監査報告書
12.04.22
監査すると、監査報告書を書くことになる。というか監査の成果物は監査報告書であり、監査とは監査報告書を書くために行うといっても間違いではない。なぜなら依頼を受けて監査するのだから、依頼者に報告しなければ監査にならない。
2年ほど前のことだが、ISO審査で審査員がろくな所見報告書を書かない。具体的に言えば、3ページしかないのだ。しかも1ページ当たり文字数は、300字しかない(数えた)。たった900字で300万円も審査費用をとることを考えるとボッタクリ、詐欺同然だ。それで次の審査前に認証機関を訪問して、良い点も悪い点もしっかりと証拠根拠を書いてほしいと要請した。文字数が少ないことにも苦情を言った。
すると審査員のTさんは悩んでしまった。そんなの悩むようなことか? 力量は大丈夫か心配してしまうよ。
私は子会社に監査に行けば、監査報告書はA4びっしりと4ページ、4000字以上は書く。それでも書き足りないのだが、あまり長いと関係部門から苦情を言われる。ワンイズザベスト!

マネジメントシステムの方針&目的
../2009/yasita.gif
監査目的
../2009/yasita.gif
監査プログラム
../2009/yasita.gif
監査活動の準備作業文書の作成
・チェックリスト
・監査サンプリング計画
・監査結果を記録するための書式
../2009/yasita.gif
監査活動の実施
../2009/yasita.gif
監査報告書の作成
../2009/yasita.gif
監査の完了ISO19011:2011を参考に著者作成

さて監査報告書といっても、様式も内容もボリュームも多種多様であり、そして質はピンからキリまである。本当を言えばピンというのを見たことがない。はたしてどのような監査報告書が、あるべき姿なのだろうか?
まず当たり前であるが、監査の目的に対応していなければならない。
トップマネジメントは、監査の計画及び実施の方向付けを行うために、監査プログラムの目的が設定され、効果的に実施することが望ましい。監査プログラムの目的は、マネジメントシステムの方針及び目的と整合し、それらを支持するものであることが望ましい。(ISO19011:2011 5.2)

そういうとそりゃ当然だと思う方が多いだろうが、それは当然ではない。私の知る限り、監査報告書のまとめに、「○○の問題があった」とか「不具合の状況をグラフに示す」とか「不適合はすべて是正完了した」などと書いてあるものが多い。それっておかしいよね?
監査目的はさまざまだろうけど、ただ単に「不具合の状況を調べて来い」とか「不適合は是正完了させよ」という監査目的(あるいは監査指示)は聞いたことがない。恐れ多くも卑しくも、監査と名乗るなら監査目的と監査基準を明示して、それに対しての適合・不適合を調べてこいと命令するだろう。されば、監査報告書とは、示めされた監査目的、監査基準に基づいて、観察やヒアリングした結果、適合か不適合かを報告するものであるはずだ。

だが、この当たり前と思えることを、当たり前にしているものが少ないことは前述したとおりである。
ISO規格に基づく内部監査であっても、報告すべきことはちゃんと決められている。
 ・ISO規格と組織が計画したことに適合しているかどうか
 ・システムは適切に運用され、維持されているか
である。(ISO14001 4.5.5)
だからISO規格で定める最もプリミティブでエレメンタリーな内部監査であっても、その監査結論は「監査結果、組織の仕組みはISO規格と組織が計画したことに適合している(していない)こと、及びそのシステムは適切に運用され、維持されている(運用が不徹底で、維持が不十分)ことを確認した」と記述されることになる。どのような不適合があったかということは詳論で語れば良く、是正が完了したかしないかなどは監査報告書になくてもよい。
ISO規格で定める内部監査がプリミティブであると言われて、怒る人がいれば期待できる 
そもそもISOの内部監査においては、是正までは求められていない。ISO14001では是正まで求めていないことははっきりしているが、ISO9001 8.2.2では修正及び是正処置を行うことが記述されており、そのへんが不明確というかあいまいであるが、論理的に考えれば、それは8.5.2の守備範囲だろう。

だが、通常行われている第一者あるいは第二者の環境監査は、ISO規格に書いてあることだけの調査を命じるものではないだろう。いや、そんなこと調べさせても、会社が儲かるとか、遵法が確実になるとか、不良が減るとは思えない。会社がISO規格に適合していようといまいと、どうでもいいことだ。そんなことより会社の仕組みと運用に無駄はないのか、法違反をしていないのか、お客様に喜ばれているのかを調べて来いといいたいのが経営者の本心である。
お断りしておくが、ISO規格が真理ということは絶対にない。もしISO規格が真理なら、1998年版が1994年、2000年、2008年と改定された理由がない。そして1987年版が不完全であったなら、2008年版も不完全であることは、数学的帰納法を持ち出すまでもなく明白だ。
要するに我々は、ISO規格が会社に役に立つと思えば参照し活用するのであって、ISO規格が正しいと考えたからそれに会社を合わせているわけではない。
法規制が理由を問わず遵守しなければならないことであるに対して、ISO規格の位置づけは異なるのだ。
もっとも、私はISO9001の1987年版が一番良くて、改定されるたびに劣化してきたという思いがある。
ISOの内部監査であろうと、ISO規格適合を調べて来いというなら、それは単にISOのためであって、本来なら認証の維持さえ危ぶまれる。といっていくら内部監査がプア(貧弱)であろうとも、審査員がそれを不適合とすることは思いもよらないだろうし、気がついても不適合にしたらオマンマの食い上げになるから指摘しないように気を回すだろう。だから内部監査で不適合が出されるのは、監査員が被監査部門と独立していない場合とか、監査していない部門があるときなどに限定され、監査のレベルが低いからという指摘を私は過去20年みたことがない。結果として現在の惨状があるのだろう。

よくそんなことが言えると思われるかもしれない。実は、私は自分が所属している組織以外についても、ある事情によって何年にも渡り内部環境監査の記録を読むことができた。そこで見たのはもうどうしようもない監査報告書であり、たぶん実際の監査もレベルが低いというかオママゴトだろうと思われる状況であった。拝見した会社には、社内にCEAR登録の主任審査員や審査員(補でない)を有している企業も多かったのだが、そういった有資格者の方々が内部監査をしても、ろくな内部監査報告書を書いていない。
お断り
私は実際の内部監査に立ち会ってはいないので、現実にどのような内部監査をしているかは見てはいない。だがすばらしい監査をしている人が、端にも棒にもかからない、ろくでもない監査報告書を書くということはあまりないだろう。たぶん報告書に見合った監査をしているのだろうと私は思う。

そこで思い当たるのは、内部監査をする人の知識・知能がないというのではなく、企業の目的とか価値観を理解していないのではないかということであった。
内部監査をしている人は、経験豊かなベテラン社員だとか、役職者だとか、CEARに審査員登録しているとか、その他私の説を否定するような主張はいろいろあるだろうが、そんなこととは違う。
会社の存在目的とISO規格を天秤にかけて、プライオリティを認識しているかということがまずある。もし、定款や会社規則を無視して、「ISO規格にあるから○○である」という考えなら、即アウトである。そのようなお考えであれば会社にとって貢献する内部監査はできないだろう。
ところで不思議なことだが、日常、営業や製造の業務においてまっとうなお仕事をされ、立派な成果を出している方が、ISOの内部監査となった瞬間に、監査する側であってもされる側であっても、ISO至上主義になってしまうことが多いのである。ISOはまるで魔法の言葉のようだ。ISOの呪文を聞くと裸の王様を見て、自分が悪人だと思うようになる。

ISO規格で「○○を実施すること」とあるとき、「○○をしなくちゃならない」と考えるのはどうしてなのだろうか? そして「○○をしていないとだめだ」と考えるのはなぜだろうか?
○○がなんであれ、「私は○○なんぞしないぞ」とは思わないが(半分は思っているのだが)、当社で過去からしていることで、○○に該当するものはなにがあるだろうと考える。だって普通の会社はISO9001やISO14001あるいはその他のISO規格に書いてあることはしているはずだよね?
具体的に言えば、ISO14001規格ができる前から、環境側面の特定とか著しい環境側面の決定という言葉を使っている会社は存在しなかっただろう。だけど、それをしていた会社は多かったはずだ。いや、法を守っている会社はすべて、言葉は異なっても、その行為、決定を行っていたはずだ。
ご存じない?
あなたの会社だって過去よりしていたはずですよ。もし、していないと言うならば法違反の可能性が高い。新規設備を導入するときは該当する法規制や届けを確認するだろうし、新しい化学物質を使用するときも法規制や必要な資格者や管理方法を調べたりしていたはずだ。それこそが、「新規の若しくは変更された活動、製品及びサービスも考慮に入れる(4.3.1a)」である。そして、新しい活動、新しい製品、新しいサービスを始めるときに、常に該当する法規制、資格者、安全や衛生を考えて行えば、それは環境側面と特定し、著しい環境側面を決定することと同値になるはずだ。
あるとき一斉にヨーイドンで環境側面を特定し、著しい環境側面を決定するという発想はどう考えてもおかしい。
そんなふうにISO規格を読めば、私たちが会社で日常している仕事が即ISO規格を満たしていることをご理解いただけるだろう。
そういう発想というか考え方であれば、内部監査とは当たり前の仕事を当たり前にしているかを確認することであり、手抜きやショートカットをしていないかということを確認することである。

内部監査の質向上を図るなら、チェックリストを見直すとか、外部の監査員研修を受講させようとか、監査員の認定制度を作ろうということは、まったく意味がない。
そんなことでなく、会社のルール、文化を徹底的に教える、あるいはそういう理解をしている人に、その文化が適正かどうかを判定させた方が良いだろう。もちろん頭の中でその文化が良い悪いと想像しても意味がない。各職場の現場に出向いて、仕事の流れ、決定、滞留、ルールの遵守状況、ルールが適正かを自分の目で見てくるのである。それで十分な監査ができるだろう。
もちろん、漠然としてではなく、最近の法改正をキーにして調査しても良いし、最近起きた問題をトレースして監査を行っても良い。
    監査報告書に記載することとして
  1. エグゼグティブサマリー
  2. 監査目的に対応して調査結果のまとめ
  3. 前回の監査結果のフォロー
  4. 法改正を含めた社内外の状況変化への対応
  5. 遵法と社内ルールの遵守状況
  6. パフォーマンス状況
  7. 依頼者への提言
などがあれば一応のレベルであると言えるだろう。


あっという間にぶらっくたいがぁ様からお便りを頂きました(2012.04.22)
組織の内部監査の報告書についてはまったく仰せの通りで、コメントする隙間もございません。ただ、認証機関の審査報告書についてはいかがでしょう。
あれは、審査員が判定委員会など認証機関内部に向けて書くものであって、クライアントである組織に向けてのものではありません。お情けでそのコピーをいただけるだけのことです。「依頼者」は認証機関自身であって組織ではない以上、組織の審査目的に沿ったことが記述されていなくてもおかしいと文句は言えません。
まあ、カネを払って審査させて、その成果物が組織にとって意味のないものであれば、カネ返せというのも道理ですが。

たいがぁ様 毎度ありがとうございます。
おっしゃるとおりですが、疑問が一つあります。
現在、ISO認証業界は審査の依頼者は組織であるという見解をしております。よって審査報告書は依頼者にだすということになり、依頼者は依頼者にとって価値のある報告書を求めます。
判定委員会用にそれなりの報告書を作るなら、それは先方の勝手です。

もちろん、同意です。
ISO17021には「審査報告書の所有権は,認証機関が維持しなければならない。」(9.1.10.1)とありますが、依頼者(組織)の意向に沿った審査を行うのであれば、成果物の所有権は依頼者に帰属するのが当たり前です。そうなっていないところが、ペラペラの、あるいは組織の意向がまったく反映されていない報告書が横行している要因であるように思います。

たいがぁ様
ISO17021では報告書の所有権についてダラダラ書いてますが、その内容が誰にとって役に立つべきかについては書いてありません。
そもそもそんなことを考えていないのかもしれませんね。


うそ800の目次にもどる