おはようございます!マネジメントオフィスいまむらの今村敦剛です。
内部監査レベルアップ講座、今回はリスクについて解説したいと思います。ISOに取り組んでいる会社の皆さんは、この「リスク」という考えをどう扱えばよいか、戸惑っている印象があります。最終回は、rより有効性のたかいリスクにまつわる内部監査方法を提案します。
これまでの記事はこちら
動画でも解説しています(無料・登録不要)
リスクにまつわる内部監査の方法(不適合、苦情・クレームから逆算するやり方)
昨日は、規格要求事項にそったリスクにまつわる内部監査の方法を説明しました。しかし、形式的になりすぎるというデメリットがあるというお話をします。
では他にどういうやり方があるでしょうか?一つは、その部門が原因となって発生した不適合や苦情・クレームがある場合、そこに着目するというやり方です。問題に先回りして対策をするのがリスクへの取り組みですから、リスクへの取り組みがちゃんとできていれば、不適合や苦情・クレームは起きなかったかもしれません。それでも起きてしまったということは、先回りをして対策をするというプロセスのどこかに弱い部分があった可能性があります。したがって、不適合や苦情・クレームから逆算して、プロセスの弱い部分を見つけていくという監査のやり方です。
たとえばまず「先回りして対策していれば問題が起きなかった可能性はありますか?」という感じの投げかけをします。そういう可能性があったにも関わらず、先回りの対策ができていないのはなぜか、改善できるところはないかというのを、リスク管理プロセスをさかのぼって確認していくというやり方です。
リスクにまつわる内部監査の方法(先回りして対策していることから逆算するやり方)
その部門が原因となって発生した不適合や苦情・クレームがなかった場合はどうでしょうか。なかった場合でも、先回りして対策していることからさかのぼって確認するというやり方はできます。
例えば「問題がおきないよう、先回りして対策していることはありますか?」と聴いて、どういうリスク対策をとっているかを確認します。そして、その対策はどうやって決められたのかというのを遡りながら確認をしていくわけですね。このようなやり方をすれば、「リスク」という難しい言葉を使わなくても、各部門でリスク管理の仕組みがあるかどうか、それが有効に機能しているかどうかを内部監査で確認することができるでしょう。
リスクにまつわる内部監査は、リスクの特定から対策を導く「仕組み」があるかどうかを見る
以上、4回にわたり、リスクに基づく考え方と内部監査での扱いかたについて解説をしましたがいかがだったでしょうか。
基本的には、どんな部門であっても、リスクを全く考えずに仕事をしているという部門はないと思います。絶対何かを考えているはずです。しかし「リスクを考えているからそれでいいだろう」とも言えません。たまたまそのリスクに気づいたとか、なんとなくこれはリスクだなあと感じた、というのでは、ちょっと頼りないかなと思います。リスクを特定し、そこから対策を導く仕組みがちゃんとその部署、組織に備わっているかどうかという観点で、内部監査をするのが望ましいでしょう。
行き当たりばったりではなく、仕組みを作ってまわしていきましょうというのがマネジメントシステムですからね。