【ケーススタディ】『再発防止』としての内部監査-金沢病院の事例から-
はじめに
内部監査部門は様々な形で会社や団体で発生した事故事案の再発防止に関わります。
例えば、最もよくあるのは再発防止策適切に運用されているかを運用状況を検証する等の評価部門としての関わりです。これ以外にも再発防止のデザインの有効性、つまり妥当な再発防止になっているか等の検証があります。
しかし会社全体としての不祥事の際は、3rdラインとしての内部監査自体がクローズアップされ、監査の強化自体が「再発防止策」になるケースがあります。これは果たして有効に機能するものでしょうか。また内容として適切でしょうか。
最近発生した事案をベースに一考してみたいと思います。
事案の概要
- 金沢病院の職員が肺がん検査を受けた患者3人に「異常なし」と結果を伝達。
- しかし3人中2人の本当の結果は「異常あり」
- この職員は正式な結果が出る前に、患者に連絡していた。
- 病院側は職員を懲戒処分、再発防止に 「今後は内部監査で業務が適切になされているか確認することとする」とコメント
出展:石川テレビニュースより筆者が要旨抜粋:https://www.ishikawa-tv.com/sp/news/227663
再発防止として内部監査を上げていますが、この内容だけでは適切な対応かは不明確ですね。
病院側サイトにも本件に関する情報が掲載されていました。
「検査結果を確認せずに結果を受診者に通知した法令違反について 」 独立行政法人地域医療機能推進機構金沢病院 / 令和元年12月20日
https://kanazawa.jcho.go.jp/wp-content/uploads/2019/12/20191220pressrelease-2.pdf
事案の詳細
次にこの記事から原因と再発防止の内容を読み取ってみたいと思います。二重括弧は記事からの引用です。
テレビ報道にあった「正式な結果」とは「二次読影結果 」を指すようです。
『 令和元年5月に当院健康管理センターで実施した「すこやか検診」において、当院職員が、金沢市医師会から二次読影結果が送付される前に、検査の結果そのものを確認せずに、3名の受診者に「異常なし」と通知していた』
言い換えると「一次的な」結果は確認していたということでしょうか。
再発防止措置の内容も書かれていました。短いので全文引用してみます。
『 2.再発防止策 今回起きた事案は、文書の取り扱いに関する法令違反が原因であり、今後は職員に対するさらなる法令遵守に取組んで参ります。今後、管理体制を強化するととも に、院内マニュアルの見直しと遵守を徹底し、再発防止に全力を尽くします。 』
原因は『文書の取り扱いに関する 法令違反』とありますが、これは原因ではなく結果ではないでしょうか。総じて内容の抽象度が高く具体性が感じにくい印象を受けます。
また石川テレビでは『 今後は内部監査で業務が適切になされているか確認することとする』としていますが、この文書には『管理体制を強化』 『院内マニュアルの見直しと遵守を徹底 』くらいしか書かれていません。文書は昨年12月に公開されているため、管理強化の検討を続け、2月現在懲戒処分の公表とともに具体的な対策の一つとして「内部監査」についてテレビ側にコメントした、という流れが見受けられます。
原因の考察
事故発生から再発防止を行う際の基本的な検討ステップには下記があります。
①事実関係の把握→②直接的な原因の特定→③本質的な原因の分析→④③を踏まえた再発防止策の検討→⑤再発防止策の実施
本件を考えるうえでは「何故職員は 二次読影結果 を確認せずに受診者に通知したのか?」という点を検証する必要があるでしょう。最初のポイントは故意か過失か、つまり「二次読影結果を確認していないと知りながら通知した」 のか「 確認したと思い込んでいた等の過失(誤解・錯誤・誤認等)により通知した」のか等です。この点が全く言及されていないので②の点も十分に説明されてはいないといえるでしょう。
仮説を踏まえて原因を推測してみたいと思います。
仮説① 「二次読影結果を確認していないと知りながら通知した」
この仮説の場合は、二次読影結果の確認を待たずに一時検査の結果を確認した時点で通知することが、職員にとって何らかのインセンティブがあったことを示唆します。例えば下記などが考えられます。
- 確認はこの職員にとって時間のかかる又は面倒な作業で、できればやりたくなかった
- 受診者から「早く結果を教えてほしい」と強く言われて、プレッシャーから開放されたかった。
- 一次的な結果と二次読影結果は、殆ど変わらないので、早く答えてしまいたかった。
職員が故意に正式な手順を踏まずに結果を通知することを防ぐには、個人のモラルに負うところも多いため、院内での教育・事例研修を通じて、手順の必要性・結果の重要性を職員に継続的に行うことが対策として考えらるでしょう。
仮説②「過失(誤解・錯誤・誤認等)により通知した」
この仮説の場合、直接的な原因が何であれ、これらを防ぐためのコントロールについて不足がなかったのかを考えるほうが有効ではないでしょうか。
例えば検査結果を伝達前に、必要な検査結果が全て揃っているかをチェックする手順・リストがなかった等、職員が伝達前に不足に気付けるような仕組みがあれば本件の発生リスクを低減できた可能性があります。(他、そもそもこの職員は検査結果を伝達する役割を持っていなかった等も緩考えられますが)
最後に:内部監査が再発防止となるか?
内部監査はリスクマネジメントの「最後の防波堤」として効果的なモニタリングをする機能はありますが、直接的なリスクコントロールは現場部門の責任・裁量・主体性により実施されます。適切な原因分析により統制の整備が改善され、当該整備に基づく運用がなされて、初めて内部監査が機能することになります。
はじめから内部監査が全面に出ることは、費用対効果の面からも、問題検出の有効性の点からも適切といえるでしょうか。少なくともリアルタイムに問題発生を抑制はできず、事後的な指摘に留まります。
もちろんテレビ報道や公表記事以上に具体的な対策が実施されているのかもしれませんが、実効的かつ現納得性ある再発防止には 場部門の主体的な活動の検証とアップデートが必要でしょう。
投稿者プロフィール
- J-SOXバブル時に内部統制コンサルに。以来通算13年間内部監査・内部統制・リスクマネジメント・セキュリティ業務に従事しています。
自身の学びも兼ねて、縁があって内部監査を始めよう/既にしている方達に少しでも役に立つ、現場の情報をお伝えしたいと思います。
【保有資格】
・公認内部監査人(CIA)
・公認情報システム監査人(CISA)
・内部統制評価指導士(CCSA)
・公認情報セキュリティマネージャー(CISM)
・Certified Data Privacy Solutions Engineer(CDPSE)
【所属】
・日本内部監査協会会員
・ISACA東京支部会員