ここに書いている文は書き始める前に概要を決め下書きしているわけではなく、足の向くまま気の向くままに、ひたすらキーボードを打つだけだからとりとめがない。更に言えば査読どころか推敲することもなく、せいぜい筋が通っているか眺める程度。
そんなことで、最初思ったことが言い尽くせるか、初めの想定とかけ離れるかどうか定かでない。とまあ皆さんのご容赦を願うばかり、

ともあれ今回は内部監査の方法について書く。
前回、第二者監査や審査における審査基準について説明した。そしてそういった監査においてはLMJの語る「Rightness means nothing ,only difference.」つまり「（監査とは）正しいかではなく、違いである」は真理であるとも書いた。それは同時に内部監査においては真理でないということだ。ま、何事も単純ではなくそれも正確ではないのだが……

業務監査の目的は、会社が法規制を遵守し会社のルールを守っているかの点検である。当然その監査基準は法規制と会社のルールとなる。このときの会社のルールとは文書化された手順書だけでなく、年度の経営者の挨拶や方針、過去からの方針などを包含したものになる。不文律は構成員に認識されているものに限定されるだろう。
それに昨今の巷の不祥事が当社でも起きないかということが加味されることもある。とはいえ、そういうことについての決まりや手順は、本来は会社の規則に決めてあるはずであり、だからそういったことを重点的にあるいはより注意して点検するということになる。もし定めてなければ手順不足である。

業務監査の対象範囲は、会社業務すべてにわたる。つまりお金、そして業務全般、例えば開発、設計、製造、営業などなどすべてだ。しかしそれらをすべて監査できるオールマイティがいるわけはない。それでお金はお金に詳しい人が、品質なら広義の品質管理に明るい人がしなければならないし、ほかの業務だって同じだ。そして通常は業務監査の報告はひとつに取りまとめられて経営層に報告されるわけで、環境監査や輸出管理など個々の報告書になるわけではない。
だから内部監査が細分化されていても、ひとつの目的のために分業しているだけであって、ISO9001などのISOMS規格のように、対象範囲が限定されているわけではない。
ISO9001の審査においてサービス残業を見つけたとき、それは不適合にならないししてはならない。だって審査基準にないから。
しかし品質の内部監査において環境の監査担当者がサービス残業を見つけたら、環境ではなく労働法の問題だと無視するのでなく、不適合とすることはおかしくない。いや不適合にしなければならない。なぜなら内部監査/業務監査の監査基準は、法規制と会社規則（明文・不文を含めて）であるのだから。
もちろん専門分野を担当しているわけだから、環境担当の監査員は経理に疎いかもしれず、輸出管理担当の監査員は安全に疎いかもしれない。だが法規制と会社規則を基準として指摘することは、己の職責を逸脱することにはならない。そして見逃した場合は、そのカテゴリーの担当者による見逃しより罪一等減じることになるかもしれないが、不作為責任は問われるだろう。

実際に自慢にならないが、私は環境監査で廃棄物契約書の収入印紙金額不足を見逃し、監査部の偉い人から戒告を受けたこともある。それ以降、監査をするときは国税庁の印紙税の手引きを携帯していた。
もちろんそれは当たり前だ。実は私はそれ以前に何度も全国紙で、税務署の監査や立ち入りで廃棄物契約書の収入印紙金額不足で指摘されたという報道を見ている。もちろん社名が公表されている。全国紙でそのような報道されることは極めて大きな問題（恥）であり、摘発された会社ではそれなりの処分が行われたはずだ。私は環境監査ですから廃棄物契約書の点検は、廃棄物処理法の定めに関することだけですなんて言えるわけがない。
ここまでのことで、ご質問、ご異議ござろうか？

注1： 処分といっても懲戒解雇だけではない。重大性によって懲戒解雇、諭旨解雇、降格、出勤停止、減給、譴責（これより上は始末書を書くらしい）、戒告などランクがある。
懲戒解雇や諭旨解雇ではそれでおしまいだが、出勤停止や減給などあればその後の昇進・昇格においてマイナスが付く。

注2： 環境担当といっても、新聞やテレビ報道に注意して他社の不祥事を眺めておくこと。
他社の不祥事を自社にフィードバックするのはもっとも効率の良い予防処置である。

まあ、内部監査とはそういうものだという認識を持とう。それだけ重要で責任があると考えればやりがいがあるというものだ。ミスをしても叱られないなら、意味のない仕事をしているということ。
「私はISO14001の担当です。環境の内部監査はISO14001規格のshallが社内文書に展開されているか、それが実施されているかの確認です」なんて認識では、監査どころか会社員が務まるわけがない。それで良しとしている会社なら、ISO担当部署は無能者の姥捨て山なのだろう。リストラがあれば真っ先に……

さて、そのような前提で行う内部監査であれば、LMJが言う「Rightness means nothing ,only difference.」という命題は真ではない。「Compliance is everything」遵法がすべてなのだ。「点検した範囲に関わる法規制はすべて遵守されているか」でなければならない。
「御社に関わる法規制はたくさんあるでしょうけど環境法規制はどれですか？」なんてフレーズをISO14001審査でよく聞くけど、あれはISO審査だから通用する。会社においては環境が最重要ではない。環境は重要であるが、インサイダー取引も問題だし、労働安全衛生法も労働基準法も下請法も電安法も、なにもこれもすべて重要なのである。
よくすべてが重要だというのはすべてが重要でないのと同じだなんて語る人がいる。それは言葉の遊びに過ぎない。すべてが重要、絶対厳守というのは世の常。運転しているとき、スピード違反しないことも重要だが、信号無視もしてはいけないのと同じことだ。

どうでもいい話だが、ISO審査員から「この法律は環境に関わるのですか？ 関わらないのですか？」と質問されたことがある。その審査員は環境に関わる法律なら違法があってはいけないが、環境に関わらないなら違法でも良いと思ったのか？
ともかく、企業活動に関わる法規制はたくさんあり、すべてを遵守しなければならないことはわかるが、環境法という分け方する必要は感じない。

法律のことを長々書いたが、内部監査においては法規制だけでなく会社規則全般について点検することが義務である。もちろん業務監査の監査員全員で分担してもれなく点検すれば良いわけだ。
廃棄物処理委託契約書のサイン者は会社の決裁権限規定に則っているか、日常の決裁は定められた責任者が行っているのか。作業は指名されたものがしているのか、工事の際は会社で定めた通り近隣への挨拶や苦情聞き取りをしたか、などなど

このような監査であると、チェックリストを作るのは難しそうだ。その前に、項番順というかあらかじめ点検項目を決定し、それを展開したチェックリストが作れるものだろうか？（疑問文ではなく反語である）
私は内部監査に項番順の方法は不向きではないかと考えている。ISO規格は単純・小規模であり、通常の業務監査は複雑で大規模であるといえばよいだろうか。ISO規格対応の内部監査はshallが少なく監査のチェックリストが作りやすいのだ。

そんなことはないとおっしゃるなら、ISO14001の内部監査で遵法を徹底して監査してみろと言いたい。排水、大気、騒音、振動などについてのチェック項目がいかほどあるのかおわかりでしょう。廃棄物処理法の点検項目はいかがですか？ 最近は紙マニフェストなんて使うところは少数派だろうけど、紙マニフェストのチェック項目は20数か所ある。処理工程ごとに矛盾がないかみると結構手間がかかる。
おっと、契約書だって廃棄物処理法で定めることだけでなく、収入印紙もあるし、費用処理とか延滞金とかまで考えると大変だ。マニフェストより契約書の点検項目は多いのは間違いない。
ところであなたの会社の廃棄物処理委託契約書には振込銀行口座とか延滞金などを決めていますか？ いやいやその前に、毎月の締め切り日とか決めているのでしょうか？
私が過去チェックした限り、過半数においてそういう契約書の基本的なことを記載していませんでした。
廃棄物処理法はクリアしても、会社規則でどうなっていますか？ 業者と締め日がどうとかもめたことはないのですか　😃

ではこのように企業活動全般について点検しなければならない内部監査の目的を満たすにはどのような監査方法が良いのか？ とは言ったものの考えるまでもなくプロセスアプローチしかない。
目の前の事象や文書を眺めて不自然なこと異常を見つけたら、己の知識や経験と比較して、その異常が法規制や社内ルールに反しているのか否かを考えるしかないのではないだろうか。

注： 異常とは通常ではないことであり、不良とか不具合という意味ではない。通常よりライン不良が大幅に少ないなら、それは不具合ではないが、異常である。

実際問題として廃棄物処理が適法かどうか確認するにはチェックリストを作り順番に従って点検するなんて監査のときできるわけがない。だからチェックリストは契約書、電子マニフェストとかトリガとなる項目だけ書いておいて、それらの点検は監査員の知識と経験によって点検を進めるという方法しかないのではないだろうか？ まさか電子マニフェストの点検の仕方、点検項目などを羅列しても使いようもないし見る暇もない。

そして担当が環境とか品質と別れていても、この法律は担当外という発想はなく、目に入る範囲において、問題があるかないか、問題が起きないように、という認識しかないだろう。
そして監査基準である法規制と会社のルール基に、大局的な視点で監査を進めることになるだろう。

そういう業務監査がISOの要求する内部監査より広く深いことはいうまでもない。しかしながら業務監査をISO規格適合と考えない審査員が多いこともいうまでもない。
会社側の人たちも、以前からしている業務監査が、ISO規格が求める内部監査に当たると考えている人は少ないだろう。
そういう発想をしないのは不思議である。
ISOTCでさえ理解していないと思われる。というのはISO14001:2004で序文にあった「既存のマネジメントシステムの要素を適応させることも可能である」という文章が2015改定でなくなったこと（ISO9001では元からない）をみれば、ISOMS規格のマネジメントシステムとはまさに砂上の楼閣なのだろう。
バーチャルなマネジメントシステムであるなら、その監査もバーチャルになるのは必然かもしれない。だがバーチャルなマネジメントシステムが役に立つはずはなく、結局ISOMS規格とそれに基づく内部監査はバーチャルになるのが必然なのか？
ならば現実のマネジメントシステムをISO審査で見せて説明することはISOMS規格の狙いではないのかもしれない……最大の侮辱と受け取ってほしいのだが。

現実を見ることができない人がいるのがISO7不思議のひとつである。

　本日の反省
とても終わらないから次回に続く

今回は珍しくカットひとつない！とおっしゃる方へ
ウェブサーバーが満杯でして、ファイルサイズ減らそう、画像を減らそうとあがいております。サーバー増強まではじっと我慢の子