業務としての内部監査とは? <後編>

どんな企業でも、何らかの形で、おそらく年に一度、またおそらく全社員に対して、
人事考査」を行っているはずです。
その中にはもちろん、「管理職層」への人事考査も含まれているはずです。
行っているならば、実はそれを以て「内部監査」と称することが出来るはずなんです。
実際のISO認証取得企業において、人事考査を以て内部監査としている事例は
寡聞にして知りませんが、ちゃんと論拠はあります。
マネジメントシステムとはつまるところ、
管理職層の業務(つまり管理)を規定するものです。
であるならば、それが「維持されているか」を確認するということは、
すなわち「管理職の仕事ぶりを評価する」ことに他ならないのです。
そしてそれは、どんな企業でも人事考査という形で行われているはずのことなんです。
ただし、考査において「実績」だけしか評価されていないのであれば、
それを内部監査と称することはできません。
管理職の中にはもしかしたら、社内のマネジメントシステムは無視していても、
我流の管理技術により、結果的に不良を出さなかったような者もいるかもしれないからです。
そんな管理職が、「不良が出なかったのだからお咎め無し。」となったのでは、
社内の統制がとれません。
それでは「マネジメントシステムが維持されている」とは言えません。
実績が出るまでのプロセスである「普段の仕事(管理)ぶり」も
考査の対象とされていなくては、十分とはいえません。
もちろん、年に一度の人事考査とは別の機会に、
それをチェックする場が設けられていたとしたら、
そちらも「内部監査」と称するに値します。
一方、「実績」ももちろん重要です。
内部監査では、「マネジメントシステムが効果的であるか」も
確認しなくてはいけないのですから。
規定通りの管理業務を行っていても、
思うような成果を上げられなかった管理職がいるかもしれません。
それを明らかにする必要があるわけです。
そして、いたとしたら改善する必要があります。
(通常、そういう事を改善するのは、より上位の管理職の仕事と思われます。
 であれば、そういう改善活動自体もまた、内部監査の対象たり得ます。)
効果的であるかどうかを確認するという意味では、
最終的には「QMSの存在意義を全うできているか」まで確認する必要があります。
2010/11/7の記事でも少し触れていますが、
「QMSの存在意義を全うしている度合い」とは、≒「品質目標の達成度」でもあります。
 ※この辺についての私の考え方については、
  2009年8月11日、10月3日。10月6日に投稿した「文書の意味を見直そう <2>・<3>」
  をご参照ください。
 ・・・まとめ・・・
認証取得に当たり、内部監査などと言う聞きなれない活動が必須だと知り、
新たな「社内行事」を急造する組織が多いのかもしれませんが、
決してそれは規格の意図するところではないと思います。
どこかのセミナーに社員を派遣して内部監査員を養成するなど、
「特別な事」をする必要はありません。
どこの会社でもやっているような「管理職への人事考査」が、
そのまま(あるいはちょっと工夫するだけで)内部監査と言えるのです。
それプラス、品質目標の達成度判定までやっていれば十分です。
それらだけで、2010年11月7日投稿の、当シリーズ<中編1>にて挙げた規格要求事項のうち、
[B] の d については、満たせていると言えます。
人事考査にしろ目標達成度の測定にしろ、定期的に行うのは当然なので、
[A]も自然にクリア出来ますし、他の要求事項についても、特に難しい部分は無いと思います。
なお、内部監査と称する活動が、一種類でなくてはいけない理由もありません。
まして、一回の実施で全てを確認しなくてはいけない理由もありません。
どうも誤解されていることが多いようですが、規格にはそんなことは書いてありません。
社内に複数の内部監査があり、それぞれ違う事柄を、違ったスパンで確認しても構わないのです。
(マネジメントレビューについても同じような事が言えます。)
逆に、一種類の内部監査を一回行うだけで済ませたって、もちろんかまいません。
それは本来、企業が自主的に決めるべきことです。
・・・・・・
全5回に渡るこの「業務としての内部監査とは?」シリーズをお読みの方の中には、
「内部監査の画期的な新手法」を期待されていた方もいらっしゃるかもしれません。
こんな単純なオチで申し訳ない気も少々あるのですが、
そもそも「ISO認証を取得するからと言って、特別な事をする必要は無いんだ。」というのが
私のISO観の土台ですので、ご了承ください。

業務としての内部監査とは? <中編3>

2010年11月7日の、前回記事の続きです。
[C]監査対象となるプロセスや領域の、状態や重要性と過去の監査結果を鑑みて監査計画を立てる。
必ずしも、組織内の全てのプロセスや領域について
一律一様の内部監査をする必要は無いわけです。
次項Dとも共通することですが、
前回の監査で問題だらけだったところは重点的にやるべきですし、
しばらく問題らしい問題がでていないところはスキップしても良いでしょう。
時間も人員数も、企業内のリソースは有限です。
であれば、重点監査対象とそうでないところの差があって当然です。
そういう視点を失ったら、セレモニー化の第一歩と言ってよいでしょう。
[D]監査の基準、範囲、頻度、方法を規定する。
「そんなことまで決めないといけないのか・・・」と捉えてはいけません。
「こんな大事な事を、自由に決めてもいいんだ!」と考えてください。
特に重要なプロセスであれば、そこだけ頻繁かつ詳細にやっても良いわけですし、
逆に除外されるところがあっても良いわけです。
[E]監査員の選定と監査の実施においては、客観性と公平性を確保する。
他項D、Gにおいて、監査の方法と手順が規定されているので、
それに従って監査を行うことで、自然とクリア出来るはずです。
明らかに主観的で不公平な内部監査であれば問題ですが、
そうでさえなければ、あまり深く考える必要も無いでしょう。
「客観性や公平性を測定し、基準値をクリアしているかを判断する」なんてことは、
審査員にだって不可能なことですから。
(そもそもそんな基準は規格に書いてありません。)
一定の方法から逸脱していなければそれでよし、
ということにしておかないと、何も出来なくなってしまいます。
ただ、その基準や方法自体にも、時には見直しが必要です。
内部監査というプロセス自体を監査対象とするのも一つの方法です。
[F]監査員は、自分の仕事を監査してはいけない。
誤解されていることが多いと感じるのですが、
自分の所属部署であれば監査しても大丈夫です。
禁じられているのは、あくまで「自分の仕事」です。
全く違う仕事をしている他部署を監査することは
監査員にとって非常に勉強にはなるものの、
ある程度回数をこなさないと深い部分までは見えないというデメリットもあります。
そういう意味では、同じ仕事をしている相手を監査することにも、メリットはあります。
[G]監査の手順(計画・実施・記録・報告)は文書化する。
これは必ずしも、
「共通のチェックリストを用いて」、
所定の計画書や記録用紙を埋める」ことが求められているのではありません。
それらは、この要求事項を満たすための一つの手段にすぎません。
計画の立て方、実施における注意点、記録のポイント、報告のポイント
といった事柄が押さえてあれば十分です。
次回からはいよいよ後編です。これまでの規格解釈を踏まえて、
「こんなスタイルの内部監査でも、規格の要求に応えつつ、
 組織の成長に役立てることは可能なはずだ。」
ということを具体的に書いていきます。
(あくまでも思考実験の産物ですが。)
<続く>

業務としての内部監査とは? <中編2>

前回記事<中編1>に続き、内部監査に関するISO9001の要求事項を整理していきます。
[B]次の事項が満たされているか否かを明確にするために実施する。
  a)組織のQMSが、個別製品実現の計画に適合している。
  b)組織のQMSが、ISO9001の要求事項に適合している。
  c)組織のQMSが、および組織が決めたQMS要求事項に適合している。
  d)QMSが効果的に実施され、維持されている。
[Bはつまり、a~dの事項が満たされていることを明確に出来る活動を
行ってさえいれば、それでOKだと言うことです。
その「活動」の、具体的な中身・やり方は自由です。
活動した結果として、a~dの事項が満たされているか否かが明確になっていれば、
そのやり方で正解です。
そして、正解は一つではありません。
(一つだけ言える確かな事は、もし明確にすることに失敗したとしたら、
 そのやり方は不正解だということぐらいです。)
世間では「内部監査」と言うと、"内部監査員"なる社内資格を設置し、
その技能を持った社員を養成し、定期的に社内各部署に派遣して
その部署の仕事ぶり(の結果としての各種記録)を監査させるというやり方が多いようです。
しかし、別にその手法にこだわる必要は無く、全く新しい独創的なやり方を編み出したとしても、
ちゃんと要求事項さえ満たせていれば、審査員から何か言われる筋合いはありません。
さて、各事項をつぶさに見ていきます。
 a)
現場の業務において実際に作られるものが「個別製品」です。
そして、その作り方(詳しくは規格の「7.1」の項にあります)が、
組織の決めたQMSと整合しているかを確認出来れば良いのです。
簡単な言葉に言い換えると、
品質マニュアルその他の各種社内規定と、現場の仕事の仕方とが、
矛盾していなければそれでOKです。
 b)
すでに認証を取得している企業であれば「何をいまさら」感があります。
品質マニュアルその他の各種社内規定が、規格要求事項に
矛盾する(あるいは不足する)内容になっていないかをチェックするだけです。
規格はさほど特別なことは要求していないので、あまり神経質になる必要はないと思います。
 c)
b)と同様で、あまり神経質に気にするものではありません。
組織が自主的に決めた要求事項なるものが存在するのであれば、
規格要求事項以上に(認証取得以前から)浸透しているでしょうから。
そういった「組織独自の要求事項」が存在し、明文化されているとしたら、
品質マニュアルや品質方針の中に書かれているものと思われます。
品質に関わる各種社内規定などが、それに矛盾または不足していなければOKです。
 d)
さてこれが一番重要です。
そもそも、どんな事象を観察し、それがどういう状態であれば
「効果的だ(あるいは効果的でない)」と言えるのか

そこから考えなくてはいけません。
そこで、「もしQMSが存在しなかったら」を考えてみます。
 目標も無く、標準的な作業手順も策定されず、顧客要求事項の明確化も
 設計のレビューや出荷前のチェックもされず、クレームが来ても処置されない。
考えただけで背筋が寒くなるような組織ですね・・・
これぐらい極端な例を挙げれば、誰でも「あってよかったQMS!」と思うはずです。
(なお、これら「QMSにおいて規定される業務」は、
 いわゆる「現場仕事」とは本質的に異なります。
 これらは「現場を管理する業務」であり、
 いわゆる「管理監督者」と呼ばれる層の方々が担う業務です。)
さて、QMSが組織にとって不可欠であることはお分かり頂けたと思いますが、
さらに一歩踏み込んで、
「QMSを存在させることで、させない場合と比較して
 組織の何がどう変わることが目的なのか?」
を考えてみてください。
これは、組織ごとに自由に策定して良い目的です。
それは売上UPかもしれないし、リピーター率のUPかもしれません。
その達成度を測り、目標値を超えているか否かで判断するのが良いと思います。
QMS全体の目的(存在意義)だけでなく、
個別の管理業務ごとに目的と目標値を策定するのもいいでしょう。
(それらの一部または全体は、品質目標とも重複すると思われます。)
以上をまとめると、d)については
「管理監督者達は、QMSで規定された管理業務をきちんとこなしているか?
 そしてその成果として、QMSが存在する目的をちゃんと果たせているか?」
を確認出来れば良いということになります。
[C]~[G]は、<中編3>にて扱います。
<続く>

業務としての内部監査とは? <中編1>

前回の記事で「前提」を明確にして、今回から本題に入ろうと思うのですが、
ちょっとその前に、タイトルについて説明しておきます。
わざわざ「業務としての」と付けたのは、現在QMS認証取得企業の多くで行われている
内部監査が、「セレモニー」になっているように思えたからです。
ここで言うセレモニーとは、「の役に立つのか」、
どれだけ役に立っているのか」が曖昧なまま、
"QMS認証取得のために"という大義名分(?)の下に行われる形式的な活動のことです。
内部監査以外でも、マネジメントレビューや各種記録作成が、
あるいはQMSそのものがセレモニーと化している企業は少なくないと思います。
規格には本来、企業にそんなセレモニーの開催を強制する意図はありません。
中小企業のためのISO9001 何をなすべきか ISO/TC176からの助言」(ISO編著)の
P18には、「品質マネジメントシステムによって、過度の(お役所仕事的な)形式主義や
 過剰な文書業務、または柔軟性の欠如に陥ってしまうことがあってはならない。」
とあります。
またP19には、「ISO9001の意図は、これまでと異なる全く新しいものを
組織に課すものではない。」ともあります。
これらはきっと、品質マネジメントシステムだけでなく、
ISO内のあらゆるマネジメントシステム規格に当てはまる原則論でしょう。
セレモニーではない、通常の企業の「業務として自然な」形で行われる
内部監査とはどういうものなのか、それを考えるのが今回のテーマです。
それでは本題に入ります。
まず、内部監査についてのISO9001の要求事項(8.2.2)を整理してみます。
(原文ママではありません。)
[A]あらかじめ定められた間隔で実施する。
[B]次の事項が満たされているか否かを明確にするために実施する。
  a)組織のQMSが、個別製品実現の計画に適合している。
  b)組織のQMSが、ISO9001の要求事項に適合している。
  c)組織のQMSが、および組織が決めたQMS要求事項に適合している。
  d)QMSが効果的に実施され、維持されている。
[C]監査対象となるプロセスや領域の、状態や重要性と過去の監査結果を鑑みて監査計画を立てる。
[D]監査の基準、範囲、頻度、方法を規定する。
[E]監査員の選定と監査の実施においては、客観性と公平性を確保する。
[F]監査員は、自分の仕事を監査してはいけない。
[G]監査の手順(計画・実施・記録・報告)は文書化する。
次に、これらの要求事項をどう解釈したらよいのか、考えてみます。
[A]は要するに「定期的にやりなさい」と言っているわけですね。
毎週でも年1回でも、はたまた3年に一度でも、組織の自由です。
もちろん、臨時で行うことも禁止されてはいません。
ただ、認証を受けるにあたっては、審査が年一回なのですから、
内部監査も少なくとも年一回必要かもしれません。
去年の審査から今年の審査の間で、規格要求事項である内部監査が
一度も行われていないようでは、審査のしようがないので。
(同じことがマネジメントレビューにも言えます。)
<続く>
※一度[b]までをこの記事に収めてアップいたしましたが、
 [b]だけでも長いので、<中編2>として独立させました。
 [C]~[G]は<中編3>とする予定です。