第16回で話したように、監査の方法には大きく分けて、項番順とプロセスアプローチがあるといわれている。項番順とは規格項番を切り口にして、その項番の要求事項について確認していく方法である。そしてプロセスアプローチとは、現場や文書を眺めて、規格要求事項が組織内に展開され実行/遵守されているかを確認する方法である。
では自由に項番順とプロセスアプローチを選べるのかというと、そうではない。監査の目的によってアプローチも変われば監査基準も変わる。今回は内部監査について語る。
まずは監査と審査の違いから始める。

審査と監査は何が違うのかなんてことは、こんなニッチなウェブサイトをお読みになっている方々はご存じのはず。でも一応おさらいをする。

上記のように、「審査とは認証審査の略だ」とあるが、認証審査の定義は「認証審査とは……する審査」となっていて、自分の尻尾を追っているように再帰的で「審査」が何かはわからない。
ISO9000：2015にも「審査」の定義がない。どなたかご存じの方教えてください 😌
もっとも第三者監査を審査と表記するのは日本独自だ。英語では監査も審査もauditである。上記の矛盾はISO規格の問題ではなく、JIS規格への翻訳の問題である。
ともかく日本において「監査」とは、組織内部が行う第一者監査、及び顧客とか上位組織（本社/親会社）などの外部組織が行う第二者監査を合わせていい、「審査」とは認証機関が行う第三者監査をいう。

第一者監査、第二者監査及び審査の優先順位とかどれが上位かなんてことはなく、すべて同等だ。裁判では一審判決を二審で覆すことはありうるが、第一者監査で不適合であっても第二者監査or審査で適合であることもあり、ISO審査で指摘されなかったから内部監査の判断は間違いであるとはならない。
内部監査の不適合は内部監査の監査基準に不適合であったことであり、第二者監査or審査で適合であったのは、二者監査or審査の監査基準に該当しなかっただけだ。もちろん、二者監査や審査における見逃しか、内部監査の誤判断かもしれない。
ともかく監査や審査における監査基準（OK/NGの判定基準）は、ときと場合によって異なる。

審査つまり認証機関による第三者審査の目的は、審査を受ける範囲のマネジメントシステムが審査基準となるマネジメントシステム規格に適合しているか否かの判定である。それ以外は審査の対象外である。
あるマネジメントシステムの審査を受けていて、要求事項以外の不具合（不適合ではない）が発見されても、不適合とする根拠はない。（ISO17021-1参照）
昨今、企業が虚偽の説明をするという主張から、審査しているマネジメントシステムの要求事項以外でも不適合を出す、あるいは認証を停止/取消するという考えや主張があるが、私はそのようなロジックは間違いと考える。仮に法的な問題とか事故発生の恐れがあるなどの場合でも、監査の不適合とは違うだろう。
実際にそういう処置をとった事例もあるようだが、それに対して企業側が民事訴訟を起こした場合、どうなるのか興味がある。
もしそれが妥当とするなら、審査を受けた後、違法や事故が発生したときは、審査でそれを発見しなかったことについて損害賠償できるという論理にならないか？
法的な損害賠償はともかく、審査で見逃したのだから審査の力量不足という契約不履行を問題とすることは十分可能だろう。

第二者監査の場合、目的は実施の根拠によって決定される。
まず顧客による場合なら、品質保証協定書とかグリーン調達基準書あるいは取引契約書ということになる。いずれにしても契約書であるから遵守する義務があり、逸脱すれば契約解除、損害賠償とかそういうことになる。

注： 注：契約とは契約書とタイトルされたものばかりではない。二者以上の合意に基づく約束は契約である。必ずしも文書でなく、メールやFAXなどでも良い。口頭であっても契約は成り立つが、証拠にはならないだろう。

顧客の監査において、監査を受ける組織が監査基準以外の不具合を発見することもある。例えば調達先がブラック企業など社会的に糾弾される問題があったとき、取引している（監査している）企業も社会から問題視される恐れはある(注1)。だからといって第二者監査の監査基準になければ、監査の不適合にすることはできない。
その場合は監査において不適合とするのではなく、別のルートで改善要請を行わなければならない。監査の最終ミーティングでそれを監査外の問題とすることも可能かもしれない。

親会社あるいは本社が、子会社あるいは工場に対して行う第二者監査の場合は、実施前に実施する根拠と監査基準は伝えられなければならない。あるいは定常的に行う形式であれば、根拠としてなんらかの契約やルールとして定められているはずだ。
実施根拠あるいは監査基準が明示されていないなら、監査を受ける義務はない。もちろんそれは調達先の監査についても同じではある。

ともかく第二者監査や審査では監査基準に照らして適合か不適合かを厳密に行うことが必須というか、それが目的でありルールである。

注： ISOの監査しか知らない人は結構いて、品質監査なら監査基準はISO9001であるとか、調査するのはシステムでありパフォーマンスを見るのは間違いと思い込んでいる人がいる。
監査とは依頼者の代理として実情調査を行うことであり、依頼者から示された監査基準で行わなければならない。

もうひとつ注意することがある。それは今回の対象である第一者監査において特に重要だ。
品質監査の開祖 L. Marvin Johnsonは「Rightness means nothing ,only difference.」つまり「（監査とは）正しいかではなく、違いである」と語ったそうだ。これは第二者監査や審査においては真理である。ということは第一者監査においては真理ではないというだ。

監査や審査は、それぞれ依頼者が異なるだけでなく目的が違う。
審査つまり認証機関による第三者審査の目的は、監査/審査を受ける組織が審査基準に適合しているか否かの判定である。もちろん範囲外は審査の対象外である。

第一者監査の目的はなんだろう？
ISO認証の維持でアップアップしている組織なら、ISO審査を受けるために必要だから行うのだろう。内部監査（第一者監査）をしていないと審査を受けられないし、受けても不適合になる。悲しいことだがISO認証している組織の過半数はこのレベルではないだろうか。中には内部監査を己ができず、外部のコンサルとか認証維持会社に頼むところもある。
本来の第一者監査は、規則の順守状況、計画の進捗、設備投資、事業の変革、人事異動の状況把握、前回の監査結果のフォロー、不具合や改善テーマの発掘が目的になる。それはもちろん経営判断にフィードバックされるわけで、それこそが内部監査の目的である。

ところでISOMS規格は、ISO認証のための内部監査を要求しているのだろうか？
ISOに関わりのない人に内部監査とはなにか聞けば、9割の人は会計監査のことだと思うだろう。以前、監査の始まりについて書いた。
かいつまんで言えば、15世紀レコンキスタやルネサンスが起き新大陸発見などにより、現在イタリアと呼ばれる地が経済発展して、経営者と資本家が分離した。それにより資本家は経営者の執行を監視する必要が起き、それを古くからの言葉で聞く人（auditor）と呼んだ。
日本では監視する人を「目付」と呼んだが、古代ペルシアでは「王様の耳」と呼んだ。

当初、内部監査の対象は出納に限定されていたが、その後、法規制の複雑化、企業の社会的責任増加により、品質、輸出管理、環境、情報、ハラスメントなど多面的になってきた。会計以外の監査を業務監査と呼ぶこともある。
業務監査は、品質、環境、輸出管理などに分けて行われることもあるし、それぞれの専門家をそろえて一度に行う会社もある。いずれにしても多くの場合それらの項目の監査には会計以外の専門家が必要となる。

ISOのための内部監査といっても、ISOという特別な分野があるわけではなく、ISOの要求事項はすべて業務監査の対象範囲である。業務監査をしっかりと行えば、わざわざISOのための内部監査を行う必要はない。
しかしISO9001対応の品質監査というように、認証を受けているマネジメントシステム対応の内部環境監査を行っている組織が大多数を占めているのが事実である。
なぜISOのための内部監査を行うのだろう？

一番の理由は審査でもめないためだ。多くのISO審査員は監査の計画も実施も結果も、規格要求事項と1対1の関係にないと理解できない。本来の業務監査においてISO規格要求事項を網羅していてもそれ以外の監査項目の中に埋没していると、ISOの要求事項を点検しているか否か判断できない。例えば現在では遵法監査/遵法点検と称して業務に関わる法規制の遵守状況を定期的に点検するのが一般的である。しかしそこには会社法から商法、労働安全衛生法、労働基準法、消防法、公害関連法など数多の法律が含まれている。だがISO14001審査では環境に関するものだけが抽出されていないと「順守評価をしたことが確認できない」と報告書に書く審査員は珍しくない。そういった実体験をフェイク込みで書いたこともある。
要するに実情を見て、そこからISO規格要求を満たしているか否かを調査することができない。項番順監査とプロセスアプローチという二つの方法は現場だけでなく、書面においても歴然と存在するのだ。
このため審査での説明がめんどくさいとか不適合になりたくないため、ISO規格要求対応で監査を行うところも多いし、業務監査結果からISO関係を抜き出して審査用の監査報告書を作っているところもある。時間の無駄としか言いようがない。

二番目の理由は、やはり審査でもめないためだが、別の理由だ。ISO14001の審査であまり赤裸々なものを見せると審査員がいい顔をしない。というか判断に困ってしまう。問題といっても法違反とか事故ではない。技術的に解明されていないとか、コスト的に不良率を妥協しているようなケースは多々ある。そのような現実を見せて説明するより、その問題を見せないほうが手間が省ける。
なので、本当の内部監査では不具合をしっかりと記載するが、ISO用としてはそういうものを除いて、どうでもいいことをさも大変だと内部監査で不適合として、それを是正しておくのがお約束である。内部監査で不適合が全くないのもISO審査で問題になるのでその予防処置である。

三番目としては会社側というかISO事務局が、内部監査というものを理解していないことに起因する。ISO規格で「監査を実施する」と書いてあると、ISOのために監査を実施しなければならないと考えてしまうためだ。
もっともこれは内部監査だけではなく要求事項全般に言える。「適切な教育・訓練又は経験に基づいて、力量を備えていることを確実にする」とあればISOのために業務に必要な力量を決め、教育訓練のニーズを決め、教育訓練をし、「組織はコミュニケーションプロセスを確立しなければならない」とあればISOのためのコミュニケーションシステムを作り、「環境マネジメントシステムの有効性のために必要する文書化をする」とあれば必死にISOのための手順書を制定しているのが現実である。

注： 「手順書」とは法令で会社の内部文書を意味する範疇語である。組織によって、規定、規程、会社規則などの名称とされていることが多い。
ときたま手順書という名の手順書があるが、私はどっかのマニュアルひな型をまねしたのだろう生暖かく見ている。

ちょっと待て！
すべての業務において必要な力量なんて、ISOなんてものが現れる前からわかていたのではないか、そしてそれを満たすように管理者は部下を指導育成していたはずだ。
コミュニケーションプロセスがない会社があるのか？ なのにISO14001のためにコミュニケーションプロセスを作り、ISO27001のコミュニケーションプロセスを作り……
ISO認証のために文書を作るなんて、御社はISO認証のために存在しているのですか？

私の言いたいことは、多くの会社は業務監査を拡大しつつあり、ISOMS規格要求を包含するようになってきたこと。だからわざわざISOのための内部監査、ISO規格対応の内部監査を行う必要はなくなってきたということ。
もちろん現行の業務監査がISOMS規格要求をすべて点検しているのかという疑問を持たれるだろう。
これへの回答は過去何度も書いている。物語風に書いたものもあります。
該当箇所を引用する。
「内部監査は業務監査を当てております。監査部の者はISO規格を知りませんが、ISO規格を環境マニュアルが満たしていて、環境マニュアルを社内規則が裏付けていて、監査部の担当者が法規制と社内規則に通じていれば、その監査はISOの求める内部監査を包含することは論理学の三段論法です(注2)」

業務監査において点検することは手順書すべてにわたって行われる。故に環境マネジメントシステムについても、品質マネジメントシステムについても、全要求事項点検していることになる。もちろん抜き取りであるが、それは元々監査とはそういうものだ。
もしこのロジックを理解できないならISO審査員を辞めてもらうしかない。力量以前に論理的思考ができないとみなすしかない。

本日は内部監査の入口で終わる。
内部監査を進めるうえでの考え方については（その２）で書く。

　本日の反省
内部監査の心構え的なことを書こうかと思って始まったが、過去のトラブルを思い出し脇道にそれたり解説をしたりして6000字を超えてしまった。
行き当たりばったりなのは10年前と変わらない。進歩のない男だ。

注1		そのような危険は過去に大問題になったナイキだけでなく、今現在、多くの有名ブランドも危ない橋を渡っているようだ。 ・ディオールの豪華なドレスはインドの「奴隷職人」の手で作られる ・インドの「奴隷職人」を低賃金で数千時間こき使う欧米ハイブランドの闇
注2		三段論法は高校で習うが、それを使うことは難しいようだ 😁