監査の基本というか本質であるが、監査基準（要求事項）と異なること、満たしていないことがあれば、「不適合」となる。当たり前だが「不適合」とは監査基準に適合してないから不適合なのだ。

⭕

❌

もうひとつの基本は、近代の裁判では推定無罪というのが常識だ。推定無罪とは犯人としか思えなくても、有罪を立証できなければ「無罪」であること。無罪とは疑いなく真白なことではなく、黒といえないことでしかない。監査の考え方も同じ。不適合を立証できなければ適合である。適合と証明されたことではない。
その理屈は、悪魔の証明は不可能だからである。悪魔の証明とは「あることは証明できるけど、ないことは証明できない」こと。不適合があるぞ！というのは不適合がひとつあれば断定できる。だけど適合だ！というには、不適合がないことを立証しなければならない。それは不可能だ。

だから審査を受ける側は適合を証明する義務はない。
おっと、そんなことをわざわざ私が言う必要もない。ISO17021-1に書いてある。

	4.4.1	マネジメントシステム規格の実施における意図した結果を一貫して達成し、認証の要求事項に適合することへの責任を持つのは、認証機関ではなく、被認証組織である。
	4.4.2	認証機関は、認証の決定の根拠となる、十分な客観的証拠を評価する責任をもつ。

要するに規格要求事項を満たすのは組織の仕事だよ、でもそれを確認するのは認証機関のお仕事だよということ。だから認証機関は、不適合であることを立証しなければならない。立証できなければ不適合ではないのだ。審査を受ける側は、不適合でないことを証明する必要はないのだ。

だからISO審査では、組織側が規格適合を立証する必要はなく（悪魔の証明だからそもそも不可能）、審査員が提起した不適合候補を論破するだけしかできず、それだけ行えばいい。
ちなみに刑事裁判で犯罪の立証責任は検察にあり、被告人と弁護側は無罪を立証するのではなく、検察があげた証拠を否定するだけだ。検察の論理と証拠がまっとうか否かをジャッジするのはジャッジ（裁判官）である。

裁判も審査も、知的で論理的なゲームである。
ゲームとは遊びという意味ではない。ゲームの定義はいろいろあるが、最大公約数的なものは「プレイヤーが与えられた情報によって意思を決定して、与えられた資源を使い、目標達成を目指すもの」である。ルール違反は許されないのはもちろん、バグを使った裏技とか、形勢不利になるとルールを改定するなど許されない。
では世のISO審査はこのゲームの原則を守っているのだろうか？

注：バグというとプログラムの間違いと思い浮かべるだろうけど、そればかりではない。
昔々、江川事件というのがあった。殺人事件じゃない。プロ野球では有望な新人が特定の球団に集中しないようにドラフト制というのがある。ドラフト会議という抽選会で球団がその後1年間独占交渉権を持つ。ところが独占交渉権はドラフト会議の前々日で消滅するという決まり。その空白はまさにバグ。
そういう制度の欠陥は多々あるだろう。ルールを破っていないからいいのだというのは、ジャイアニズムだろうと思う。ジャイアンツだけに、

現実のISO審査はゲームの要件を満たしていないものが多いようだ。巷のISO審査報告書で、どの監査基準のどの要求事項に合っていないか、そしてなにもののどこが要求事項を満たしていないのかを示しているものが、いかほどあるだろうか？
私の知る限り、1990年代前半から2000年代にかけて、大多数の認証機関は根拠と証拠を示すことなくジャンジャンと不適合を出していた。10年も前になるが、ISO14001の不適合の内容を調べたことがあった。その多くは言いがかりとしか思えないものであった。
但しJ〇△という認証機関は過去より根拠と証拠を示さない不適合を出していない。これは立派だ。ここはISO審査の前からULなどの検査機関とかしていたから、審査の原則を理解していたのだろうか。

おっと、不適合をジャンジャンと出していたというのは既に過去である。ISO17021が制定されたのは2007年（施行は2008年）されたので、どの認証機関も不適合にはしっかりと根拠・証拠を明記するようになるだろうと私は思った。そう思った私が甘いなんて突っ込まないでくださいよ。

現実はそれ以降、ガタッと不適合が減った。なぜ不適合が減ったのかを考えると、審査を受ける企業のレベルが急上昇したとは思えない。
不適合にするためには証拠・根拠がなければならないから、審査員の力量不足で証拠・根拠をしっかりつじつまが合うように書けなければ不適合を出せなくなる。
あるいはそれまでに数多出されていた不適合は、確固たる要求事項に基づくものではなく、審査員の恣意私見によるものではなかったのか？
皆さんはどう思いますか？ 私は後者ではなかろうかと思っている。
えっ！今も根拠が不明な不適合がありますか？

ところでISO17021が制定される前からISO審査は行われていた。欧州では1990年前から第三者認証制度は動いていた。そのときは監査のルールはどうだったのだろう？
証拠や根拠を書かなくても良いと定めていたのだろうか？

審査の規格はいろいろと変遷があった。

	1990		ISO10011-1	品質システムの監査の指針
	1996		ISO/IEC Guide 62	品質システムの第三者審査登録の指針
	1996		ISO14010	環境監査の指針-一般原則
	1999		ISO/IEC Guide 66	環境マネジメントシステムの審査登録機関に対する一般要求事項
	2007		ISO17021	適合性評価-マネジメントシステムの審査及び認証を行う機関に対する要求事項
	2011		ISO17021	改定
	2015		ISO17021-1	改定

2007年にISO17021が制定されたとき、根拠と証拠の記述が要求されたのだろうか？
それ以前の審査の規格を紐解いてみよう。

• ISO9001(当時はISO9000sと呼んでいた)の第三者認証が始まった時の審査規格である初代ISO10011-1では次のように記述していた。
  
  3.6観察結果（監査）
  監査中に作成され、かつ、客観的証拠によって立証された事実を述べたもの
  
  これを読むと他人事にようでワケワカランが、自分なりに訳すと、
  タイトルの原語は「observation」だから「観察結果」とか「監査」でなく「監査結果」とすべきかな？
  

  注：英英辞典によるとobservation の意味はsomething that you notice when watching something or someone そして本文は「客観的証拠によって立証されたもので、それは監査実施中に作成すること」ではなかろうか？

  3.7客観的証拠
  ある品目又はサービスの品質、もしくは品質システムの要素の存在及び実施に関する事実の、質的又は量的な情報、記録又は報告書であって、観察、計測又は試験に基づくものであり、かつ、確認が可能なもの
  
  翻訳は正直50点レベルかと思うが、要するに客観的事実に基づく証拠の記述を必要としていると理解できる。
  
  
• ISO14010
  実は四半世紀も前のことで私は規格原本を失ってしまったのだが、
  
  • 監査の前に監査基準を確立し、基準と比較するために収集された証拠、およびこの比較に基づいて記述された調査結果を確立する
  • ISO 10011（上記前出）で確立された規則から逸脱しないこと
  の二点が記述されていることを覚えている。
  齢70を過ぎても記憶力は衰えていないと思っている。
  
  
• ISO17021：2007
  この規格では証拠/根拠についての記述はない。その代わりにISO19011に従うことを記述している（7.2.11）。
  ISO19011：2002
  
  6.5.5において散文的な表現であるが、
  • 監査基準の適合/不適合は、監査した場所、部門又はプロセスがわかること その根拠となる証拠を記載すること。
  • 不適合は被監査者と、監査証拠が正確であることと不適合の内容が理解したかを確認すること
  が記載されている。
  

  注：ISO19011は指針であり強制力がないが、ISO17021で引用することにより第三者認証審査において強制力を持つ。

  なおその後の規格構成が見直され、ISO19011は内部監査専用となり、第三者認証審査における監査手順はISO17021に含まれた。
  
  
• ISO17021-1：2015
  
  9.4.5.3
  不適合の所見は、特定の要求事項に対して記録しなければならない。また、不適合の根拠となった客観的証拠を詳細に特定する、不適合の明確な記述を含めなければならない。
  不適合については、証拠が正確で、その不適合が理解できるものであることを確実にするために、依頼者（審査を受ける組織のこと）と協議しなければならない。（後略）
  
  9.4.5.4
  審査チームリーダーは、審査証拠又は審査所見に関して、審査チームと依頼者との間のいかなる意見の相違も解決を試み、未解決の問題点は記録しなければならない。

だがここに不思議がある。
名将 故野村克也監督は「勝ちに不思議の勝ちあり、負けに不思議の負けなし」と語ったという。実はこれ松浦清(注1)の言葉で、野村監督はそれを座右の銘とした。
誰が言おうと野村は偉大でこの言葉も真理である。
この言い回しを借りると「ISO審査に不思議あり、ISO規格に不思議なし」と言えよう。

不思議はたくさんある。

• 過去より不適合も根拠も明記しない審査報告書は数えきれないほどあった。
• そしてまた審査を受ける側が不適合に異議ではなく、説明を求めても不適合の説明さえしない審査員がザクザクいた。
• 根拠が規格要求にない不適合もゴロゴロあった。
  最近でも有益な環境側面という呪文が流行っている。
• ISO17021が登場したら不適合が減った。
• 認証件数が減少するにつれ不適合が減った。

ともかくなぜ不適合を出しても、なぜその根拠・証拠を明確にしなかったのだろうか？
私は1990年代にそんな審査報告書ばかりだったのでいちゃもんを付けた。
「この不適合の根拠が書いてありません」
「文書管理4.5と書いてあるでしょう」
「4.5にはshallはふたつありますが、要求していることは8つあります。この不適合はそのどれが該当するのかはっきりと書いてください」
「4.5と書いてあるからいいのだ」
当時有効だったISO10011-1に根拠の文字がなくても、どれに反しているかは示す必要があるだろうし、少なくても被監査側に説明しなくちゃならんだろう。

なぜ証拠や根拠を書かなかったのか、審査員研修で習わなかったはずはない。私はグローバルテクノでISO9001の審査員研修を受けたとき、ちゃんと講義の中で説明があった。
当時は「根拠」と「証拠」ではなく、「根拠」と「証拠」と「状況」を三要素と言っていた。
根拠は規格要求事項の項番のどのshallかを示すことであり、証拠は文書名とか工程の名称とか工場の場所とかインタビュー者の名前であり、状況とは「最新バージョンでない」とか「手順書通り作業をしていない」ということであった。最近では「証拠」に前記の「証拠」だけでなく「証拠の状況」も含めているようだ。まあ言っていることは同じだ。

	根拠	証拠	状況
昔	7.2力量a)b) 遵守義務を満たすために従事する者は必要な力量を持つことを確実にする	第4類危険物貯蔵所	危険物取扱者が不在であったが、資格を持たない者が小分け作業をしていた。 〇月〇日14；30
今	7.2力量a)b) 遵守義務を満たすために従事する者は必要な力量を持つことを確実にする	第4危険物貯蔵所において、危険物取扱者が不在であったが、資格を持たない者が小分け作業をしていた。 〇月〇日14；30

注：上図において根拠を力量としたのは一例であり、不適合発生状況やその組織の見解を考慮して、不適合の根拠を順守義務、力量あるいは運用の計画その他にしても異議はない。要は是正しやすく成果が出ると考えられるものならよい。

1997年からISO14001の審査が始まると、それはISO9001の審査より大幅にレベルが低いと実感した。

具体例を挙げる。
• 述部が不適切なもの
  ISO9000sの不適合の述部は「○○していない」「○○がなかった」がティピカルだったが、ISO14001の不適合の記述は「○○が有効ではありません」とか「○○が見えません」という柔道とか視力検査のような言い回しのものが大半となった。
  「有効」とられても不適合じゃないでしょう。俺はまだ「一本」取られた覚えはないぞ。
  見えないのは老眼が進んでいるんだろう。眼鏡屋に行ってこいや！
  
  
• 根拠がないもの
  「通勤を環境側面にしていないから不適合です」
  「通勤も環境側面でしょうけど、管理できるとは思いませんね」
  「規格に『影響が生じる』ってあるでしょう」
  「ちょっと、ちょっと！規格の文言は『組織が影響を生じる』じゃなくて、『環境側面が影響を生じる』じゃないですか」
  「あのですね、UKASが通勤がないと認証を与えてはいけないと言っているのです」
  な、馬鹿な！と UKASに問い合わせたらご返事が来ました。
  「ハロー、問い合わせありがとうね。UKASはそんなこと言ってないよ、バイバイ」
  環境側面に通勤がなければならないのは、ISO規格に基づくものではなく、審査員の恣意だったのか？

審査も規格解釈も不思議極まりなかったが、考えれば不思議はさらに深まる。
審査員が所見報告書を書いても、それで終わりだったはずはない。なぜならISO17021には認証機関としてその審査結果が適正かを確認するプロセスを要求している。なにごともオープンループはだめだ。フィードバックを持つクローズトループでなければ間違いが暴走する危険がある。
フィードバックなんていうと難しそうだけど、ISO規格にもあるようにPDCAのことだよ、
オープンが良いのはオープンマインドとオープンクエスチョンだけだ。
ではなぜ認証機関は、証拠や根拠があいまいな所見報告書をOKしていたのだろうか？
そしてなぜ、不適合であることの同意を得なくても、所見報告書がいいかげんでも苦情が来なかったのだろうか？
もっともそういえば1990年代は、オープニングで異議申し立てを説明する認証機関は少なかったな。それもガイド62やガイド66違反だったような気が 😧

審査とは何かといえば、前述したように論理のゲームである。難しそうに思うかもしれないが、実は簡単で単純だ。
考えてごらんなさい。新機種開発で思うように性能が出ないとか、製造ラインで不良止まらないとか、近くに大手企業が工場を作ったためにパートが移ってしまって人手不足だ、なんてことは現場では日常茶飯事だ。そういう問題には解決がない場合も多い。プロジェクト崩れを起こすのは珍しくない。人手不足倒産する企業はいつの時代にもある。
だがそういった深刻で切羽詰まった仕事と違い、ISO規格の要求事項と現実を比較し適合を判断するだけの仕事が難しいわけがない。そんな単純作業でミスを出すようでは、開発も不良対策もパート採用だってできない、ノーナシのクズ社員じゃないですか？

私の言葉が暴言だっていうなら、四半世紀前からISO10011とかISO14010の要求を満たした所見報告書が書けたはずだよね？
今までISO第三者認証制度がいろいろ取りざたされた。認証が信頼できないのは審査で企業が虚偽の説明をするからとか、審査員が節穴だからだと語った某認定機関理事長もいた。全国の企業の人々と審査員の皆様、某認定機関理事長を糾弾しなければいけませんよ。
なぜか認証機関が「客観的証拠を評価する責任（ISO17021-1）」を放棄したからですという話は聞いたことがない。なぜか認定機関が監督責任をまっとうしないからだという話も聞いたことがない。
不思議なことである。
なぜか弱い者いじめのような気もするし、あるいは絶対文句を言わない人に罪をかぶせようということかもしれない。それとも元々ISO第三者認証制度なんて信頼されてないから、どうでもいいと思ってたのかもしれない。

　本日の謎
こう考えてみると、第三者認証というものは謎ばかり、考えるほどに謎が深まる。一番の謎は、第三者認証というものは本来成功するビジネスモデルだったが運用がまずかったのか、それとも元々ビジネスモデルとしては破綻していたのかということだ。
共産主義を作ろうとした人々が力不足で独裁体制しかできなかったのか、それとも元々共産主義は破綻しているのかという問いと同じくらい謎である。
理想は実現できないから理想なのか？ それとも理想を実現するのは難しいのか？
ハムレットにでも尋ねよう。

いよいよ幕を引こうと「うそ始末」を始まったものの、書き始めてみれば不満とか問題点がドンドンと湧き出てきて、いまだに欲求不満がくすぶっているのに改めて気が付いた。
2020年の今、お仕事をされているISO審査員は私が現役だった7年前とは様変わりしてきっと規格に明るく、監査ルールを守り、人格的にもまともであろうと推察する。
いやいや、種々統計を見れば審査員の新陳代謝は進んでいない。どうであろうか？

注1

松浦 清（1760〜1841）肥前国 平戸藩主。この人の孫娘が明治天皇の母 隠居後に「甲子夜話」を書き、後世に名を遺した。