以前は強い興味を持ち、改定要望を出すなど積極的に活動をしていたＩＳＯ９０００文書管理基準であるが、最近は非常にうっとおしく感じる。
たぶん監査論を学んでしまったためだ。

最新の監査基準（ＧＡＡＳ）では、監査リスクモデルというものを規定している。

AR (Audit Risk) ：監査リスク ... 監査に失敗するリスク（不正を見過ごすリスク）
IR (Inherent Risk) ：固有リスク ... 不正が発生しやすいという性質が本質的に内在するリスク
CR (Controll Risk) ：統制リスク ... 不正が内部統制（社内環境）で統制できないリスク
DR (Detection Risk) ：発見リスク ... 不正が監査段階で発見できないリスク

とすると

AR = IR x CR x DR
すなわち
DR = AR / (IR x CR)

となると定義するのが監査リスクモデルである。

たとえば、現金はその匿名性のため不正流用される固有リスクが非常に高いので、現金を扱う銀行などの業務プロセスではチェック体制を強化することで統制リスクを下げ、結果として監査リスクを抑えている、と説明できる。

監査リスクモデルの意味するところは２つある。

ひとつは監査リスク（＝不正を見過ごすリスク）はゼロにはできないということであり、だから一定の水準に抑えるのが合理的だということ。*1
そして、不正を見過ごすリスクを一定の水準に抑えるためにはその水準に応じたコストがかかるということを示している。
裏返せば「コストベネフィットが見込める程度にリスクを管理しなさい。それ以上の管理は求めるな。」と言っているのだ。

もうひとつは監査リスクを一定の水準に抑えると、固有リスクと統制リスクは反比例するということ。
つまり、固有リスクが高い（＝不正が本質的に起こりやすい）ところでは、統制リスクを低く（＝チェック体制を厳しく）設定し、その逆に固有リスクが低ければ、統制リスクを高く設定できることを示している。
要は「メリハリをつけなさい。」と言っているのだ。

さて、ＩＳＯに戻ると「こうあるべきだ」と杓子定規にあるべき論をふりかざし、何から何まで理想論で業務プロセスを規定しているように思える。

ある業務ステップを完了するには、権限者が承認し、その文書化が終わるまで、次のステップには進めない。
承認は仕方ないが、文書化のオーバーヘッドまでが直列に並びクリティカルパスとなってしまい、ＰＪ全体の進捗に大きく影響している。
スピード経営、スピード開示の時代に逆行している。
文書化はパスの外に出して、後から、でも忘れずに実行するというフローは設計できないものだろうか？

また、ＩＳＯ業務規定マニュアル作成時にトップダウンで業務プロセス設計せず、ＩＳＯ導入前の業務プロセスをそのまま積み上げてしまい、規定マニュアルに漏れが存在するようになる例も多々見受けられる。
その場合は、運用時に利用者が迷い、類似の業務プロセスから類推してあいまいな処理をするという、業務規定マニュアルの存在意義を疑わせる事態を引き起こす。
「ＩＳＯは業務マニュアル作成の方法論から規定すべきではないのか」という、よりメタな自己矛盾を抱えているように思う。

監査基準は会計基準とともに長年に渡って磨かれてきたせいか、理論と実務の調和やプライオリティに合理的なセンスを感じる。
一方のＩＳＯは実務に照らすとセンスが微塵も感じられない。

ＩＳＯ９０００認証企業はある時期より減っていると聞くが、利益よりも弊害が大きいとの論理構築ができた企業が増えてきているのだろう。