ISO9001/ISO14001 コンサルティング・研修
内部監査
ISO 9001
ISO9001/14001
規格の論理   <4>
33b-01-04
ISO 14001
1. 品質保証規格と監査
 ISO9001(8.2.2項)、ISO14001(4.5.5項)は、それぞれのマネジメント システムに関する内部監査の実施に関する要件を規定している。この内部監査や監査に関して両規格作成の専門委員会TC176,TC207は共同で考え方や要件をISO19011規格として定めている。しかし、監査や内部監査は社会で広く認められ実行されている概念、活動、方法であり、規格の規定する監査や内部監査は、規格に特有のものではない。
 
  辞書で監査とは「調べて適否・優劣をめききすること(113)」であり、原文の“audit”は「事業や財務記録が真実で正しいことの公式調査(101)」「記録又は財務計算の正確さの点検のための調査(105)」「組織又は個人の勘定、又は財務状況の公式調査(102)」である。監査の名を関した用語には、会計監査、税務監査、経営監査、業務監査、監査役監査、住民監査、品質監査、環境監査、システム監査等々様々なものがあり、内部監査もそのひとつである。
 
  ”audit”は、聞くことや審問を意味するラテン語が語源であり、15世紀に最初に使われた記録があると説明されている(102)。ISO19011規格作成共同事務局長は、ローマ帝国で皇帝の布告を地方に伝える使者を送る時に、使者が布告を正しく読み上げたかどうかを聞き、それを皇帝に報告する監査者(“聞く人”の意味)を同伴させたのが、監査の始まりだと説明している。すなわち、監査は、経済活動など社会的活動の信頼性や公正さを維持する手段として歴史的にも古く、今日でも会計監査を中心に広く活用されている管理統制手段の一種である。
  
 最初の品質保証規格と言われるMILQ5898Aは、米国国防各省が調達する兵器の品質確保のために供給者に課した業務実行の規範であった。不良品が納入されることを阻止するために供給者にこの規範を確実に順守させる必要があり、1960年代に入って海軍省がミサイル潜水艦の供給者に対して、またNASA(航空宇宙局)もその調達先に対して購買基準遵守の監視のための監査を始めたと言われる(36a)。供給者を管理するためのMILQ5898Aを基礎とする品質保証規格は後に欧州に拡がったが、これに伴い供給者の規格遵守を監視する購買者による監査が一般化した。1970年代 には米国の有力企業が、世界原子力用鋼材のASME(米国機械学会)規格や石油掘削や輸送用鋼材のAPI(米国石油学会)規格に関して、世界の供給者の品質保証体制の監査を始めた。購買者に代わって公正な第三者が監査を行う制度は、1982年に英国で始まり(31c)、ISO9001/14001規格に係わる世界的な認証制度の下での認証機関による品質、環境マネジメント システムの第三者監査に発展した。
  
 購買基準としての品質保証規格の遵守の供給者の自主的監視の活動として内部監査は、MILQ5898Aに関して契約条件としてその実施が要求されていたと言われている。しかし、MILQ5898A自体には内部監査の規定はなく、これが最初に規定されたのは、英国国防省の品質保証規格DEFSTANであると言われる。これが1979年制定の英国の品質システム規格BS5750に取り入れられ、これを原形とする初版ISO9001に引き継がれた。
 
2. 監査
(1) 監査の特質
  監査は、経済活動など社会的活動の信頼性や公正さを維持する手段として歴史的にも古く、今日でも会計監査を中心に広く活用されている管理統制手段の一種である。 監査活動も検証や評価の活動であるが、その特質は、上位者、下位者及び第三者の三者関係の存在において、第三者が下位者の行動や結果を検証、評価して、上位者に報告するという枠組みにあるとされる(71a)。また、「他人を信頼し一定の業務を委ねた者(委任者)の要請に基づいて、第三者(監査人)が、その他人(受任者)の行動の状況又は成果を調査、検討し、その結果について委任者に対して自らの意見を表明する一連の手続きを監査という」とも説明されている(72a)。この説明には監査が、受任者の業務実行の状況を、委任者が日常的に、また、効果的に監視、監督できない場合に行なわれるものであるというもうひとつの特質が示唆されている。委任者が直接調査しないのは、委任者と受任者間の信頼関係を損なわないためであり、独立した第三者たる監査人だからこそ批判的に調査を行い、結果を率直に報告できることが期待されるからである(72a)。
 
  監査は、監査対象により会計監査と業務監査に大別され、前者は企業の決算に関し公認会計士により行なわれる財務諸表監査などであり、後者は株式会社の監査役による経営監査、情報システムに関するシステム監査、経営管理手段としての内部監査などである。また、監査主体により内部監査と外部監査に分かれる。 主として、前者は経営の自主的管理手段として内部の監査員により行なわれる監査であり、後者は組織の利害関係者のために法規制等によって外部の監査人により行なわれる監査である。
 
(2) 各種の監査
@ 会計監査
  監査は会計監査を抜きに語れない程に、監査は会計監査を前提として発展してきたとされている(71b)。 会計監査の中心は金融商品取引法による財務諸表監査であり、監査人の付す適正意見は経営者の作成する財務諸表が公正妥当な企業会計の基準に準拠した適正な内容であることの保証である。 この場合、業務の委任者は株主、受任者は経営者、監査人は公認会計士である。
 
A 内部監査
  内部監査は、組織の経営における内部統制の手段のひとつとして行なわれる。 内部監査には監査業務と診断業務があり、監査業務は、マネジメントの諸業務の遂行状況を合法性と合理性の観点から検討、評価し、これに基づいて、マネジメントの目標の効果的な達成に関して意見を表明し、可能ならば達成のための助言や勧告を行なうこと(73a)である。ここに、合法性とは法や手順の順守、合理性とは目標達成に対する効果や効率に、それぞれ関係する。 内部監査の目的は、業務の遂行状況の適否を経営の目標達成が可能かどうかの観点で評価し、判断し、問題を明らかにすることである。 内部監査における業務の委任者は経営者であり、受任者は各部門の管理者、監査人は組織の要員又は外部の専門家の内部監査員である。
 
  組織の規模が拡大し、活動拠点が分散するにつれ、権限の分化が拡がり、トップマネジメントによる直接的な監視や監督が希薄になる。 内部監査は、このような状況で組織の目標の達成に向けて諸業務が行なわれるようにする効果的な管理方法であるとされている。 組織には、事業活動に係わる様々な業務をそれぞれの観点から管理する各種の実行管理業務が存在し、場合によっては専ら特定の実行管理業務を担当する機能部門も設けられている。 内部監査は、これらの実行管理業務の実行状況をも対象として、組織のマネジメント のすべての業務の実行が、マネジメント の目標達成に向けて行なわれているかどうかを検討、評価する。 監査員は管理者の業務実行状況を公正に監査し、結果を トップマネジメント に報告する。
 
B ISO19011による 監査
  ISO9001(8.2.2項 注記)は、内部監査に関してISO19011規格を参照すべきことを記している。また、ISO9000規格もそこから監査関係の用語の定義を引用して記載している。 これによると、「監査」とは「監査証拠を収集し,それを客観的に評価して、監査基準が満たされている程度を判定する体系的で,独立し,文書化されたプロセス」である#24。環境マネジメント用語を規定するISO14050(3.1.1, 3.1.2)は環境マネジメントシステム監査を、このISO19011と同様の表現で定義している#24-2が、この定義には「この(検証)プロセスの結果を依頼者(経営層)に伝達すること」という一般の監査の特質に係わる記述が含まれている。
 
  ISO19011(3.1 参考1) では、監査の関係者を監査依頼者、被監査者、監査員と呼び、監査依頼者は必ずしも監査対象業務の委任者ではない。 そして、各関係者が顧客、組織、供給者、又は、第三者のいずれであるかによって、監査を3種類に分けている。 すなわち、内部監査は第一者監査と呼ばれ、組織が供給者の、又は、顧客が組織の品質マネジメントシステムを自身で又は代理人により監査するのを第二者監査、第三者が組織の品質マネジメントシステムを監査するのを第三者監査と呼ぶ。この定義ではISO9001/14001規格適合性に関する認証機関の審査は第三者監査である。
 
3. 監査の手順
(1) 監査の規範
@ 監査基準
  財務諸表監査で公認会計士が順守すべき規範は「監査基準」(75)であり、金融庁の企業会計審議会が設定している。内容は、監査の目的の定義の他、監査人の能力や資質と行動規範を定めた一般基準、及び、監査の実行と結果の報告に関する手順を定めた実施基準、報告基準から成る。 国際的にはIFAC(国際会計士連盟)が「国際監査基準」(76)を定めている。 また、情報システムに関する監査について「監査基準」と同様の内容構成の「システム監査基準」(77)が経産省により定められている。
 
A 内部監査基準
  内部監査は組織の自由な活動であるから、これを規制するものは存在しないが、日本内部監査協会が内部監査の意義と手順を「内部監査基準」(73)として公開している。 また、国際的には、IIA(内部監査人協会)が「専門職的実施のフレームワーク」として3種類の指針を定めており、この中に内部監査人が順守すべき規範「強制的指針」(74)が示されている。 これは、財務諸表監査の「監査基準」と同様、内部監査の定義、倫理綱要、及び、内部監査の手順から構成されている。
 
B ISO19011規格
  品質マネジメントシステム に関する規格は、ISO9001とISO14001用に別個に存在したのが統一されて、ISO190011(品質及び/又は環境マネジメントシステム監査のための指針)として2002年に発行された。 内容は、監査用語の定義の他、監査員の行動規範(4. 監査の原則)、監査の手順(5, 6章)、監査員の能力要件(7. 監査員の力量及び評価)で構成されている。このことからも、ISO19011が国際的に確立した監査の規範を基本としていることが伺える。
 
(2) 監査の目的
  監査の狙いに関連する用語として、監査目的、監査目標、監査テーマ、監査要点、監査ポイント、監査視点、監査項目などがあり、相互に重なった意味で使用されて、区別は必ずしも明確ではない(79)。
 
  一般に、「目的(purpose)」はある事を行なう理由、ある物事の効用に関する。 例えば、財務諸表監査の目的は「利害関係者の利益擁護」であり、システム監査の目的は「情報化社会の健全化に資すること」であり(79)、内部監査の目的は「経営目標の効果的な達成に役立つこと」(73a)であると説明されているが、これらは監査の効用に係わる目的である。
 
  一方、財務諸表監査の規範である監査基準では監査の目的を定義しているが、要約すると、経営者の作成した財務諸表が、一般に公正妥当と認められる企業会計の基準に準拠して適正であるかどうか判断することである(75a)。 同じように言えば、内部監査は、経営目標の効果的達成に対して経営諸活動の遂行状況が適切かどうかを判断することである。これらは監査を行なう理由としての監査の目的である。 ISO19011の前身のISO10011-1規格(141)(4.1) は、「監査を始める理由」として次を挙げ、規格が扱う監査の目的を例示していた。 @は供給者の選定、Aは供給者の定期評価に関連する監査で、いずれも第二者監査の目的である。Bは内部監査の目的であり、CはISO9001規格適合の自己宣言が目的である。
 
  @ 契約関係を結ぼうとする時の供給者を評価するため
  A 契約関係の枠内で供給者の品質システムが引き続き規定要求事項を満たし実施されていることを検証するため
  B 組織が自己の品質システムが引き続き規定要求事項を満たし実施されていることを検証するため
  C 組織が自己の品質システムを品質システム規格に照らして評価するため
 
(3) 監査目標
  目的(purpose)がある事を行なう理由、ある物事の効用に関するのに対して、目的に関係して何を実現するのかが「目標(objective)」である。 国際監査基準では「財務諸表監査の目標(objective)は、財務諸表が適用すべき会計報告の枠組みに従って作成されているかどうかについての意見を監査人が表明することである」と定めている(76a)。 同じ監査のことを、日本の監査基準(75a)が判断し監査意見を表明することを目的とする活動と表現するのに対して、国際監査基準は判断し意見を表明することが監査活動の目標であると表現している。
 
  ISO19011(6.2.2) は個別の監査活動に関して『監査の目的』を『監査で何を達成するのかを明確にするもの』であるとしてとして、次の4つの事例を挙げている。 この原文は“audit objectives”であり、「何を達成するのか」であるから「監査目標」が正しい和訳である。
@ 被監査者のマネジメントシステムの監査基準への適合の程度の判定
A 法規制順守を確実にすることに関する マネジメントシステム の能力の評価
B マネジメントシステム がその目標を満たせるかどうかに関する有効性の評価
C マネジメントシステムの改善可能な領域の特定
 
  監査の目的と監査の目標とは異なる概念であるが、同じことを目的として表現することも目標として表現できる場合もあり、ある目的が他の目的のための目標になることもあり、慎重な表現、適切な理解が必要である。
   
(4) 監査要点
  例えば財務諸表監査の目標は、監査人が総合的判断として虚偽記載の有無に関する監査意見を表明することである。 監査人はその目標を実現するために、虚偽記載に結びつく可能性のある事項を、虚偽記載に関係する側面から調査して、監査証拠をあるべき姿と比較して虚偽記載でないかどうかを評価する。 どのような虚偽記載をどのような観点から調査するのかの監査の主題は「監査テーマ」「監査ポイント」とも呼ばれる(79)が、正式な監査用語では「監査要点」である。 すなわち、監査要点とは、監査の目的を果たすために監査人が立証しなければならない要証命題のこと(71c)であり、これは、監査人が監査で達成すべき目標であるから監査目標と呼ぶことができる。 このように監査目標が用いられる場合は、監査要点と同じ意味となる。なお「監査要点」は英語では“audit objective”である。
   
  財務諸表監査の監査要点は、取引記録の信頼性、資産と負債の実存性、網羅性及び評価の妥当性、費用と収益の期間帰属性及び表示の妥当性などであるとされている(71c)。 監査人は当該関してこのような観点から調査し、監査証拠を収集して、それぞれの監査要点に関係する企業会計基準に照らして評価する。 監査員は、各監査要点の評価の結果を総合して、財務諸表に虚偽記載のないことを判断する。
   
  内部監査基準でも、どの事項に焦点をあてて監査を行なうのかの監査要点を明確にするべきことが規定されている(74a)が、他の部分の記述では監査要点はしばしば監査の目標として表現されている。
 
  ISO19011 (5.2.1) の原文には“audit objective”という表現があり、上記(3)のような意味での監査目標を指しているが、JISはすべて『監査の目的』と和訳している。規格では「監査要点」に相当する概念が明確に記述されていないが、ISO9001(8.2.2項)では『品質マネジメントシステムの次の事項が満たされているかどうかを明確にする』、ISO14001(4.5.5 a)項)では『組織の環境マネジメントシステムについて次の事項を決定する』と監査の目標を規定し、続けてa),b)、1),2)のそれぞれ両項を規定しているから、これらが「監査要点」であると考えられる。
 
  ISO9001/14001規格では、監査は『監査基準』が満たされている程度を判定する活動であり、監査員は[監査要点」に関して収集した『監査証拠』#24-3を『監査基準』に照らして評価し、適合か不適合かの『監査所見』#24-4を出す。この『監査基準』は関連する方針、手順、要求事項であると定義される#24-2。これは一般の監査で、監査人が監査要点たる監査命題を立証することを指す。
  
(5) リスク アプローチ
  監査対象のすべての項目を監査するのは、監査人の負荷や時間、費用の点で困難であり、効率的でない。 監査は監査の目的に照らして監査対象の事項に問題がないかどうかを調査する活動であるから、問題のありそうな事項を優先的または重点的に監査することが合理的である。 例えば財務諸表監査では、虚偽記載があるのに気付かずに、監査人が適正意見を表明するような危険性を避けるために、監査人は監査対象の財務諸表の重大な虚偽記載に繋がる可能性の高い事項を重点的に監査することが原則である。 この監査の様式は、すべての取引や項目について監査する伝統的な精密監査(精査)に対して試査と呼ばれる。 監査基準(75b)は「監査人は、監査を効果的かつ効率的に実施するために、監査 リスクと監査上の重要性を勘案して監査計画を策定しなければならない」と規定し、国際監査基準は、監査計画の立案に当たっては「内部統制の状況を把握し、監査対象の重要性、監査上の危険性その他の要素を十分に考慮して、適用すべき監査手続き、その実施時期及び試査の範囲を決定しなければならない」と、リスク アプローチ による監査を明確に規定している。
 
  内部監査でも一般に、リスク アプローチ の考えで監査が計画され、実行される。 経営の目標の効果的達成に役立つことを目的とする内部監査では、目標達成の阻害要因とその影響の大きさを評価して リスク の高い監査事項や監査命題に焦点を当てて、諸業務の遂行状況が検討、評価される(73a)。
 
  ISO19011は、前身のISO10011-1(141)、ISO14010,14011(142)と共に、リスク アプローチ という表現はもとより、監査の計画や実行における優先付けに関する具体的記述は見られない。 しかし、ISO19011(6.5.4) では現地監査活動で情報収集を『適切な サンプリング』によって行うべきことを明記しており、ISO9001/14001両規格(8.2.2/4.5.5項)では監査プログラムの作成に当たって、監査対象部門の状態と重要性、前回監査の結果を考慮に入れるべきことを規定している。これらの規定は、規格の監査が リスクアプローチ の考えに立っていることを物語っている。ISO19011(同) では、サンプリングによる情報収集に起因する監査の結論の『不確実性』について留意すべきことを指摘しているが、これは『監査結論に基づいて行動をとる人』への注意喚起であり、内部監査員の重要事実の見落としへの免責を述べたものではない。すなわち、披監査者が監査結論に従って判断し、必要な処置をとる場合には、監査の結論の周辺及び関連する状況に指摘されていない同様の問題が存在する可能性があることを考慮しなければならない。内部監査員は問題を見落とさず、正しい監査結論を出すことができるように『適切な サンプリング』を行わなければならない。
 
(6) 二重責任
  監査基準(75a)では、財務諸表の作成責任は経営者にあり、監査員はそれに対する監査意見の表明の責任を有するという二重責任の原則が明記されている。 監査員には経営者の作成した財務諸表を修正する権限はない。経営者が監査人の発見した不正又は誤謬に同意せず対応をしない場合でも、監査人は毅然として自らの信念に従って不適性意見を表明しなければならない。 逆に、経営者が監査人の意見を聞き入れて修正した財務諸表が経営にもたらす如何なる結果についても、経営者は監査員のせいにすることはできない。 監査では両者は、財務諸表の記載に関して負っているそれぞれ別個の責任を全うしなければならない。 監査員が虚偽記載を見落として不正な財務諸表に適正意見を表明した場合は、株主や会社に損害賠償責任を負うとされるが、これは監査人が「職業的専門家としての正当な注意を払い、懐疑心を保持して監査を行わなければならない」という義務(75c)に反した場合に限られる。
 
  内部監査基準ではその実践要綱(74b)に、監査員の指摘や改善提案事項に被監査側が同意しなかった場合には、監査員はその旨を記した監査報告書を作成すべきことが規定されており、内部監査にも二重責任の原則が適用されるべきことを明確にしている。 管理者は、トップマネジメントからそれぞれの業務の実行を責任と権限と共に委託されており、内部監査員の指摘を受入れた結果、その事自身に係わる、或いは、別の事項において問題を生じたとしても、その責任を回避することができない。また、内部監査員はそれには責任を負わない。 逆に、監査員が管理者の業務実行における問題を見落とした結果、経営目標の達成を妨げるような業務結果が生じた場合は、監査員としての責任なしとはならない。内部監査基準では内部監査人は「その責任を果たすために、熟達した専門能力と専門職としての正当な注意をもって内部監査を遂行しなければならない」と定められている。
 
  ISO19011(6.5.7) でも、最終会議で監査の結果について監査チームと被監査側とで意見が食い違い、協議して解決できない場合は、監査員は両方の意見を記録に残さなければならない旨明記されている。これは、被監査者と監査員との間の二重責任の原則を表現しているものと受け止めることができる。また、同規格(4) も、一般の監査の場合と同様、監査員に対して専門家としての正当な注意を払う義務を規定し、更に、倫理的行動、公正な報告、及び、監査対象からの独立性を要求している。
 
(7) 監査の計画
  ある事項に関する判断ないし監査意見を出すための監査は一般に、対象、時期、監査命題の異なる複数の監査活動から成り、監査チームを構成する監査人が分担して各監査が行なわれる。 この一連の監査は、監査の目的に沿った判断ないし監査意見を組織的、効果的、効率的に得ることができるよう策定された監査計画に基づいて実行され、管理される。
 
  財務諸表監査では監査計画は、監査チームの編成、監査の方法と範囲、監査項目の分担、監査日程を決めたものであり、内部統制の状況、監査対象の重要性、監査上の危険性など リスク要素が十分に考慮されて策定される。 更に、一般に試査とも呼ばれる個別の監査の実行に関して、詳細な リスク要素が考慮された監査実施計画が策定される。監査の実行によって想定外の結果が出ることは珍しくないので、監査計画は監査目的の実現のために柔軟に変更されなければならない。 国際監査基準(76a)でも監査計画は、監査の範囲、時期及び方向を決めた全体監査計画*(overall audit strategy)とそれに基づいて実行される監査の詳細な手順を定めた監査計画*(audit plan)とに分けられている。
 
  内部監査では一般に、中長期監査計画の枠組みの中で年度の監査計画を策定し、更に、個別の監査に対して監査実施計画を策定する(73b)。 年度監査計画は、その年度の経営上の課題に対応して効果的な内部監査とするために、最低でも年次で行なわれる リスク評価の結果を反映して策定されなければならない(74b)。 年度監査計画では、監査方針又は重点目標、監査の対象、実施時期と期間、個別の監査の実施日程が定められる。 年度監査計画には、個別のそれぞれの監査について、必要な監査要点、範囲と実施時期、監査チームの編成などが含まれるが、各監査は経営目標の達成に関する リスクの高い事項に焦点を当て、適切な監査要点が設定され、それに応じた監査員、監査時間が割り当てられていなければならない。 また、必要により監査実行の具体的方法を定めた監査実施計画書が作成される。
 
  ISO19011の監査の枠組みでは、特定の監査の目的毎に策定される『監査プログラム』の下に、一連の個別の監査活動が行なわれる。『監査プログラム』とは、同じ目的のために特定の期間に実行されるように計画された一連の監査と定義#24-6されているが、実際には各監査の計画、準備、実行を含む監査全体の枠組みを意味している。『監査プログラム』は通常、監査の目的の効果的、効率的実行のための個別の監査活動の日程計画が中心であり、個別の監査の実行の詳細は監査計画書#24-7に定められる。 個々の監査の実行は『監査プログラム』によって管理され、監査の目的の達成のために必要に応じて修正される。
 
(8) 監査の結論
  財務諸表監査では、監査の結果は監査報告書に記載され、財務諸表に添付して公表される。 監査人はこの報告書で、実施した監査の概要と共に、監査の結論として3種の個別意見とそれを総合しての判断である適正か不適性かの意見を表明し、合わせて、必要により監査意見の理解促進のための追加情報を記載する(71d)。
 
  内部監査では通常、監査の結果は監査報告書に記載され、トップマネジメント 又は監査役等、及び、被監査部門の責任者に報告される(73c)。 報告書には、実施した監査の概要と合わせて、監査対象に対する総合的な意見、及び、指摘事項、改善提案事項が記載される。 内部監査の場合に大切なこととされているのが、監査報告書を作成する前に監査結果について被監査部門に説明し、問題点の相互理解を図ることである。 被監査部門が監査結果を受け入れることによって、迅速で的確な問題対応が図られることになり、以て内部監査を効果的なものとすることができる。 内部監査では監査員には、監査結果の報告だけでなく、改善に結びつく指摘や提案を付すことが望まれる。
 
  また、監査報告書に記載の指摘事項や改善提案事項が、当該の被監査部門によってどのように改善され、問題解決がなされたかは、内部監査部門長によって継続して監視される。 必要な対応がとられず、又は、十分でなく、経営目標達成に許容できない リスク が残留していると判断される場合には、内部監査部門長は被監査部門を統括する役員等に問題提起をしなければならず、議論で合意に至らなければ トップマネジメントや取締役会等に報告しなければならない(5-d)。
 
  ISO19011では、監査員は収集した監査証拠を「監査基準」に照らして評価し、適合か不適合か又は改善の提案かの『監査所見』#24-4を出し、これらと監査目標(JIS和訳『監査の目的』)とを勘案して監査チーム としての『監査結論』#24-5をまとめる。 監査結論は、監査目標に対応する監査の目的に関する総合判断である。 同規格(6.5.6) は、監査結論として取り上げるべき事項の例として、@ マネジメントシステムの監査基準への適合の程度、A マネジメントシステムの効果的実施、維持及び改善、B マネジメントシステムの継続的改善を図るマネジメントレビューの能力を挙げている。 @の監査の目的が供給者の選定であればその可否が監査結論であり、Aが認証審査では登録証発行の可否が監査結論であり、また、品質マネジメントシステムの内部監査であれば、狙いの顧客満足の実現に対する懸念の有無が監査結論である。
 
4. 品質/環境 マネジメントの内部監査
(1) 内部監査の必要性
  ISO9001は、組織が不良品を顧客に引渡すことを防止し、顧客のニーズと期待を満たす製品を一貫して供給することを図る場合の マネジメントに関する必要条件を規定している。 この必要条件は規格執筆者の発案ではなく、品質で成功した世界の企業の品質マネジメントの体験をとりまとめ、論理化したものである(10)。 しかし、ISO9001が基礎を置く1970〜1980年代の日本の輸出企業が、その優れた品質水準を実現し維持する手段として定期的な内部監査を用いた形跡はない。日本では人間重視の経営を土台にした要員の組織への帰属意識と職務忠誠心を前提として、業務実行の統制は管理組織と管理者で十分に担ってきた。従って、ISO9001の内部監査の規定は、購買基準としての品質保証規格、とりわけISO9001のひな型となったBS5750に供給者の自主的な規格遵守の監視活動が規定されていたものがそのまま継承されたものと考えられる。
 
  効果的な品質保証のために内部監査が必要ということから内部監査の規定があるとすれば、欧米的管理思想が原点である。ISO9001を含む品質保証規格は、供給者が不良品を出荷しないために順守すべき規範である。顧客の組織の製品品質への信頼は、組織がこの規範を順守していることへの信頼が基礎になる。欧米では監査は、組織の業務実行の統制のための普遍的な手法であり、内部監査は特定の規範順守を確実にし、その証を示す必要に対応した普遍的な管理手法である。ISO19011は序文で、内部監査の意義に関連して内部監査が『組織の品質方針/環境方針の効果的な履行を監視し、検証するための 経営管理(マネジメント)の用具』であると説明している。 規格作成者のひとりは、内部監査は組織の諸業務が定められた通りに行なわれているとの安心感を組織自身に与えるものであると説明している(22k)。
 
  すなわち、品質マネジメントの効果的実行を確実にするという規格の必要から、欧米の経営管理の普遍的な管理手法としての内部監査が自然と取り入れられたということであろう。これは、購買基準として顧客に内部監査が要求されたという経過のないISO14001にも、内部監査の必要が規定されていることでもうかがわれる。以降に作成されたマネジメント システム規格のすべてには内部監査の実施の必要が当然の如く取り入れられている。
 
(2) 内部監査の意義
  ISO9001の論理を説明するISO9000規格は、品質マネジメントのPDCAサイクルの“C”“A”として『品質マネジメントシステムの評価』の項(2.8)を設け、多様な評価活動があるとしつつ、『監査』『レビュー』『自己評価』をその例として取り上げている。ここに『レビュー』とは規格の『マネジメントレビュー』(5.6項)を指し、『自己評価』は自身の品質マネジメントシステムの実行と結果を他の優れた品質マネジメントシステムやそのモデルと比較し評価する手法を意味し、事実上ISO9004(8.2.1.5)が規定する『自己評価』のことを意味している。これに関連して規格執筆者のひとりは、内部監査は品質マネジメントシステム に焦点をあてた『測定』のひとつの態様であり、その役割は『マネジメントレビュー』と『自己評価』という品質マネジメントシステムの他の態様の評価と相互に補完し合うものとして考えるのがよいと説明している(21L)。
 
  ISO14001の内部監査の意義に関する説明は規格にも関連文書にも見当たらない。これは、規格が内部監査に特殊な意図を持っているということでなく、ISO9000で説明される考えを共有していると思われる。両規格の意図の内部監査は、それ自体が品質/環境マネジメントの効果的な実行のために必要であるというのではなく、効果的な実行の管理のための効果的な監視測定の手段のひとつである。また、内部監査が実行すべき監視測定、ないし、『マネジメントシステムの評価』のすべてではなく、例えば『マネジメント レビュー』(5.6/4.6項)など他の種々の監視測定方法と相互補完的に使用されるべきものである。
 
(3) 内部監査の目的
  内部監査の目的は3(2)のように、経営目標の効果的達成に対して経営管理の様々な業務の実行状況が適切かどうかを判断することである。94年版(4.17)では、品質マネジメントの諸業務が計画された手はずに則って、不適合製品の出荷を防止する観点で効果的に実行されているかどうかを判断することである旨、明記されていた。すなわち、ISO9001/14001に規定の内部監査の目的は、経営の目標の内の品質/環境マネジメントに係わるものである品質方針・目標/環境方針・目標で示される狙いの顧客満足/環境保全の実現が可能かどうか、或いは、狙いに反する品質/環境事故や不祥事の発生する可能性がないかどうかを判断し、実現の支障となる問題を明らかにし、その見解をトップマネジメントに伝えることである。
 
  内部監査員はこの判断を、品質/環境マネジメントの各業務がそれぞれに定められた結果が出るように、定められた通りに実行されているかどうかを評価することを通じて行う。内部監査で抽出された業務実行の問題に対しては、披監査部門管理者が必要な日常業務管理上の処置をとり、トップマネジメントは マネジメント レビュー (5.6/4.6項)で総合的に評価して必要な経営管理上の処置をとる。このことにより、狙いの顧客満足/環境保全が間違いなく実現し、これを基礎とする狙いの事業発展が実現する。組織内の業務を統制し、経営目標の確実な達成を図ることが、内部監査の効用に係わる目的である。規格作成者のひとりは、「内部監査は改善又は事業効率の向上の余地の特定の用具として用いられるなら更に追加的価値をもたらすことが可能だが、これは規格の要求事項ではない」(22k)との表現で、規格の内部監査が統制を意図するものであることを明確にしている。
 
(4) 内部監査の程度
トップマネジメント は組織内の統制が責任であり、管理責任者の報告を通じて、また、自ら主宰するマネジメントレビューはじめ目的別会議、定例連絡の枠組み、現場視察などによって各層管理者の業務実行と結果の掌握を図らなければならない。日常業務を逐一把握できる小規模組織でも監査は、日常を離れて組織の業務を客観的に眺める良い機会であるとする考え(20f)も正しいが、監査は本来、「委任者が受任者の職務の執行を日常的或いは有効に監督し得ない場合に実施される」(72a)ものである。 内部監査の程度は トップマネジメントが、各層管理者が担う業務実行を日常的にどれだけ把握しているか、把握出来るかに依存する。これには、組織の規模や業務の複雑さ、事業拠点の立地や数、法規制の強さなどが関係するが、内部監査の必要な詳しさや厳格さは一般に、次の要素を勘案して判断するとよい。
 
  @ 組織の品質マネジメンの実行に対する トップマネジメント の目の届く程度= 内部監査に対するトップマネジメントのニーズの強さ
  A 品質マネジメント システム の成熟の程度= 監査で問題が検出される可能性の大きさ
  B 狙いの顧客満足に反する状況が実際に発生する可能性の強さ= 品質マネジメント の能力への不安感の強さ
  C 狙いの顧客満足の確実な達成の困難さ、達成できなかった場合の事業への影響の大きさ= 顧客満足向上の緊要さ
 
(5) 品質/環境マネジメント の内部監査の手順
@ 監査の実行管理
  ISO9001規格の内部監査は基本的にISO19011に従って行なうことが必要である。多忙な トップマネジメント は、内部監査の実行管理の責任者(JIS和訳では『監査プログラムの管理責任者』)を決め、同責任者からの報告を受けて内部監査の実行状況を監視することでよい。 トップマネジメントは、内部監査の結果を少なくとも マネジメントレビュー (5.6/4.6項)の場で報告を受け(5.6.1 a)項)、評価しなければならない。 個別の監査毎に監査報告書が発行されるような場合には、内部監査の実行管理の責任者が、各報告書を総括して、内部監査の目的に照らしての監査所見と監査結論をまとめて、トップマネジメント の評価に供するのが適切である。
 
A 監査の計画
  内部監査の実行管理の責任者は、監査の全体計画を監査プログラム#24-6に定め、トップマネジメントの承認を受けて、これを元にして内部監査の実行を管理する。監査は一般に特定の業務又は部門、拠点などに分けて行なわれる。 監査プログラムでは、個々の監査対象と監査実施時期、それぞれの監査で重視すべき監査要点、監査基準、チームリーダー を含む監査チームメンバーを明らかにすることが必要である。ISO19011 (5.2.2) は、この詳しさ(JIS和訳では『監査プログラムの範囲』#21)が、組織の規模、性質、複雑さなどに応じて効果的な監査実行に必要な程度でよいと明確にしている。 監査プログラム の策定では、監査対象のすべてを一律にではなく、顧客満足の実現に失敗する危険に応じた、めりはりをつけた時間配分を行い、適切な実施時期を決め、また、危険の発見に関連の深い監査対象と監査要点を重視しなければならない。
 
B 監査の実行
  内部監査の手順の中に、監査で観察された疑念や問題の事実をどのように取り上げ、処置するか、また、処置の結果をどのように確認するかの手順を含めておくことが必要である。 ISO19011 (6.5.5) は、監査所見 には監査基準 に対する適合か不適合の判定と共に、適合だが改善の余地がある点の指摘を含めるようにしてもよいとしている。更にISO19011 (6.8) によると、監査チームが監査目的を果たすために必要と考える是正処置その他の改善の処置の必要を監査結論 で指摘することを監査手順に含めてもよい。そしてこの手順では、監査の指摘への対応を決定し、必要な処置を実行する責任が、被監査側の管理者にあることを明確にすることが必要である。また、これらの処置の実行を管理する方法、例えば、被監査側からの報告方法、次の監査で確認するなど実行と効果の確認の方法なども手順に含めておくことが必要である。
 
C 監査の結果
  監査チームは監査活動の最後に最終会議を持ち、監査所見と監査結論について被監査側の理解を得、また、必要な議論を行なうことが望ましい。 また、被監査側の是正処置や予防処置の予定についての話合いをしてもよい。 監査チームリーダーは、監査の結果の報告書を作成し、監査の実行管理の責任者に提出し、同責任者は監査が所定の通りに実行されたことを確認して、報告書を被監査者など必要な人々に配付する。ISO19011 (6.6.1 n) は 監査報告書に、監査所見と監査結論の他、被監査者と合意に至らなかった事項についても両者の見解を明記することの必要を規定している。報告書の内容とその利用方法も、組織の必要に応じたものとして内部監査の手順書に含めておくとよい。
 
(6) 内部監査員の能力
  JIS和訳『力量』の原文は“competence”であり、「必要な出来ばえで物事を行なう能力」の意味で、規格の文脈では一般には「職務能力」である。ISO19011は一般の『力量(competence)』の定義#3とは別に、監査員の『力量』を『証拠で示された個人的特質、並びに、知識及び専門性を発揮させる能力』と定義#3-1している。 同規格は個人的特質として、監査の原則(専門家としての正当な注意を払う義務、倫理的行動、公正な報告、及び、監査対象からの独立性)に従って行動できることを挙げている。 その他にも必要な個人的特質として9項目を挙げているが、更に、監査員に必要な知識及び専門性、教育実績、業務経験、鑑査員訓練、監査経験に関する広範囲な必要条件を示している。 これをすべて備えるとすれば内部監査員のなり手を探すのは大変である。
 
  実務的には内部監査員にはまず、監査技法に関する知識と能力が必要であるが、これによってどのような監査証拠を収集しなければならないかを考えられ、各監査証拠 を監査基準 に照らして適合か不適合かを判断でき、更に、これら監査所見 を総合して狙いの顧客満足/環境保全の実現の可否、或いは、狙いに反する品質/環境事故や不祥事が起きる危険性の有無に関する判断ができなければならない。 これには、組織の品質/環境マネジメントシステムの構造や考え方についての基礎知識が必要であり、監査対象の部門や業務に関する相応の専門知識が必要であり、更に、不良品や顧客のニーズや期待に反する製品が顧客に引き渡され、或いは、法規制違反や出してはならないひどい廃ガス、煤煙、水質汚染物質が出てしまうことになる関連業務の繋がりの知識と可能性に関する判断力が必要である。
 
  内部監査の結論は、品質/環境マネジメントの各業務が所定の通りに効果的に実行されていることを明確にし、次の内部監査までの間にわたってこの状況が維持され、狙いの顧客満足/環境保全が実現し又は深刻な問題が発生することのないことを保証するものでなければならない。 このような内部監査であるためには、内部監査員が必要な能力と個人的特質を有する上に更に、この責任を自覚することが必要である。
 
引用文献
  実務の視点によるISO9001:2008要求事項の解説(改定版)と共通
H23.9.29 (修正H24.7.17) 
禁無断転載  (個人的使用のための複写歓迎)
 サニーヒルズ コンサルタント事務所