私が監査ではチェックリストなど重要ではない、もっと重要なものを忘れるなと書いたことがある。振り返ってみると、なんと10年も前のことだった。
あのときは監査を向上させるにはチェックリストの見直しではなく、監査計画の見直しが必要だと書いた。
だが最近、某認証機関のウェブサイトに「内部監査の更なる充実に向けて」というセミナーの広告があった。内容としてチェックリストの改善、監査の見方、報告書の記述例などが並んでいた。
この認証機関はチェックリストを改善し、監査の見方（切り口）、報告書の記述を見直せば内部監査が良くなると考えているようだ。
ほんとうだろうか？
私はまったくの間違いだと思う。
既に10年前に書いているのだが、関連する規格も改定され、諸般の状況も変わっているから同じことをまた書く。
結論を先に言えば、内部監査を良くするのは監査計画である。チェックリストではない。
ではどうすればよいのか説明する。

人は見たことがないこと、聞いたことがないことは知らない。聞いたことのないもの、見たことがないものを一人で考え出すのは天才だけだ。だからあるものごとについて知りたい、勉強したいとなれば、関係する参考書・解説書を読むこと、あるいは師について習うことが必要だ。
私はISO9001に出会う前から、客先の品質監査は何度も受けていた。相手が品質保証協定を要求し、こちらが仕事を取りたいならそれに飲むしかない。そして相手はこちらがその約束を守っているかを確認する。最初は取引前に、以降は立会検査に来るたびに品質保証要求事項を守っているか証拠で確認された。
当然、要求には内部品質監査もあり、我々品質保証部門がするわけだが、私の代になってからはバカバカしいから、各職制の課長を全部集めて一挙に証拠の存在の確認をした。ちょっと目には大幅手抜き、バーチャル監査と思えるかもしれないが、証拠の存在と中身の確認はしっかりしたし是正もしているから逆合同監査とでもいえばいいのだろうか。

合同監査とは：

ISO19011：2018 では「合同監査」を「複数の監査する組織が一つの被監査者を監査すること」と定義している。
監査者が複数の被監査組織を同時に行う監査は、ISOでは定義されていない。ありえないからだろうか？

そもそも監査とは何か？
監査とはISOが新しく作ったものではない。そういえば以前から会計監査がありましたねなんて言ってはいけない。もっともっと長い歴史がある。監査とはどうして生まれたのか、どのように行われてきたのか、時と共にどのように変わって来たのか、そういうことを知らないと、品質監査はこうあるべきだ！ とか環境監査とは○○である！ なんて言ってはダメヨ、

私は品質監査の本も環境監査の本も腐るほど読んだが、いずれもISO対応というかISO対策に特化していて、まっとうな品質監査とか環境監査の参考になるものを見たことがない。むしろ業務監査とか会計監査の本を読んで、その中の心構えとか基本計画などが役に立ったと感じている。そして自分が考えて、カットアンドトライで20年間してきた。
かって読んだ数多の品質監査や環境監査そして監査一般の参考書の評論をここに載せてある。

簡単に監査を説明する。
監査人は英語のauditor、監査はauditの翻訳語である。Auditは通常「会計監査」と解されているが、会計が重点になったのは15世紀以後のこと。元々「audit」は「聴く」という意味であり、Auditorは聞く人の意味だった。もちろん現在でも一般語として「聞き手」という意味もある。

• dictionary.com
  1. a person appointed and authorized to examine accounts and accounting records, compare the charges with the vouchers, verify balance sheet and income items, and state the result.
  2. a university student registered for a course without credit and without obligation to do work assigned to the class.
  3. a hearer; listener.
• LONGMAN English dictionary
  someone whose job is to officially examine a company's financial records

オウデットが単なる「聞く」ではなく、「監査」という意味になったのは長い歴史がある。
紀元前6世紀頃の古代ペルシャで、王が民衆や官僚たちの行動を監視する「王の耳」の役目を設けた。
専制国家では為政者の命・権力を守るために秘密警察が必要になるのは、大昔も北朝鮮も同じだ。時代や国が違っても、その言葉も機能も受け継がれた。

15世紀以降ヴェネツィアなどで経済発展により、投資家と経営者が分離したことにより、投資家が経営者の運用を監視するために置いた人をauditorと呼んだ
　cf.「A Brief History of Auditing」

これ以降 auditとauditorはお金に特化した「耳」に使われたが、現代では品質、環境、情報その他業務全般についての「耳」となり、古代ペルシャ時代に戻ったようだ。
現代では「耳」も三様監査といわれ、内部監査、監査役監査、監査員監査のみっつがある。

三様監査 名称 実施者 被監査者 公認会計士監査 公認会計士 監査役 監査役監査 会社法上の監査役（または監査委員会） 取締役 内部監査人監査 企業の内部監査人（経営者の下の監査部） 従業員 注：会社の仕組みや選択によって、三つの監査をしない場合もある。 あなたが行っている、ISO9001、ISO14001あるいは労働安全などの内部監査はこのどこに位置するのかご理解されているのだろうか？ 分からないというなら、次回監査の前に勉強しなければならない。 もしISOの内部監査は三様監査とは無関係だというなら、そりゃ問題だ

日本にも同様な職務は古くからあったが、「耳」でなく「目」に例えられ「目付」と呼ばれた。
なお、草・忍び・すっぱというものは、内部の監視ではなく、外部の情報収集であるから監査とは意味が違う。
目付にもいろいろあって、戦（いくさ）の際に軍紀違反、命令違反などを監視する軍目付（軍監）とか、旗本・御家人の監視をするなどいろいろである。重要な従事する者に付いていって役目を見届ける者も目付と呼んだ。幕末期、外国との交渉の場に目付が陪席したのをスパイだと問題になったという話もある（小栗忠順など）。
ときと場合によって目付に就く役どころが家老クラスから下級藩士とさまざまだったが、いずれも藩主や年寄など、より上位の者から依頼を受けてその目として働いた。

監視と聞くと悪いイメージを持たれるかもしれない。そうではない。監視もモニターの翻訳であり、語義は「to carefully watch and check a situation in order to see how it changes over a period of time」つまり「注意深く変化を観察する」という意味しかない。秘密警察が人民を監視するのもモニターだし、大岡越前が目安箱を置くのもモニターである。
いかなる機械でも仕組みでも、オープンループ制御とフィードバックのかかったクローズドループ制御を比較すれば、クローズドループ制御の方が安定し精度が高いのが分かるだろう。
だからこそ行政でも民間でも監査とか内部統制という仕組みを持つ。そして古代ペルシャよりも優れているのは、国でも会社でも権力者が監視するだけでなく、権力者を監視する仕組みを備えたことである。

監査人が必要とする能力は何か？ ISO17021では力量（コンピタンス）とあり、それは「知識及び技能を適用するための実証された能力」である。なんか私にはトートロジーのように思える。
それはともかく私は大事だと考えるものは、監査人の能力ではなく監査システムの能力ではないか。いや私が言うまでもなくISO17021で認証活動に関与する要員の力量を確実にせよとある。「確実にする」のは何かとなればもちろん要員の力量なのだが、そのためには組織の監査システムを確実にしなければならない。

では現実はどうかと言うと・・・
JABは2007年 4月13日に発信した「マネジメントシステムに係る認証審査のあり方」で、項番順審査でなくプロセスアプローチ的審査を行うことを求めている。つまり規格要求事項からたどっていくのではなく、プロセス全体をみて各要求事項が織り込まれているのか、順守されているのかを見るべきと語っている。
あれから10年、2010年代末になっても項番順審査がメインであるのが現実だ。それは審査員研修機関が怠慢なのか、認証機関が審査員の能力向上を図っていないのか、審査員登録機関が節穴なのか、審査員に向上心がないのか、いずれか分からないが、審査員登録システムが機能していないのは間違いない。
審査員なおもて往生をとぐ、いわんや内部監査員をや…そんなこと言ってはいけない。
審査員に期待できないなら内部監査員は理想を実現したい。そのためには研鑽・修業あるのみである。

まずは最初というか最低でもISO19011を読まなければならない。実はこれ2002年版が、図表なども豊富で一番充実していると考えている。ところがこれも改定されて最新版は2018年版（JISは2019年）となってページ数は増えたけど、改定するたびに内容は劣化、悪化してきたような気がする。ムーアの法則とは逆のISOの法則というのがあるようで、ISOMS規格は改定されるたびに劣化している。ISO9001もISO14001も、改定されて良くなったものが思い当たらない。まあ良くなったというのをひとつだけ挙げれば、ISO14001：2015の付属書AのA.2だけだ。知らなかったら読んでください。
劣化したとはいえMS監査を規定しているのはこれしかないから、とにかくISO19011：2018を一読することは必須だ。

ISO19011規格は50ページくらいあるが、実質的には30ページだ。読めば分かるが、監査で大事なことは計画であるということだ。もっともこれは初代ISO9001：1987から一貫して変わっていない。PDCA（プラン・ドゥ・チェック・アクト）というけれど、規格にはPしかないということをご確認願いたい。要求事項はすべて計画、基準をつくることであり、実行されるのは当たり前という前提である。
運用も書いているぞと仰る方、共通テキストを知ってるかい？

1. 適用範囲
2. 引用規格
3. 組織の状況
4. リーダーシップ
5. 計画
6. 支援
7. 運用
8. 一般
9. 改善

である。

8番目に「運用」があるじゃないかという前に、8章に書いてあることを見てほしい。そこにあるのは「運用」じゃなくて「運用の計画」です。これはISO9001の1987年版もISO14001の1996年版もみな同じ。
要するにISOMS規格は、「命令したらその通り実行するに決まっている」という発想で作られている。もちろん監視及び測定も内部監査もしてフィードバックをしています。しかし良い計画を立てなければ運用が良いはずがないという発想です。
日本流では親方がアホでも現場が頑張ってということが普通でしょうけど、ISOとは親方がアホなら絶対にダメなのです。
ISO規格はPDCAで構成されているといいますが、事実はPCAなのです。Dが重要ではないのではなく、Dをしっかり行うのはPであるという発想でしょう。

ちなみに：

PDCAはプラン・ドゥ・チェック・アクトと言わなければ間違いである。動詞なら全部 動詞原形で並べなければならない。
ISOTC委員でさえ、ときどきというか多くの場合プラン・ドゥ・チェック・アクションというのでニヤニヤする。

ISO17021では監査の原則を語り、監査プログラムを作れと語る。監査プログラムとは監査の計画であり設計図である。それだけで規格の半分を使っている。
では多くの審査員が、監査の骨だ、改善しろと語っている監査チェックリストはいかほど重要なのか？
実は監査の指針であるISO19011の規格本文ではたったの 1回 しか出てこないのだ。
付属書の中には4回出てくるが、これは参考資料に過ぎない。
ではその唯一の登場はどこか？

6.3.4 監査のための文書化した情報の作成：

監査チームメンバーは、監査の割り当てに関連する情報を収集及びレビューし、並びに適切な媒体を用いて、その監査のための文書化した情報を作成することが望ましい。監査のための文書化した情報には、次の事項を含み得るが、これらに限らない。
a) チェックリスト。これには物理的又は電子的なものがある。
b) 以下略

たったこれだけだ。
しっかりとチェックリストは監査の必要条件でもなく、十分条件でもないと記述されている。監査に必要なものでないチェックリストを改善すると監査が良くなるというのはおかしい。論理的に言えば「偽」である。
ちなみにISO審査の際にチェックリストが必須なのかどうか？ ご存じでしょうか？
JABは過去にISO審査においてチェックリストは必須ではないという通知を出しています。
知らなかったなら覚えておきましょう。

みなさん！ チェックリストを見直し改善すれば、監査が良くなるというのは嘘だったのです。内部監査を向上させるためにチェックリストを見直しましょう、チェックリストを改善すれば内部監査が良くなります、内部監査をよくするチェックリストの作り方を教えます……そういうことを語っている人はみな嘘つきです。

そんなバカな！ と語る審査員や認証機関がいたら……いないとは思いますけど……彼らは力量不足です。 そもそもマネジメントシステムというのは個人の技量や不文律で運営している組織は、伝承や改善の定着などに問題が起きやすい。それを防ぐには手順や基準を明文化し、それを共有する仕組みをつくらなければならないという発想からISO規格が作られました。
エッ、本当！ 知らなかった！ そんなこと言われると困ります。

ISOMS規格の始祖であるISO9000:1987に次のような文章があります。

ISO9000:1987　0 序文：

組織のシステムに不具合があれば、その仕様書は、顧客の要求を一貫して満たすことの補償となりえない。したがって、仕様書に盛り込まれた適切な製品又はサービスの要求事項を完全なものにする品質システム規格及び指針の開発が必要となる。
　注：ISO9001ではない、ISO9000だよ。

何を言っているんだって？
そんなこと言わないでくださいよ。今は監査を良くする方法を話しているんじゃないですか、
製品やサービスの要求事項を完全にするには、品質システムが必要というなら、「監査を良くする」ためには「監査の仕組み（システム）を改善しなければならない」という下の句が続かなければおかしいでしょう。「監査を良くするため」を考えて「チェックリストを見直そう」という結論なら、あなた！ あなたはISO的発想ができない人です。もちろん「良いチェックリストがあれば良い監査ができます」という審査員がいたら……たくさんいますけどね……その人は論理的ではありません。「良い監査をするためのチェックリストの作り方を教えます」という講習会があれば……ネットにはたくさん見つかります……そんな講習会は詐欺です。
「良い監査をするために良い監査システムを教えます」この世界で20年以上生きてきて、いまだそんなセミナーの広告を見たことがありません。

何度も繰り返しますが、チェックリストを見直しても監査は良くなりません。これを理解していないなら、絶対に監査は良くなりません。
そんなアホなことをしているから、ISO認証して10年も経っても少しも監査のレベルアップが図れず、バカバカしいと思いつつバカバカしいことを繰り返しているのは御社ではありませんか。

本日の話を聞いて、じゃあお前はどうすればいいのか？と問われるでしょう。
次回、書きましょう。いつになるかわかりませんけど…


　本日の疲れ
ISO19011が2018年に改定された。対訳本が欲しいとアマゾンを見たら値段がなんと7,344円もする。ポケットサイズの300ページの本がだよ、
暴利だあ！
とても定年退職者には買えない。それで日本産業標準調査会のウェブサイトにアップされているものをプリントした。英語版がないが、ない袖は振れぬ。


うそ800の目次にもどる