再開のご報告

　約１ヶ月、お休みいただきました。

 

　滋賀県高島市に転居してから２か月ほどになりますが、愛知県に住んでいた頃には、考えられない事がたくさんありました。ネットワーク回線もその一つでした。

 

　転居手続きの際には、すぐに開通できるとの回答をいただきましたが、いざ、転居するとなると、どうもそうではない。詳しく調べると、高島市の中でも光ケーブルが導入されているのはＪＲの駅周辺に限定されているようで、住宅地へ引き込むのは時間が掛かるとの事でした。

　しつこく確認したところ、最大の要因は、人口減少のようでした。

　隣接する大津市は人口が増加傾向にあり、新築住宅も多く、光ケーブルの導入工事が進んでいるようですが、減少傾向にある高島市は後回しになったようでした。そのため、関西エリアでは、ＥＯネット等が代替えするような形でネットワーク網を広げているとの事でした。ＮＴＴはこのエリアではマイナーな存在のようです。さらに、光ケーブルを導入する為には、既設の電信柱を使用することになり、国道・県道・市道それぞれに立っている柱を活用する為、それぞれの所管官庁への申請が必要らしく、書類作成と許可にかなりの時間を要するそうです。今回、依頼したプロバイダーの担当者の話では、最短でも２か月、ひょっとすると半年待ちという事もあるとの事。その結果、ＮＴＴ加入権を放棄する人もあるとの事でした。ちょっと意外な感じがしました。

 

　ならば、モバイル通信はどうかというと、やはり、人口が少なく高い建物が少ないため、ＤＯＣＯＭＯのアンテナが少なく、通信環境は極めて悪いのです。携帯電話のアンテナマークは家の中では１本立つかどうか・・時には通話不能という状況です。

 

　ここは、琵琶湖を眼前にした静かな環境ですが、社会インフラの整備は遅れているのです。やはり、これでは、若い世代が都市部へ出て行ってしまうのを止めることは難しいのかもしれませんね。

 

　というわけで、無事、ＮＴＴ光（隼）が開通しましたので、今後は、これまでどおり、ブログをアップしていく予定です。

　今後も、御拝読いただけるよう、記事内容をさらにパワーアップしてまいりますので、よろしくお願いいたします。

 

　また、そろそろ、本格的にお仕事として、内部監査の支援業務を始めたいと考えています。

　人員不足の中で、内部監査部門の充実・強化は難しい、内部監査部門はあるが兼務体制で思うように進まない、新規配属されたもののどこから手を付けてよいか判らない、より効果的な内部監査研修や訓練を行いたい等のお悩みを抱えておられる生協はありませんか？

　

　「内部監査のアウトソーシング」をご検討されてはいかがでしょうか？

　内部監査部門（監査スタッフ）の教育研修、特定部門への内部監査支援、内部監査の全面的支援など、貴生協の実情に合わせた支援をさせていただきます。

　なによりも、生協組織に固有の状況や経営視点、事業形態などの知識・見識は、一般の経営コンサルタントでは持ちえないものをこの35年の生協職員としての経験の中で持っていると自負しております。

　また、今の生協陣営における「内部監査の立ち位置（位置づけ）」を少しでも高めるために役立てることを第一の目的と考えております。また、監事との関係、経営陣（役員会）への提言の仕方などもこれまでの経験から身についていると考えております。是非とも、貴生協のお役立ちをさせていただければと思っております。

 

　参考までに、「一番はじめに読む内部監査の本（有限責任監査法人トーマツ著）」に、内部監査のアウトソーシングに関する以下の様な解説がありますので、ご一読いただければと思います。

（以下、転載・抜粋です）

 

１７：アウトソーシングの利用

 

▼内部監査のアウトソーシング

　バブル崩壊後、選択と集中という言葉が流行しました。これは、裏をかえすと、企業の本業から外れた業務はアウトソーシングするという事もできます。一般的には、情報システムの管理や給与計算などの業務をアウトソーシングしている企業が多いようです。これらの業務をアウトソーシングする理由としては、本業以外の業務という事の他に、専門性が高いという事があります。アウトソーシングする業務の対象としては、内部監査も例外ではありません。ここでは、内部監査におけるアウトソーシングの利用意義とメリットについて説明します。

 

▼内部監査の専門性

内部監査には高度な専門性とノウハウが求められます。内部監査その物についての知見だけでなく、監査対象となる企業の業務の理解している必要があるためです。また、会計、システム、人事、会社法なふぉ付随して求められる知識も膨大なものとなります。企業内部で、これだけの知識を有する人材を集め配置するのはかなり難しいと考えられます。アウトソーシングに箱の専門性を外部に求める意味があります。

 

▼内部監査のアウトソーシングのメリット

　前述したとおり、アウトソーシングには企業の本業に集中できるというメリットや専門性を保管できるというメリットがあります。すでに、アウトソーシングを始めている先進的な企業では、海外子会社の内部監査や経営者の特命事項に関する内部監査をアウトソーシングする例がよく見られます。海外子会社の内部監査の場合、その国の言語や商習慣に精通している国際的な監査法人やコンサルティング会社を利用する方が効率的であり、効果も期待できます。また、企業外部の第三者を利用することで客観性を確保する事もできます。

 

▼三つのパターン

内部監査のアウトソーシングの具体的な方法はいくつかあります。ここでは、内部監査のアウトソーシングを取り入れている企業でよく見られる三つのパターンについて説明します。

 

パターン①－内部監査に関する教育の支援

このパターンでは、内部監査部門は部門長と複数名のスタッフで構成されている事が多いようです。また、このパターンは、内部監査部門の導入初期によく見られます。配属されたばかりの内部監査スタッフに対し、内部監査についての教育研修を支援してもらいます。そもそも内部監査とは何か、内部監査はどのような作業で、どのようなスケジュールで行うものかなどについて教育研修を実施します。これらの研修を踏まえて、実際の内部監査業務は内部監査スタッフが行います。

 

パターン②－特定分野の内部監査支援

　パターン①の研修は、机上の学習に過ぎません。そのため、実地演習として、特定分野の内部監査を外部の内部監査専門家と共同で行うケースがあります。ある意味で、教育研修の延長とも考えられます。別のケースでは、情報システムや会計、海外子会社など専門性を必要とする分野についてのみ、外部専門家を利用するというのもあります。この場合、他の分野は企業の内部監査スタッフが実施します。

 

パターン③－内部監査実施の全面的支援

このパターンでは、内部監査部門は部門長の実または少数のスタッフで構成されている事が多く見られます。スタッフは、アウトソーシングによって調達することを前提としているためです。この場合、外部専門家は部門長と協議しながら、内部監査計画、内部監査の実施、報告書の作成などの内部監査に関する大部分の作業を請け負うことになります。部門長は、外部戦も課の監査結果を確認し、経営陣に報告します。

 

　ご依頼、ご相談がございましたら、お気軽にお問い合わせいただければと思います。

内部統制とＩＳＯの内部監査①

●ＩＳＯ規格（品質・環境）の認証を取得している生協では、ＩＳＯ19011（マネジメントシステム監査の指針）に沿って、内部監査を実施しているところが多いと思います。

?

●ＩＳＯ規格では、内部監査を以下のように定義しています。

監査基準が満たされている程度を判定する為に、監査証拠を収集し、それを客観的に評価するための体系的で独立し、文書化されたプロセスである。

そして、その結果を通じ、規格への適合性と有効性の向上に貢献することを目的としている。

?

ＩＳＯ監査は、マネジメントシステムが規格（品質・環境等）基準を満たしているかどうかを判定する（適合性）ことと、マネジメントシステムが規格の目標（品質向上・環境への貢献等）達成のために有効に働いているかを確認する事に重点を置いているという事です。

?

一方、内部監査基準（内部監査協会）では、「組織体の経営目標の効果的な達成に役立つこと」を目的として、「合法性と合理性の観点から公正かつ独立の立場」で、「経営諸活動の遂行状況を評価」し、「助言・勧告を行うアシュアランス業務」、および「経営諸活動の支援を行うアドバイザリー業務」であるとしていました。

?

いかがでしょうか？

監査の目的、監査の基準、監査対象領域、監査の機能（評価＋助言勧告＋支援）など、大きく異なるものであることがお判りいただけるでしょうか？

?

もちろん、業務の品質の向上・改善や、環境保全への貢献は、組織にとって重要なテーマですし、今日的には、社会的にも強く求められるものです。その点において、ＩＳＯ規格を取得し、効果的に運用する事を否定するものではありません。事実、私のいた生協では、「ＩＳＯに基づくマネジメントシステムを全ての業務管理の基本に据える」と経営トップが宣言し、かなりの費用と時間をかけて取り組んでいました。私自身も、ＭＳ内部監査の主任監査員として、監査の進捗管理を行っていました。そのために、外部研修に、幾度も参加し、その都度、内部監査基準との矛盾点に悩みながら、なんとか進めてきました。

?

私の知る限り、全国の生協の中でもＩＳＯ規格に基づく内部監査を主体にされているところが、関東・関西・九州等であるとようですし、日本生協連でも、ＩＳＯ監査を組織的に展開されていると承知しております。

私のいた生協では、当初、「ＭＳ内部監査事務局」が置かれていて、「ＭＳ推進事務局」と密接に連携を取り、ＭＳの構築と運用、そして監視（監査）が一体のものとして取り組まれていました。

私自身も、ＭＳ内部監査員の一人として部分的に関わっていましたが、実態としては、少し残念なものと言わざるを得ませんでした。

その一つが、監査の方法でした。

規格への適合性判定のために、網羅性を重視した「規格項番対応型のチェックシート」を用い、「〇[×]評価」を行う形で、監査の結果、[×]評価項目は指摘事項となり、是正・改善要求に基づき改善を進めるというものでした。真因追及や改善提案へつなげるようなディスカッションは少なく、「浅い監査」と言わざるを得ない状態でした。

ただ、これは、ＩＳＯの問題ではなく、ＭＳ監査事務局の力量の無さ、規格の理解不足、監査員の育成・研修の不十分さによるものだと思います。

?

また、そうなる真因の一つは「ＩＳＯ監査（19011規格）」自体にもあります。

極論になりますが、監査の目的を「ＩＳＯ規格への適合性を目的にしているため」としているからなのです。運用しているマネジメントシステムが、規格要求事項を満たしているかを判定するためには、網羅性重視の監査手法が要求されます。そして、判定のためには、評価基準を設ける必要があります。いわば、監査の深度は期待せず。できるだけ広範囲に、システムの運用と構築が妥当かどうかをはっきりさせることに力点が置かれてしまうためだと言えるのです。

?

また、もう一つの原因には、外部審査機関の問題があると思います。

私のいた生協が受けた認証機関による審査では、内部監査がどのようなチェックシートを用いているか、それは、網羅性が高く、客観性が確保された基準を持っているか、規格項番を適切に示すことができているかといった点を重視した評価をしていました。審査員の中には、指摘事項に対して、規格項番の選定に問題がある様な評価をされる方もいますし、システム全体より細部における文書整備に力点を置いた審査講評を述べる方もいました。結果として、認証を得るために、認証機関の要求に応えることに注力され、システムの改善や有効な運用は二の次になりがちでした。

?

本来、重要なのは「ＩＳＯ認証を取る」事ではなく、有効なマネジメントシステムを構築し、業務品質の向上や環境保全への貢献を高める組織・運営管理体制を作ることだったはずです。

?

当時、前任者から引き継いだ際には、内部監査員は全体で30名を超えており、2名チームで、年間通じて、30カ所程度の監査を実施し、会議も年間5回以上開催していました。

また、内部監査員育成のために、高い費用をかけて、外部講師を招き、2日間の研修を実施しながら、研修レポートを見ると、内容が全く理解できていない実態にありました。

監査の成果物の質は当然低く、「重箱の隅をつつくような指摘事項」と「とってつけたような是正」「再発防止策の有効性がない改善策」が羅列されているにも拘らず、監査報告書では「規格への適合性と有効性は確認された」という監査所見が堂々と報告されるものでした。

内部監査員本人たちさえ、形式的で表面的な監査にうんざりしているのは明らかでした。

認証を得るために、次々に文書が作られ、日常マネジメントとは遊離したような運用ルール（マニュアル）が出来上がり、表面的なチェックに基づく監査に労力を使う事になってしまっていました。

これは、最も誤った方向ではないかと思います。

もし、皆さんの生協でも、同様の傾向が見られるのであれば、内部監査として、ＩＳＯの間違った運用による無駄なコストと労力をかけていることをトップに強く進言してください。

くれぐれも誤解のないようにしていただきたいのですが、私は、ＩＳＯ規格とそれに基づく監査を否定するものではありません。

ＩＳＯ規格は、マネジメントの考え方としては非常に優れています。ただ、「認証」という仕組みが、ＩＳＯが意図した運用を歪めてしまっているという事なのです。極論を言えば、外部認証機関の力量不足が招いた問題だという事です。

規格が求めるマネジメントシステムを構築し、適切に監査することで、品質と環境の領域の改善・向上は確実になるはずなのです。しかし、それを正しく深く理解するにはかなりの努力が必要です。

内部統制とＩＳＯの内部監査②

　では、ＩＳＯ内部監査をベースとした場合、どのような監査手法を用いれば、深度のある監査ができ、監査結果の組織貢献度が高くなるのでしょうか？

 

　そのヒントとなったのは、「リスクマネジメントＴＯＤＡＹ」という研究誌の2008年3月号に掲載されていた「内部統制導入とＩＳＯの視点(名古屋リスク研究会)」という論文でした。

 

　その論文は、内部統制導入における課題の解決視点にＩＳＯの考え方を照らして検証されたもので、直接的には私の問題意識の対局にあるものでしたが、裏返すと、ＩＳＯ運用を高める事で内部統制システムの一層の強化を図れることを示しているとも言えました。

　特に、その中で、着目したのは「内部統制の6つの構成要素とＩＳＯ規格の共通性」と題して掲示されていた表でした。ある意味、目から鱗のような感じでした。2008年当時は、ＩＳＯ９００１や14001などはそれぞれ独立した規格であり、複合運用による弊害も多く見られている状況でしたので、これを内部統制の構成要素に置き換えるというのは極めて斬新でした。

その後、ＩＳＯ規格では、共通のプラットフォーム：ＭＳＳの導入が検討され、今日的には上部構造（ＨＬＳ）として運用が始まりました。

 　これをもとに、私の独自の視点で、名古屋リスク研究会が作成した表をベースにした「内部統制・ＩＳＯ対照表」を整理してみました。

  

 

 

　ＩＳＯの「上部構造（ＨＬＳ）」では、これまでの規格では十分に明示されていなかった「リスク評価・マネジメント」の視点が加わり、ＰＤＣＡサイクルがよりすっきりと整理されています。これにより、内部統制（ＣＯＳＯキューブ）の構造とＩＳＯのＨＬＳの共通性は一層高まりました。

 

　このように整理すると、ＩＳＯにおけるマネジメントシステムの構造と、内部統制システムの構造にかなり共通点がある事が判ります。

 

　内部監査基準に基づく内部監査（内部統制監査）においては、内部統制の構成要素を基準に、監査を組み立てていましたから、このように整理できたことで、ＩＳＯ監査と内部統制監査とを一つの枠の中で展開できることになりました。

 

　実際、この考え方に到達した後は、ＩＳＯ監査と内部統制監査は別物ではなく、統合内部監査として実施する事になり、組織全体から選出された内部監査員（当時は２０名程度）には、ＩＳＯ規格の学習と内部統制システムの学習、さらに、内部監査の養成研修を行い、以前に明示した「内部監査の指針：内部監査標準工程表」に基づく監査を実施することができるようになりました。

 

　端的に言えば、２０名もの内部監査員は、監査対象とする部署の内部統制・マネジメントシステム全体を監査領域にして監査し、監査結果は、規格項番に捉われないようにしたのです。日常業務の問題を掘り起こし、原因を追究し、是正・改善提案を行うように切り替えました。

 

　こうすることで、監査対象部署からの評価も高くなりました。表面的な指摘や形式的な是正改善ではなく、日常悩んでいる問題や気付かなかった問題を内部監査員とディスカッションを通じて深め合い、改善に向けたアイディアを得ることができるという評価に変わったのです。

 

　ここまで考え方を整理し実践したところで、内部統制システムにＩＳＯマネジメントシステムを取り込んだ「総合マネジメントシステム」という考え方に至りました。

 

　これは、もともと、２０１２年度の東海地区内部監査研究会で、コープいしかわの内部監査担当から伺った「考え方」でしたが、当時の私には、難解で、なかなか理解できないものでした。しかし、内部統制監査とＩＳＯ監査を統合して実施したことで、ようやく全体像が理解できました。

 

　３年ほどの実践を経て、考え方を整理し直し、２０１７年度には、内部統制事務局とＭＳ推進事務局に対して、内部監査室から「総合マネジメントシステムへの移行」提案するに至ったわけです。何度かの協議を経て、両事務局から、内部統制委員会及びＭＳ管理委員会の両方へ、「総合マネジメントシステムへの移行」提案を行うことになり、先の「ＩＳＯと内部統制の共通性」を示した表をベースに、内部監査室として、提案・プレゼンを行い、経営トップにも承諾を取り付け、運用へ至りました。

 

詳細は次のところで述べさせていただきます。

内部統制とＩＳＯの内部監査③

　ＩＳＯ認証取得のために、過去には、マニュアル作成や記録管理等の「形式的な」システム構築に精力を傾け、結局、現実のマネジメントとは乖離した「お飾り的な」マネジメントシステムになり、それを監査する方も、どこか形式的になっていたことが愚かな行為だったことが判ります。

 

　ＩＳＯ規格に合わせてマネジメントシステムを構築するのではなく、現実のマネジメントシステム（統制システム）をＩＳＯの視点で検証し、整理・補強すればよかったはずなのです。

 

　もちろん、内部統制システムは、単なる業務品質や環境貢献を目的としたマネジメント領域だけでなく、人事労務や財務・会計、資産管理、等々組織経営全体を領域としたシステムであるわけで、ＩＳＯだけですべてが解決するわけではありません。

 

　図解してみると、以下の様にとらえることができます。

 

 

 

　組織全体の管理の仕組み（内部統制・マネジメントシステム）は、領域ごとの個別管理の仕組み（マネジメントシステム）が有効に機能し、互いが関連しあい、統合された形で運用されている事が望ましい姿と考えることができるはずです。（領域設定は、組織構造によって違いがあるでしょうから、参考程度にしていただければと思います。）

 

　そして、これら全体が、内部監査の対象領域であるべきで、ＩＳＯ内部監査だけでは組織全体を監査している事にはならないと考えるべきではないかと思います。

 

　それらをより合理的に展開していくために、「総合マネジメントシステム」の考え方が有効です。

　

　基本にするのは、「ＣＯＳＯの６つの構成要素」ですが、前述のようにＩＳＯ規格（ＨＬＳ）とも、共通のプラットホームで整理します。少し例を挙げて考えてみましょう。

 

　図にある領域で比較的判り易いのは「順法管理」領域です。以下の様な構造になります。

 

内部統制の要素		ＩＳＯ：ＨＬＳ	具体的な整備内容（例）
統制環境	基礎的要素（法令・社会規範含）	４章：組織の状況 ５章：リーダーシップ	倫理方針・行動規範
リスクの評価と対応	リスクマネジメント	６章：計画（６．１リスク及び機会に対処する活動）	法令リスク認識：重点化検証の有無
統制活動	方針や手続（規程・手順）	６章：計画（6.2目的及び達成するための計画策定）	コンプライアンス管理規程・順法管理規程
	主管部署（権限）		経営管理部
	運用プロセス		「順法管理表」に基づく実施・確認
	教育・訓練	７章：支援（資源・力量・認識）	管理者教育・コンプライアンス教育
	運用実践	８章：運用	法令資格・届出の実施
情報・コミュニケーション	機関会議	７章：支援（コミュニケーション・文書化した情報）	内部統制委員会（法規委員会）
	情報発信		主管部局からの通知・通達
モニタリング（監視活動）	日常的 モニタリング	９章：パフォーマンス評価	月次モニタリング（自己評価）
			主管部局による定期点検
	独立的 モニタリング		内部監査による監視活動
	是正・改善	１０章：改善	主管部署からの是正指示
IT対応	統制に組み込まれるIT技術	７章：支援（資源・コミュニケーション）	規程イントラDB運用や通達の運用・情報提供

　法令順守に関して、トップの宣言・組織風土の醸成がある事、リスク評価において「法令リスク」が認識されている事、法令遵守に関して、定められた規程と管理部署が特定され、運用プロセスが明示されている事、さらに、コンプライアンス教育の仕組みが整備され実践されている事、実際の運用状況がモニタリングされている事と不備が発見された場合、迅速に是正改善が進む仕組みがある事。

 

　こういう構造ができているかを監査することは、ＩＳＯ監査でも内部統制監査でも同じだという事が理解いただけると思います。

 

では、実際の監査ではどのようなワークシートになるのか、次のブログで説明します。

内部統制とＩＳＯの内部監査④

「順法管理」に関する監査を「総合マネジメントシステム」の考え方に基づいて、監査を実施するとどうなるのか。ワークシートを例にして解説いたします。

 

前提として、「順法管理」に限定したテーマ監査は実施した事はありません。

理由は、法令順守は事業や組織全体、個別事業所単位で取り組む領域であるため、特化して監査することには無理があるためです。

 

したがって、順法管理に関する監査は、部署・事業所への業務監査の監査項目の一つに入れて実施することになります。その上で、全体の監査結果を「順法管理」の視点で整理し、課題を抽出し、監査報告とする流れになります。

言い換えれば、各部署の業務監査の結果から、順法管理領域の状況を取りまとめ、順法管理システムの統制上の不備事項を洗い出し、トップへ提言するという事です。

 

実際の監査では、以下のようなワークシート（順法管理に関する領域）を使用しました。

 

1)	●規程・基準・手順の理解 ＊「コンプライアンス基本規程」と「順法管理規程」は理解し、法令遵守の姿勢を持って業務にあたっているか？
2)	●リスク評価 ＊自部署における「法令違反」リスクを認識できているか？
3)	●教育訓練：「コンプライアンス教育」の実施状況 ・ハンドブックによる基礎教育や管理職層での専門教育（法定資格取得者等）は適切に実施されているか？
4)	●運用（１） ※順法管理一覧表をもとに適用法令と遵法点検 ・労働基準法・パート労働法等労働関連法令（雇用契約・就業実態） ・労働安全衛生法（届出と定期開催・労災防止） ・道交法・車両運送法（届出と事故違反防止） ・食品衛生法（商品管理・温度管理・手洗いなどの衛生管理実践） ・景表法（表示・サンプル管理） ・個人情報保護法・特定個人情報保護法（組合員情報等の安全管理） ・消防法（届出と教育訓練・設備管理） ◆法令不備＝不適合・是正要求とする。
5)	●運用（2）―環境関連 ※順法管理一覧表をもとに適用法令と遵法点検 ・廃棄物処理法（記録とインフラ整備の両面） ・フロン規制法（簡易定期点検と日常管理） ・省エネ法（運用管理と設備更新） ・特定危険物保管に関する法律（廃油保管・薬剤管理） ◆法令不備＝不適合・是正要求とする。
6)	●運用（２） ＊日常業務に関連する法令遵守はされているか？確認方法は明確か？
7)	●モニタリング ＊日常的な監視はどのように行なっているか？
8)	●不適合管理 ＊発見された不適合は、それぞれのルールに基づき「事故・違反発生報告」されているか？
9)	●是正・改善 ＊法令違反発生に対する是正措置・改善策は有効性か？
10)	●IT対応 ＊MSDBの「順法管理」の活用はできているか？

 

どうでしょう。かなりざっくりした項目設定と設問となっていると感じますね。

これには理由があります。

 

法令遵守チェックに関して、備考欄にも入れていますが、防火管理や安全運転管理、安全衛生等は、別に監査項目が設定されていて、その中でも前提条件として「コンプライアンスチェック」を行うためです。

したがって、業務監査の際には、「１．コンプライアンス体勢」とした部分、組織環境・法令管理の仕組み・運用・モニタリング・改善・教育訓練の6項目（内部統制６要素）を重点に監査していました。主には管理者の認識・知識・運用管理の点検という事になります。

 

初めの頃には、「資格取得と届け出」を重視したＩＳＯ監査でおなじみの手法で監査していました。しかし、これに限界を感じました。管理者自身、それぞれの法律の趣旨や守るべき内容について、理解できていないのではないか。交通事故の様に、明らかな違反が発生した時だけ対応すればよいというような管理者もいたからです。もちろん、そういう類の法律もあるでしょうが、やはり、それでは法令順守しているとは言えないのではないかと感じたのです。

 

そこで、管理者へのヒアリングでは、法令順守の意味合い（組織的認識の共有）を確認し、守るべき法律を再確認し、その法律の趣旨や求めている遵守レベルを絶えず確認しておくこと。仮に、違反や不具合が発見された場合、報告や是正ではなく有効な再発防止策を講じる姿勢を確認する事を重視しました。もちろん、そのために、職員への日常的な教育訓練が必須でしょう。

 

このように、監査を通じて、コンプライアンスに関する管理者教育を優先的に進める必要がある事を認識した監査に取り組みました。ＩＳＯ監査（１９０１１）では、規格適合性と有効性監査の範疇に留まり、法令順守の領域は対応しきれないと思います。だからこそ、「総合マネジメントシステム」の考え方に基づく内部監査が重要なのです。

 

追加で報告になりますが、当初、法令順守の管理部署は、人事部と経営管理部、さらに事業毎の本部がそれぞれの必要性に応じて管理している実態がありました。法改正などの情報もそれぞれの部署が入手しており、現場には複数の管理部署から指示が飛ぶという実態にあり、春先には煩雑な作業も発生していたのです。結果、対応ミスや抜け落ちも見られ、中には１年間気づかず違反状態が続いた事例も発見されました。内部統制上の不備事項に間違いなく、すぐに監査報告で指摘し、一元管理態勢とするよう提言しました。

　その後、経営管理部が一元管理することになり、遵守すべき法令の一覧化と手続や遵守レベルを全て取りまとめた「順法管理一覧表」が作成されることになり、内部監査室もアドバイザーとして関与しました。この「順法管理一覧表」が完成し、日常点検や監視・監査は数段レベルアップし、法改正などへの対応もいち早く出来るようになったわけです。ＩＳＯ外部審査で、この改善は極めて高く評価されましたし、その後の「内部統制委員会」での運用管理もスムーズに実施されるようになり、大きく改善できたと思います。

「労務監査」の勧め①

　皆さんのところでは、人事労務の領域について、どのような監査をされているでしょうか？

 

　私は、着任2年目に外部研修で「労務監査の実務講座」を受講し、実践してきました。

　ちょうど、この時期に、長時間労働やメンタルヘルスによる休職が増加、新規採用者の離職増加など、人事労務上の課題が大きくなってきた背景があり、トップの懸念事項にもなっていました。

 

　ただ、人事・労務には専門領域が多く、生半可な監査は出来ません。そこで、人事部長にも相談して、社労士による外部研修を受けることにしたのです。

 

　外部研修では、社労士の方が講師となって、労務監査の背景・プロセス・ケーススタディ・監査範囲と監査項目手順等のパートに分けられており、非常に判りやすく、受講することができました。

　今回、その内容をベースに、私が取り組んだ「労務監査」をご紹介いたします。

 

2012年当時、すでに、大手チェーン店で「店長の過労死」や「残業代未払い」「アルバイトへの不当な契約」など、いわゆる「ブラック企業」という言葉が新聞紙上を賑わしていました。係争案件も増加しており、多くの企業で対応に追われる実態が見られました。

生協においても、前述のとおり、長時間労働やメンタルヘルスによる休職者の増加、労基署による立ち入り調査対応などもあり、人事労務管理の立て直し・強化が喫緊の課題と考えられていました。

こうした背景を持って、労務管理に取り組みました。

 

しかし、労務監査の対象範囲は広く、労務管理・人事管理・福利厚生・安全衛生・雇用契約・教育研修・モラール・給与・社保手続きなど、数多くの管理プロセスを持ち、さらに、採用前(募集段階)から退職後までの期間に及ぶものです。

これらすべてを対象とした監査はかなり大掛かりになり、一人体制では到底太刀打ちできるものではありません。そこで、研修で得た知識を活用し、シンプルに重点的で効果的な監査を目指すことにしました。

 

－労務管理：日本人材育成協会ＨＰより一部抜粋－

労務管理とは一言で言えば「労働者・人材の有効活用」という事です。

「生産性を上げる事」「利益を上げる事」「商品を開発し社会に還元する事」等、企業としての目標を達成するために、労働者にやる気を出して働いてもらうことを目的とした人材の活用を意味します。

 内容については、労働者の募集、採用に始まり、配置、異動、教育訓練、人事考課、昇進、昇給、賃金や労働時間の管理等、退職に至るまでの一連の流れを適正に管理する事です。

 

(1)労務監査の視点

労務監査に取り組む時の視点として「５＋２」の視点がある事を学びました。

①ＬＣ（リーガルチェック：遵法対応）

・この点は専門家の協力を得て行う必要があり、最初は就業規則の洗い直しから。記述内容がすでに労働基本法などの労働関係法に抵触するようなものが横行している実態がある。顧問弁護士とも意見交換しながら進める。

 

②ＲＭ（リスク・マネジメント：危機管理・トラブル回避・訴訟対応）

・費用発生リスク・訴訟リスク・行政処分リスク・風評被害リスクの視点で、人事労務に内在するリスク分析を行う必要。それへの備えがどこまでできているかを監査する。

 

③ＥＳ（ｴﾝﾍﾞﾛｲｻﾃｨｽﾌｧｸｼｮﾝ：従業員満足）

 

④ＣＳ（ｺｰﾎﾟﾚｰﾄｻﾃｨｽﾌｧｸｼｮﾝ：企業満足）

 

⑤ＳＳ（ｽﾃｰｸﾎﾙﾀﾞｰｻﾃｨｽﾌｧｸｼｮﾝ：株主満足）

 

ＣＰ（費用対効果）とＣＤ（費用削減）

・上記①から⑤までの視点に対して、労務管理の実情を分析し、予防対策に打つ費用や損害賠償などの発生費用のバランス(コストパフォーマンスとコストダウン)を見て指摘・提案につなげる。

 

※     特に、重視したのは、ＬＣとＲＭでした。法令順守は当然の責務であり、リスク・マネジメントは内部統制・組織統治の原点だからです。また、監査に当たっても「リスクベース監査」の展開にはリスク評価は欠かせません。

※     ＥＳ／ＣＳ／ＳＳの3点。これは、監査人の立ち位置に関係する事項と理解しました。従業員・経営者・株主の期待(満足)のどこに重点を置くか。生活協同組合という組織において、もっとも重視されるのは何かという事と、内部監査人に何が求められているかが重要です。労務管理の領域においては、3者満足を満たす事が大事だと思います。研修会の講師(労務管理士)は、企業満足（ＣＳ）を軸に進めるべきと強く提唱されていましたが、おそらく、バックグラウンドの違いによるものが大きく、生協という組織体では少し違うのではないかと思います。

「労務監査」の勧め②

　基本的視点は前述のとおりですが、実際にどのような監査になるのかをプロセスで整理します。

 

■監査プロセス

 

①監査対象

当然、人事労務の管理部署（人事部等）が対象となるわけですが、それだけでは片手落ちです。労働関係法令は基本的に事業所単位の遵法が求められるため、事業所単位で、監査をすることが必要です。したがって、定期業務監査と経営監査を組み合わせた監査を展開する必要があります。

 

②監査項目

　これは「リスクベース」視点で抽出することになります。しかし、初めから適正なリスク評価ができるわけではありませんから、労務管理の基本となる「就業規則」「雇用契約」の点検から取り組むことが有効でした。これにより、自組織における労務管理の基本的な考え方を理解するとともに、法令チェックも同時に行うことになるからです。

　労働基本法や労働関係法令は、運用細則や課長通達などまで含めると、絶えず変更されています。特に、大きな社会的事件が発生した後、運用細則が変更されたり、周知のための課長通達が出されたりするなど、注意して対応し、就業規則等の変更を行わないと法令違反になりかねません。そうした変更手続きのプロセスが構築されているかもチェックポイントになります。

 

③実際の監査項目(ワークシート)

　事業所単位の監査の際には、以下の様なワークシートで項目を設定していました。

 

	就業に関わる事項（労務管理）
1)	●規程・基準・手順 ・管理者は、労働基準法を遵守し、就業規則・時間管理等の内部規程を理解し、適切な労務管理を行う義務がある事を理解しているか？
2)	●自部署の労務管理上のリスク評価 　・長時間勤務・休日未取得等の法令リスク・業務の不均衡によるモチベーション低下や離職リスク
3)	●管理体制 　・時間管理や業務調整などのマネジメントラインは有効か？ 　・ラインから外れた職員はいないか？管理職へのマネジメントはできているか？
4)	●教育 ＊労働基準法の周知（全員・法的義務）と管理職層への教育（時間管理や休日管理の手順教育）
5)	●運用（１） ＊雇用契約の実施と管理（パート労働法準拠） 　・適切な作成と合意、保管ができているか？・契約内容通りの勤務実態か？（就業月報点検） ■契約書点検
6)	●運用（2） ＊時間管理と休日取得 　・タイムカード打刻状況（管理職層も含めて）　・残業申請・認定の運用－36協定違反（日・週・年） 　・時短者・高齢職員への配慮　・休日取得状況 　・特別休暇（慶弔・生理・介護育児など）の取得 ■就業月報点検
7)	●モニタリング ・就業月報を点検し、労働時間の実態や課題を把握しているか？ ・時間内の業務終了（時間短縮）や休日の確実な取得に向けた、業務改善や職務分担の調整等のマネジメントが適切に実施されているかを点検しているか？
8)	●不適合管理 ・違反・問題発生時に速やかに主管部局へ報告されているか？その内容は有効か？■報告書点検
9)	●是正・改善：違反・問題発生後の是正・再発防止策の有効性 ＊報告書記載の「是正・改善」に具体性と有効性があるか？ ＊報告書に基づき適切に実施されているか？再発していないか？
10)	●IT対応 ＊人事総務部管理の「労務管理DB」は活用されているか？
	安全衛生に関する事項（労務管理）
1)	●規程・基準・手順の理解 ＊「労働安全衛生法」への遵守姿勢を持って、「安全衛生管理規程」は理解し、業務にあたっているか？
2)	●労働環境・労災などの安全衛生上のリスク評価はできているか？ ・労災事故（事故隠し＝重大な法令違反）、体調不良等の要因（環境）、公衆衛生不備による病気発生、メンタルヘルスやハラスメント問題等のリスク
3)	●管理体制 ＊法令及び内部規程に基づく管理体制ができているか？ 　　・安全衛生管理者資格の取得・安全衛生委員の選出、法定職場では資格取得者の登録義務 　　・安全衛生委員会・推進委員会の開催（■安全衛生委員会開催報告書点検）
4)	●教育・訓練 ＊安全衛生教育はされているか？ 　・中央労働安全衛生委員会からの指示・情報を基にした教育 　・労災事故の情報共有、・インフルエンザや熱中症・ノロ対策の教育
5)	●運用（１） ＊労災防止（労働環境）点検活動＝５S推進は実施しているか？ ＊労安法：管理者の義務事項＝労働環境の整備は実施しているか？ ＊具体的な点検や改善を行っているか？
6)	●運用（２） ＊健康診断・細菌検査の実施は計画通り実施されているか？ ＊メンタルヘルス対策（メンタルチェック）は取られているか？
7)	●モニタリング ＊安全衛生に関する日常監視活動 ・健康管理や労災等の発生の有無確認を行っているか？
8)	●不適合管理 ＊労災発生時の報告はされているか？ ＊安全衛生（健康管理・メンタルヘルス問題）発生時の報告はできているか？ ■労災事故報告書点検
9)	●是正・改善：違反・問題発生後の是正・再発防止策の有効性 ＊報告書記載の「是正・改善」に具体性と有効性があるか？ ＊報告書に基づき適切に実施されているか？
10)	●IT対応 ＊人事総務部管理の「労務管理DB」は活用されているか？

　

　事業所単位の監査は、終業にかかわる分野では５）から8）の「運用」に関わる項目が、安全衛生に関する分野でも、「運用」に関わる項目が重点になります。ここで得られた監査結果から、人事部対象とした「テーマ監査」の証拠として整理したものを準備することになります。

 

④テーマ監査の項目（ワークシート）

　年度ごとで重点は変わりますが、初年度のワークシートは以下のようになっていました。

Ａ：勤怠管理
１．労働時間の管理	１．時間管理データの有効性チェック ２．実態調査の実施状況 ３．時間外の認定方法
２．勤怠指導（時間短縮の取り組み）	1．36協定違反発生の確認 2．事業所指導体制
Ｂ：労働安全衛生
1．労災事故管理	1．事故発生状況確認 2．再発防止策の有効性確認 3．事業所指導実態 4，報告・補償対応 5．労災規程の点検
２．健康管理	1．健康診断の実施状況 2．産業医の勧告 3．メンタルヘルス問題の把握 4．緊急事態発生時対応
３．安全衛生委員会の運用	1．中央労働安全衛生委員会・職場委員会 2．職場巡視活動の状況 3．遵法対応点検

 

　今、振り返るとかなり稚拙な内容だったことが判りますが、当時、人事総務部への監査ではかなり突っ込んだ指摘を行っていました。

　その後、監査項目を見直し、標準項目として以下の様に整理しました。

 

Ａ：計画・方針	1．年度計画・方針の確認―重点確認 ２．リスク評価と対応状況確認
Ｂ：コンプライアンス点検	１．労働関係法の改定状況の把握 ２．労働関係法令への適用状況確認 　・労働基準法―周知 　・労安法－安全衛生管理者の届け出・資格取得・労災報告等 　・道交法－安全運転管理者届出等
Ｃ：人事管理	１．年度人事計画の確認 ２．研修等育成計画の進捗確認 ３．評価制度の運用確認
Ｄ：労働契約等の管理	１．パート・アルバイト雇用契約の管理確認 ２．給与・時給等の運用確認
Ｅ：就業（時間・休日）管理	１．勤務時間管理の運用確認 ２．休日取得状況の確認 3．業務改善・時間短縮の取り組み確認（時短委員会開催）
Ｆ：安全衛生管理	１．労働災害の管理状況(発生・再発防止策) ２．健康管理（定期健診・2次検診等）の運用状況 ３．メンタルヘルス・休職等の管理 ４．ハラスメント問題などの把握状況（内部通報含む） 5．安全衛生委員会の開催確認
Ｇ：安全運転管理	１．交通事故発生・交通違反の管理 2．安全運転教育の運用確認

 

■上期・下期継続監査スタイルの採用

　労務管理は対象領域が広い事から、上期と下期に分けて監査する事にしました。

　〇上期には、主に計画やルール・法令点検（Ａ／Ｂ／Ｃ）を中心に実施しました。

・       狙いとしては、早い段階で計画や方針を確認し、リスク対応ができているかを点検することで、年度内で修正が進められる事が優位だという事です。また、法令点検も早期に行う事で、不備への対応が進められリスク回避できると考えたからです。

 

　〇下期は、リスクの高いプロセスの運用管理（Ｄ／Ｅ／Ｆ／Ｇ）に重点を置きました。

・       下期になれば、労働時間や休日、労災は交通事故など、運用実態・結果データが揃ってきます。そして、その実態に対して、管理者や管理部局による改善指導や教育訓練の有効性といった点も見ることができます。より実態を反映した監査指摘ができるために、下期監査の重点項目としました。

 

　この形で、４年ほど実施するようになり、人事労務に関する組織的課題を明らかにし、内部統制上の不備事項として、具体的な改善提案を行いました。同時に、人事部内のマネジメントの改善にも効果を発揮することができるようになりました。

ホームページ開設しました。

ネット回線が整い、ホームページも開設しました。

ブログとは違い、具体的なサポート内容やこれまで作成した資料やデータをダウンロードできるようにしていますので、是非ご覧ください。

お仕事の依頼、待っております。ご検討ください。

アドレス:https://grics2018.jimudofree.com/

「労務監査」の勧め③

労務監査を定期的に実施する中で生まれた、具体的な成果について許される範囲でご紹介します。秘匿義務がありますし、現実的な数値資料などを提示すると、労基法等に係る重大事態を招きかねませんので、ご容赦ください。

 

１．福祉事業部門の業務改善の進展

 

労務管理に関しては、福祉事業部門は、３Ｋとか５Ｋとか揶揄されるほど、厳しい実態にあります。

 

これは、単にマネジメントの問題では片づけられない問題に起因していることは、現場の職員は皆承知しているようです。特に、介護保険制度に基づく事業を主体に行っているところでは、「介護報酬の低さ＝労働の評価の低さ」が経営問題となっています。待遇改善の上乗せ支給等の補完制度もありますが、基礎部分で、労働対価自体の設定が、根本的に低いのです。それでも、事業体として赤字は避けねばならず、おのずと、人件費の抑制に動くことになります。結果的に、職員不足や長時間労働が生まれ、管理職種においては「サービス残業」は黙認されてしまうような厳しい労働環境を作り出してしまいます。

 

私のいた生協では、正規職員・パート・ホームヘルパー等ざっと１５００人以上の介護職員がおり、事業所数も、通所・短期入所・訪問介護・居宅介護支援・訪問看護等３０カ所ほどありました。

 

人事部が取りまとめる「勤怠時間データ」（打刻データ）では、宅配事業・店舗事業・生活サービス事業・管理部門などと比較しても、著しい長時間勤務の実態がありました。

 

監査を始めた初年度には、３６協定違反は、実のところ、半数以上の介護職員に見られるものでした。さらに、現場の業務監査によって、管理職（所長・事業別管理者）では、打刻後の就業（サービス残業）も確認されていました。

 

もっとも、深刻だったのは、そういう実態を、当の本人たちが「仕方がない」と安易に受け入れてしまっている事でした。問題がある事は認めつつも、改善はできないという諦めが先に立っていたのです。これでは、毎年、新規採用する職員やパートは長続きせず、結果として、年度途中に体制不足に陥り、サービス量を制限せざるを得ない状況を産み、結果として、収支改善はできないという負のスパイラルに陥ってしまうのです。

 

したがって、内部監査として、労務監査の着手の最初の課題を「福祉事業部門の労務改善」としました。

 

初年度の指摘（課題）は、「サービス残業の撲滅」でした。法令違反は明らかですので、反論の余地はありません。３ヶ月程度で８割以上の職員の打刻が変わってきました。明らかに、残業時間が増加したのです。当然、人件費は増加し、収支は悪化します。そうなると、課題は、福祉事業本部（管理部門）へ移ります。

赤字削減目標を掲げる福祉事業本部としては、費用をいかに抑制していくかを真剣に考えます。事業所の統合や管理職の再配置による管理経費の削減、赤字事業所へのテコ入れ、高家賃事業所の移転等、これまで「長時間・サービス残業」に甘えてきた経営スタイルの刷新を図る事へ舵が切られる事になったのです。

しかし、これはまだスタートに過ぎません。労働環境の改善（業務改善・時間短縮）こそ本丸なのです。物件費や管理経費の削減には限度があります。もともと、福祉事業の経営構造は、他の事業と比較すると、収入に対して人件費率が異常に高いわけです。経営改善には収入に見合った人件費率を維持することが重要であり、物件費抑制は経営効果が低いのです。

では、労働環境をどう改善するのか。答えは、現場にあります。事業本部でいくら頭をひねったところで、机上の空論に過ぎません。各事業所で管理者（マネジャー）を中心に、業務改善・時間短縮を真剣に考えることを、次の段階の監査指摘事項としました。

しかし、各事業所の管理者（所長・事業部門管理者）自らの課題にすることは容易ではありませんでした。先に述べたように、現場では「諦め」が蔓延しています。その中でも、管理者は、「犠牲的精神」の強い職員が任命されがちなのです。「問題は認識しているが改善などできない」と考え、自らサービス残業を受け入れてしまっている職層なわけです。

内部監査として、「法令違反が発生しているので是正するように」という指摘は簡単です。でも、実際、なかなか是正・改善は進みません。おそらく、そういう生協は多いのではないでしょうか？そのため、福祉部門への監査が及び腰になっているように感じます。

私は、この問題（長時間労働・サービス残業）を指摘するにあたって、事業所の経営構造（収支構造）とリンクして、管理者とのディスカッションに注力しました。

例えば、居宅介護支援事業（ケアマネ・ケアプラン作成事業）では、収入は、ケアマネの受け持ちプラン数と単価で決まります。どちらも、介護保険制度で上限や報酬が定められていますので、青天井というわけにはいきません。（ある情報では、いくつかの生協ではケアマネの受け持ちプラン数上限を無視しているところもあるようですが・・サービス品質の低下は避けられませんし、減算指導も覚悟すべき問題です。）要するに、ケアマネ人数とプラン数と単価の掛け算で収入は確定します。また、加算制度（ケアマネ人数・主任ケアマネ配置や定期的なケース検討など）で収入増加策も積極的に利用する事も重要です。

一方で、人件費はどうなっていくのか。ケアマネの基本業務（相談・サービス調整・プラン作成・モニタリング・サービス管理等）をいかに合理的に実施するかがカギになります。居宅介護支援事業では、ケアマネジャーは専任業務であり、他の干渉を受ける事はありません。新人も経験者も資格を有する以上、皆、同等に仕事ができます。言い換えると、「属人的業務スタイル」が基礎になってしまうわけです。どの業務にどれくらいの時間をかけるべきか、それぞれのケアマネに完全に任されているという事です。ですから、ケアマネには「セルフマネジメント（自己管理）能力」が問われるわけですが、そういう教育訓練など受ける機会はなく、結果として、それぞれ試行錯誤しながら自らの業務スタイルを作っているという状態です。同じ量の利用者を分担すれば、能力差による長時間勤務が生じる危険性があります。そして、管理者自ら、長時間労働を受け入れてしまっていると、だれも問題化しませんし、改善の動きなど生まれようもありません。（ここが最大の問題です）結果、収入と費用はアンバランスな状態になり、いくら頑張っても収支改善しない、いや、頑張って仕事をすればするほど人件費は上昇し、赤字が拡大するという構造になるわけです。このように、事業所の収支（赤字削減）目標達成には、時間管理が欠かせない、マネジメントの強化が重要であるという認識に行きつくまで、話を深める事が重要なのです。

それでも、すぐには、結果は生まれません。しかし、１カ所でも好事例が生まれれば、それを次の年には他の事業所へ伝える事にしました。通所事業や訪問介護事業でも同様のメソッドで、管理者とじっくり向き合い、話し合い続けました。そして、好事例を広げていく中で、改善事例が過半数を超えれば、それが次のレギュラー（標準）になっていくと考えたわけです。

この監査を進めることで、事業部門単位の話し合い（通所・訪問介護・居宅介護支援などの同事業所の部会）も進み、業務で使用する書式の統一や手順の整備、標準化が進みました。属人的になりがちな業務を標準化することで、個々の能力の違い（計画や調整能力、文書作成能力なども含め）を見ながら、管理者のマネジメントも向上したと思います。

私が退職する年には、福祉事業部門は、他の事業部門と比較しても、残業時間は大幅に削減されていましたし、サービス残業はほとんど見られないようになっていました。

実際には、ここに至るまでには、書ききれないほどの苦労や痛みがありました。もっと深刻だった事業所では、「業務改善・時間短縮」を真っ向から反対（所得減少へ抵抗）した一部職員が一斉に退職し、一時、事業所存続の危機さえも生まれましたから、すべてが上手くいったわけではありません。（福祉事業部門管掌役員の指導力の問題も含めて問題の所在は複雑でしたが）

しかし、少なくとも、現在の状況として、３Ｋとか５Ｋという言葉は当てはまらないほど、改善は進んでいますし、おそらく、現状も常に「業務改善」の視点で介護サービスの質向上へ努力していると思います。

長くなりましたので、二つ目の成果は明日の記事へ回します。

「労務監査」の勧め④

時間管理に関して、もう一つ深刻な問題があります。

これは、事業部門に拘わらず、おそらく全部門で見られる問題でしょう。また、管理部門ほど深刻な問題となっているとも考えられます。

 

それは、「中間管理職種の長時間勤務・サービス残業発生」の問題です。

 

先の、福祉部門の問題にも含まれていますが、宅配事業や店舗事業では、部長職（センター長・支所長・店長）以外は、すべて一般職員とされていました。副センター長・次長・副店長など、現場に最も近い所で管理を主任務としている職種で、職務上、イレギュラー対応（お申し出・トラブル・事故等）の現場責任者となります。もちろん最終責任は、部長職になるわけですが、会議などで部長職は不在がちであり、現場職員にとっては、中間管理職種のトップが拠り所です。現場で急な欠員が出れば補充のために現場に出ることも多く、休日すら満足に取れていないという厳しい状況ではないでしょうか？

 

 

２．中間管理職種の業務改善の進展

　

　人事部データ（打刻データ）の分析の中で、長時間勤務傾向のある職員を定点観測すると、副店長や副センター長・グループマネジャーや部門主任等の中間管理職種の名前が毎月の様に抽出されました。

　また、年間休日取得データでも、有給や指定休日の未取得も同様の傾向が認められました。

　

　全体の時間管理改善の運動が強まるにしたがって、担当者レベルの長時間勤務が減る一方で、中間管理職種の長時間傾向が強まり、36協定違反ぎりぎりの勤務時間になる傾向もみられました。明らかに、時間修正を行っていると判るケースもありました。

　

　現場監査では、事業所全員分の打刻データと時間管理表を突合し、不整合を洗い出すことにしました。その結果、中間管理職種ではかなりの量の打刻修正（残業カット）が行われていることが判りました。現場では、打刻データをもとに時間管理表を作成し、月次で人事部へ提出する手順になっていますが、その作業で、自らの打刻の修正を中間管理職種で行っていたのです。ほとんどのケースは、上長（センター長や店長）からの指示ではなく、自らの意思で行っていたようでしたが、最終点検者であるセンター長や店長も黙認している実態があり、かなり重大な問題だと判断しました。

　

　最初に着手したのは、宅配センターでした。

　センターは、「センター長－副センター長－グループマネジャー（課長職）」がいわゆるセンター運営メンバー（管理者層）となっていて、大規模センターでは総勢100名程度の職員のマネジメントを行うことになります。現在のセンターは、システム化や分業化が進み、多様は雇用形態と職種で構成されています。配達業務だけ見ても、正規職員・パート・委託業者がありますし、出庫物流業務や事務業務などすべてが関連しセンター業務が滞りなく進むようなプロセスとなっています。さらに、配送効率の追求から、シフト配送も広がり、物流の早朝業務（朝6時）から最終終了（午後10時）までの長時間稼働が当たり前となりました。

1日の全ての動きを管理者が把握することは困難な実態となっています。したがって、セクション(グループ)ごとに管理者が置かれ、それらすべてを把握するのは実質的に副センター長という事になります。順調に進んでいれば良いのですが、何かトラブルがあれば、早朝から深夜まで対応を余儀なくされる立場となり、当然、気の休まる日はないというのが実情でしょう。

グループマネジャーは、10名程度の担当者のマネジャーで、課長職が中心です。配送パートの増加に伴い、急な欠勤も多く、グループマネジャーは配送体制の補充に回る事も多く、結果的に、残業が発生しがちです。

このように、センターの中で、副センター長やグループマネジャーは、ルーチンワークよりもイレギュラー対応のために定時で業務を終了する事が難しいポジションにあります。前述のように彼らは時間管理業務も行っており、自らの残業時間を確実に把握できるところにあるため、組織全体で「業務改善・時間短縮」が取り組まれた際に、センター長からの呼びかけに答える形で、不適切な打刻修正を行うようにならざるを得ない状態にあるわけです。(もちろん全てがそうでありませんが、自らの評価を高める意識からそういう風に動きがちでした)

　ここまで見ていくと、これは、構造的で根深い問題がある事は明白です。いくら、内部監査で「36協定違反や労基法に抵触する事態であり、速やかな是正が必要」と指摘したところで、簡単には解決できるものではありません。幾つかの問題事象を取り上げ、一つ一つ、もつれた糸を解すような改善が必要でしょう。

 

一つ、特質的に取り組んだ事例があります。

 

以前にもブログ記事に掲載していますが、センター運営メンバー全員を対象にした「CSA監査」です。自らの事業所の課題について、運営メンバー全員で抽出し、解決への道筋を自ら探して行く手法です。実際には、二つのセンターの統合という機会に、運営ルールの改善（統一化における課題改善）をベースに、各管理者の業務整理（重複業務の整理や廃止）を進めることで業務改善と時間短縮を進めるものでした。ＣＳＡを実施する中で判ったことは、それぞれの管理者がお互いの業務内容について余り理解していない事でした。おそらく、業務プロセス全体を把握しているのは副センター長だけかもしれませんでした。したがって、個々の抱える業務には、重複も多く、集約的に実施すればかなり時間短縮につながる事も発見されました。また、インフラの整備やＰＣデータの活用などを進めることでさらに改善できる可能性も発見されました。ＣＳＡを通じて、長時間勤務の問題を共有できたことで、以降は、合理的な業務プロセスを求める気風や思考が強まりました。端的に言えば「長時間勤務する事は業務改善できていない証拠」という認識が高まり、この意識がセンター全体へ広がったという事が最も大きな成果だったと思います。

　

　二つ目に取り組んだことは、センター監査の結果を部門監査報告にまとめ、事業本部（宅配事業本部）監査で、本部長ヒアリングを通じて、部門課題として共有し、改善に向けた対策を要請した事です。本部長として、センターの時間管理問題はある程度認識していましたが、実態を知る事で深刻さを共有でき、具体的には、モデルセンターを設定し、人事部門と事業本部による「業務改善プロジェクト」を発足させ、日常業務を洗い出し、一つ一つの作業時間の目標設定や不合理な作業の変更を1年間かけて取り組んで、残業ゼロを目指すことになりました。これはかなり高い成果になりました。一番大きな成果は、それまで定着しづらかった配送パートの定着率が向上し、日常の体制安定が図られたことです。結果として、副センター長やグルプマネジャの残業は大幅に減少しました。そして、この結果をもとに水平展開へと動くことになり、部門全体で「長時間勤務の削減」が当然という認識作りにつながりました。

　

　まだまだ、改善の余地はありますが、あきらめムードだったところに一筋の光が差したようで、おそらく、今後も業務改善の取り組みは継続していくと思います。これこそ最も大きな成果ではないでしょうか？

　

　経営トップは、コンプライアンス・経営改善等を重視し、労働時間の削減（時間短縮・サービス残業撲滅等）を宣言する事はあっても、現場の受け止めは、かなり冷ややかになりがちです。トップが言ったところで、現場はそんなに簡単には動きません。特に、管理者層は、計画達成のためには時間外労働はやむを得ないという意識は根強いものです。彼らの意識をどう変えていくか、自らの問題であり、取り組めば成果につながるという実感を得ない限り前進はありません。そのために、内部監査は「アドバイザリー機能」を発揮していくことが重要だと考えます。

　ただ、残念な事もあります。私のいた生協は、店舗事業は大きな赤字を抱えて苦しんでいました。店舗事業トップは総代会で「赤字半減を目標に取り組む」と宣言し、「売り上げ拡大と現場の人員削減」の大号令をかけ、現場への圧力を強めました。結果として、正規職員へのしわ寄せが強まり、開店から閉店後までの勤務を強いられるような状況も見られました。内部監査で問題を指摘しても、部門トップが「積極的に黙認」している実態では、現場は変わらないのです。・・・これ以上は止めておきましょう。組織問題になりかねませんね。

「労務監査」の勧め⑤

時間管理に関する事例を2つ取り上げましたが、労務管理監査では、これ以外にも重要なテーマは沢山あります。

「労働安全衛生」に関する課題もそのひとつです。

労災事故だけではなく、メンタルヘルスの問題も年々増加しています。ハラスメント問題も重要でしょう。職員の高年齢化に伴う健康管理の課題も年々強まってきています。

人事部へのヒアリングを行うと、こうした問題はまるで「モグラ叩き」で、一つ解決してもすぐに次の問題が生まれるような状況にある事を、部長や課長から嘆きの様な回答を聞くことになります。

多様な雇用形態になり、職員間の価値観も多様化して、物事を単純に捉えることが難しくなってきている事も大きな要因ではないでしょうか。だからといって、見過ごすことのできない問題も多く、一つ一つ丁寧に取り組むしかないでしょう。

 

（１）「労働安全衛生管理プロセス」では、「安全衛生委員会」の仕組みが基本になります。

法定上、設置が義務付けられていますね。しかし、問題は運用実態です。私のいた生協では、「安全衛生管理規程」が明示されており、事業所単位の「安全衛生委員会」と組織全体を統括する「中央労働安全衛生委員会」が設置されていました。しかし、運用内容は、余り実効性があるとはいいがたいものでした。

 

１．最初は、この「Ｐ－Ｄ－Ｃ－Ａサイクル」の「Ｐ（計画・設計）」の部分にメスを入れました。

Ｐ、すなわち、仕組みの中枢となる「中央労働安全衛生委員会」の役割・目的と有効なメンバー構成（法定）、毎月開催の内容の検証を行いました。そして、アドバイザリー機能として、事務局となる「人事部」とともに、改善に取り組み、人事部管掌役員の関与・指導を強めるよう、提言しました。プロセス全体を統括する骨格の立て直しから着手したわけです。

労働安全衛生法・労働安全衛生管理規程の二つを基準に、労働安全衛生のあるべき姿やリスク認識、ＰＤＣＡサイクルのあるプロセス設計、主管部署（人事部）の役割等、人事部長だけでなく、管掌役員とも協議しながら、改善の方向や課題を整理していきました。当初、管掌役員（常務理事）は事の重大さは余り把握できておらず、協議を通じて重要性について共有していくところから始まりました。多忙な常務理事にとっては、労働安全衛生の領域は、重大な労災が発生しない限り、時間を割くことはないのが一般的でしょう。それでも、内部監査として進言・提言し続けることで徐々に認識の向上を進めたわけです。

結果として、中央労働安全衛生委員会の開催やメンバー構成、進捗管理、内部統制委員会への報告など、内部統制システムを構成する重要プロセスと認識されるようになったわけです。

 

２．次は、運用実態（「Ｄ」）の改善です。

各事業所の「安全衛生委員会」の開催実態は、惨憺たる状況でした。

安全衛生管理規程では、法定職場(従業員数基準)はもちろん、それ以外の職場も、安全衛生推進委員会を設置することが義務付けられていて、職場長が委員会を四半期開催することになっています(法定職場は毎月開催し報告提出義務あり)。

しかし、まったく未開催の職場があり、法定職場でも構成員(労組代表半数以上)の基準を満たしていない実態もありました。中には、委員会名簿さえも作成できていないお粗末なところもありました。また、この状況の中で、法定職場の中で職場長が「安全衛生管理者」の資格未取得の実態も発見され、法令違反状態であることも判り、管理者任用時の要件見直しの議論も起こしました。（結果的にこの問題は店舗事業部門管掌役員からの反発がありうやむやになりましたが・・・）

事業所の業務監査では、必ず監査項目に「安全衛生委員会・推進委員会の開催状況の確認」を入れ、委員会の未実施・不完全実施の職場・事業所には是正・改善指摘を行いました。同時に、指摘事項を一覧化し、中央労働安全衛生委員会(人事部事務局)へ提示し、運用の改善を要請しました。協議内容よりもまず、きちんとした体制の下で、定期開催することから着手したわけです。

すると、事業所からは不満の声が出るようになりました。「話し合う項目が判らない」「毎月開催する必要があるのか」など、要するに、労働安全衛生委員会の目的（労働環境の安全確保・衛生管理の向上）が十分に理解されていなかったわけです。

この問題には、人事部とともに、通年の学習テーマや検討テーマを策定し、資料配布なども行う事で、意識の向上を図る事から取り組むことになりました。例えば、6月は食中毒防止、7月は熱中症対策、9月は災害対策、11月はインフルエンザ対策等、既設や前年度の事故状況からの検証テーマを揃え、情報発信することで、上長として開催すべき内容を提供する役割を人事部に持たせたわけです。

そのことで、開催後には報告書も作成しやすくなり、人事部から請求しなくても報告書が確実に提出されるようになりました。こうなると、各事業所の開催状況は人事部で把握しやすくなり、指導すべき事業所もある程度限定されることになります。

こうした流れを本来であれば、人事部長（人事部担当課長）が整備し進捗管理するのが本来の仕事だと思いますが、それができていなかったのです。だから、内部監査が指摘し改善提案するほかなかったわけです。

 

３．次は、労災事故の組織的把握と是正改善の監視に取り組みました。

労災事故発生時には法定報告は適切に実施されていましたが、組織内で共有できていませんでした。もちろん、重大事故は職場会議などでも報告されているようですが、報告に終わっている実態もあります。事故から自らの職場・事業所で同様の問題はないかを検証することはできていませんでした。

これには、データベース（掲示板）の設置と定期的な報告を行うよう提言し実施しました。ま

た、中央労働安全衛生委員会の役割の見直しの一つとして、各事業所への定期巡視活動（年2回）と人事部による独自モニタリングの実施を定式化しました。

最終的には、こうした取り組みの結果を「内部統制委員会」へ定期報告するようにし、安全衛生システムの監視体制を強化しました。

また、事業部門単位で「労災事故の共有化」が進み、作業手順における「安全確保」の検証と手順教育の強化も進みました。事業所内では「当たり前」に行っていた作業が実は労災事故を誘発する事があるという事例は、幾つも見つかりました。（おそらく、他の生協への視察などでそういう発見をされたことはあるのではないでしょうか？）

さらに、インフラの整備（安全な職場環境の保持）のための計画（修繕・補修計画）も作成できるようになりました。収益優先で、修繕・改修が遅れ気味のところも、安全衛生上の課題ではないかと再検証されることで、必要な投資が促進される動きになるという事です。

特に、店舗事業では、赤字経営の中で、従業員の安全衛生の視点が軽視され、バックヤードや加工場・商品搬入口等の老朽化が放置されているケースが見られます。もちろん、商品管理上の問題もはらんでいますので、安全衛生と商品管理・衛生管理の視点で再検証し、必要な修繕・改修を行うよう働きかける事が必要で、労働安全衛生の強化を通じ、大きく前進できたと思います。

 

　当たり前に行われているはずの事が、「コンプライアンス上問題がないぎりぎりのレベル」に留まっていて、形式的なものになっている事をまずは問題化し、システムの有効性を高めるよう働きかけるのは、内部監査の最も重要な役割だと考えています。

「労務監査」の勧め⑥

労働安全衛生の領域は広く、課題も多いため、もう少し解説させていただきます。

 

（２）メンタルヘルスを含む「健康管理プロセス」についても、同様の改善提案を進めました。

基本は、内部統制の要素（統制環境・リスク・計画・運用・コミュニケーション・モニタリング）です。

①統制環境＝健康管理意識の醸成（組織責任と個人責任の意識づけ）ができているか？

②リスク評価＝（メンタル問題のリスク、職員高齢化に伴う健康リスク等）が適切か？

③計画＝年次単位の健康管理計画は適切に策定されているか？

④運用＝健康管理教育と健康診断などの運用管理はされているか？

⑤コミュニケーション＝健康報告（内部通報や報告の仕組み整備）の仕組みはあるか？

⑥モニタリング＝定期的なモニタリング実施はされているか？

⑦モニタリング結果から改善がされているか？

これらの項目で、人事部の業務プロセスを点検することにしました。

 

幸い、人事部内には「健康サポート課」が設置されており、課長とともに、運用状況について相談も進めることができました。

恥ずかしい話、こうした取り組みに入る前には、全員受診が求められる「定期健康診断」の受診率が低く（リーガルリスク）、2次受診の実態も皆無に近い状態でした。健康被害リスクへの対応は不十分と言わざるを得ない実態にありました。また、勤務中に倒れるという痛ましい事故も発生していましたし、メンタルの問題や病気による休職者も少なくありませんでした。もちろん、検診制度や健康管理相談（保健師配置）、産業医委託などの法的要件は満たしていましたが、真剣味という点では疑問がありました。

まずは、人事部内の危機意識の醸成が必要だと考えました。法令リスクももちろんですが、何より、職員の命を守る事が最も重要であり、そのために健康管理プロセスの強化が重要であることを、人事部のみならず、管掌役員も含めた意識改革を進める必要を感じました。そのためには、初めの監査で、じっくり時間をかけて、不備事項を抽出し、重大な損失につながる事をアピールする必要がありました。健康サポート課長は保健師でもあり、職業上「健康管理やメンタルヘルス」に関する知見は充分に持っていましたが、マネジメント（プロセス運用）に関しては未熟でした。ですから、プロセスの有効な運用についてはしっかりの話し合いを行いました。

取り組みを始めて、3年目には健康診断受診率は100％を達成しましたし、2次受診率も飛躍的に向上しました。同時に、診断結果に基づき、就業に不安のある職員は、職場異動や業務変更の対策も取られるようになりました。

職員の高年齢化や定年延長・再雇用の拡大等により、健康不安のある職員は今後増加すると予見されます。そのためには、組織として「健康管理プロセス」を強化することが極めて重要になってきています。まずは、管理プロセスの整備から進めることを提案します。

 

（３）「ハラスメント問題」は、労働安全衛生とは少し趣の違う問題です。

多様な雇用形態となる中で、価値観も広がっています。もはや、生協内の常識は非常識であるという認識で捉える必要も生まれてきています。上司が部下の業務成果について厳しく指導する事が「パワハラ」だったり、体調を心配して「大丈夫？」と声掛けすることが「モラハラ」となったり、女性から男性への「セクハラ」訴えがあったり、なかなか難しい社会状況になってきています。

おそらく、この問題は今後も人事部の頭を悩ます問題だと思います。

ただ、少なくとも、「訴え」を公正な立場でしっかりと受け付ける仕組み（内部通報制度や悩み相談等）を整備し、周知することが重要でしょう。

監査の際には、まず、内部通報・相談の受付状況や記録、問題に関する判断や具体的な調査・対応、管理トップ（人事管掌役員）への報告状況について点検しました。個別案件の内容に立ち入るのではなく、仕組みとして有効かどうかが監査の最重点です。したがって、相談件数がある事を問題にするのではなく、相談が適切に受け止められ対応されているかについて検証することになります。

3000人もの職員を抱えていれば、相談が全くないということは考えられません。また、それが散発的なのか、集中しているのか、また、同じ職員から再三訴えはないかという視点で記録を確認することに重点を置きます。重要なのは、些細な事でも相談できる環境を組織としてどこまで準備できているかであり、相談した場合に、個人が守られる仕組みが整備されているかでしょう。

その点を監査では人事部とディスカッションします。同時に、マネジメントにおいても「内部コミュニケーション力を高める」訓練ができているかも確認します。ハラスメント問題の根幹には、コミュニケーション不足があります。意思疎通ができていないと、同じ言動でも、ハラスメントと受け取るケースが多くなるからです。もちろん、明確なハラスメントもありますので、注意すべきだと思います。

 

全体を通じて、現在の組織運営において、「人の管理」は極めて難しい状況にあり、リスクの高い領域に間違いありません。訴訟につながるリスクも高く、慎重に取り組むことが求められています。多くの組織で、この問題は、たいていの場合、人事部局の専門領域という認識にあり、他の部門のリスク認識が低い傾向にあります。しかし、問題の本質は現場のマネジメントにあるわけですから、全ての組織でリスク認識を持ち、取り組んでいかなければならないはずです。

内部監査は、組織を横断的に監査・監視できる唯一の部署です。業務監査やテーマ監査を通じ、労務問題を常に重要監査項目にあげて、注力することが必要だと考えます。また、労務問題は他の課題に比べて、是正・改善に時間が掛かる問題という認識に立って、一つ一つ課題を整理し、有効な改善策を丁寧に低減する姿勢も必要だと思います。

一方で、労務問題が改善することで、リーガルリスクへの対策だけでなく、人件費の問題、人材採用や育成に関する問題など、これからの組織経営における重要な課題に内部監査のアシュアランスとアドバイザリー機能を発揮して、貢献できることは明確で、とてもやりがいのある監査テーマだと理解しています。

「個人情報保護」に関する監査①

ＰＣが頼りの現代社会において、個人データ（アカウントやクレジットコード、ＩＤ、会員情報等）は、個人を特定できる有力な情報です。

 

大企業による大量漏えい事件は後を絶たず、他人による不正使用だけでなく、知らないうちに、資産・財産を失ったり、全く別人になってしまっていたり、犯罪に関与していたり、存在自体が無くなってしまっているという想定される状況です。

 

いずれの生協でも、大量の組合員情報を保有しています。そして、それは、様々な事業現場で活用されています。当然、外部からの侵入や内部からの漏えい対策は万全を期していると思いますが、１００％安全とは言えないのが実情ではないでしょうか。

 

皆さんの生協では、個人情報保護に関するルールはどうなっているでしょうか？

多くの生協では、個人情報保護法が制定された際に、個人情報保護規程や運用規則・細則などを定め、全職員に対して教育訓練も実施し、保護状況の監視の仕組みも整備されていると思います。

 

では、その規程や規則は適宜見直しされているでしょうか？

また、今回の様な「大量漏えい事件」などが起きた場合、自組織のリスクの再評価を行い、有効なプロセス強化を行っているでしょうか？また、そういう事がルール化されているでしょうか？

 

個人情報保護に関しては、プライバシー認証制度やＩＳＯ規格２７００１（情報セキュリティシステム）等でシステム構築の考え方が整理されていて、そういう認証を得ているところもあると思います。しかし、個人情報保護は、「個人情報保護法」による順守義務のある事項ですので、認証の有無にかかわらず、組織として適切な対応・措置を取ることが必要です。したがって、個人情報保護のシステム内容は法令に照らして適切に構築することが必要です。

 

内部監査として、「個人情報保護」に関わる領域の監査は、リスクベース視点から極めて重要です。万一、組合員情報の大量漏えい事故（事件）が起きてしまえば、信用の失墜に留まらず、事業・経営への影響は甚大なものです。そして、リスク発現の可能性について数値化も難しいものです。ですから、定期的に、個人情報保護に関する監査を実施することが必要です。私のいた生協では、「個人情報保護規程」の中で、定期監査が規定されていました。

 

では、どのような監査を進めればよいのでしょうか？

この場合も、現場（事業所・部署）の監査と、管理本部系のシステム監査の2つを組み合わせて実施することが望ましいと考えます。現場監査では、主に、システム運用の実態（統制活動）を中心に監査し、運用上の問題を軸にして、システム監査を実施することで、個人情報管理システム全体の有効性評価を行い、統制上の不備事項への改善を提案するという流れになります。

 

以前に報告した「法令順守」と同様、実際のワークシートを例に見ていきます。

 

■事業所監査におけるワークシート

1)	●規程・基準・手順 ・「情報管理規程」や「個人情報保護管理規程」や付随する諸規定・基準・手順等を理解しているか？ （機密情報保護や個人情報保護、PCの使用や管理に関する管理者の認識を確認する）
2)	●リスク評価 ・情報漏洩（機密情報・重要情報・個人情報等）のリスクや業務上の紛失リスク（店舗で重要リスク特定）をどの程度認識し、対応に関して理解しているか？
3)	●教育・訓練 ＊個人情報保護規程に基づく基本教育（職員ハンドブック）は、部署全員を対象に行ったか？-実施記録- ＊教育は有効か？(理解と運用)
4)	●運用（1） ・個人情報取得にあたって、利用目的は明示されているか？ ・利用目的に沿った情報利用が守られているか？ ・個人情報（紙ベース）の保管と廃棄はルール通りに行われているか？ ・持ち出し禁止ルールは守られているか？ *委託先にも同様の措置を要請しているか？
5)	●運用（2） ・PCやモバイルは個人IDによる使用が確実に実施されているか？ ・すべてのデータはサーバーに保管され、重要な情報はセキュリティが施されているか？（管理職・事務含む）
6)	●運用（3） ・要配慮情報・センシティブ情報に対する特段の措置は取っているか？（福祉事業や夕食宅配・共済・葬祭等での扱い頻度が高い実態への対応状況、組合員統合DBへの入力・閲覧制限、事業連携時の注意）
7)	●監視・モニタリング ・個人情報の保管管理に関する定期的な点検は行われているか？ ・PC/モバイルの適正な使用状況を点検しているか？
8)	●不適合管理 ・個人情報の漏えい・紛失・不正取得や不正使用が発生した場合、主管部署へ速やかに報告しているか？
9)	●是正・改善：違反・問題発生後の是正・再発防止策の有効性 ＊報告書記載の「是正・改善」に具体性と有効性があるか？ ＊報告書に基づき適切に実施されているか？
10)	●IT対応 ＊「規程集DB」の個人情報項目は随時確認できているか？

 

現場では、基準・既定の確認、リスク認識、統制管理体制、運用、管理モニタリング、改善（不適合管理）のＰＤＣＡサイクルの有効性を確認するワークシートになっています。

 

特に、重視するのは、運用（1）～（３）とモニタリング（監視）の部分です。個人情報保護は、それだけで単独に動くシステムではありません。様々な業務プロセスの中で、個人情報を活用していますので、それぞれのプロセスの中で、担当者やパートまで、個人情報保護に留意して作業が行われているかが重要になるのです。しかし、全ての作業プロセスを点検する事は難しく、リスクの高い業務に絞って検証する事になります。特に、リスト化された情報を取り扱うプロセスは要注意です。安易に、ＰＣ上にデータを保存したり、内部メールに添付したり、外部へ引き渡したりしていないか、そういう可能性のある作業はないかを確認する事です。そして、そういうリスクの高い作業プロセスに対して、上長による監視・点検の仕組みが整備され運用されているかを点検することが必要です。

　

　以前は紙ベースの扱い（印刷や配布、廃棄手順）を点検することが多かったのですが、現状、ペーパーレス化が進んでおり、作業プロセスを点検することに比重を置く必要があります。

「個人情報保護」に関する監査②

次に、システム監査(テーマ監査)として実施する場合のワークシートです。

 

監査の対象は、個人情報管理システム全体を主管する部署（経営管理部や機関運営部等）です。

事業所監査の結果をまとめたうえで、実施します。

 

■個人情報管理部署監査のワークシート（対象：経営管理部）

大項目	小項目	設問・監査手続
１．個人情報管理体制	1.「個人情報保護規程」及び関連する基準・手順の教育	規程に定められた「定期教育」が実施されているか？ ＊記録による内容と実施状況の確認
	2.「個人情報保護文書管理基準」に基づく「管理台帳」整備	保護すべき文書が明確になっているか？ ＊一覧表（管理台帳）による確認。漏れはないか？
	3.安全管理措置（ｲﾝﾌﾗ整備・文書管理・扱い者手順）整備	安全管理のための「書庫」設置と保管状況を確認。 ＊事務所内・倉庫内・事業所外施設（デポ）等の作業現場への放置はないかは実査目視で確認。
	4.安全管理の監視体制	事業所内の監視責任者（体制）の確認。 ＊定期的な事業所内の点検体制はあるか？
	5.委託先における「安全管理体制」確認	委託先・作業委託者での安全管理体制の点検実施状況 ＊定期的な点検或いは報告はあるか？
2．運用管理	1.個人情報の不適切な扱いや漏洩の監視	情報の放置や不適切な取扱い、（＋不正な取得と使用）はないか？
	2.PCのID/パスワードによるセキュリティ実施	ＩＤ/パスワードの使用実態確認（共有使用の有無調査） ＊パソコン管理規程に基づく運用基準の適用（データの使用や保管）：共有ＰＣを重点点検。
	3．外部流出監視	紛失・漏えい・（データや書面などの誤送信）の有無を誰がどのような方法で監視しているか？
	4.事故発生時の対応	対象期間内で事故は発生していないか？ 発生した場合の報告沿是正措置と再発防止策は有効か？

 

監査では、管理体制（システム構造）と運用管理に分けて考えています。

 

これは、「順法管理」の進め方と共通です。異なる点は、個人情報保護システムは、「個人情報保護規程」によって一つのシステムとして独立的に設計されており、詳細な手順や細則・教育訓練内容まで規定されている事でした。監査基準が「順法管理」に比べ明確で、適・不適の判断や問題指摘はやりやすいと言えます。しかし、表面的になりがちなので、運用実態をしっかり把握して真因追及することが重要です。また、運用の誤りを発見した場合の是正措置や再発防止策が、「個人への教育訓練の強化」に偏りがちになる事も容易に想定され、有効な対策を明確にすることを重視する必要があります。

 

運用管理は、現場の実態調査が鍵です。宅配センターや福祉事業所では、詳細な個人データの取り扱いが頻繁にあり、担当者自身が保持しているケースも多く、複数の業務プロセスと職員によって利用されるため、事業所内には様々なところに個人情報があります。これらがしっかりとしたルール（置き場所や保管場所、閲覧や利用可能者の制限など）で運用できているかを見ることになります。(前述のブログで詳細)

 

これまでの監査経験では、個人情報管理の重要性を認識できている管理者の下では、パートやアルバイトまで、個人情報の扱いについて注意を払っており、全ての作業プロセスにも同様の傾向がある事です。

ざっくり言えば、机の上やラック等が整然としている事業所では、個人情報の管理もおおむね適切であるという事です。

また、大量の個人情報（センシティブ情報）を扱う福祉事業所では、個人情報の事業所間のやり取りが頻繁で、さらに、ケアマネやサービス提供責任者など個人単位の管理になりがちです。さらに、介護保険法の規定に基づき過去情報（サービス提供終了後5年）の保存義務もあります。事業所内のインフラ（鍵付き書棚や文書保管場所）の充実が極めて重要になります。このことを、経営層も認識する事が重要なのです。

ただ、この数年で、業務内でのペーパーレス化が進められており、大半が電子データとなりつつあります。私のいた生協でも、配達担当者は専用モバイルを持ち、配達情報や組合員情報・仲間づくり情報・商品情報など、モバイル一つで完結できる仕組みを導入したため、ペーパーレス化が一気に進みました。福祉事業でもケアマネやサービス提供適任者やヘルパー等もモバイルやＰＣを貸与されるようになり、文書の保管量は低減しつつあります。

ここで新たな問題が生じてきました。現行の「個人情報保護規程」が電子データの管理に関して対応しきれていない事でした。別に、「文書管理規程」や「機密情報管理規程」などもありますが、いずれも電子データに対応しきれているとは言えません。今日的には、「電子データの大量漏えい」のリスクが高く、そこへの対応は遅れている実態なのです。

この点は、「内部統制上の不備事項」として指摘し、規程類の見直し提案を行いました。その後、内部統制委員会で検討も行われましたし、同時に「特定個人情報保護」に関する対応策も協議・運用改善にも取り組まれました。

 

なお、言い訳になりますが、私は「情報システム監査」には取り組んだことはありません。

私のいた生協では、情報システムの構築・管理を事業連合に全面的に委託していたため、その領域は監査対象となっていなかったのが主な理由です。

このブログでは、あくまで「個人情報保護」管理プロセスを対象領域としていますので、情報システム管理とは異なる監査手続きであることを、ご理解いただきたいと思います。

「宅配事業：商品管理」に関する監査①

ここからは少し実際の監査の事例から、個別の問題についてご紹介します。かなり際どい問題も出てくるかもしれませんので、肝心な部分ではぼかしてしまう事にもなりますがご容赦ください。

 

まずは、宅配センターの監査からの事例です。

 

宅配事業（共同購入事業）のセンター監査では、「商品管理」は重要なテーマです。ほとんどの生協で、宅配事業は、受注・仕入・仕訳・物流・配送・請求までかなり高度なシステムが構築されました。私が生協に入ったころには考えられないほどの変化です。

 

当時（35年前）は、注文書は手書き作成で、班単位で回覧し、当番さんが班の注文数を集計し、注文書を提出。担当者はそれを集めて、コース単位でセットして集計のパートが1枚ずつ集計し、発注書に仕立てて物流部へＦＡＸ送信。物流部では各センターから送られてくるＦＡＸを集計し、メーカーごとに発注書を作成していました。ここまででも多くの人の手を掛けていました。ですから、当然ヒューマンエラーも多く、今では考えられないくらい発注訂正も起きていました。

次に、各メーカーから受注に基づき、センターへ納品され、物流担当者は「倉庫担当」と言われ、納品された商品の数量を点検し、日別に仕分けし、パレットごとに分けていました。それを、物流パートの皆さんがコース出庫表に基づき仕訳し、コースに出庫されたものは配達担当自身が点検し、配達しやすいように組み直し、トラックに積み込んでいく。・・書き出すだけで大変な作業の積み重ねの上で、1日の配達が始まるわけです。

そして、配達はほとんど「手おろし」作業でした。注文数を組合員の方に読み上げてもらい、一つ一つ商品を手渡ししていたわけですよね。こういう原始的な（当時はかなりこれでも画期的でしたが）作業で配達は進んでいて、1日50万円から80万円くらいの供給高でした。

もちろん、集金はすべて現金。荷卸し後に当番さんから現金を受け取り、勘定して領収書を切って現金カバンに収める。すべて無事に配達できれば、センターに戻って現金を数え、供給日報（商品部類ごとの供給高を計算して記載）を作成し、上長に提出。配達ミスがあれば、すぐに連絡し、時間外でも届け直しを行っていましたね。現金誤差があればすべての班に再確認の電話をかけますし、不明となれば、現金誤差報告書（始末書）を提出、ひとしきり怒られた後、次の日の準備・・・。今では考えられないほどの作業量とサービス残業です。

だいたい、朝は7時半くらいに出勤し（就業時間は9時ですが）、帰宅するのは夜9時や10時はざらでした。その上、早朝牛乳配達があれば、朝4時には起床という状態で、睡眠時間以外はほとんど仕事でしたね。それでも、40年くらい前はそれが問題になる事はありませんでした。職員の平均年齢もまだ30代に届くかどうか、若い事はいろんなことがクリアできるんですね。

 

こんな事を思い出してしまいましたが・・本題に戻ります。

 

以下は、私が宅配センター監査の際に使用したワークシート（商品管理領域）です。

 

1)	●規程・基準・手順 ・イレギュラー供給（追加・返金）や回収品の管理、サンプル商品に関する管理ルールが明示されているか（文書化・教育）。-業務規程・手順
2)	●リスク評価 ・商品供給に関わる不正・ミスのリスクは認識されているか？（返金処理額は推定2000万円以上） ・商品サンプルの不正使用リスクは認識されているか？
3)	●統制・管理体制 ・供給管理に関する管理責任者は？ （副長・事務・物流担当等の権限と決裁・点検体制）
4)	●運用（1）-イレギュラー供給（当日加減算処理） ・供給額・返金額、消費税計算等でミスは防止されているか？ ・欠品や誤配・回収措置等は不正防止視点で管理できているか？ ＊モバイル運用による手順変更と改善効果は出ているか？
5)	●運用（2）-良品返品管理 ・返品商品の区分管理と数量（実態）確認はできているか？ ・東海への返品処理は適切か、フードバンクは活用されているか？ ・内部供給の際の手順と管理は適切か？
6)	●運用（3）-サンプル管理 ・景表法に基づき「サンプル」の表示が適切に実施されているか？ ・在庫管理の手順はあるか？ ・不正使用を防止する仕組みはあるか？
7)	●監視・モニタリング ・供給管理・商品管理に関して、管理者は報告ラインを持っているか？（日報や週報・月報の運用）
8)	●不適合管理 ・供給管理・商品管理に関するミスや不適合が発見された場合、是正・改善まで含めた報告を関係部署へ行っているか？（事業支援部・経理部・連合等）
9)	●是正・改善：違反・問題発生後の是正・再発防止策の有効性 ＊報告書記載の「是正・改善」に具体性と有効性があるか？ ＊報告書に基づき適切に実施されているか？
10)	●IT対応 ＊「KISS」運用は適切か？

 

固有の用語も含まれていますのでわかりにくい所もあると思いますが、項目全体の構成は、基準や規程の確認、リスク評価、統制管理体制、運用、監視モニタリング、改善（不適合管理）の要素で、ＰＤＣＡサイクルの確認ができるように組み立てています。

 

少し、長くなりましたので、実際の内容は、次のブログとします。

「宅配事業：商品管理」に関する監査②

センター監査における「商品管理」の監査では、倉庫内の目視点検とセンター事務作業は定番です。

 

今は、ほとんど、商品（供給品）は、事業連合等の集中物流センターで「個人別パック」の状態でセンターへ入荷しています。「発泡スチロールの箱」の山が整然と入荷し、コース番号や個人記号が貼付され、間違いないよう仕訳できる仕組みで運用されています。大型商品もコース別入荷が増えていて、ヒューマンエラー防止策は万全です。

だからこそ、倉庫内を点検すると、イレギュラーが発見しやすい状態です。配置場所以外ある「商品」や「パック品」は何らかの問題があるわけです。これを発見した場合、必ず、周囲にいる物流パートに確認します。即座に回答が返ってくれば、まだ、管理された状態と言えますが、「判らない」という事があれば、何らかの管理ルール上の問題があるはずです。これは、ヒアリングの中で確認する材料になりますので、写真で残します。

 

また、倉庫内には、「お誘い用のサンプル商品」や配達ミスや追加発注などの「預かり品」もあります。それぞれ、管理ルールがあるはずですので、担当者が居ればその場で確認します。

冷蔵庫・冷凍庫内も点検します。ほとんどは「個人別パック」で入荷していますので、商品が見える状態にはないはずですが、冷蔵庫や冷凍庫の隅に棚が設置されていて、商品が置かれているようであれば、イレギュラー発生の可能性がありますので理由を確認することになります。こうした実態を記録（写真）に残して置き、担当者や物流パートなどから聞いた事項も記録します。それは後で管理者ヒアリングの材料になるわけです。

 

事務所内の点検では、事務パートの業務が主要な対象となります。

 

今の配達業務では、センター事務の業務が大きくかかわってきます。

私のいた生協では、担当者のモバイル使用前から、注文の訂正や返金等は担当者からの報告（申請）に基づき事務パートが一括処理する仕組みで運用されていました。ですから、イレギュラーな対応は全て事務パートが把握することになります。そして、全ては「当日加減算票」「追加発注書」という記録に残ります。これを1か月分点検します。じっくり見ていくと、特定の担当者が著しく当日加減算票や追加発注が多かったり、特定の組合員からの返金要請が多かったり、不自然なものが目に付く等の特異点が発見されます。実は、これは事務パートが一番認識している事なのです。

ですから、書類点検前に少し事務パートからも話を聞きます。意外に皆さん正直に問題を教えてくれますし、中には、仕事の進め方に疑問を抱えていて相談されることもあります。本来であれは、副長や事務管理者が適切に対処すべき事項なのに、相談できない事情を抱えているケースがあります。これは、管理者ヒアリングの格好の材料になるわけです。

こうした、小さな点検を積み上げながら、センターのマネジメントの課題や商品管理に関する課題を抽出する作業が現場の監査でエネルギーを使うところになっていました。

 

こうした監査の中で、極めて重要で深刻な問題が発見されました。（ごめんなさい。不正発見の事例もありましたが、情報漏えいになりかねませんので、少し皆さんのところでも共有できるものにしています）

 

発見したのは「返品商品の管理」の問題です。

 

Ａセンターでは、事務所入り口の長机の上に、ビール・お米・調味料・菓子類が並べられていました。その横に「組合員価格3割引きで処分。購入者はお金を箱に入れてください」の表記と紙の箱が置かれていました。その表記にはセンター長名が記載されているのです。紙箱を振ってみると、お金の音がしました。

Ｂセンターでは、同じように商品が置かれた場所の脇に、記録表が置かれて、商品名と購入金額と購入者氏名が記録されていました。価格は組合員価格（定価）でした。

Ｃセンターでは、そのようなものは発見されませんでしたが、休憩室に少量の「商品（飲料）」が積まれていて「処分品。ご自由にどうぞ」と書かれていました。

Ｄセンターでは、昼時間に冷蔵庫前に物流パート・アルバイトの皆さんが集まっていて、何をしているかを確認すると、冷蔵庫・冷凍庫にあった在庫商品（返品？）を副センター長が並べて、パートの皆さんへ分けているところでした。一応、代金は戴いているようでしたが、半額で設定しているとの事でした。

 

これはかなり深刻な問題です。

 

返品商品は、以前には考えられなかったことです。班共同購入が主流の頃は、例え注文ミスであっても、班の中で調整し買い取ってもらったり、他の班で引き売りしたりして、基本的に返品は受け付けないようになっていたからです。しかし、現在では、引き取り不能の商品は返品を受ける事が基本ルールになっていて、大型センターでは、その返品量は尋常ではありません。

そして、これら返品商品の処分について、残念ながら、共通のルールが存在していなかったのです。すべて、センター長の裁量の中で処分するというのが暗黙のルールになっていたのです。ですから、3割引や2割引や半額、中には経費処理して処分などと、さすがに着服するようなことはないように見えましたが、確証は得られませんでした。また、現金徴収も問題でした。処分による供給現金は本来、供給に計上され入金すべきですが、別管理し流用している事も発見されました。これは、あきらかに不正です。

 

不正や横領の温床になっている事を厳しく指摘せざるを得ない状況でした。

 

月例の監査報告で、「返品商品の管理において、センターごと独自ルールで運用され、実態として、横領や現金不正につながるリスクが高い状態にありました。一部ではすでに現金管理上の不正（流用）も見られました。」と専務理事へ報告しました。

専務理事も宅配センター長を経験されており、実態が依然と様変わりしている事に驚かれ、是正・改善の必要性について確認いただけました。その上で、事業本部長に対して、是正・改善の指示が出されました。

まずは、宅配事業本部が、統一のルール（返品商品管理ルール）の整備を進めました。返品商品の一覧化と処分記録の保存、買取りの際には現金ではなく加減算票による処理（引落）限定など、かなり細かい運用ルールが整備されました。価格設定も低下処分を基本にすることになりました。

しかし、これだけでは、大量の処分には耐えられない事態があり、事業連合への返品拡大や「セカンドハーベスト（フードバンク）」の活用拡大についても検討が進み、ドライ商品に関する管理はかなり前進しました。生鮮品に関しては、基本廃棄というルールとなりました。

これですべての問題が解決したわけではありませんが、不正（着服や横領）防止策としては一定の効果はあると考えられます。また、今回の監査指摘を通じ、組合員からの商品返品の在り方について、組織的な議論が進み、センター内でも問題の本質について協議も出来、全体として、返品量がやや減少したとの報告も聞きました。

 

商品管理については、この問題以外にも、サンプル商品（おさそい用）の管理、深夜早朝の無人入荷時の管理、追加発注や返金処理の管理、等について、年次で取り上げ指摘し是正改善を進めてきました。

システム化され、分業化が進む中で、想定されなかった問題は必ず生まれてきます。それが、それぞれのプロセスのはざまで発生した場合、容易に是正・改善できない事もあります。

また、この事例の様に、一つ一つの事業所では完結している事でも、本来共通・統一されているべきルールがバラバラになっていて、それが大きな問題であることに気付く人・部署がないケースもあります。こうしたことを繋ぎ、埋めていくのも、内部監査の重要な役割であり、より多くの部署・事業所の監査を計画し、効果的な監査に取り組むことが必要だと考えます。