内部統制とISOに関する考察 [7-マネジメント]
1)ISOと内部監査
●ISO規格(品質・環境)の認証を取得している生協では、ISO19011(マネジメントシステム監査の指針)に沿って、内部監査を実施しているところが多いと思います。
●ISO規格では、内部監査を以下のように定義しています。
監査基準が満たされている程度を判定する為に、監査証拠を収集し、それを客観的に評価するための体系的で独立し、文書化されたプロセスである。
そして、その結果を通じ、規格への適合性と有効性の向上に貢献することを目的としている。
ISO監査は、マネジメントシステムが規格(品質・環境等)基準を満たしているかどうかを判定する(適合性)ことと、マネジメントシステムが規格の目標(品質向上・環境への貢献等)達成のために有効に働いているかを確認する事に重点を置いているという事です。
一方、内部監査基準(内部監査協会)では、「組織体の経営目標の効果的な達成に役立つこと」を目的として、「合法性と合理性の観点から公正かつ独立の立場」で、「経営諸活動の遂行状況を評価」し、「助言・勧告を行うアシュアランス業務」、および「経営諸活動の支援を行うアドバイザリー業務」であるとしていました。
いかがでしょうか?
監査の目的、監査の基準、監査対象領域、監査の機能(評価+助言勧告+支援)など、大きく異なるものであることがお判りいただけるでしょうか?
もちろん、業務の品質の向上・改善や、環境保全への貢献は、組織にとって重要なテーマですし、今日的には、社会的にも強く求められるものです。その点において、ISO規格を取得し、効果的に運用する事を否定するものではありません。事実、私のいた生協では、「ISOに基づくマネジメントシステムを全ての業務管理の基本に据える」と経営トップが宣言し、かなりの費用と時間をかけて取り組んでいました。私自身も、MS内部監査の主任監査員として、監査の進捗管理を行っていました。そのために、外部研修に、幾度も参加し、その都度、内部監査基準との矛盾点に悩みながら、なんとか進めてきました。
私の知る限り、全国の生協の中でもISO規格に基づく内部監査を主体にされているところが、関東・関西・九州等であるとようですし、日本生協連でも、ISO監査を組織的に展開されていると承知しております。
私のいた生協では、当初、「MS内部監査事務局」が置かれていて、「MS推進事務局」と密接に連携を取り、MSの構築と運用、そして監視(監査)が一体のものとして取り組まれていました。
私自身も、MS内部監査員の一人として部分的に関わっていましたが、実態としては、少し残念なものと言わざるを得ませんでした。
その一つが、監査の方法でした。
規格への適合性判定のために、網羅性を重視した「規格項番対応型のチェックシート」を用い、「〇[×]評価」を行う形で、監査の結果、[×]評価項目は指摘事項となり、是正・改善要求に基づき改善を進めるというものでした。真因追及や改善提案へつなげるようなディスカッションは少なく、「浅い監査」と言わざるを得ない状態でした。
ただ、これは、ISOの問題ではなく、MS監査事務局の力量の無さ、規格の理解不足、監査員の育成・研修の不十分さによるものだと思います。
また、そうなる真因の一つは「ISO監査(19011規格)」自体にもあります。
極論になりますが、監査の目的を「ISO規格への適合性を目的にしているため」としているからなのです。運用しているマネジメントシステムが、規格要求事項を満たしているかを判定するためには、網羅性重視の監査手法が要求されます。そして、判定のためには、評価基準を設ける必要があります。いわば、監査の深度は期待せず。できるだけ広範囲に、システムの運用と構築が妥当かどうかをはっきりさせることに力点が置かれてしまうためだと言えるのです。
また、もう一つの原因には、外部審査機関の問題があると思います。
私のいた生協が受けた認証機関による審査では、内部監査がどのようなチェックシートを用いているか、それは、網羅性が高く、客観性が確保された基準を持っているか、規格項番を適切に示すことができているかといった点を重視した評価をしていました。審査員の中には、指摘事項に対して、規格項番の選定に問題がある様な評価をされる方もいますし、システム全体より細部における文書整備に力点を置いた審査講評を述べる方もいました。結果として、認証を得るために、認証機関の要求に応えることに注力され、システムの改善や有効な運用は二の次になりがちでした。
本来、重要なのは「ISO認証を取る」事ではなく、有効なマネジメントシステムを構築し、業務品質の向上や環境保全への貢献を高める組織・運営管理体制を作ることだったはずです。
当時、前任者から引き継いだ際には、内部監査員は全体で30名を超えており、2名チームで、年間通じて、30カ所程度の監査を実施し、会議も年間5回以上開催していました。
また、内部監査員育成のために、高い費用をかけて、外部講師を招き、2日間の研修を実施しながら、研修レポートを見ると、内容が全く理解できていない実態にありました。
監査の成果物の質は当然低く、「重箱の隅をつつくような指摘事項」と「とってつけたような是正」「再発防止策の有効性がない改善策」が羅列されているにも拘らず、監査報告書では「規格への適合性と有効性は確認された」という監査所見が堂々と報告されるものでした。
内部監査員本人たちさえ、形式的で表面的な監査にうんざりしているのは明らかでした。
認証を得るために、次々に文書が作られ、日常マネジメントとは遊離したような運用ルール(マニュアル)が出来上がり、表面的なチェックに基づく監査に労力を使う事になってしまっていました。
これは、最も誤った方向ではないかと思います。
もし、皆さんの生協でも、同様の傾向が見られるのであれば、内部監査として、ISOの間違った運用による無駄なコストと労力をかけていることをトップに強く進言してください。
くれぐれも誤解のないようにしていただきたいのですが、私は、ISO規格とそれに基づく監査を否定するものではありません。
ISO規格は、マネジメントの考え方としては非常に優れています。ただ、「認証」という仕組みが、ISOが意図した運用を歪めてしまっているという事なのです。極論を言えば、外部認証機関の力量不足が招いた問題だという事です。
規格が求めるマネジメントシステムを構築し、適切に監査することで、品質と環境の領域の改善・向上は確実になるはずなのです。しかし、それを正しく深く理解するにはかなりの努力が必要です。
2)内部統制導入とISO
では、ISO内部監査をベースとした場合、どのような監査手法を用いれば、深度のある監査ができ、監査結果の組織貢献度が高くなるのでしょうか?
そのヒントとなったのは、「リスクマネジメントTODAY」という研究誌の2008年3月号に掲載されていた「内部統制導入とISOの視点(名古屋リスク研究会)」という論文でした。
その論文は、内部統制導入における課題の解決視点にISOの考え方を照らして検証されたもので、直接的には私の問題意識の対局にあるものでしたが、裏返すと、ISO運用を高める事で内部統制システムの一層の強化を図れることを示しているとも言えました。
特に、その中で、着目したのは「内部統制の6つの構成要素とISO規格の共通性」と題して掲示されていた表でした。ある意味、目から鱗のような感じでした。2008年当時は、ISO9001や14001などはそれぞれ独立した規格であり、複合運用による弊害も多く見られている状況でしたので、これを内部統制の構成要素に置き換えるというのは極めて斬新でした。
その後、ISO規格では、共通のプラットフォーム:MSSの導入が検討され、今日的には上部構造(HLS)として運用が始まりました。
これをもとに、私の独自の視点で、名古屋リスク研究会が作成した表をベースにした「内部統制・ISO対照表」を整理してみました。
ISOの「上部構造(HLS)」では、これまでの規格では十分に明示されていなかった「リスク評価・マネジメント」の視点が加わり、PDCAサイクルがよりすっきりと整理されています。これにより、内部統制(COSOキューブ)の構造とISOのHLSの共通性は一層高まりました。
このように整理すると、ISOにおけるマネジメントシステムの構造と、内部統制システムの構造にかなり共通点がある事が判ります。
内部監査基準に基づく内部監査(内部統制監査)においては、内部統制の構成要素を基準に、監査を組み立てていましたから、このように整理できたことで、ISO監査と内部統制監査とを一つの枠の中で展開できることになりました。
実際、この考え方に到達した後は、ISO監査と内部統制監査は別物ではなく、統合内部監査として実施する事になり、組織全体から選出された内部監査員(当時は20名程度)には、ISO規格の学習と内部統制システムの学習、さらに、内部監査の養成研修を行い、以前に明示した「内部監査の指針:内部監査標準工程表」に基づく監査を実施することができるようになりました。
端的に言えば、20名もの内部監査員は、監査対象とする部署の内部統制・マネジメントシステム全体を監査領域にして監査し、監査結果は、規格項番に捉われないようにしたのです。日常業務の問題を掘り起こし、原因を追究し、是正・改善提案を行うように切り替えました。
こうすることで、監査対象部署からの評価も高くなりました。表面的な指摘や形式的な是正改善ではなく、日常悩んでいる問題や気付かなかった問題を内部監査員とディスカッションを通じて深め合い、改善に向けたアイディアを得ることができるという評価に変わったのです。
ここまで考え方を整理し実践したところで、内部統制システムにISOマネジメントシステムを取り込んだ「総合マネジメントシステム」という考え方に至りました。
これは、もともと、2012年度の東海地区内部監査研究会で、コープいしかわの内部監査担当から伺った「考え方」でしたが、当時の私には、難解で、なかなか理解できないものでした。しかし、内部統制監査とISO監査を統合して実施したことで、ようやく全体像が理解できました。
3年ほどの実践を経て、考え方を整理し直し、2017年度には、内部統制事務局とMS推進事務局に対して、内部監査室から「総合マネジメントシステムへの移行」提案するに至ったわけです。何度かの協議を経て、両事務局から、内部統制委員会及びMS管理委員会の両方へ、「総合マネジメントシステムへの移行」提案を行うことになり、先の「ISOと内部統制の共通性」を示した表をベースに、内部監査室として、提案・プレゼンを行い、経営トップにも承諾を取り付け、運用へ至りました。
3)ISOと内部統制の統合について
ISO認証取得のために、過去には、マニュアル作成や記録管理等の「形式的な」システム構築に精力を傾け、結局、現実のマネジメントとは乖離した「お飾り的な」マネジメントシステムになり、それを監査する方も、どこか形式的になっていたことが愚かな行為だったことが判ります。
ISO規格に合わせてマネジメントシステムを構築するのではなく、現実のマネジメントシステム(統制システム)をISOの視点で検証し、整理・補強すればよかったはずなのです。
もちろん、内部統制システムは、単なる業務品質や環境貢献を目的としたマネジメント領域だけでなく、人事労務や財務・会計、資産管理、等々組織経営全体を領域としたシステムであるわけで、ISOだけですべてが解決するわけではありません。
図解してみると、以下の様にとらえることができます。
組織全体の管理の仕組み(内部統制・マネジメントシステム)は、領域ごとの個別管理の仕組み(マネジメントシステム)が有効に機能し、互いが関連しあい、統合された形で運用されている事が望ましい姿と考えることができるはずです。
(領域設定は、組織構造によって違いがあるでしょうから、参考程度にしていただければと思います。)
そして、これら全体が、内部監査の対象領域であるべきで、ISO内部監査だけでは組織全体を監査している事にはならないと考えるべきではないかと思います。
それらをより合理的に展開していくために、「総合マネジメントシステム」の考え方が有効です。
基本にするのは、「COSOの6つの構成要素」ですが、前述のようにISO規格(HLS)とも、共通のプラットホームで整理します。少し例を挙げて考えてみましょう。
図にある領域で比較的判り易いのは「順法管理」領域で、以下の様な構造になります。
法令順守に関して、トップの宣言・組織風土の醸成がある事、リスク評価において「法令リスク」が認識されている事、法令遵守に関して、定められた規程と管理部署が特定され、運用プロセスが明示されている事、さらに、コンプライアンス教育の仕組みが整備され実践されている事、実際の運用状況がモニタリングされている事と不備が発見された場合、迅速に是正改善が進む仕組みがある事。
こういう構造ができているかを監査することは、ISO監査でも内部統制監査でも同じだという事が理解いただけると思います。
