サンプリングだとして内部監査の実施時間を惜しんで確認項目を最少にしている組織の多くは、ヒアリングという方法だけでルールと実態の違いをみている傾向があります。それよりも多いのが「監査」と「検査」の混同です。折角のリスクヘッジや利益の創出の機会を逃がしてしまっているように思います。 ヒト・時間・カネのムダでありもったいないですね。
監査(Audit)とは本来的には、業務活動の有効性・効率性,或いは,モレ,ダブリ,いわゆるMECE(ミッシー)による全体最適の視点で診るといった,経営自体をチェックしていく行為と言われています。 従って,定期的に大まかに見て,組織内に問題がないかどうかをチェックしていくことです。
内部監査は社長の直下において,経営判断の基となるルールの順守状況、或いはルールそのものの有効性に関しての提言や改善提案,リスク面の見える化活動も含めて,内部監査の目的として定められた事項について実態確認を通して、評価結果を経営者に報告する行為です。
検査は、決められた事項に従って、厳格に個々の書類とか業務について、その基準として定められたものと実態を点検するものです。例えば、書類にちゃんとハンコがありますか,日付は漏れていませんかといった点検業務であり,検査基準というものが必ず根本にあります。
現場に行って書類を見る往査で,例えば、書類だけを点検している状態では検査であり,これは監査ではありません。 監査というと,もうちょっと大きな視点で見ることであり,経営の視点を持って診ることです。検査( inspection )とは,ある意味「ミクロ」で,一方の監査は「マクロ」の視点と言えます。
審査(Audit)は,第三者が,本来はその企業の顧客や利害関係者(interested parties)になりかわり企業の状態を確認することです。原語(Audit)からしても検査とは異なります。例え,同じ事実を取り扱うにしても,そのアプローチ方法と示し方は異なります。
監査・審査(Audit)においては、
例えばISO9001:2008 8.2.2内部監査では、その目的は、“a)品質マネジメントシステムが、・・・。”では、検査の様にまずルールと実態のギャップを確認しますが、気を付けないといけないことは、必ずしも自社において決めたルールが絶対ということは言えないということです。また、b)“品質マネジメントシステムが効果的に実施され、維持されているか.”の確認はかなり困難です。
a)項にギャップがなく、定められたルールも当社として、「三方よし」の観点から問題がないようであれば、b)も問題なかったと言えると思います。
ただし、内部監査であれば、やはり、利益や事業継続の観点も加えての評価となると思います。
これらの内容は、監査員或いは監査チームの所見(評価結果)として、経営者に文書で報告することが大切です。不適合事項があったときだけ、そのことを報告するのでは、それこそ「検査」となります。
ISO27001:2005 6.ISMS内部監査では、a)項、b)項が、上述したISO9001の1)項に該当し、c)項が2)項に該当すると考えてよいと思います。 d)項は規格の性格の違いが主ですが、よい具体的でありISO27001の方が、分かりやすい目的の表現です。
それぞれ次の規格改訂では、どちらも「共通テキスト」に従って記述されますので、内部監査の目的に関しては、ISO14001等も含めて表現が統一されるのではないかと思います。
0 件のコメント:
コメントを投稿