お問い合わせ

内部監査に役立つISO用語集

内部監査員にとってISO要求事項の理解は重要です。ISO要求事項の理解を助けるため、重要な用語を、順次、解説してまいります。

No.1 監査

監査とは、「監査基準が満たされている程度を判定するために、客観的証拠を収集し、それを客観的に評価するための、体系的で、独立し、文書化されたプロセス」のことです。

監査基準とは、ISO規格、マニュアル、規定、手順書のことです。客観的証拠とは内部監査員が監査をとおして収集した事実です。

内部監査に良いイメージを持っている方は少ないように思います。理由はいろいろあると思いますが、「客観的」ではなく「主観的に」評価されていることも原因の一つのようです。「思い込み」で監査することがないよう、事実の収集に努めてください。

監査は英語ではaudit、ラテン語で『聴く』を意味するaudioが語源です。監査員たるもの、しっかりと聴く耳を持たなければなりません。

皆さんは、内部監査でどれくらいの時間を「聴くこと」に費やしていますか?
親身になって話を聴くことで、思いがけない改善点が見つけられるかもしれません。

No.2 監査証拠

監査証拠とは、「監査基準に関連し、かつ、検証できる、記録、事実の記述又はその他の情報」のことです。

内部監査員が収集した客観的証拠の中で、監査基準に関連するものが「監査証拠」です。
内部監査員は、監査基準と監査証拠を対比させ、適合、不適合の判定をします。「適合」と判定するためには、どのような監査証拠を入手しなければならないかを事前に想定しておくとことで、円滑な監査が実現します。

No.3 不適合

不適合とは、「要求事項を満たしていないこと」のことです。
要求事項とは、「明示されている、通常暗黙のうちに了解されている義務又は義務として要求されている、ニーズ又は期待」のことです。

様々なものが要求事項としてなり得ますが、内部監査では、ISO規格、マニュアル、手順書、顧客要求事項、法規制など明文化されたものを対象にします。これらの共通点は、明文化されていることです。明文化されていない暗黙知を監査基準にすると公平性や客観性の観点で問題があります。暗黙知を監査基準にする場合は、丁寧な教育、または、周知徹底が必要であることは言うまでもありません。

不適合の判定をするためには、「実施すべきことがされていない」「作成すべき記録が、作成されていない」というように、ルールが守られていない状況が確認できる必要があります。

No.4 レビュー

レビューとは、「設定された目標を達成するための対象の適切性、妥当性、及び有効性の確定」のことです。「レビューを制するものは、ISOを制する」と言っても過言ではないぐらい、レビューは大事な用語です。

適切性、妥当性、有効性と重要なキーワードが立て続けに登場します。
ISOでは、有効性を「計画した活動を実行し、計画した結果を達成した程度」定義しています。つまり、「終わりよければ全てよし」を嫌います。計画通りにやって、所期の目的が達成できたら、有効性があるといいます。

適切性、妥当性は、ISOで定義していないため、意味を探るのに一手間かけます。
ISOの原文は英語なので、対訳本を見て、適切、妥当に該当する英単語を抜出し、英英辞典で意味を調べます。適切に該当する英単語はsuitable、妥当に該当する英単語はadequacyです。
suitableは「目的に合っているか(質)」、adequacyは「目的に対して過不足がないか(量)」というような意味になります。

つまり、レビューとは検討対象の取組みが、
・目的に見合ったものか(的外れな取組みになっていないか)
・その取組に過不足がないか(ムリ・ムダ・ムラがないか)
・その取組は達成できたか(役に立っているか)
というような観点で検証することです。

内部監査員は、常にレビューの意味を考えながら監査に臨むことが期待されます。

No.5 力量

ISO19011「マネジメントシステム監査のための指針」では、監査員の力量を次のように定義しています。
『意図した結果を達成するために、知識及び技能を適用する能力』

知識と技能ですから、「知っていなければいけないこと」「できなければいけないこと」を明らかにし、習得できるよう教育訓練しなければなりません。

監査員に必要な力量とはなんでしょう。

知識は、ISO規格、マニュアルや規定といった監査基準、内部監査に関する知識です。
技能は、質問の仕方やチェックリストの作成など様々なスキルがありますが、指摘事項を「探す・話す・書く」が重要です。

具体的には、「組織の役に立つ指摘事項を探し、被監査者への説明責任を果たし、経営者分かるよう内部監査報告書を書く」ことです。

No.6 あらかじめ定めた間隔

ISOの要求事項には、期間に関する概念に特徴があります。内部監査やマネジメントレビューは、定期的に実施するものではなく、「あらかじめ定めた間隔(planned intervals)」で実施することが要求されています。

「あらかじめ定めた間隔」とはどんな間隔でしょうか?ちなみに、審査機関によるサーベイランスや更新審査も、定期的ではなく「あらかじめ定めた間隔」で実施されます。

「あらかじめ定めた間隔」とは、実施する頻度を決めるという意味です。目安として毎年6月と12月に実施するのだが、繁忙につき今年は5月に前倒しにする、または7月に後ろ倒しにするなど柔軟な対応をします。内部監査は社内のイベントなので、実施時期が変わったからといって顧客に迷惑をかける訳ではありません。内部監査の専門職がいるならばまだしも、多くの組織では内部監査員は兼務だと思います。本業を犠牲にしてまで内部監査を実施する必要はありません。

ちなみに、14001、22000、27001、45001には、「定期的(regularly)」という用語が要求事項の中で用いられています。「定期的」とは、毎月、3ヶ月毎、6か月毎のように期間を定めたら、厳密に実施します。安全対策や法令点検などは、「定期的」に実施するから意義があります。忙しからという理由で疎かにはできません。

No.7 文書化した情報

2012年に発行された「ISOマネジメントシステムの共通要素」の影響を受けて、27001、9001、14001、22000、45001の最新版では、紙媒体をイメージさせる「文書」、「記録」という用語が廃止になりました。

電子媒体、紙媒体を問わず、「情報」の管理に重きが置かれるようになりました。情報だけだと管理対象が明確になりにくい、という理由で「文書化した情報(documented information)」と表現するようになりました。「文書化した情報」とは、換言すれば「管理すべき情報」です。管理すべき情報が、もれなく管理対象になっていないと、情報漏えいなどのセキュリティリスクが高まりますし、組織の活動にも悪影響が出るかも知れません。

組織の活動は日々変化します。取扱う情報の質も量も変化します。管理対象の情報にもれがないか、内部監査員はしっかり確認することをお勧めします。

No.8 是正処置

皆さんの会社では是正処置が機能していますか?
是正処置とは、「不適合の原因を除去し、再発を防止するための処置」のことです。

「原因を除去する」というのが一番難しいところです。内部監査員は、被監査部署で是正処置の実績があれば、「特定した原因が適切であると判断した根拠は何か?」というような質問をし、真の原因が探求されていることを確認してください。

混同されやすいものに「修正(correction)」があります。修正は、「検出された不適合を除去するための処置」です。内部監査員は、被監査部署で実施された処置が是正処置に該当しない場合には、「それは修正ですよ」と指摘ができると良いです。

No.9 リスク

リスクは、「不確かさの影響」と定義されています。分かりにくい定義なので、ISOでは「影響とは期待されていることから、好ましい方向又は好ましくない方向に乖離することをいう」と注釈されています。ここでいう期待とは、計画、目標、方針、手順といった言葉に置き換えれば良いです。好ましい方向と「もったいない」、好ましくない方向は「やばい」というイメージです。

つまり、「放置しておくと、ビジネス・ロスにつながるような、もったいないものはないですか(機会)」、「放置しておくと、トラブルやクレーム発生につながる、やばいものはないですか(リスク)」ということです。難しいのは、どの程度の期間、放置しておくことを想定するかです。近視眼的に1年未満で考えると、リスクや機会を認識するのは難しいかも知れません。

また、リスクは顕在化していないで、同じ環境にいて同じ事象を見ても、気が付く人、気が付かない人がいます。基本的に、目的意識の低い人、仕事に関心のない人や、感覚の鈍い人はリスクに気が付きません。
内部監査員には、リスクを検知できる感度の高い人になってもらうと良いです。

ちなみに、ISO/IEC 27001では、リスクを「目的に対する不確かさの影響」と定義しています。なぜ、「目的に対する」という単語が付加されているかというと、ISO/IEC 27001は、ISO 31000「リスクマネジメント-指針」の定義を採用しているためです。本来ならば、他の規格との整合性の観点から統一すべきなのですが、「リスク」に関しては分野ごとに概念が異なることから、規格ごとに定義することができる、という例外的ルールが設けられました。

No.10 プロセスとプロセスアプローチ

ISO 9001では、プロセスを「インプットを使用して意図した結果を生み出す、相互に関連する又は相互に作用する一連の活動」と定義しています。この定義は、他の規格も共通です。

プロセスの正式な訳語はないのですが、「活動」または「業務」と訳すと良いです。
営業活動、設計活動、購買活動、製造活動など・・・。個々の活動は独立していますが、他の活動との関連があるので、適切な成果物(アウトプット)を次の活動に引き渡す際すことができるようにプロセスを管理することを、「プロセスアプローチ」といいます。

プロセスアプローチは、プロセス(活動)の要素(人材、設備・機械、情報、材料、作業方法、検査方法、成果物)を明確にし、管理のポイントを明らかにする取組です。一般的には、」タートル分析という手法を用います。

内部監査では、被監査部署の活動がうまくいっていないと分かった際は、前述した要素をイメージしながらヒアリングをすることで、問題点が特定しやすくなります。