内部監査について その1 内部監査とは
私は以前、監査室というところに4年ほどいました。
会社の内部監査をする部門です。
今日は内部監査の話をしたいと思います。
- 内部監査の発祥と変遷
内部監査は、もともと世界恐慌後のアメリカで発祥しました。
目的は、粉飾決算など財務情報の虚偽報告に関するリスクを抑制するためです。
ですから、内部監査の基本は会計監査です。
その後は証券取引と共に発展し成熟していくわけですが、それでも時々不祥事は起きました。
1972年にはウォーターゲート事件、1976年にはロッキード事件、最近ではエンロン事件やリーマンショックなどが記憶に新しいところです。
当然、こういった事件のたびに体制は強化されました。
1941年には内部監査人協会(IIA)が設立され、1997年の海外腐敗行為防止法の成立、1985年にトレッドウェイ委員会組織員会(COSO)が発足しました。
また、内部監査の内容も変化しています。
当初は会計に関する直接的なところのチェックが主でしたが、最近は、不正を生み出す組織背景についても監査対象になってきています。
それは、内部統制といわれます。
- 内部監査の国際ルール
内部監査の世界にも国際的なルールがあります。
ISOにも、ISO19011-マネジメントシステム監査の指針 というのもありますが、より一般的なのはIIAが発行する「専門職的実施の国際フレームワーク(International Professional Practices Framework:IPPF)」といわれるものです。
そして、この基準を熟知し、この基準に従って内部監査をする内部監査のスペシャリストが公認内部監査人(CIA)といわれる人たちです。
つまり、CIAのライセンスホルダーが内部監査をしている企業は、より網羅的で専門的な内部監査をしているということになり、内部統制の信頼性がより高いレベルで担保されるわけです。
日本ではまだまだ認知度は低いですが、アメリカでは公認会計士以上のステータスだそうです。
- IPPFとは
IPPFが示すのは、リスクベースの監査手法です。
リスクマネジメントの考え方を基本にして監査するわけです。
それを見ていく前に、まずはIIAによる内部監査の定義について紹介します。
内部監査は、組織体の運営に関し価値を付加し、また改善するために行われる、独立にして、客観的なアシュアランス及びコンサルティング活動である。内部監査は、組織体の目標の達成に役立つことにある。このために、リスク・マネジメント・コントロール、およびガバナンスの各プロセスの有効性評価、改善を、内部監査の専門職として規律ある姿勢で体系的な手法をもって行う。
アシュアランスとは、「保証」です。
つまり、客観的事実をもって監査した部分を保証することをいいます。
逆にいうと、見ていない部分については保証外ということでもあります。
また、コンサルティングも内部監査の機能です。
ISO認証期間による審査ではコンサルティングは禁止されています。
しかし、内部監査というのは自組織内での活動ですから、むしろコンサルティングは推奨されるべきとされています。
IPPFは、財務報告をはじめ投資家目線で企業の統制環境を監視するために行うリスクベースの監査手法を説いています。
環境審査員への道 その2
審査員補の資格は4年ほど前に取りました。
それ以来、この使いもしない資格に対して毎年更新料を払って維持しています。
CEARに支払う更新手数料だけで年間1万3千円弱。
それに、CPD(スキル維持のための教育5.5h以上)を外部の教育機関で受ける場合は、その分の費用(2万5千円から3万円程度)の費用がかかります。
私の場合は、1万3千円を自腹で支払い、CPDは自習というかたちで処理しています。
昨年の12月、私の会社でISO14001の更新審査がありました。
私は事務局のメイン担当です。
審査初日の昼休み、私は審査員に呼ばれました。
思い当たる節はまったくありません。
「なにかマズイことでもあったかな・・・・」
と不安を抱きつつ審査員のもとへ。
「いやー、深刻な話じゃないので気楽に聞いてください。
あなたの名刺に"審査員補”とあったので、ちょっとお話できるかなと思って」
そういわれても何のことやらさっぱり検討もつきません。
「はぁ、そういうことですか・・・」
「ところで、どうですか? 審査員をやってみたいというお気持ちはないですか?」
えっ、これってスカウト?
そんなこと、今ここで言われても・・・
私の戸惑う様子を察してか、あわてて言葉を継いできました。
「会社を辞めろってわけじゃないんでご心配なく。
もしも会社が許すのであれば、会社に勤務しながら審査員としての活動もやってみる気はありませんか? 実際にやられてる方もいます」
もちろん私はOKです。
ただ、会社が何というか・・・・
「会社に相談しないとダメでしょうから、いちど上司に相談していただいて、それから返答いただければ結構ですから。
ぜんぜん慌ててませんので。
前向きにご検討ください」
私にとってはまさに青天の霹靂というか、渡りに舟。(いつかは審査員を目指したいと思っていましたから)
さっそく上司と担当の役員に相談してみました。
すると、心配するどころか、
あっさりOK。
ほんとにいいの? と思いつつ、彼らの気が変わらないうちにとさっさと話を進めました。
これから審査員に向けての準備をすることになったわけです。
審査員になるには、まずは審査機関に登録しなければなりません。
私の場合は審査機関に直接登録するのではなく、審査機関のパートナー企業に登録して、そこから審査機関の名刺をもって審査に行くカタチになります。
そのためにも、まずは私自身が審査機関の審査をパスしないといけません。
つまり、審査機関の面接を受けるわけです。
そこで面接に合格すれば、さらにそこから先のカリキュラムが待っています。
審査機関の面接・テスト → 審査機関の講習(5日間) → 現地審査研修(4回程度)
これらを経て、ようやく審査員になれるそうです。
ISO14001:2015 6.1.1 一般
6 計画
6.1 脅威及び機会に関連するリスクへの取組み
6.1.1 一般
組織は、6.1.1~6.1.4に規定する要求事項を満たすために必要なプロセスを確立し、実施し、維持しなければならない。
この項から難所に入っていきます。
まず最初に、6.1.1(一般)、6.1.2(環境側面)、6.1.3(順守義務)、6.1.4(取組みの計画策定)の要求事項を満たすためのプロセスを構築することを求めています。
プロセスとは、結果を導くための一連の要素のことです。
つまり、「インプット」「人的スキル」「物的条件」「手順」「評価指標」といったものを指します。
よって、この段落を平たく言うと、
会社は、経営目標を達成する際に考えられる環境面での「リスクと機会」、「著しい環境側面」、「適用する法令やルール」、「それらを維持・改善していくための計画」を適切に管理するためのプロセス(インプット、人的スキル、物的条件、評価指標)を構築しなければならない。
と言い換えることができます。
すなわち、EMSとは、”この4つ(リスクと機会、著しい環境側面、順守事項、維持・改善計画)のプロセスを管理することで目標を管理するシステム”ともいえます。
環境マネジメントシステムの計画を策定するとき、組織は、次のa)~c)を考慮し、
a) 4.1に規定する課題
b) 4.2に規定する要求事項
c) 環境マネジメントシステムの適用範囲
”環境マネジメントシステムの計画”とは、6章全体と捕らえるべきでしょう。
つまり、6,1.1から6.1.2の要求事項を満たす手順を策定する際には、4章で決定した事項「内部および外部の課題」「利害関係者のニーズと期待」「適用範囲」を考慮することを求めています。(”考慮に入れる”ではないので、あくまでも”考慮する”の字面通りに解釈すべき)
次の事項のために取り組む必要がある、環境側面(6.1.2参照)、順守義務(6.1.3参照)並びに4.1及び4.2で特定した、その他の課題及び要求事項に関連する、リスク及び機会を決定しなければならない。
-環境マネジメントシステムが、その意図した成果を達成できるという確信を与える。
-外部の環境状態が組織に影響を与える可能性を含め、望ましくない影響を防止又は低減する。
-継続的改善を達成する。
前半の流れから、
EMSの計画を策定するとき=プロセスを構築するとき
と言い換えることができます。
ですから、
”EMSの計画を策定するときは、・・・のリスクおよび機会を決定しなければならない”は、”プロセスを構築するときは、側面、順守事項、内部外部の課題、利害関係者のニーズと期待に関係するリスクおよび機会を決定しなければならない”となります。
プロセスは、あらかじめ想定している理想から逆算する形で設定します。
たとえば、
会社の経営目標:経費削減15%(前年度比)
利害関係者のニーズ:業績向上に伴う株式配当の増
適用する法令:省エネ法(毎年1%以上の省エネ)
適用範囲:本社・東北工場・京浜工場・神戸工場・中部物流センター
主な環境影響:電力の消費による資源消費など
著しい環境側面:京浜工場の塗装設備(電力消費量 大)など
以上の状況から、取組みのひとつとして京浜工場の電力使用量を10%削減することを目標に掲げるとしましょう。
そのために、塗装設備のファンモーターをインバーター化し、運転を手順に従ってキッチリと行い、また、その手順も細かく設定することを考えていたとします。
しかし、実際は、すべてが順当にいくとは限りません。
では、どういったことが懸念されるのか?
作った手順通りに操作して、うまくいくだろうか?
手順がうまく機能しないとすれば、手順のどこに問題があるのか?
交換したモーターは、想定通りの省エネ効果を発揮することができるのか?
効果が得られない原因としては、どういったことが考えられるだろう?
生産機種の構成に変化があった場合は、どういった影響があるのだろうか?
といったように、設定した目標(あるべき姿)に対して、それらを達成するためのプロセスを構築し、そのプロセスの運用を阻害する要因(リスクまたは機会)をあらかじめ想定し、これらを管理することが”計画”の本質といえます。
また、外部の変化がプロセスに影響を与える場合もあります。
団塊世代の介護を理由に男性中堅社員が前線から離脱する恐れは?
そうなった場合には、どの工程からどれくらいの人がいなくなる?
ゲリラ豪雨で工場が浸水した場合に漏電によって設備は停止しないか?
原子力発電所が再稼動するとどれくらい電力量が下がる?
こういった外部環境の変化が、”あるべき姿”に及ぼすリスクと機会につても、事前に想定しておく必要があります。
同じように、継続的改善を考えた場合に、それを脅かすリスクと機会についてもあらかじめ想定しておく必要があります。
組織は、環境マネジメントシステムの適用範囲の中で、環境影響を与える可能性のあるものを含め、潜在的な緊急事態を決定しなければならない。
次の段落では、緊急事態について書かれています。
決定すべきは、潜在する緊急事態であることがポイントです。
この要求に対しては、2004年度版と同じです。
組織は、次ぎに関する文書化した情報を維持しなければならない。
-取り組む必要があるリスク及び機会
-6.1.1~6.1.4で必要なプロセスが計画どおりに実施されるという確信をもつために必要な程度の、それらのプロセス
最後の段落です。
”取り組む必要があるリスクおよび機会”とは、前半の段落で決定したリスクと機会のことです。
そして、それらを管理するプロセス、この2点について文書化することを求めています。
なお、プロセスを構築する際は、”確信をもつために必要な程度”ですから、過剰もしくは過少の文書化を戒めています。
最後に
この6.1.1の要求にしたがって作成する文書類はないでしょう。
なぜなら、ここでは6章全体についての考え方を述べている項だからです。
文書類の作成については、6.1.2以降で要求しています。
ISO14001:2015 5.3 組織の役割、責任及び権限
5.3 組織の役割、責任及び権限
トップマネジメントは、関連する役割に対して、責任及び権限が割り当てられ、組織内に伝達することを確実にしなければならない。
トップマネジメントは、次の事項に対して、責任及び権限を割り当てなければならない。
a) 環境マネジメントシステムが、この国際規格の要求事項に適合することを確実にする。
b) 環境パフォーマンスを含む環境マネジメントシステムのパフォーマンスをトップマネジメントに報告する。
この項は、2004年度版の4.4.1に相当します。
まず、責任と権限を定めて本人および関連する人たちに周知することを求めています。
具体的には、環境上の重要業務を担当する人、各種計画を承認する人、法令など順守事項に関する業務を行う人、計画類をチェックする人などを定める必要があります。
環境マニュアルで、
① 環境組織図
② 管理責任者の役割
③ 内部監査責任者の役割(内部監査責任者は設置してもしなくてもかまいません)
④ 部門長の役割
⑤ 従業員などの役割(とくに著しい環境側面に関する人)
といったことを定めておけばいいでしょう。
※トップマネジメントの役割を5.1項で設定していなければ、この項で記載してもよい
aとbは、2004年度版でいう管理責任者の役割です。
今回の2015年度版では、管理責任者について言及していません。
つまり、管理責任者はおかなくてもいいわけです。
しかし、このaとbの要求を満たすには、従来どおり管理責任者を設置したほうが便利だと思います。
なぜなら、EMS全体の運用を管理する人がいたほうが、体制の信頼性が増すからです。
それはチェック機能にもいえることで、内部監査責任者といったものを設置したほうが体制はシンプルになると思います。
MBAの説明会に行って思ったこと
いきなりですが、
MBAは起業する人向きですね。
ビジネススクールでは、マネジメントの知識は身につくでしょう。
ディスカッションによってより実践的なことも学べるでしょう。
そういったスキルが、今の日本の、いわゆるフツーのサラリーマンに必要かといわれると「ノー」だと思います。
会社は、表向きはそういう”経営者目線”をもった社員を歓迎します。
実際、言われたことだけを盲目的にする社員よりも、問題の本質を的確に捉え、課題を設定し、その解決に向けてさまざまな方法を提案し実践できる社員のほうが経営の役に立ちます。
とくに、昨今のように経営環境が以前と比べて大きく変化しているうえに、IT技術の進展が著しい状況においてはなおさらです。
しかし、それはあくまでも表向き。
実際、そんなマネジメントのプロがきたら会社としては迷惑な場合もあります。
日本は、戦後からめざましい発展をしてきました。
一時はアメリカに次ぐ世界第二位の経済力を持っていました。
その姿は、今や発展途上国が経済発展する上でのモデルにもされます。
それくらい順調に、かつ劇的に成長してきたのは、一方で、目指すモデルが明確にあったことと、日本はもともと技術力があったし日本人も勤勉でポテンシャルそのものは大きかったこと、それに加えて世界全体において発展の余地があったことがあったわけです。
しかし、それも1990年代初頭のバブルがはじけるまでのこと。
それ以降は、日本経済は基本的には横ばい基調。
その原因は、世界経済においてマーケットフォロワーからマーケットリーダーへと立場が変わったにも関わらず、日本の企業社会が体制の変換をしきれていないからだといわれています。
しかも、まだその転換をできずにいる企業が多い。
中には
いつかはまたあの時代がやってくる
と思っている(「あの時代がやってこないと困る」と思っている)企業も存在する。
かつてのそういう時代、つまり、経済成長率が3%以上(2%の経済成長率で「正常な発展」とした場合)のインフレ経済下では決まったものをがむしゃらに作ればよかったわけで、ルールに従ってキッチリ作業をこなすことが求められてきました。
当然、軍隊のような統制が功を奏するし、鬼軍曹みたいな人が要職についてたりします。
そんな体制が未だに色濃く残る旧態依然の会社(当然、今の経済環境についていけずに業績も低迷、もしくは、そこまでいかなくても、組織内は沈滞ムードが漂っている会社)に、MBA社員が来たところで使いこなせるわけがない。
それどころか、従来からのその会社の常識とは逆のことを言い出すわけですから、厄介者扱いされることは必至です。
ベテラン鬼軍曹が若手参謀を使いこなせないのはあたりまえ。
しかも、そういった会社は、人事評価も基準が曖昧で、
「君が言うことは正しいけれで、それを実行するには他部署の了解が必要だし、部門長もそれぞれの立場があるし・・・」
と、せっかくの提案が実践できずに終わります。
当然、人事評価にも結びつかないといった事態になります。
MBAを取ったけど使えない
ということになるでしょう。
会社のほうも、
MBAを採用したけど、結局は使えなかった
というわけです。
もう、外資系に転職するか起業するか、ですね。(中には、日系企業でも開かれた会社はありますが・・・)
実際、昨日の説明会でお話されてた方は、住友商事からハーバードのビジネススクールに留学し、卒業後は住友商事に戻り1年働いて、その後に自ら起業されたそうです。
とはいえ、これからはMBA的なスキルをもった人は必要だと思います。
とくに、会社で経営側のポジションに就こうという人は。
もちろん、起業する場合にはあったほうがいいと思います。
何事においても、定石を知っていたほうが強いですからね。
環境審査員への道 その1
今、私は環境審査員に向けての道を歩んでいます。
もともとその道に進みたかったわけではありません。
仕事の関係上そっち方面の知識と経験が身につき、「いつか役に立つときがくるかも」という軽い気持ちで審査員講習を受けたのがきっかけです。
そんな私の経験が誰かの参考になれば幸いです。
では、どうぞ。
2016年10月4日現在、私はISO14001の審査員補の資格を持っています。
はじまりは今から4年半ほど前に遡ります。
そのころ私は、工場から本社に転勤になりました。
ちょうど勤続20年目のリフレッシュ休暇をもらったので、とくに過ごす予定がなかった私は、その期間を利用して5日間の研修コースに申し込んだのです。
暇つぶしに近い感覚でした。
※これまでのいきさつは、下のリンクをごらんください。
いくつかの教育機関が大阪会場を設定しています。
費用も似たようなものです。
もちろん、CEAR(一般社団法人産業環境管理協会)の認証講習(当時の私が受けたのはIRCAの認証もついていた)ですから、質も似たり寄ったりでしょう。
そこで私は、交通の便から新大阪で開催している教育機関を選びました。
審査員補の資格は、ISOの事務局や管理責任者の経験があれば誰でも取れると思います。(もちろん、マジメにやっていることが条件です。名ばかり事務局や名ばかり管理責任者では厳しいと思います)
ちなみに、審査員補の資格要件は以下のとおりです。
- ISO業務に携わった経験が規定年数以上あること(大卒の場合は2年)
- 認定講習を所定時間受講すること
- 講習最終日に行われるCEARもしくはIRCAの試験に合格すること
会場が新大阪の駅前なので家から通うこともできたのですが、受講時間を厳格に計測されるので(5日間を通してトータル数分の遅刻しか許されない)、慢性的に遅れているJRをあてにせずに奮発してホテルをとりました。
講義は、まさに朝から晩までです。
確かスタートは9時だったと思います。
そして、終わりは晩の7時か8時。
しかも、途中ダラダラすることもなく時間通りキッチリやるので、けっこうハードです。
復習の宿題もあったと思います。
5日間ある講習の最終日の午後はテストです。
ですから、講義は実質4日半ということになります。
最後のテストは、私は2つ受けました。
ひとつは、CEARの試験です。
これに合格するとCEARの認定を取得することができます。
日本国内の審査機関で仕事をする場合は、この資格だけで大丈夫です。
もうひとつは、国際審査員登録機構(IRCA)の試験。
名前のとおり、この認定があると海外の認証機関でも仕事ができます。
コース申し込み時に試験の申し込みもしないといけなかったので、何も知らない私は両方とも申し込みました。
その分、試験費用もかかります。
試験は、両方とも合格でした。
結果の返却がないので、どの程度の正答率だったかはわかりません。
もちろん、合格率も明らかになっていません。
ただ、CEARのほうはマークシート方式で、IRCAは確か筆記がメインだったと思います。(CEARのほうが問題は易しかった)
試験に合格したら、合格証と、受講終了証と、職務経歴書(環境業務に関して規定年数以上の経験があるかの証明で会社の誰かの承認印が必要。一般的には上司)を揃えて、CEARもしくはIRCAに申請します。
ここらへんの手続きは教育機関がサポートしてくれるので、それにしたがって書類を整えるだけです。
私は、CEARだけに申請しました。
理由は、先にも書いたとおり、国内で審査員としてやっていくにはCEARで十分だからです。
しかも、IRCAは申請手数料も高いし、毎年の更新費用も割高です。
そういう経済面の理由だけで決めました。
以上が審査員補までの道のりです。
今もメーカーでサラリーマンをしているので、この審査員補の資格は定年後に活用しようというわけです。
ですから、定年までのあと数十年の間は、審査員補を維持するために毎年更新料を払い続けることになります。
と、そう思ってました。
つづく
ISO14001:2015 5.2 環境方針
5.2 環境方針
トップマネジメントは、組織の環境マネジメントシステムの定められた適用範囲の中で、次の事項を満たす環境方針を確立し、実施し、維持しなければならない。
a) 組織の目的、並びに組織の活動、製品及びサービスの性質、規模及び環境影響を含む組織の状況に対して適切である。
b) 環境目的の設定のための枠組みを示す。
c) 汚染の予防、及び組織の状況に関連するその他の固有なコミットメントを含む、環境保護に対するコミットメントを含む。
注記 環境保護に対するその他の固有なコミットメントには、持続可能な資源の利用、気候変動の緩和及び気候変動への適応、並びに生物多様性及び生態系の保護、又は関連する他の環境課題を含み得る。
d) 組織の順守義務を満たすことへのコミットメントを含む。
e) 環境パフォーマンスを向上するための環境マネジメントシステムの継続的改善へのコミットメントを含む。
環境方針は、次に示す事項を満たさなければならない。
-文書化した情報として維持する。
-組織内に伝達する。
-利害関係者が入手可能である。
この項目は、2004年度版とほとんど同じです。
あえて言うなら、a)の部分に2015年度版の特徴が表現されています。
a) 組織の目的、並びに組織の活動、製品及びサービスの性質、規模及び環境影響を含む組織の状況に対して適切である。
「 組織の目的」という言葉が追加されています。
これは、本来業務における組織の目的ということです。
また、2004年度版では「環境影響に対して適切」となっていたところが、「環境影響を含む組織の状況に対して適切」となっています。
ここでも、EMSの前提として組織本来の事業があることをあらわしています。
a) 環境方針は、
- 経営方針や経営計画に対して適切であること
- 事業活動(作業や業務)を適切に反映していること
- 生産品など取り扱う製品やサービスを適切に反映していること
- 事業によって発生する環境影響に見合っていること
- 経営事情を反映していること
とでも言い換えることができると思います。