ISO内部監査の判定の仕方

内部監査の判定は「監査基準」と「監査証拠」を対比して客観的評価をおこない、監査所見として「適合」、「不適合」、「改善の機会」(呼称は会社によって異なる。「観察事項」「提言」「勧告」「オブザベーション」「改善提案」等々)を判定します。
内部監査の判定

 

不適合の判定

監査基準に対して監査証拠が適合していない明確な差がある状態です。

不適合の判断基準

1. 監査基準と監査証拠に明確な差がある。
疑わしきは罰せず。疑わしい事は、改善の機会として扱うとよい。
2. 不適合の事実が確認できる。
監査中のメモなどにより、不適合の事実が具体的に客観的証拠と共に記録されている。
3. 監査基準に基づき検出される事のみが不適合である。
不適合がなければ、それでよい。重箱の隅は突かない。

不適合として誤って判定してしまう一番多い例は「~すべきなのに~していない」です。
不適合の判定

「~するべきなのに~していない」という不適合はあり得ません。「~すべき」というのは「理想の姿」であって「監査基準」ではありません。
理想の高い人や経験が豊富な人ほど「~すべき」と考えてしまいがちなので気を付けてください。
そもそもヒトは「~すべき」と言われると押しつけを感じるので、「~することが~という効果があるので望ましい」等の「改善の機会」として提案をおこなった方が受け入れてもらいやすいです。

すべきは不適合にしてはならない

 

不適合の記載例

監査基準:法令

監査基準騒音防止法では30t以上のプレス機械を設置する時は市町村長に届け出ることになっている。
監査証拠第二工場で新設した35tのプレス機械(設備番号(k-062)を市に届出をおこなっていない。
不適合騒音防止法を順守していない。

監査基準:社内規定

監査基準「生産部門規定」(PT002-01)で測定機器の点検は月に1回実施し点検記録を作成することになっている。
監査証拠 生産部門において、秤(M088)の点検記録が20XX年8~11月記載されておらず、課長が確認することになっているが実施していない。
不適合「生産部門規定」に従い点検記録を作成していない。

監査基準:社内手順書

監査基準「情報機器取扱手順書」(DV001-02)では「個人所有の携帯電話に業務上の情報を保管してはならない」と規定している。
監査証拠 営業部門の複数名が個人所有と会社支給のスマートフォンとの間で連絡先を同期しており、個人所有のスマートフォンに顧客電話番号などが保管されていた。
不適合個人所有のスマートフォンに顧客データを保管していた。
規格要求事項が監査基準となることは少ないです。
内部監査でISO9001,ISO14001,ISO27001規格要求事項が監査基準となることは殆どありません。規格要求事項は「何(what)をするか」であり、「どうするか(how)」は社内のマニュアルや規定、手順書などで社内ルール化(文書化)されています。規格要求事項に具体性はなく、具体的なルールとなっている社内文書を監査基準として判定をおこないます。
例:ISO規格要求事項:業務に必要な力量を決定する。→ 社内ルール:部門ごとで業務に必要な力量を決定し「力量基準書」を作成し、「力量基準書」に従い各部門で各人の力量を「力量管理表」を作成して管理する。
 

改善の機会の判定

次のような評価を行った場合は改善の機会となります。
1.「監査基準」と「監査証拠」が合っているが改善した方が望ましい状態。
2.「監査基準」がないが改善した方が望ましい状態。(上記の「~すべき」という状態。
3. 内部監査員の気づき。
改善の機会の判定

 

 

改善の機会の記載例

  • 運用手順書どおり業務を実施しているが、更なるエネルギー削減のために、工程の改善方法を検討した方が望ましい。
  • 設計部門の目的・目標として「省電力」に取り組んでいる。設計部門における品質目標である「部品の共通化率20%」は環境側面として特定されていないが、環境側面として特定し環境目的・目標として取り組んだ方が、環境影響が大きいので見直しを検討下さい。
  • 情報セキュリティの研修を毎年4月に実施しているが、重要性の認識を高める為にも四半期ごとの頻度でおこなうことが望まれる。
不適合は被監査部門に対して是正処置を要求するのに対して、改善の機会は採用の要否は被監査部門で決めるという社内ルールになっている会社が多く見受けられます。内部監査員が一生懸命提案しても採用されなければ、内部監査員としても残念です。そこで採用される確率を高める方法としては効果を明確にすることです。効果のない改善提案では意味がありませんから、効果を明確にした改善提案をおこなうようにしましょう。