事案が、適合か不適合かの判断をします。その際に、適合ではあるものの、このまま放置しておくと将来的には不適合になる可能性があるもの、適合で基本的には問題ないものの、もっとよくできる可能性があるもの、がさらに取り沙汰されることに基本的にはなります。
ISOの運用が長い年月になってきている組織では、不適合指摘は場合によっては出なくなるかもしれません。少なくとも必ず毎回の監査で不適合が出て来なければおかしい、ということにはなりません。
しかし、どのような組織であっても改善のポイントはいついかなる時でも山積しているものです。
つまり運用初期段階であれば不適合指摘は大事なアクションですが、認証を取得してそれこそもう20年も経っている、という組織であれば、不適合指摘は早々出てこない可能性があるため、改善のポイントをきっちり把握し、そこへの対処を行っていくことが内部監査における重要な視点になるのです。
ですから、内部監査報告書をチェックしていく中では、それらの扱いがどのようになっているか、そもそもその改善の指摘(あるいは提案)がどの程度挙がっているのか、という部分は把握しておく必要があります。
そしてそれらの改善の指摘(提案)は、被監査側に対処するかどうかの判断権(選択権)があります。
よって、受け入れて対処をしたのか、受け入れなかったのか(提案を却下したのか)というあたりが報告書を見ればわかるはずです(組織によってそのあたりの運用方法は異なっているのが実情です)。
受け入れて対処していたからヨシ、却下していたからダメというものではありませんので、その点は注意が必要ですが、いずれにせよ、何らかのアクションが被監査側ではとられていなければ、そこは監査員側は問題視しなければなりません。
要は、言いっぱなしになっていないかどうか、もう少し高等な言い方で申し上げると、PDCAが回っているかどうかを報告書から読み取っておく子は次の監査の準備のためにとても大事な要素となります。
さあ、今回もだいぶ長くなりました。
内部監査報告書をチェックしていくポイントの中での主要部分をお伝えしましたが、
それ以外は、AI先生の回答にあったように、監査の目的、監査の範囲のチェックから入っていくことはオーソドックスな考え方です。
特に監査の範囲については、QMSの適用範囲がそもそも全社になっているのか、一部の部署が除外されているのかどうかを改めて確認する機会となります。
また、1回の監査で完結していれば対象範囲をすべて網羅しているはずですが、複数回を1セットという監査のやり方をとっている場合、それらの複数回をチェックして初めて全貌が見えてくる、ということになります。
最後に、AI先生の回答では、時系列的な捉え方が今一歩、という文面になっていますので、唯一の正解、というわけではありませんが、私の考える基本的な順番を以下に記しておきます。
① 監査プログラムの確認
② 監査目的、監査範囲(スコープ)の確認
③ 監査チームのリーダー、メンバー確認
④ 報告書の内容チェック
・不適合指摘の有無、件数の確認
・改善提案(推奨事項)の有無、件数の確認
・経営者のコメント内容確認
・不適合指摘の是正処置の進捗状況確認
・改善提案への対処状況確認
・(可能であれば)第三者審査との関連の確認
⑤ 次回監査への申し送り事項の確認
以上がある程度の運用年数を重ねている組織の内部監査報告書に絡む事前準備の流れ、と捉えてください。
本日もここまでお読みいただき、ありがとうございました。
(了)