監査実践論その4 不適合は何?

11.10.22
ISO9001とかISO14001の内部監査の解説本を読むと、現象と不適合を混同しているものが多い。というより現象と不適合の関係を理解していないのでは、と思える。
私は15年も前のこと、ISO14001の審査員研修も受けたし、ISO9001の研修も受けた。しかしそれらの講習で、監査における現象と不適合の関係を教えてもらったという記憶はない。講師も知らなかったのかもしれない。
だから、文書に関する不適合を見つけると文書あるいは文書管理の項番の不適合にする人は内部監査員にも多いし、プロのISO審査員にも多い。当然、環境目的に関するものであれば環境実施計画の項番で不適合にするし、教育に関する問題は教育訓練の項番の不適合として提示する。いやあ、実に簡単でわかりやすい。でも、そんなものがISOの内部監査なら、ありがたみがないどころか、スパットやめたほうが会社のためかもしれない。

内部監査、あるいは審査の「基本のき」は、観察であり、ヒアリングであり、書面を見ることであり、サンプルをたくさん見ること、収集することである。それは前回述べたとおりである。まあ、そんなことは誰にでもできる力仕事である。
と言いながら、できない審査員、監査員が多いのだが・・・

そこからが問題である。
たくさんサンプルを観察すると、どうも変なこと、明らかに基準と異なっていること、あるいはもっとサンプルを見る必要なものが出てくる。納得できないなら、どんどんと不明点を追いかけていくことは大事である。
おっと、もちろん会社規則や法規制に適合であると確認できることも多い。
なにもわざわざ、ISO規格適合であることを確認する必要はない。なぜなら、品質であろうと環境であろうとマニュアルがISO規格適合であれば、会社規則とおり運用しているならその会社はISO規格適合であることは、論理学の初歩である三段論法そのままである。
もっとも、この三段論法を理解できない審査員が多く、私は毎年おかしいという審査員を指導している。その認証機関から指導料をいただかねばならない。

さて、サンプル集めがすんだら、次はそれのグルーピングをすることになる。審査員のかなりの割合はこのグルーピングを知らない。少なくても私はグルーピングをして、より深掘りした審査報告書を見たのは半分もない。ほとんどは、見たまんま、そのまんまである。中には見てもいないことを書いている報告書もある。

例えをあげよう。環境法規制でもっともポピュラーなものが廃棄物処理法であり、その一番初歩的・基本的な帳票がマニフェスト票である。どの審査員も今まで廃棄物なんて触ったこともなくても、マニフェスト票をチェックしろと認証機関から言われているようだ。だからみなさん「マニフェスト票がありますか?」とほぼ100%聞く。
もっとも私は、マニフェスト票をちゃんとチェックできる審査員は半分もいないと思う。A票だけをとっても記入する項目は24箇所もあるが、実は法律で記載しなければならない項目はずっと少なく、残りはマニフェスト票を作った団体がサービスで設けているのである。だからその項目は記載しなくても法違反ではないが、そんなことを知っている審査員は2割もいないだろう。そしてどれが必要な項目かを知っている審査員は1割程度かもしれない。それで毎日審査に励んでいらっしゃるのだ。そんな審査に、我々企業は大枚を払っている。
話がそれていかん、
マニフェスト票も最近は電子化されたが、2011年現在でも紙マニフェストのほうが圧倒的に多い。節穴審査員でも100枚もみれば2枚や3枚の記載漏れとか、日付が法で定めるよりも遅く返ってきたものを見つける可能性は5割はあるだろう。
節穴審査員とは、2010年に東大の某教授が発見した新種の生物らしい。

そこで多くの審査員は、No.1234567のマニフェスト票に産廃と特管のいずれの□にも、チェック印がついていなかったなんてことを問題に取り上げるわけである。
ところが次のNo.1234568を見たら、それには交付者のサインがなかったとする。それもまた不適合に取り上げねばならない。だから何百枚もマニフェスト票を見て、記載漏れが4件あれば不適合が4件になり、4枚のCAR(是正処置要求書)を作成することになる。
笑ってしまうが、実を言って、私は内部監査でもISO審査でもこのような・・といってもマニフェスト票ばかりではないが・・見つけた現象の数だけCARを書く審査員をたくさん存じ上げている。もっともL○○△は、決してグルーピングをせず、不具合の件数だけ不適合にする方針のようだ。これも見識なのだろうか?
CARとは「Corrective Action Requirement」の略であるが、認証機関によって呼び方はいろいろだ。
さて、マニフェストの記載が悪いものの不適合は、その根拠にはどの項番にするのだろうか? 法に反しているから、四の五の言うなということだろうか?
まっとうなら次のように書くのかな?
「廃棄物処理法施行令第6条の6では特別管理産業廃棄物の運搬又は処分若しくは再生を委託しようとする者に対し、あらかじめ、当該委託しようとする特別管理産業廃棄物の種類を通知することになっているが、No.1234567のマニフェスト票には産廃か特管のいずれにもチェック印が記入していなく、これに反している」と書くのだろうか。一応、証拠はマニフェスト番号、根拠は施行令の項番、現象は記入漏れと書いてあるので三要素はあるから及第かもしれない。
ではもう一件は
「廃棄物処理法施行規則の第8条の21では管理票の交付を担当した者の氏名を記載することを定めているが、No.1234568には交付者欄に氏名記載も押印もなかった」と書くのだろう。まあ、書き方としては及第かもしれない。

私も10年以上前は、そのように書いていたことを白状する。そしてマニフェストばかりではないが、このようなものが○件あれば重大不具合、それ○件から○件なら軽微な不具合、1件なら観察なんて、今考えるとアホみたいなランクつけをしていた。それは大きな間違いであったことも白状する。

あなたは、いや私もであるが、監査員あるいは審査員である。そのような低レベルの監査をしていたのでは恥である。恥であるばかりではなく、力量がないとみなされて失業してしまうかもしれない。
それは大変だ。
あなたがその問題の是正を行うなら、是正しやすいように、筋道が見えるように不適合を提示してほしいと思わないだろうか?
実際の内部監査、あるいはISO審査では、何が悪いのか、なぜ悪いのか、どのように悪いのかが全然分からないCARとか監査報告書がたくさんある。おっと証拠なしに語ってはいけないが、私は証拠なら上着の両方のポケットにも、ズボンのポケットにもお尻のポケットにもたくさん入っている。だから、疑いの反論などしないほうがあなたの身のためだ。

グルーピングをしないと、このような結論になるはめになる。まっとうな監査員であるあなたはグルーピングをすることはいうまでもない。
観察した結果、たくさんの現象を発見した。それには妥当なものもあるだろうし、おかしなものもあるだろう。一つではおかしくないけど、他の証拠と付き合わせるとおかしいことが分かるものもあるし、一つの証拠では適正な運用とは思えなくても、他の証拠とジグソーのように組み合わせたら適正であると分かることもある。
例えば、マネジメントレビューの記録を見たら出席者もそろっているし、報告事項も結論もそろっていてOKと思ったが、教育訓練の記録を見たらその日は品質保証部長は外部の講習会に行っていることになっていたりする。うそをつくときは、よく縦横斜めをみて整合を取ることが大事である。そんなことは昔の私の得意技であった。
今は、そんな裏技を使わずに自然体ですべてを処理している。

言葉で説明すると分けが分からないから、図でもって示そう。図のように観察、書面チェック、ヒアリングをした結果、多様な現象を見つけた。それはエビデンスである。しかしエビデンスはそのまま適合でもないし、不適合でもない。
エビデンスは適合や不適合を立証する証拠なのだ。あ、エビデンスって証拠だよね!?

監査のグルーピング

それらを似たもの同志を集めるとどうなるだろうか?
グループにするにも集め方は種々ある。図の右に示すように同じカテゴリーで集めても何かが見えてくるならそれでもよい。あるいは図の左に示すように原因系で集めても良い。

監査はただ目的もなく実行するわけではない。依頼者から監査目的を示されて実行しているのだ。だから監査目的につながるようにまとめるのは当然だ。
監査報告書が、依頼者からの指示に対応した記述になっていないものは極めて多い。何のために監査をしているのか、監査員も監査責任者も理解していないのだろう。
おっと、それを黙って受け取って文句も言わずに押印している経営者は紳士なのか? 単なるアホか? それとも悪魔か?

グルーピングした結果、監査結論が監査目的に100%対応してつながればハッピーである。そうならなければ監査プログラムが悪かったのか、監査の実行においてサンプルが足りなかったのか、あるいは監査員が節穴であったのか、いずれにしても経営者(依頼者)に報告するわけにはいかない。命令されたことを実行できなければ腹を切るか、もう一度チャレンジするしかない。

私の話はドンドンそれていく。
ちなみに私は下書きというものをしない。この文章はキーボードに向かってひたすらキーを叩いてここまで来た。所要時間は1時間である。今、11時15分、明日はまた別のまっとうな仕事があるのであと30分のシンデレラ。結論までたどり着くのであろうか?
ガラスの靴は脱げそうだ

ともかくグルーピングをした。そしてそこで適合・不適合を考えねばならない。
図中に示すように、現場で手順書にノウハウなどを記載しているとしよう。それを単に「4.4.5e) 文書が読みやすく」に反するとするのもありかもしれないが、それじゃあ、あんまりである。他のエビデンスと見比べて検討すれば、手順書の改訂が極めて困難な文書管理システムの問題かも知れず、文書に書き込んじゃいけないとルールを教えていないのかも知れず、文書に書き込んじゃいけないとルールを決めていないのかもしれない。
「ISO14001に適合しているなら、手順書に『文書に書き込んではいけない』とルールにしているはずだ」という意見を語る人もいるかもしれない。そうかもしれないが、私はそうではない事実をたくさん見ている。
環境マニュアルとその下位文書に「文書が読みやすく、容易に識別可能な状態であることを確実にする」と、規格の文言のままの会社を複数知っているし、その会社を審査して過去10年間、一度もそれを問題にしていない認証機関を知っている。

ともかく、その結果として、文書あるいは文書管理に不具合を見つけても、不適合は4.4.5とは限らず、教育訓練だったり、是正処置だったり、あるいはリソース不足なら経営者の責任でもおかしくない。もし経営者に問題があれば、内部監査こそその是正の手段ではないだろうか。

本日のまとめ
タイトルは「不適合は何?」であった。
監査員であるみなさんが、現場や書面に見つけるのは現象である。現象はエビデンス、そこから問題の深遠を極めるのはいろいろな方法があるが、エビデンスをそのまま不適合にするような幼稚園は卒業しよう。



外資社員様からお便りを頂きました(2011.10.27)
佐為さま
実際に監査して、エビデンスをグルーピングして、要因ごとに分けるのは、経営側から見ても会社の改善にも役立つと思います。
例として、「リソースの問題」「そもそも教育が不要」などは、ISO認証とは無関係ですが、経営側としては問題で対策が必要と思います。
会社側の立場で考えると、エビデンスから問題の原因が分類できた時点で、ISO関連の体制の中で対応できることと、それとは独立して会社として対応すべきことに分類出来るはずです。
このような判断の過程を、クライアントと一緒にするのならば、クライアントにも随分と参考になり、納得の出来る監査になると思います。
そのような監査ならば、経営マネージメントとして貢献できると言っても変ではありません。
結果としては、社内で改善点は見つかったが、ISO関連の規格や監査の中では不適合はなかったということもありえます。
実際には、「ISOの中で不適合」ということを問題として記録しようとするから、実態と離れた、妙な判定や指導が出てくるのだと思います。

なぜそうなるかを考えてみました。
例えば、古いバージョンの書類が存在している、実態に合わせて更新がされていない、上位規格と下位の整合がとれていない事なのは、結構見つかると思います。
そのような場合に、いきなり監査の不適合とせずに、なぜそれを防げないか、ISO関連の規約や体制が、その防止や予防を出来るかを考えてみれば良いのだと思います。
上記の例と同様で、それが出来ないことがISO関連の規約・体制でも無理だという考えがあっても良いし、リソースの問題(ISO専任者がいないのに文書変更の作業量は大量の場合など)もあると思います。
だとしたら、まず現実的な解決策があって、その後にISO関連の体制のあるべき姿があるのだと思います。
もしリソースの問題が主原因ならば、専任者を作る等の「効果的な対策」を考えるのが、経営面で正しい対応です。
それを、ISOという枠組みの中で、全てに白黒つけ、対応しようとすれば、無理やりな解釈をするしかないでしょう。
そんな無理をするのを、まず当たり前だと考えるから、様々な無理な解釈と、不適合が出てきますし、経営側から見て役に立たないから、会社側は認証を貰う事が目的になり改善には期待しなくなります。
つまり、ISOで何でも解釈できる前提が間違っているので、その考えを捨てれば 随分と自由になり、合理的で、経営面でも妥当な改善につながるのだろうと思いました。

外資社員様 いつもご指導ありがとうございます。
同意というところもありますし、ちょっとというところもございます。以下説明いたします。
ISO9001とかISO14001というものはマネジメントシステム規格です。別に私が強調しなくても規格の名称がそうなっております。
つまり、ISOの内部監査であれ、ISO審査であれ、その目的は個々の現象を探し対策することではなく、その現象をきっかけにしてシステムに問題があるかを確認し、問題があればシステムを直すことです。
例えば、古いバージョンの書類が見つかったとき、それを問題としてとらえるのではシステム監査ではありません。
なお、グルーピングという考えは別に特別のものではありません。私たちが日常いろいろな問題対策や行動を選択することが求められたら、諸条件を考えるはずです。いえ、大問題じゃないです。例えば姪が遊び来てディズニーランドに行きたいというし、家内は大きなものを買いに行くから荷物持ちについて来いというし、自分は外資社員様と夕方から飲む約束だし、明日からの出張の準備もしなければ・・なんてことは日常茶飯事でございます。そのとき、重大性もありますし、緊急性もありますし、実施することをグループ化して、それにプライオリティをすること、しないことを決めているはずです。だってそうしないと身が持ちません。そんなことと同じと思います。
ともかく、ISOの内部監査とかISO審査はシステムを対象とするのですので、その現象をみて、何が問題であるか、その問題の原因はなにかと追及していかなければならないのです。
ですから外資社員様のおっしゃる
そのような場合に、いきなり監査の不適合とせずに、なぜそれを防げないか、ISO関連の規約や体制が、その防止や予防を出来るかを考えてみれば良いのだと思います。
ことが本来というか最低限の内部監査のレベルなのです。
しかし、多くの内部監査もISO審査もそのような当たり前のことをするレベルではなく、見つけた現象を直しているだけであることが問題です。だからISOが経営レベルに役に立たない、安全パトロールと何が違うのかと言われてしまうのです。
このようなISOごっこのレベルなら、もうやめたほうが日本の産業界にとって役に立つでしょう。あるいは、この程度のレベルでも内部けん制として役に立っているのでしょうか?


外資社員様からお便りを頂きました(2011.10.30)
佐為さま
ご回答有難うございます
追加の質問がありますが、これは私自身がISO審査の現場と縁が無い事ので素人質問なのをご容赦下さい。

ともかく、ISOの内部監査とかISO審査はシステムを対象とするのですので、その現象をみて、何が問題であるか、その問題の原因はなにかと追及していかなければならないのです。

まさに、その通りと思うのですが、今までの佐為さまのお話を読む限りでは、実際の審査がそのようになっていると思えないのです。(笑)
問題の原因を掘り下げていれば、体裁だけの審査や、受ける側も 二重資料やら、現場と乖離した規定などは出来るはずがないのです。
また、問題の原因を掘り下げていれば、確かに経営にも貢献できる事も期待できます。
実際の審査では問題を掘り下げていないのでしょうか、それとも掘り下げの方向が間違っているのでしょうか?

外資社員様 毎度ありがとうございます。
私は第三者認証制度を代表して語る立場でもなく、また現体制を弁護する義理もないのですが・・
私は20年前、社内失業者という状態にあり、そのとき現れたISO認証制度のおかげで本当に失業せずにすみました。また、その後もISOの知識のおかげで仕事をゲットしたわけで、ISO認証制度への愛憎はかなりドロドロとしております。
だから本心ではISO認証制度が大いに伸びてほしいと思います。しかし過去20年の間、毎年2・3回としても60ないし70回のQMSとEMSの審査を体験してきたわけですが、それを踏まえて言えば、外資社員様の仰るとおりだといえます。
すなわち、審査員の力量の絶対レベルが低いこと、そしてその審査水準を向上させるフィードバックが働いていないこと、企業側には不満が溜まるばかりという状況です。それは、JAB、JACBなどが真面目に審査向上に務めていないことがあるでしょう。
もちろん審査を受ける側も、外資社員様が仰るように、二重資料やら、現場と乖離した規定 など形ばかりというところもあります。しかし、審査は認証を目的とするわけではなく、適合確認が目的なのですから、審査員は不適合で認証することができないと判断することができるわけです。だからダブルスタンダードでも虚偽の説明でも改ざんでも審査員がしっかりと見ることでリジェクトできるはずです。
しかし私の知る限りISO審査でダメだったとギブアップする会社は現実には存在しないようです。ちなみにもう10年も前ですが、ドイツではISO9001を認証しようとした会社の25%が、結局認証できないというデータをみたことがあります。
システムができてない会社、机上の空論のルールの会社、ダブルスタンダードの会社、虚偽の説明をする会社、を絶対に認証しないという認証機関の力量と矜持があれば、あっというまに認証制度の信頼は向上するでしょう。
しかし、そんなことをすればお客さんが減ってしまうというのが、認証機関の最大の恐れでしょう。
しかし、一歩退いて考えると、そもそもISO認証制度というビジネスが成り立つのかという基本的なことが私には分かりません。1987年にISO9001が制定されたのは、雨後のたけのこのようにあった二者間の品質保証規格を統合して製造者と購入者の手間の削減・合理化、更には貿易の促進の狙いがありました。
外資社員様も1970年から1980年代お客様から品質保証協定を求められ、品質監査を受けた経験がおありでしょうというか、そんなことが日常茶飯事だったことと思います。あるいは当時の私と立場が違い、購買先に対して品質保証協定を求めて監査に出向くほうだったかもしれません。
ともかく、ISO9000規格制定の理想は高かったと思います。しかしいくら品質保証要求事項を統一しても品質監査には行かなくてはならないわけです。そのとき「監査を請け負います」という人が現れたわけですね。なにごともビジネス拡大、エスカレーションというのは真実で、まもなくそういう人たちは、購入者からの依頼がなくても、「製造者の品質システムを見てあげますよ、適合していたらISO9001認証という免状をあげますよ」というビジネスに変化したわけです。同じことが自動車セクター規格でも起こりました。そもそもは自動車メーカーに納入する会社がISO/TS16949(以前はQS9000)認証を義務つけられていたわけですが、その後、その認証を受けていると品質が良いという宣伝効果を求めて、車メーカーと取引していなくても認証する企業が発生しました。
そして今に至るわけですが、第三者認証というものは何を提供するのかということが依頼するほうも、依頼されるほうも認識していなかったように思います。
第三者認証が提供するものを説明したパンフレットIAF/ISO共同コミュニケというものが出されたのが2010年暮れです。
「認定された ISO 9001/ISO 14001認証に対する期待される成果〜IAF/ISO 共同コミュニケに関する冊子の発行」
外資社員様のような専門家を除いて、一般人は保証(assurance)という概念を理解できないでしょう。誤解を恐れずに言えば、ISO認証している企業のかなりの割合は、そういうことを知らずに「流行に遅れるな」とか「あそこが認証したなら、うちも負けるな」てな理由で認証しているのではないでしょうか?
実を言いまして、前の勤め先で1993年頃のこと、当時審査員は外国人でしたが、その方から「お宅の会社は認証する必要がない、やめたらどうですか」と言われたことがあります。結局、必要性ではなく、差別化といえばかっこいいですが、単に自慢したいからとか、少しは宣伝になるだろうということでしかなかったのです。
そして現在の多くの企業もそうだろうと思います。
これも実話ですが、日経経営度調査というのがあります。数年前は「ISOやエコアクションなどのEMS認証していますか?」という設問でした。3年前に「ISO認証していますか?」という設問に変わり、エコアクションもエコステージもありません。あわてて子会社にエコアクションをやめてISO認証しろと指導したことがあります。他社もそういったところがあったのではないでしょうか。なぜかは言うまでもなく、単に日経環境経営度の順位を上げたいだけです。ところが2011年の設問はきれいさっぱり、ISOの言葉がありません。じゃあ、無駄なISO認証やめましょう、そんなことになるのではないでしょうか?
なにか、外資社員様の疑問とはかけ離れたものになってしまいましたが、現実はそんなものです。
第三者認証制度の明日はあるのでしょうか?


外資社員様からお便りを頂きました(2011.11.01)
佐為さま
JABの資料リンク、有難うございます。
前から、認証なのだから、出来る事と出来ない事を明確にするべきと思っていたのですが、ここに明確に記載されていますね。内容を見る限りは、実態は知りませんが、合理性があります。
加えて「定められた認証範囲について、認証を受けた品質マネジメントシステムがある組織は、顧客要求事項及び適用される法令・規制要求事項を満たした製品を一貫して提供し、更に顧客満足の向上を目指す。」と目的も明確になっています。
「製品にはサービスも含む」とありますので、認証も対象になるのは明白ですね。
「製品に対する顧客要求は明示されている」とありますので、認証会社の顧客要求がどのように記載されているかが非常に興味があります。
まさか、認証会社が認証の中で求めているものが、対応されていない事はありえませんので。

もし、この顧客要求が「認証を取得する」ならば、ISOの理念がどうあろうが、二重ルールになろうが「認証取得」に向けて動くのが、認証会社の正しい姿なのですね。 認証会社側が費用をかけずに、顧客要求を実現するには、認証のハードルを下げるか認証範囲を狭めるのが簡単な方法です。 技術系の認証の場合には、認証試験により取得するデータ、試験項目、試験機器まで規定されているので、ハードル下げることはできず、「試験方法の合理化」へ向かいます。また規格を策定した団体のオーデットもありますので、ハードルを下げれば認証機関の資格を失う危険があります。

一方で、ISO認証の場合は、抽象的な概念を扱いますし、企業や業務により千差万別ですから認証の範囲や判断基準は、認証会社に負う所が多いのですね。ここで一生懸命考えても、次の顧客が同じ分野で、同様な規模の会社かは不明ですので、認証基準を詳細に定めても徒労に終わることが多いでしょう。
となると、認証のレベルは、認証会社や審査者自身に負う事になります。

同時に、顧客要求が「認証の取得」と言われれば、どういう方向に向かうかは想像に難くないです(笑)

もし、ハードルを下げて事は、顧客要求なのですから当然ですね。
ということでJABの資料を読んで、認証会社の顧客要求も明示して欲しいものだと思いました。

外資社員様、毎度ありがとうございます。
外資社員様は、品質保証という概念を自家薬籠とされているので説明に苦労しません。しかし日本のISOの中枢にいる某大学教授などは品質保証の意味を知らずにISOを語っているのです。聞くほうは恥ずかしいだけならまだしも、そんな人が日本のISOを指導できるのか?、いやだめにしてしまうのではと心配でたまりません。実際に現在のおかしな状況に至ったのは、その方のおかげ(?)ということを知り合いの認証機関の幹部の方が語っていました。
外資社員様が仰る
認証のレベルは、認証会社や審査者自身に負う事になります。
そのとおりです。それは恐ろしいことではありませんか。
己がルールであるならば、暴走の果ては見当がつきます。ジェームス・ディーンの「理由なき反抗」のように破滅に至るのでしょう。(古すぎますか?)
しかし、そのようなものが一般社会から理解を得られ信頼されるものでしょうか?

同時に、顧客要求が「認証の取得」と言われれば、どういう方向に向かうかは想像に難くないです(笑)
ISO9001にしても、ISO14001にしても無色透明であり罪はありません。それを使ったビジネスモデルが良かったのか、いやビジネスモデルは良いけれど運用が悪かったのか?、あるいはおおむね運用は良いのだが一部の不埒な者のせいでおかしくなったのか?わかりません。
いずれにしても、ISO規格とISO認証はまったく別物です。購入者や一般社会はISO認証を求めるのではなく、まずISO規格に適合することを求めるべきだったのでしょう。そして適合確認はお客様がしても良く、時によっては代表者がしてもよく、あるいは忙しいなら客がお金を出し合って専門家を頼んでも良いと考えるべきだったのかもしれません。
それをビジネスとして、職業として成り立たせてしまったことが、おかしくなる始まりだったのかもしれません。
いずれにしても社会が必要とするのか、信頼するのかによって、その命は決されると思います。どうなるのか、私には分かりませんが、私の生きている間に決着はつくでしょう。


うそ800の目次にもどる