その監査、マンネリ化していませんか?
まえがき
企業内の立場から
過去様々な場面で、審査機関、審査員、コンサルタント、教育機関の皆様が述べられている「内部監査の活用法」を拝見しています。それぞれの立場から有益な方法が示され、活用されていると思われます。私の前職では、企業のISO事務局としてシステム改善、内部監査計画策定や実施、内部監査員育成の現場に十数年に渡り携わってきました。そこでこの連載では、内部監査を実行する「組織内」の立場で内部監査の活用法について述べたいと思います。テーマは大きく、深みのあるものですが、自身の経験やこうありたいと願っていることなどお伝えしていきます。私の所属していた組織は従業員3,000人ほどの電気機器メーカーです。ISO9001は1992年に認証取得し、ISO14001は1999年に取得しました。ISO14001の認証取得と同時にEMS/QMS統合システムとしています。適用範囲は4工場4関連会社で、認証取得当初に比べ規模は3倍ほどになっています。所属していた組織の規模は大きい方ですが、この連載では中小の組織も考慮に入れて話を進めていきます。また、今回のテーマの主体は「QMS・EMSの認証取得からある程度の期間が過ぎ、内部監査がマンネリに陥っていると感じている組織への提案」という形をとっています。私は労働安全衛生や情報リスクマネジメント、内部統制に関わる部分までをも含めたものを監査し、改善していくための手段の一つとして活用していくことが、本来の内部監査だと考えています。企業・組織により、内部監査に求めるものは違うと思われますが、「良い仕事」をするためのツールとして使いこなすことが重要でしょう。
貴方の組織はどの段階?
マネジメントシステムと内部監査の変化
どの組織でも、導入当初はISO規格の理解とシステム構築に集中すると思いますが、維持の時間を重ねるにつれ、本来の目的であるマネジメントの改善に取り組みの比重を移していきます。その後は企業のスタイルに合わせ進化していきます。こうした組織の成熟に伴い、呼応して内部監査の形も少しずつ変化し、進化していきます。マネジメントシステム導入後をいくつかの時期に分けて、それぞれの時期の状況と、抱えている可能性がある問題点を示してみます(図表1)。あくまでも一般的な事例を基にしていますので、成熟の早い組織には当てはまらないのは言うまでもありません。
まず規格ありき
1. ISO導入期――規格適合確認期
システム状況
ISO9001や14001の導入・構築を始めた企業は、まず「規格とは何か?」を手探りで理解しようとします。事務局を設置し、文献を調べ、参考書を入手し、外部の教育機関に出かけ勉強を始めます。場合によってはコンサルタントを探すことも。トップの意思によりスタートした場合もあれば、取引先の要求がきっかけとなった企業もあるでしょう。各部門では、ISOの要求事項に合致しているか、文書管理主体で対応に追われている頃です。無駄な文書・記録を作成してしまい、チェックやハンコの押印漏れなどに労力を使っていたりします。
内部監査状況
多くの企業では、規格項目の裏返しのようなチェックリストを使用し、規格適合だけを「YES・NO」で判定している頃だと思われます。外部の教育を受講してきた人を監査員に任命し、事務局が作成したチェックリストをそのまま使用している頃です。内部監査員は各部門長が任命されることが多いでしょう。一方、被監査側も規格項目の理解に追われており、事務局に「Q&Aを作ってくれ!」と、指摘を受けないための予防処置に追われている恐れがある時期でもあります。現状の改善点を抽出する場が内部監査であり、問題点は現場と事務局が協力して改善していくべきであることを、トップや事務局が伝えることが必要でしょう。
内包する課題
有能な事務局員やコンサルタントがシステム構築を担っている場合は、比較的短時間でこの時期は過ぎますが、大手企業が構築したような重厚長大なシステムを真似してしまった場合は、後々まで大変な思いをすることになります。本業とISOが乖離してしまい、現場から「これはISO的に問題がありますか?」と事務局に確認が入るような笑えない事態となります。ISOの認証取得だけが目的となっている組織では、この時期はさらに長くなるでしょう。
自分達にあっているか?
2. 定着期(自社システムとの適合確認時期)――2~3年目
システムの状況
維持審査も何回か過ぎ、1回目の更新審査を受審する頃にはマネジメントシステムも徐々に定着していると思われます。システムがうまくなじんできた組織では、日常目標管理とISOがうまく結びつき、業務の標準化や記録の整備が進み、仕事の足跡が残るようになり、新人教育にも効果が現れるようになります。業務改善のサイクルが徐々に定着してきます。しかし、たとえばISO9001と14001両方の認証を取得している組織では、管理組織や事務局が別々になっていたり、さらに親会社の監査や取引先からの二者監査や工程評価、財務面から会計監査などが行われている場合は、複数の監査が日常的に行われるので現場に負担をかける状況が生まれやすく、「面倒くさい」「品質向上に役に立たない」という声が出ることなります。極めて有効なツールであるISO9001や14001が、従業員から誤解されることも多いのがこの時期ではないでしょうか。
内部監査状況
自社のマネジメントシステムに現状が一致しているか? を確認する場となり、自社ルールでの内部監査のスタイルが徐々にできあがってきます。ベテラン監査員が増えてきたことと経費削減の両面から、内部監査員は社内で育成するケースが増えてくるでしょう。その際、監査員は部門長主体から、その下の実務担当者が任命されることが多くなります。内部監査のチェックリストも規格への適合確認から、自社組織の現状確認に変化していきます。事務局主導から監査リーダーが作成・項目追加を行い、組織の内情に合ったものを作成するようになります。
課題
この時期でも、本業における目標管理項目とISOの管理項目に相違がある組織はまだまだ多く、システムの導入が品質や環境パフォーマンスの向上に結びつくと漫然と考えていた組織では、「ISO見直し論」が高まることになります。そのような組織では、現場管理者や中間管理職(被監査側)から「内部監査対応の手間」を指摘する声が多く寄せられます。監査がセレモニー化している証拠といえるでしょう。
役に立てているのか?
3. 成長期(プロセス・パフォーマンス確認時期)――4~6年目
システムの状況
QMSでは2000年改訂版が定着し始め、各部門から本業とISO目標の一致が必要との認識が示され、EMSでは「紙・ゴミ・電気」での活動が行き詰まり、次第に本業部分での活動を模索し始める頃でしょう。また、ISOに対する各部門間の温度差が大きくなり、それが業務の質にも影響を与えるようになります。
内部監査の状況
内部監査も規格や自社マネジメントシステムへの適合確認から、パフォーマンス重視の有効性確認にシフトしていきます。また、各部門が仕組みを継続的に改善しているか? 改善効果はどのくらいか? など、定量的な値の変化からシステムの有効性を図ることが求められるようになってきます。言い換えれば、内部監査そのものにも行き詰まり感が現れ、ただの「YES・NO」では監査側も被監査側も納得できなくなります。そのため業務のプロセスのつながりが重視され、QMSではプロセスアプローチの有効性、EMSではパフォーマンスの有効性を確認する形に進化していきます(図表2)。システムの進化・深化に経営層も従業員も取り組み始める頃だといえます。監査チェックリストも規格適合よりも、パフォーマンス向上への取り組みの確認に変化していきます。その結果、内部監査指摘事項は不適合項目が減少し、「日常の業務改善への提案」が主体となってきます。
課題
業務とシステムの一致をトップ・事務局・各部門のそれぞれが目指す頃です。経営層が、事務局に「ISO導入効果の算出」や「認証取得にかかる費用対効果」に明確な回答を求めたり、「自己宣言の可能性を探るように」との指示が出る場合があるのもこの時期です。事務局にとっては、システムをもう一段階向上させるための正念場となります。
使いこなしているのか?
4. 発展期(イン-アウト確認・影響確認時期)――7年目以降
システムの状況
この頃には統合システムや複合システムに移行する組織が多く見られます。本業からISOの規格を振り返り、経営に直結したマネジメントシステムの構築が始まります。組織の規模や業種により相違はありますが、EMS+QMS、QMS+ISMS、EMS+OHSMS、それらすべてが一括りにされたものなどがあります(私はこれを「複合システム」とか「横統合」と呼んでいます)。大手企業では、適用範囲が親会社+子会社、親会社+グループ企業など、サイトや組織の垣根を飛び越えて、一つのマニュアルで運用するケースも増えてきます(私はこれを「統合システム」または「縦統合」と呼んでます)。こうしたケースでは、経営管理の一部としてマネジメントシステムが活用され、本業を活性化させ改善していくツールの一つとして位置付けられています。BSC(バランス・スコアー・カード)や日本経営品質賞などの枠組みから、企業戦略とISOによるプロセス管理手法の融合・整合を図る組織も現れてきます。中小の企業では、PDCAを回す有効な手段として、マネジメントシステムが活用されるでしょう。
内部監査の状況
内部監査は、サプライチェーンのインからアウトまでを意識した横断的なものになり、また各部門の監査ではタートルモデルなどを活用し、本業に対して「影響を与える要素」を確認することが主流になる頃です(図表3)。また、同時に親会社⇒子会社⇒業務委託先、本社⇒工場⇒営業など、「情報の流れ」と「物・サービスの流れ」が会社の狙いに合致しているかを確認することになるでしょう。内部監査の質が非常に向上してきますが、統合・複合システムに対応するため監査時間が長くなるという問題が発生します。組織によっては基幹となるシステム(QMSが多い)の監査を先に行い、その他のシステムは要素部分だけ行うことで、時間の短縮に努めています。また、各部門の職務分掌を見直し、それぞれのシステムの重要度から監査の時間配分を決めていく方法を採用することあります。
課題
この頃は、複数のマネジメントシステムに精通した内部監査員の育成に時間がかかる、という課題が生まれます。それに対する改善策として、
- 各部門長がすべての内部監査を行う。
- 内部監査専門員が監査を引き受ける。
- 1.および2.の方法の複合が考えられます。
1.は内部監査員の「回帰現象」と呼べるかもしれません。各部門の実務担当者が内部監査要員として選出されていても、マネジメントシステムが複数・複雑化すると、実務の合間に内部監査を行う時間の確保が難しくなります。各部門の業務はEMSもQMSも労働安全衛生も情報リスクも含まれたものであれば、部門長は職場のトップとしてすべてを管理する立場にあります。したがって、複合・統合内部監査は部門長が適任といえるのです。部門長が監査を行うにあたっては、事務局は相当な準備が求められます。2.は「マネジメントシステムのプロ」と呼ばれる要員を社内または社外で確保し、専門家に任せる方法です。社外から力量のある内部監査員を確保することは、内部統制状況の確認という視点からも今後は 中小の企業では「サービスの調達」という形で、社外の専門監査員に業務を委託するケースが多くなるのではないでしょうか。自社を外からの視点で見ることは、審査機関の第三者監査とは違った意味で有効となります。もちろん、1. 2. をそれぞれ効果的に組み合わせる3. の場合もあるでしょう。それぞれの段階のシステムと内部監査の状況を示してきましたが、貴方の組織は現在、どの段階ですか?