ISO9001/ISO14001 コンサルティング・研修
§39
内部監査 ISO9001:2015
 論理と用語   
33b-02-39
 
 
§0.1 概要   こちら
 
§0.2  実務の視点和訳⇔JIS和訳の対応:

     
業務 ⇔プロセス$2;  職務能力 ⇔力量$67;  品質経営(活動) ⇔品質マネジメント$19-0;
      品質経営体制 ⇔品質マネジメントシステム
$19-1-1;   不確実性 ⇔ 不確かさ60;  要件 ⇔要求事項$1
     

 
  
§0.3  目 次

§39.1  監 査
§39.2  一般的な監査の論理と手順
§39.3  規格の意図の内部監査
§39.4  規格の内部監査の実務
 
 
§39.1  監 査
(1) 監査

  辞書で監査とは「調べて適否・優劣をめききすること
(113)」であり、英文の“audit”は「事業や財務記録が真実で正しいことの公式調査(101)」、「記録又は財務計算の正確さの点検のための調査(105)」、「組織又は個人の勘定、又は財務状況の公式調査(102)」である。監査の名を冠した用語には、会計監査、税務監査、経営監査、業務監査、監査役監査、住民監査、品質監査、環境監査、システム監査等々様々なものがあり、内部監査もそのひとつである。
 
  audit”は、聞くことや審問を意味するラテン語が語源であり、15世紀に最初に使われた記録があると説明されている
(102)。ISO19011規格作成共同事務局長は、ローマ帝国で皇帝の布告を地方に伝える使者を送る時に、使者が布告を正しく読み上げたかどうかを聞き、それを皇帝に報告する監査者(“聞く人”の意味)を同伴させたのが、監査の始まりだと説明している(41)。すなわち、監査は、経済活動など社会的活動の信頼性や公正さを維持する手段として歴史的にも古く、今日でも会計監査を中心に広く活用されている管理統制手段の一種である。
 
(2) 管理統制手段としての監査の特質
  監査活動も検証や評価の活動であるが、その特質は、上位者、下位者及び第三者の三者関係の存在において、第三者が下位者の行動や結果を検証、評価して、上位者に報告するという枠組みにあるとされる
(71)。また、「他人を信頼し一定の業務を委ねた者(委任者)の要請に基づいて、第三者(監査人)が、その他人(受任者)の行動の状況又は成果を調査、検討し、その結果について委任者に対して自らの意見を表明する一連の手続きを監査という」とも説明されている(72)。この説明には監査が、受任者の業務実行の状況を、委任者が日常的に、また、効果的に監視、監督できない場合に行なわれるものであるというもうひとつの特質が示唆されている。委任者が直接調査しないのは、委任者と受任者間の信頼関係を損なわないためであり、独立した第三者たる監査人だからこそ批判的に調査を行い、結果を率直に報告できることが期待されるからである(72)
 
  監査は、監査対象により会計監査と業務監査に大別され、前者は企業の決算に関し公認会計士により行なわれる財務諸表監査などであり、後者は株式会社の監査役による経営監査、情報システムに関するシステム監査、経営管理手段としての内部監査などである。また、監査主体により内部監査と外部監査に分かれる。 主として、前者は経営の自主的管理手段として内部の監査員により行なわれる監査であり、後者は組織の利害関係者のために法規制等によって外部の監査人により行なわれる監査である。
 
 
(3) 各種の監査
@ 会計監査

  監査は会計監査を抜きに語れない程に、会計監査を前提として発展してきたとされている
(71)。 会計監査の中心は金融商品取引法による財務諸表監査であり、監査人の付す適正意見は経営者の作成する財務諸表が公正妥当な企業会計の基準に準拠した適正な内容であることの保証である。 この場合、業務の委任者は株主、受任者は経営者、監査人は公認会計士である。
   
A 内部監査
  内部監査は、組織の経営における内部統制の手段のひとつとして行なわれる。 内部監査には監査業務と診断業務があり、監査業務は、経営管理
§35.1の諸業務の遂行状況を合法性と合理性の観点から検討、評価し、これに基づいて、経営目標§35.6の効果的な達成に関して意見を表明し、可能ならば達成のための助言や勧告を行なうこと(73)である。ここに、合法性とは法や手順の順守、合理性とは目標達成に対する効果や効率に、それぞれ関係する。 内部監査の目的は、業務の遂行状況の適否を経営の目標達成が可能かどうかの観点で評価し、判断し、問題を明らかにすることである。 内部監査における業務の委任者は経営者であり、受任者は各部門の管理者、監査人は組織の要員又は外部の専門家の内部監査員である。
 
  組織の規模が拡大し、活動拠点が分散するにつれ、権限の分化が拡がり、トップマネジメントによる直接的な監視や監督が希薄になる。 内部監査は、このような状況の中で諸業務が組織の目標の達成に向けて行なわれることを確実にする効果的な管理方法であるとされている。 組織には、事業活動に係わる様々な業務をそれぞれの観点から管理する各種の実行管理業務が存在し、場合によっては専ら特定の実行管理業務を担当する機能部門も設けられている。 内部監査は、これらの実行管理業務の実行状況をも対象として、組織の経営管理のすべての業務の実行が、経営目標の達成に向けて行なわれているかどうかを検討、評価する。 監査員は管理者の業務実行状況を公正に監査し、結果を トップマネジメント に報告する。
 
B 品質保証に関連する監査
  最初の品質保証規格と言われるMILQ5898Aは、米国国防各省が調達する兵器の品質確保のために供給者に課した業務実行の規範であった
§1.1。 国防各省には、不良品が納入されることを阻止するために供給者にこの規範を確実に順守させる必要があり、1960年代に入って海軍省がミサイル潜水艦の供給者に対して、またNASA(航空宇宙局)もその調達先に対して購買基準遵守の監視のための監査を始めたと言われる(36)。供給者を管理するためのMILQ5898Aを基礎とする品質保証規格は後に欧州に拡がったが、これに伴い供給者の規格遵守を監視する購買者による監査が一般化した。
 
  1970年代 には米国の有力企業が、世界原子力用鋼材のASME(米国機械学会)規格や石油掘削や輸送用鋼材のAPI(米国石油学会)規格に関して、世界の供給者の品質保証体制の監査を始めた。組織の品質保証体制の監査を顧客に代わって公正な第三者が行う制度は、1982年に英国で始まり
(31)、ISO9001規格に係わる世界的な認証制度の下での認証機関による品質経営体制の第三者監査に発展した。
 
  購買基準としての品質保証規格の遵守の供給者の自主的監視の活動としての内部監査は、MILQ5898Aに関して契約条件としてその実施が要求されていたと言われている。しかし、MILQ5898A自体には内部監査の規定はなく、これが最初に規定されたのは、英国国防省の品質保証規格DEFSTANであると言われる。これが1979年制定の英国の品質システム規格BS5750に取り入れられ、これを原形とする初版ISO9001に引き継がれた。
 
 
§39.2  一般的な監査の論理と手順
(1) 監査の規範
@ 監査基準

  財務諸表監査で公認会計士が順守すべき規範は「監査基準」
(75)であり、金融庁の企業会計審議会が設定している。内容は、監査の目的の定義の他、監査人の能力や資質と行動規範を定めた一般基準、及び、監査の実行と結果の報告に関する手順を定めた実施基準、報告基準から成る。 国際的にはIFAC(国際会計士連盟)が「国際監査基準」(76)を定めている。 また、情報システムに関する監査について「監査基準」と同様の内容構成の「システム監査基準」(77)が経産省により定められている。
 
A 内部監査基準
  内部監査は組織の自由な活動であるから、これを規制するものは存在せず、日本内部監査協会が内部監査の意義と手順を「内部監査基準」
(73)として公開している。 また、国際的には、IIA(内部監査人協会)が「専門職的実施のフレームワーク」として3種類の指針を定めており、この中に内部監査人が順守すべき規範「強制的指針」(74)が示されている。 これは、財務諸表監査の「監査基準」と同様、内部監査の定義、倫理綱要、及び、内部監査の手順から構成されている。
 
(2) 監査の目的
  監査の狙いに関連する用語として、監査目的、監査目標、監査テーマ、監査要点、監査ポイント、監査視点、監査項目などがあり、相互に重なった意味で使用されて、区別は必ずしも明確ではない
(79)
 
  一般に、「目的(purpose)」はある事を行なう理由、ある物事の効用に関する。 例えば、財務諸表監査の目的は「利害関係者の利益擁護」であり、システム監査の目的は「情報化社会の健全化に資すること」であり
(79)、内部監査の目的は「経営目標の効果的な達成に役立つこと」である(73)と説明されているが、これらは監査の効用に係わる目的である。
 
  一方、財務諸表監査の規範である「監査基準」では監査の目的を定義しているが、要約すると、経営者の作成した財務諸表が、一般に公正妥当と認められる企業会計の基準に準拠して適正であるかどうか判断することである
(75)。 同じように言えば、内部監査は、経営目標の効果的達成に対して経営諸活動の遂行状況が適切かどうかを判断することである。これらは監査を行なう理由としての監査の目的である。
 
(3) 監査目標
  目的(purpose)がある事を行なう理由、ある物事の効用に関するのに対して、目的に関係して何を実現するのかが「目標(objective)」である。 国際監査基準では「財務諸表監査の目標(objective)は、財務諸表が適用すべき会計報告の枠組みに従って作成されているかどうかについての意見を監査人が表明することである」と定めている
(76)。 同じ監査のことを、日本の監査基準(75)が「判断し監査意見を表明することを目的とする活動」と表現するのに対して、国際監査基準は「判断し意見を表明することが監査活動の目標である」と表現している。
 
(4) 監査要点
  例えば、財務諸表監査の目標は、監査人が総合的判断として虚偽記載の有無に関する監査意見を表明することである。 監査人はその目標を実現するために、虚偽記載に結びつく可能性のある事項を、虚偽記載に関係する側面から調査して、監査証拠をあるべき姿と比較して虚偽記載でないかどうかを評価する。 どのような虚偽記載をどのような観点から調査するのかの監査の主題は「監査テーマ」「監査ポイント」とも呼ばれる
(79)が、正式な監査用語では「監査要点」である。 すなわち、監査要点とは、監査の目的を果たすために監査人が立証しなければならない要証命題のこと(71)であり、これは、監査人が監査で達成すべき目標であるから監査目標と呼ぶことができる。用語「監査目標」がこのように用いられる場合は、「監査要点」と同じ意味となる。なお「監査要点」は英語では“audit objective”である。
 
  財務諸表監査の監査要点は、取引記録の信頼性、資産と負債の実存性、網羅性及び評価の妥当性、費用と収益の期間帰属性及び表示の妥当性などであるとされている
(71)。 監査人は、このような観点から当該財務諸表に関して調査し、監査証拠を収集して、それぞれの監査要点に関係する企業会計基準に照らして評価する。 監査員は、各監査要点の評価の結果を総合して、財務諸表に虚偽記載がないかどうかを判断する。
 
  内部監査基準でも、どの事項に焦点をあてて監査を行なうのかの監査要点を明確にするべきことが規定されている
(74)が、他の部分の記述では監査要点はしばしば監査の目標として表現されている。
 
(5) リスク アプローチ
  監査対象のすべての項目を監査するのは、監査人の負荷や時間、費用の点で困難であり、効率的でない。 監査は監査の目的に照らして監査対象の事項に問題がないかどうかを調査する活動であるから、問題のありそうな事項を優先的、又は、重点的に監査することが合理的である。 例えば、財務諸表監査では、虚偽記載があるのに気付かずに、監査人が適正意見を表明するような危険性を避けるために、監査人は監査対象の財務諸表の重大な虚偽記載に繋がる可能性の高い事項を重点的に監査することが原則である。 この監査の様式は、すべての取引や項目について監査する伝統的な精密監査(精査)に対して試査と呼ばれる。 監査基準
(75)は「監査人は、監査を効果的かつ効率的に実施するために、監査 リスクと監査上の重要性を勘案して監査計画を策定しなければならない」と規定し、国際監査基準は、監査計画の立案に当たっては「内部統制の状況を把握し、監査対象の重要性、監査上の危険性その他の要素を十分に考慮して、適用すべき監査手続き、その実施時期及び試査の範囲を決定しなければならない」と、リスク アプローチ による監査を明確に規定している。
 
  内部監査でも一般に、リスク アプローチ の考えで監査が計画され、実行される。 経営の目標の効果的達成に役立つことを目的とする内部監査では、目標達成の阻害要因とその影響の大きさを評価して、 リスク の高い監査事項や監査命題に焦点を当てて、諸業務の遂行状況が検討、評価される
(73)
 
(6) 二重責任
  監査基準
(75a)では、財務諸表の作成責任は経営者にあり、監査員はそれに対する監査意見の表明の責任を有するという二重責任の原則が明記されている。 監査員には経営者の作成した財務諸表を修正する権限はない。経営者が監査人の発見した不正又は誤謬に同意せず対応をしない場合でも、監査人は毅然として自らの信念に従って不適性意見を表明しなければならない。 逆に、経営者が監査人の意見を聞き入れて修正した財務諸表が経営にもたらす如何なる結果についても、経営者は監査員のせいにすることはできない。 監査では両者は、財務諸表の記載に関して負っているそれぞれ別個の責任を全うしなければならない。 監査員が虚偽記載を見落として不正な財務諸表に適正意見を表明した場合は、株主や会社に損害賠償責任を負うとされるが、これは監査人が「職業的専門家としての正当な注意を払い、懐疑心を保持して監査を行わなければならない」という義務(75c)に反した場合に限られる。
 
  内部監査基準では、その実践要綱
(74)に、監査員の指摘や改善提案事項に被監査側が同意しなかった場合には、監査員はその旨を記した監査報告書を作成すべきことが規定されており、内部監査にも二重責任の原則が適用されるべきことを明確にしている。 管理者は、トップマネジメントからそれぞれの業務の実行を責任と権限と共に委託されており、内部監査員の指摘を受入れた結果、その事自身に関係して、或いは、別の事項において問題を生じた場合は、その責任を負わなければならない。逆に、内部監査員はそれには責任を負わない。一方に、監査員が管理者の業務実行における問題を見落とした結果、経営目標の達成を妨げるような業務結果が生じた場合は、監査員は責任なしとはならない。内部監査基準では内部監査人は「その責任を果たすために、熟達した専門能力と専門職としての正当な注意をもって内部監査を遂行しなければならない」と定められている。
 
(7) 監査の計画
  ある事項に関する判断ないし監査意見を出すための監査は一般に、対象、時期、監査命題の異なる複数の監査活動から成り、監査チームを構成する監査人が分担して各監査が行なわれる。 この一連の監査は、監査の目的に沿った判断ないし監査意見を組織的、効果的、効率的に得ることができるよう策定された監査計画に基づいて実行され、管理される。
 
  財務諸表監査では監査計画は、監査チームの編成、監査の方法と範囲、監査項目の分担、監査日程を決めたものであり、内部統制の状況、監査対象の重要性、監査上の危険性など リスク要素が十分に考慮されて策定される。 更に、一般に試査とも呼ばれる個別の監査の実行に関して、詳細な リスク要素が考慮された監査実施計画が策定される。監査の実行によって想定外の結果が出ることは珍しくないので、監査計画は監査目的の実現のために柔軟に変更されなければならない。 国際監査基準
(76)でも監査計画は、監査の範囲、時期及び方向を決めた全体監査計画(overall audit strategy)とそれに基づいて実行される監査の詳細な手順を定めた監査計画(audit plan)とに分けられている。
 
  内部監査では一般に、中長期監査計画の枠組みの中で年度の監査計画を策定し、更に、個別の監査に対して監査実施計画を策定する
(73)。 年度監査計画は、その年度の経営上の課題に対応して効果的な内部監査とするために、最低でも年次で行なわれる リスク評価の結果を反映して策定されなければならない(74)。 年度監査計画では、監査方針又は重点目標、監査の対象、実施時期と期間、個別の監査の実施日程が定められる。 年度監査計画には、個別のそれぞれの監査について、必要な監査要点、範囲と実施時期、監査チームの編成などが含まれるが、各監査は経営目標の達成に関する リスクの高い事項に焦点を当て、適切な監査要点が設定され、それに応じた監査員、監査時間が割り当てられていなければならない。 また、必要により監査実行の具体的方法を定めた監査実施計画書が作成される。
 
(8) 監査の結論
  財務諸表監査では、監査の結果は監査報告書に記載され、財務諸表に添付して公表される。 監査人はこの報告書で、実施した監査の概要と共に、監査の結論として3種の個別意見とそれを総合しての判断である適正か不適性かの意見を表明し、合わせて、必要により監査意見の理解促進のための追加情報を記載する
(71)
 
  内部監査では通常、監査の結果は監査報告書に記載され、トップマネジメント 又は監査役等、及び、被監査部門の責任者に報告される
(73)。 報告書には、実施した監査の概要と合わせて、監査対象に対する総合的な意見、及び、指摘事項、改善提案事項が記載される。 内部監査の場合に大切なこととされているのが、監査報告書を作成する前に監査結果について被監査部門に説明し、問題点の相互理解を図ることである。 被監査部門が監査結果を受け入れることによって、迅速で的確な問題対応が図られることになり、以て内部監査を効果的なものとすることができる。 内部監査では監査員には、監査結果の報告だけでなく、改善に結びつく指摘や提案を付すことが望まれる。
 
  また、監査報告書に記載の指摘事項や改善提案事項が、当該の被監査部門によってどのように改善され、問題解決がなされたかは、内部監査部門長によって継続して監視される。 必要な対応がとられず、又は、十分でなく、経営目標達成に許容できない リスク が残留していると判断される場合には、内部監査部門長は被監査部門を統括する役員等に問題提起をしなければならず、議論で合意に至らなければ トップマネジメントや取締役会等に報告しなければならない
(5)
 
 
§39.3 規格の意図の内部監査
(1) ISO19011規格

  ISO9001に関連する監査活動の標準は、初版に対応して1990年発行のISO10011-1〜3(品質システム監査のための指針)として定められていたが、2002年にはISO14001用のISO14010〜14012:1996(環境監査の指針)と統一されて、ISO19011(品質及び/又は環境マネジメントシステム監査のための指針)となった。これら規格は、内部監査の手順だけではなく、認証審査の手順を包含し、認証制度運用に係わる審査員の資格要件をも規定していた。2011年には認証審査に関する事項は分離されて、ISO/IEC27011(マネジメントシステムの審査及び認証を行う機関に対する要求事項)の第3版に編入され、ISO19011の2011年版(JISQ19011:2012)は第三者監査を除く監査の標準となった。
 
  15年版規格(9.2項)でも注記に、内部監査がISO19011を指針とするよう明記されている。ISO9001に関連する定義を定める規格ISO9000も監査に関連する用語の定義は、ISO19011に規定される定義をほぼそのまま引用したものである。両規格における「監査」とは「監査証拠を収集し,それを客観的に評価して、監査基準が満たされている程度を判定する体系的で,独立し,文書化された一連の活動」である
#23p
 
(2) 内部監査の必要性
  ISO9001は、組織が不良品を顧客に引渡すことを防止し、顧客のニーズと期待を満たす製品を一貫して供給することを図る場合の品質経営に関する必要条件を規定している。 この必要条件は規格執筆者の発案ではなく、品質で成功した世界の企業の品質経営の体験をとりまとめ、論理化したものである
(10)。 しかし、ISO9001が基礎を置く1970〜1980年代の日本の輸出企業が、その優れた品質水準を実現し維持する手段として定期的な内部監査を用いた形跡はない。日本では、人間重視の経営を土台にした要員の組織への帰属意識と職務忠誠心を前提として、業務実行の統制は管理組織と管理者で十分に担ってきた。ISO9001の内部監査の規定は、購買基準としての品質保証規格、とりわけISO9001のひな型となったBS5750に供給者の自主的な規格遵守の監視活動として規定されていた。
 
  このように、顧客の購買基準としての伝統的な品質保証規格では内部監査は、顧客による供給者の管理の手段として供給者に強制されたものであるが、供給者の自立的な品質保証体制の指針に発展したISO9001規格の00年版でもそのまま継承された。
 
  欧米では監査は、組織の業務実行の統制のための普遍的な手法であり、内部監査は特定の規範順守を確実にし、その証を示す必要に対応した普遍的な管理手法である。2002年版 ISO19011は序文で、内部監査の意義に関連して内部監査が「組織の品質方針/環境方針の効果的な履行を監視し、検証するための 経営管理の用具」であると説明している。 規格作成者のひとりは、「内部監査は、組織の業務が定められた通りに行なわれているとの安心感を組織自身に与えるものである」と説明している
(22)
 
  すなわち、品質経営の業務の効果的実行を確実にするという組織内部の必要から、欧米の経営管理の普遍的な管理手法としての内部監査が自然と取り入れられたということである。これは、購買基準として顧客に内部監査が要求されたという経過のないISO14001にも、内部監査の必要が規定されていることでもうかがわれる。以降に作成されたマネジメント システム規格のすべてには内部監査の実施の必要が当然の如く取り入れられている。従って、規格の内部監査の規定だけは、いわゆる西洋文化の押しつけと受け止めてよい。
 
(3) 内部監査の意義
  ISO9001の論理を説明するISO9000規格の06年版は、品質経営のPDCAサイクルの“C”“A”として「品質経営の評価」の項(2.8)を設け、多様な評価活動があるとしつつ、「監査」「レビュー」「自己評価」をその例として取り上げている。これに関連して00年版執筆者のひとりは、内部監査は品質経営体制に焦点をあてた「測定」のひとつの態様であり、その役割は「マネジメントレビュー」と「自己評価」という品質経営体制の他の態様の評価と相互に補完し合うものとして考えるのがよいと説明している
(21)。09年版で持続的成功のための組織経営の指針規格となったISO9004(152)では、内部監査、自己評価、ベンチマーキングを実績測定活動として同列に扱っている。
 
(4) 内部監査の目的
  内部監査の目的は
§39.1(3)Aのように、経営目標の効果的達成に対して経営管理の様々な業務の実行状況が適切かどうかを判断することである。ISO9001に規定の内部監査の目的は、経営の目標の内の品質経営の業績目標、つまり、品質方針 (5.2項)で示される狙いの顧客満足の状態の実現が可能かどうか、或いは、この狙いに反する品質事故や不祥事の発生する可能性がないかどうかを判断し、問題点を明らかにし、その見解をトップマネジメントに伝えることである。これを94年版(4.17)は、品質経営の<i>業務</i>が計画された手はずに則って、不適合製品の出荷を防止する観点で効果的に実行されているかどうかを判断することであると規定していた。
 
  内部監査員はこの判断を、品質経営の各業務がそれぞれに定められた結果が出るように、定められた通りに実行されているかどうかを評価することを通じて行う。内部監査で抽出された業務実行の問題に対しては、被監査部門管理者が必要な日常業務管理上の処置をとり、トップマネジメントは マネジメント レビュー (9.3項)で総合的に評価して必要な経営管理上の処置をとる。00年版執筆者のひとりは
(22)「内部監査は改善又は事業効率の向上の余地の特定の用具として用いられるなら更に追加的価値をもたらすことが可能だが、これは規格の規定に含まれていない」との表現で、規格の内部監査が統制のための実態調査を意図するものであることを明確にしている。
 
 
(5) 監査要点
  ISO19011:2012 (5.2.1) の原文には“audit objective”という表現があり、上記(3)のような意味での監査目標を指しているが、JISはすべて「監査の目的」と和訳している。規格では「監査要点」に相当する概念が明確に記述されていないが、ISO9001(9.2.1項)では「品質経営体制が次の状況にあるか否かに関する情報を提供するために内部監査を行わなければならない」と監査の目標を規定し、続けてa)、b)の両項を規定しているから、これらが「監査要点」であると考えられる。
 
  ISO9001規格では、監査は「監査基準」が満たされている程度を判定する活動であり、監査員は「監査要点」に関して収集した「監査証拠」
#23-4を「監査基準」に照らして評価し、適合か不適合かの「監査所見」#24-2を出す。この「監査基準」は関連する方針、手順、要件であると定義される#24-1。これは一般の監査で、監査人が監査要点たる監査命題を立証することを指す。
 
(6) リスクアプローチ 及び 二重責任
  ISO19011には、前身のISO10011-1
(141)、ISO14010,14011(142)と共に、リスク アプローチ という表現はもとより、監査の計画や実行における優先付けに関する具体的記述は見られない。 しかし、ISO19011(6.5.4) では現地監査活動での情報収集を、「適切な サンプリング」によって行うべきことを明記しており、15年版のISO9001では、監査プログラムの作成に当たって、監査対象部門の状態と重要性、前回監査の結果を考慮に入れるべきことを規定している(9.2項)。これらの規定は、規格の監査が リスクアプローチ の考えに立っていることを物語っている。
 
  ISO19011(6.5.4)では、サンプリングによる情報収集に起因する監査の結論の「不確実性」について留意すべきことを指摘しているが、これは「監査結論に基づいて行動をとる人」への注意喚起であり、内部監査員の重要事実の見落としへの免責を述べたものではない。すなわち、披監査者が監査結論に従って判断し、必要な処置をとる場合には、監査の結論の周辺及び関連する状況に指摘されていない同様の問題が存在する可能性があることを考慮しなければならない。内部監査員は問題を見落とさず、正しい監査結論を出すことができるように「適切な サンプリング」を行わなければならない。
 
(7) 内部監査の程度
  トップマネジメント は組織内の統制が責任であり、経営代行者
§13.2の報告を通じて、また、自ら主宰するマネジメントレビュー§6はじめ目的別会議、定例連絡の枠組み、現場視察などによって各層管理者の業務実行と結果の掌握を図らなければならない。日常業務を逐一把握できる小規模組織でも監査は、日常を離れて組織の業務を客観的に眺める良い機会であるとする考え(20)も正しいが、監査は本来、「委任者が受任者の職務の執行を日常的或いは有効に監督し得ない場合に実施される」(72)ものである。 内部監査の程度は トップマネジメントが、各層管理者が担う業務実行を日常的にどれだけ把握しているか、把握出来るかに依存する。これには、組織の規模や業務の複雑さ、事業拠点の立地や数、法規制の強さなどが関係するが、内部監査の必要な詳しさや厳格さは一般に、次の要素を勘案して判断するとよい。
 
@ 組織の品質経営活動の実行に対する トップマネジメント の目の届く程度= 内部監査へのトップマネジメントのニーズの強さ
A 品質経営体制の成熟の程度= 監査で問題が検出される可能性の大きさ
B 狙いの顧客満足に反する状況が実際に発生する可能性の強さ= 品質経営の能力への不安感の強さ
C 狙いの顧客満足の確実な達成の困難さ、達成できなかった場合の事業への影響の大きさ= 顧客満足向上の緊要さ
 
 
§39.4 規格の内部監査の実務
  規格の規定の内部監査は、組織の品質経営の狙いの顧客満足の状態の実現に向けて組織内の業務が行われることを確実にするためのトップマネジメントによる内部統制の活動のひとつである。内部監査では、組織内の隅々まで目の届かないトップマネジメント に代わって内部監査員が組織の業務実行状況を体系的に調査し、調査結果を総合して監査の結論としての狙いの顧客満足の状態の実現の可能性に関する意見をトップマネジメントに報告する。
 
  内部監査は、一定の期間を単位として適当な時期に、適当な業務に関して行い、全体としての品質経営の業務が常に狙いの顧客満足の状態の実現に向けて行われるようにする管理の活動であるが、規格では内部監査も品質経営体制
§2.3を構成するひとつの業務であり、自身もプロセスアプローチ/PDCAサイクルに則って行われるよう規定されている。組織は一定の期間を単位にどのように監査を行うのかを「監査プログラム#24-3」を作成し、これに基づいて個々の監査の実行を計画し、監査の実行を管理する。個々の監査の実行の計画が「監査計画#24-6」である。
 
  個々の監査活動では、内部監査員は監査計画に従って、品質経営の関連業務が決められた通りに行われ、決められた通りの結果が出ているかどうかの観点で調査を行う。このような調査の観点は、監査用語では前記
§39.2(4)の「監査要点」であり、決められた手はずと狙いの業務結果が規格の内部監査の「監査基準#24-1」である。規格の表現では、決められた通りかどうかの内部監査での評価、判定は、品質経営体制の手はずに対する業務実行の実際の「適合性評価」である。
 
  品質経営体制の中の手はずは、その通りにすべての業務が実行されれば狙いの顧客満足の状態が実現するように整えられている
§43.3のであるから、手はず通りでない業務実行、つまり、不適合があれば、狙いの顧客満足の状態の実現が危うくなる可能性があることを意味する。内部監査員の適合、不適合の判定は「監査所見#24-2」であり、この判定の元になる発見した事実が「監査証拠#24-4」である。内部監査員は、狙いの顧客満足の状態の実現への悪影響の観点で、個々の不適合を重み付けし、見出したすべての不適合を総合的に評価判断して、品質方針及び組織の品質目標(5.2項)に表される狙いの顧客満足の状態の実現の可能性とそのための問題点としての「監査結論#24-5」を導く。
 
  監査結論を中心とする監査結果は、当該業務の管理者に報告され、トップマネジメントに報告される。監査プログラムに基づく監査全体の結論を含む監査結果は、マネジメントレビュー (9.3.2項)において、組織内の業務実行状況を表す情報のひとつとして、業務実行状況と結果に関する他の情報と合わせて トップマネジメントにより評価され、品質経営の実績の問題点の原因の検討や課題の抽出に活用される。
 
@ 監査の実行管理責任者
  ISO19011によると、多忙な トップマネジメント は、内部監査の実行管理の責任者(JIS和訳では「監査プログラムの管理責任者」)を決め、同責任者からの報告を受けて内部監査の実行状況を監視することでよい。 トップマネジメントは、内部監査の結果を少なくとも マネジメントレビュー (9.3)を行う際に報告を受け、評価しなければならない。 個別の監査毎に監査報告書が発行されるような場合には、内部監査の実行管理の責任者が、各報告書を総括して、内部監査の目的に照らしての監査所見と監査結論をまとめて、トップマネジメント の評価に供するのが適切である。
 
A 監査の実行管理
  ISO19011の監査の枠組みでは、特定の監査の目的毎に策定される「監査プログラム」の下に、一連の個別の監査活動が行なわれる。「監査プログラム」とは、「同じ目的のために特定の期間に実行されるように計画された一連の監査」と定義
#24-3されているが、実際には「各監査の計画、準備、実行を含む監査全体の枠組み」を意味している。「監査プログラム」は通常、監査の目的の効果的、効率的実行のための個別の監査活動の日程計画が中心であり、個別の監査の実行の詳細は監査計画書#24-6に定める。
内部監査の実行管理の責任者は、監査の全体計画を監査プログラム
#24-3に定め、トップマネジメントの承認を受けて、これを元にして内部監査の実行を管理する。監査は一般に特定の業務又は部門、拠点などに分けて行なわれる。 監査プログラムでは、個々の監査対象と監査実施時期、それぞれの監査で重視すべき監査要点、監査基準、チームリーダー を含む監査チームメンバーを明らかにすることが必要である。
 
B 監査の結果
  監査員は収集した「監査証拠
#24-4」を「監査基準#24-1」に照らして評価し、適合か不適合か又は改善の提案かの「監査所見#24-2」を出し、これらを総合評価して監査チーム としての「監査結論」#24-5をまとめる。 監査結論は、監査目標に対応する監査の目的に関する総合判断であり、狙いの顧客満足の状態の実現に対する懸念の有無、とりわけ、顧客のひんしゅくを買うような品質事故や不祥事を起こす可能性の有無を中心としたものでなければならない。
 
  監査チームは監査活動の最後に最終会議を持ち、監査所見と監査結論について被監査側の理解を得、また、必要な議論を行なうことが望ましい。 また、被監査側の是正処置や予防処置の予定についての話し合いをしてもよい。 監査チームリーダーは、監査の結果の報告書を作成し、監査の実行管理の責任者に提出し、同責任者は監査が所定の通りに実行されたことを確認して、報告書を被監査者など必要な人々に配付する。ISO19011 (6.5.1 ) は 監査報告書に、監査所見と監査結論の他、被監査者と合意に至らなかった事項についても両者の見解を明記することの必要を規定している。
 
C 監査要点
  規格は9.2.1項で、「品質経営体制が次の状況にあるか否かに関する情報を提供するために内部監査を行わなければならない」と監査の目標を規定し、続けてa) 1),2)、b)の両項を規定しているから、これらが規格の意図の「監査要点」であり、「監査基準」である。
 
D リスクアプローチ
  業務実行に問題がないかどうかを見極めるのが監査の調査活動の目的であるから、問題のある可能性の高い点を重点的に調査するというのが、リスクアプローチの趣旨である。監査プログラム の策定では、監査対象のすべてを一律にではなく、狙いの顧客満足の状態の実現に失敗する危険に応じた、めりはりをつけた時間配分を行い、危険発生と発見に適切な実施時期を決め、また、危険の発見に関連の深い監査対象と監査要点を重視しなければならない。
 
  監査活動では、内部監査員は与えられた短い時間の調査でも問題を見落とさず、正しい監査結論を出すことができるように「適切な サンプリング」を行わなければならない。内部監査員は監査が抜き取り方式で行われることを理由に、重要な事実を見落としたことの責任を免れることはできない。
 
  ISO19011(6.4.8) では、監査結論に関して、抜き取り方式の情報収集に起因する監査の結論の「不確実性」について留意すべきことが指摘されているが、これは被監査者が監査結論に従って判断し、必要な処置をとる場合には、監査の結論の周辺の或いは関連する状況に指摘されていない同様の問題が存在する可能性があることを考慮しなければならないということである。
 
E 二重責任
  ISO19011(6.5.1) では、最終会議で監査の結果について監査チームと被監査側とで意見が食い違い、協議して解決できない場合には、そのことを監査報告書に記載しなければならないということが明記されている。これは、非監査側が監査員の指摘を受け入れないことのあることを意味しており、被監査者と監査員との間の二重責任の原則を表現しているものである。
 
  内部監査員は狙いの顧客満足の状態の実現を確実にするという観点で業務実行上の問題を抽出し、これに気付いていない非監査側に指摘をすることが責任であり、問題を見落とした結果、品質事故や顧客の信頼を棄損する事態が生じたとすれば、内部監査員の責任を果たしたことにならない。被監査側が指摘に合意しなくても、内部監査員は指摘を引き込めてはならず、自らの見解をトップマネジメントに報告しなければならない。
 
  被監査側は、内部監査員の指摘に係わる業務をその狙いの結果を確実に出すようにトップマネジメントから委任されているから、内部監査員の指摘を無思慮に受け入れて、狙い顧客満足の状態の実現のための役割を果たしたとしても、生産性や作業安全というような同じ業務に係わる他の狙いの結果が実現しなければ、委任された責任を果たしたことにならない。被監査側は、種々のリスクを勘案し最も効率的で確実に委任された業務結果を出すという観点で、内部監査員の指摘にどのように対応すべきか考えをまとめ、処置をとり、必要によりトップマネジメントの指示を仰がなければならない。
 
F 内部監査員の能力
  JIS和訳「力量」は、規格の文脈では「職務能力」である
§15。ISO19011の02年版では、一般の「職務能力」の定義#3とは別に、監査員の「職務能力」を「証拠で示された個人的特質、並びに、知識及び専門性を発揮させる能力」と定義#3-3pしているが、11年版(3.17)では「個人的特質」が抜けてISO9001の15年版と同じ定義になった。しかし、15年版でもこれまでと同様に、内部監査員に必要な職務能力としては、一般の職務能力に加えて、同規格は個人的特質として、監査の原則(高潔さ、公正な報告、専門家としての正当な注意、機密保持、独立性、証拠に基づくアプローチ)に従って行動するのに必要な資質を備えていなければならないとしている(7.2)。また、監査員としての職務能力に含まれる知識と専門性についても、具体的に詳しく記している(7.2.3)。
 
  これらの必要とされる能力は、監査技法に関連した知識や専門性、個人的資質である。実務的に効果的な内部監査が行われるためには、内部監査員は、どこに問題が潜んでいる可能性があり、どのような監査証拠を収集することが必要なのかを考えることができ、各監査証拠 を監査基準 に照らして適合か不適合かを判断でき、更に、これら監査所見 を総合して狙いの顧客満足の状態の実現の可否、或いは、狙いに反する品質事故や不祥事が起きる危険性の有無に関する判断ができなければならない。
内部監査員は実際問題として、組織の品質経営体制とその業務実行の全体感を理解している上級の管理者でなければ勤まらない。品質経営の日常業務を統括する上位管理者(5.3項)を中心に品質保証業務に責任を持つ管理者が、内部監査手法を勉強して内部監査業務を行うことによって、問題を確実に抽出できる効果的な内部監査となる。
H29.9.15 
禁無断転載  (個人的使用のための複写歓迎)
サニーヒルズ コンサルタント事務所