【品質保証塾・上級編】品質不正を暴く!内部監査・外部監査での着眼点を押さえよう
突然ですが、御社で行っている監査って「ちゃんと」できていますか?
近年は、ISOやIATF認証を取得している企業でも品質不正を見つけることができず、内部監査の形骸化が問題視されています。認証を取得している企業では、毎年ISOなどに準じた内部監査を行っているかと思います。しかしながら、その機会で品質不正を見抜くことは難しいかもしれません。
そもそも内部監査ではQMS(Quality Management System:品質マネジメントシステム)を軸とし、品質そのもののリスクに監査を行うのが前提となっている半面、近年のような「データや報告書そのものの改ざん」といったような『品質不正』の観点で監査は行いません。
では、どのように監査を進めたら良いのでしょうか?
今回は『不正を暴く』ためには、どのような着眼点で監査を行えばよいのかを解説していきます。
1.不正はなぜ起こるのか?
世界的監査法人のKPMGがまとめた2022年度の調査結果によると、直近3年間で不正が発生したと回答した上場企業の割合は、24%(578社中137社)にも及ぶことがわかっています。
更に品質不正に着目した調査によると、品質不正が発生すると考えられる要因として、全体の53%が「品質管理・品質保証等に対する経営資源(ヒト・モノ・カネ)の投入が不十分」と回答。その他にも、品質不正が発生する要因として、「品質管理・品質保証部門の権限・機能が弱い」を挙げた回答も多かったとされています。
この回答結果からは、企業内における品質保証部門の重要性が、組織の上流にあたる設計・開発部門よりも相対的に低いと捉えられている傾向が読み取れます。
参照:https://kpmg.com/jp/ja/home/insights/2022/10/fas-fraud-survey.html
また、米国の組織犯罪研究者ドナルド・R・クレッシーが提唱した「不正のトライアングル理論」より、不正の発生原因には、①動機・プレッシャー、②機会、③姿勢・正当化 が当てはまるとされています。この理論を知ることで、不正が起きる原因を想定しやすくなります。
- ① 動機・プレッシャー:本人が不正をするための動機
(例)業務上のミスを隠したい等 - ② 機会:不正が実行可能な状況であること
(例)業務が属人化しており他人から仕事内容が見えない、内部統制が機能していない 等 - ③ 姿勢・正当化:不正への抵抗感の欠落、不正への正当化等の心理的状態
(例)みんながやっているから大丈夫だろう
上記より、不正を引き起こしてしまう組織体制(①動機・プレッシャー、②機会、③姿勢・正当化 が起きる機会がある環境)に加え、品質保証部門の弱体化(組織構造的、経営資源不足、権限・機能が弱い)などが推測できます。
2.品質不正が発生するタイミング
近年の品質不正の動向を見ると、品質不正が発生してしまうタイミングは大きく分けて「開発段階」「製造段階」「検査段階」の三段階に分けることができます。
- 開発段階の事例:新規開発の製品にも関わらず、製品評価で用いるデータを過去の他製品データから流用し、評価をしていないにも関わらず評価レポートをまとめた。
- 製造段階の事例:小さな変更だからという理由で、本来であれば報告しなくてはならない4M(Man:人、Machine:機械、Method:方法、Material:材料の頭文字をとった言葉)に該当する変更を現場の独断で行った。
- 検査段階の事例:検査の認定制度があるにも関わらず、人員不足から認定されていない検査員が検査を行って合否判定を行っていた。
3.開発段階における監査の着眼点
製品や製造工程の開発段階では、時間に追われるがあまり、デザインレビューでしっかりと精査されずに”合格”として、次工程に引き渡されるケースが散見されます。顧客から提示される仕様を満足した製品を納期までに完成させることは重要ですが、忙しさに追われるあまり不正が起こってしまうと本末転倒です。
監査を行う際に特に確認を行うのは「正しく規定・標準・プロセスに沿って」十分に議論されたうえで”合格”と判断されているのかに注目します。レビューも時間が限られているため、過去に行われたレビューや過去トラブルリスト、チェックリスト等などを活用し精査します。
レビューのなかで問題が検出された場合は、それらが識別管理され追跡できる状態であるのか確認を行い、対策が実施されているのかまで精査を行うことが望ましいです。
ここでいう、識別管理・追跡とは以下のような内容を意味します。
- 識別管理:問題がリスト化され、管理番号などで整理されている状態。どういう問題が確認され、誰が、何をするのか明確に識別され、いつでも誰でもわかるように管理すること。
- 追跡:識別管理された問題のステータスを一件毎に追跡(トラッキング)できる状態のこと。
仮に問題が検出されても、開発の忙しさのあまりに忘れ去られてしまうケースが見られるため、問題を管理し、問題をどう是正したのかまで監査で確認を行うことが望ましいでしょう。
開発段階は時間との勝負でもあるので、品質不正が起こらないように、議論の履歴・問題の追跡・結果どうすることになったのかを監査で一つ一つ精査していきましょう。
4.製造段階における監査の着眼点
製造段階では、現場の声を拾いきれないあまりに品質不正が行われるケースが存在します。例えば、設備の老朽化などで直行率の低下などにより現場へ圧力がかかるあまり、不良品を合格品として出荷してしまったなどが考えられます。
設備は老朽化が進む反面、顧客要求仕様の高度化は止まることはありません。このような背景から、本当は不具合品であっても問題ないと現場で判断して出荷することが考えられます。現場での不具合管理の仕組みや、情報を打ち上げたエビデンス、不具合品の識別管理方法などを精査していく必要があります。
現場のエビデンスは使用後に削除されないで、品質記録として規定されている期間の保管が徹底されているのか確認を行うことも重要です。監査時はサンプリング(実際にあるエビデンスをランダムに抜き取り確認を行うこと)で記録を精査してみましょう。
また、変更管理の形骸化によって引きおこる問題も想定されます。4M(Man:人、Machine:機械、Method:方法、Material:材料の頭文字をとった言葉)変更では、リスク管理や評価で変更の妥当性を検証し、利害関係者(社内の他部門、顧客)より承認を得たうえで変更を実行するため、実際に変更が導入されるまでの手続きに時間がかかってしまうなどのデメリットもあります。このような背景から、変更管理規定は存在しても運用されていないといった問題も考えられます。
製造段階での監査で注目すべき点は、現場から打ち上げられた情報のエビデンスを確認したり、それらがスルーされずにしっかりと変更管理プロセスに準じて実施可否判断が行われているのか精査することが望ましいです。現場と事務所のコミュニケーションに抜け漏れはなかったのか、現場独自の判断で勝手に進まない仕組みは存在するのか等、多方面の視点で確認を行いましょう。
5.検査段階における監査のポイントは?
検査段階では、品質部門の工数不足や検査設備不足・老朽化から、検査データの捏造やWチェックの省略化などが考えられます。検査データは、規定の個数(全数・抜き取り)に準じた製品を準備し、その製品から測定した数値を使用しなくてはなりません。しかし、現場では過去に測定した数値を流用して、検査報告書をまとめるといった不正が起こりかねません。
検査データは数値で書かれているため、不正を見抜くのは難しいかもしれませんが、監査でサンプリングを行うことは目に見えているので、被監査者側も監査員に見せることのできる「出来の良い」書類を準備しています。要は、当たり障りのない良い結果のエビデンスを準備しているのです。
検査データは日々蓄積されるものであり、大量のデータが揃っているため、その時に使うのは『検査報告書のNo.56 – No.84を見せてください』と言います。
そうすれば、被監査者側はビックリしますし、不正の隠蔽を見抜くチャンスが生まれます。
6.まとめ
今回は、近年問題視されている品質不正を暴くための監査の着眼点について解説しました。
品質不正は組織経営に大打撃を与えかねない重大な問題へと繋がる恐れもあるため、日々の監査を徹底することで予防していきましょう。
- 直近3年間で不正が発生したと回答した上場企業の割合は、24%(578社中137社)もある
- 「不正のトライアングル理論」より、不正の発生原因には、①動機・プレッシャー②機会③姿勢・正当化が当てはまる
- 品質不正が発生してしまうタイミングは大きく分けて「開発段階」「製造段階」「検査段階」の三段階に分けることができる
- 開発段階では、時間に追われるがあまり、デザインレビューでしっかりと精査されずに”合格”として、次工程に引き渡されるケースが散見されるため「正しく規定・標準・プロセスに沿って」十分に議論されたうえで”合格”と判断されているのかに注目する
- 製造段階では、現場の声を拾いきれないあまりに品質不正が行われるケースが存在するため、現場独自の判断で不正が行われていないのかに注目する
- 検査段階では、日々の蓄積した大量の検査データから抜き取り範囲を指定することでリアルなデータを確認することができる
(アイアール技術者教育研究所 Y・S)
