もし、ISO9001の審査で、普段の仕事では使わない言葉を言われたら?

_shared_img_thumb_YUKA150701098458_TP_V

 

 

 

こんにちは。野瀬です。

 

そろそろ夏の匂いがしだす今日この頃、いかがお過ごしでしょうか。

私は最近ランニングに凝っているので、公園などを走っていて新緑の匂いがすると夏が来たなぁと思い、

気持ちよくなります。あの緑のにおいってなんなんでしょうね。

 

さて、気を取り直しまして、今回のテーマはISO9001の審査を受ける時がテーマです。

 

ご覧いただいている皆様のなかで、ISO9001の審査を受けたことがある方にはわかるかもしれませんが、

審査員の方によって、審査はまちまちです。

 

たとえば、ISO9001の規格要求事項に基いて、規格の言葉で審査が進められた。なんていう経験もあったのではないでしょうか?

管理責任者を経験し、規格を読み込んだことがある方ならまだわかるかもしれませんが、現場で実務を中心にやってこられた方がそのような審査の進め方をされても正直いってなんのことだ?ってなりますよね。

 

以下は実際にあったある製造業のお客様事例です。

 

○月○日、○月△日の二日間、某審査期間より監査を受けました。
スケジュールの中で、品質管理責任者の監査をうけたのですが、
実際の業務を「ISOの何章何項に相当する?」と監査員に聞かれ、お客様の品質マニュアル&社内様式しか知らないお客様は、「?」という状態になってしまいました。
このような事例は少し極端かもしれませんが、実際に似たような経験もあるのではないでしょうか?

 

じゃあ実際に、このような質問をされた時には、どのように返すのが正解なのでしょうか。

 

このような話題に完璧な正解というものは存在しないかもしれませんが、一般的には

「ISO用語を使わずに審査をしてください」という回答もあると思います。

 

なぜなら、前述したように、現場で実務をしている方はISOなど知らないからです。

認証していることは知っていても、中身の事なんて少しも理解出来ていないからです。

 

自分たちの仕事に密接な関わりがないものに対して、そこまでの知識を持ち合わせているなんて相当の暇人か瞬間記憶の持ち主か、天才くらいでしょう。

 

「現場の方にもISOの意識を~」とか言い出したとしたら末期かもしれません。

正直言って、ISOの意識が高まったから仕事がうまくいくとか、そんなことはありえないです。

もし、そんなことがあるとするならば、それは単純に仕事の中で改善がされているということではないかと思います。

 

 

さて、審査の話に戻ります。

 

先に書いたように、現場のおっちゃんはISO用語なんて知りませんし、知る必要すらありません。
およそコミュニケーションというものは、互いが理解できることが前提です。であれば、人にわかる言葉で語りかけるのは当たり前のことです。
出入りの業者が業界の専門用語を駆使して説明を始めたら、どうしますか?
あるいは、出入りの業者が外国語で説明を始めたら、どうしますか?
「こらこらこらこら、こっちがわかる言葉で説明せんかいや」と、普通は言うでしょう。それが、当たり前です。

 
ところが、その当たり前が通用しないのがISO業界の不思議なところです。カネを払う側がカネを受け取る側にペコペコするのは、この業界ぐらいのものです。

 
皆様が今、心のなかで仰っておられるように、そんな相手に合わせて無意味な勉強をするぐらいなら、その時間を本来自分がやるべき仕事にあてる方がずっと建設的でしょう。

 
そして、もし審査員が理解不能な説明を始めたら、こっちがわかるように説明することを求めるのは、カネを払う側の当然の権利です。

 
そしてそのことは、審査員が遵守しなければならない規格(ISO17021)からも明らかです。
↓↓↓↓↓↓
9.1.9.6.3

不適合の所見は,審査基準の特定の要求事項に対して記録し,不適合の明確な記述を含め,不適合の根拠となった客観的証拠を詳細に明示しなければならない。不適合については,証拠が正確で,その不適合が理解できるものであることを確実にするために,依頼者と協議しなければならない。ただし,審査員は,不適合の原因又はその解決法を提案することは控えなければならない。

 

9.1.9.8.1
正式な最終会議は,出席者の記録を取り,かつ,依頼者の経営層の出席に

加えて,適切な場合には,審査された機能又はプロセスの責任者を交えて

開催しなければならない。最終会議は,通常,審査チームリーダーが実施しなければならない。

その目的は,認証に関する推薦を含めて審査結論を提示することである。

いかなる不適合も,理解できるような方法で提示し,かつ,対応するための期限について合意しなければならない。

すなわち、受審者側が容易に理解できるよう語りかけるのは審査員が守らなければならない絶対条件であり、「ISOの何章何項に相当する?」といった高飛車で独りよがりの言い方は、厳に慎まなければならないことなのです。

 

 

ISO審査に落ちる会社は事実上存在しません。

もしあるとすれば、実態として倒産状態にある(粉飾決算や違法行為の横行など)か、歪んだ規格解釈でもって審査をする質の低い認証機関を選択してしまった場合に限られます。

 

「監査員独特の文体による質問」をする審査員など忌避すればいいですし、誰にでも理解できる言葉で、理解できるようコミュニケーションをとることは、審査員に課せられた責務です。

 

もしこのような審査員の方に会った場合は、一度審査機関の見直しを考えても良いかもしれませんね。

ISO(アイエスオー)27001(ISMS):2013年度規格改訂1項「適用範囲」規格解釈

_shared_img_thumb_AL204_uwamedukai20140830153709_TP_V

 

いつもお世話になっております。

ISO総合研究所コンサルタントの中本です。

 

余談ですが、弊社では合計8名の新卒の方が入社しました。

5月にもなり、約1ヶ月も立つと社会人にもすっかり慣れた顔つきになってきますね。

そんな中、皆さんも是非5月病には気を付けて下さいね。

 

早速ですが、本日のタイトル「ISO(アイエスオー)27001(ISMS):2013年度規格改訂1項「適用範囲」規格解釈」について書いていきたいと思います。

まず、ISO27001(ISMS)とはなんですか?から始めた方がよいですよね。

 

ISO(アイエスオー)27001(ISMS)とは

情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティ・マネジメントです。

 

まだちょっとわかりにくいですよね。

では、説明の中ででてきた情報資産とは

 

企業は物を作ったり、販売したり、サービスを 提供したりする中で付加価値を生み、その対価を得ることで成り立っています。その企業活動は情報によって企画され管理されます。お客様の情報、市場の情報、仕入先の情報、生産管理情報など、情報を的確に取り扱うことで正しい経営ができます。情報は、企業経営の根幹を成す重要な経営資源ということができます。それほど重要、という認識が必要です。

その情報そのものと、情報を収集したり処理したり保管したりするための装置を情報資産といいます.

 

会社にあるお客様の情報、従業員の情報、又それを保管しているサーバーをウイルスや盗難から守る為にしっかりと管理する仕組みを作ってください。というものです。

 

最近で言えば、ベネッセコーポレーションの大規模な個人情報流出(760万件)がありますよね。ISO(アイエスオー)27001(ISMS)の観点から言うと、委託先の派遣社員が盗難してしまうリスクを予想しておらず仕組み作りができていなかったということになりますね。

 

 

では、今回の規格1項「適用範囲」についてご説明していきます。

 

この規格は、組織の状況の下で、ISMSを確立し、実施し、継続的に改善するための要求事項について規定する。この規格は、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は、汎用的であり、形態、規模又は性質を問わず、全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を、次に示す。

 

ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

 

ISO(アイエスオー)27001(ISMS)では、適用範囲を限定することができますが、適用範囲を決定するために、組織が抱えている外部の状況、内部の状況を考慮した課題を決定し、利害関係者のニーズや期待、外部委託している業務等を考慮します。適用範囲を限定する場合、適用範囲外の部門との物理的な、あるいは業務プロセス上の境界を明確にすることが特に重要になります。適用範囲は文書化し、利用可能な状態にしておく必要があります。

 

ISO(アイエスオー)は適用範囲を選ぶことができます。

例えば、20工場の拠点を持っている会社があり、各工場では違う製品、違う顧客、違った業務フローで業務が運営されています。そんな所で1つのルールを作って運用なんてできませんよね。

その為、ISO(アイエス―オー)では各拠点、各部署、各製品での認証が可能となります。

 

少し話しがそれてしまいますが、当社でもお手伝いしているP(プライバシーマーク)は全社ですよね。この規格との大きな違いは情報の範囲が違うことですね。

 

ISO(アイエスオー)27001(ISMS)

情報資産全般

 

Pマーク(プライバシーマーク)

個人情報のみ

 

上記のように、適用する範囲に大きな違いがございます。

取得を検討している場合は、どちらの情報を多く会社が保持しているか、又は顧客が個人・法人どちらが多いか、どちらの認証を顧客から要求されているかにもよって変わってくるかと思います。

 

最近は、ISO(アイエスオー)9001(QMS)とISO(アイエスオー)14001(EMS)の2015年版への規格改正等大きな話題となっていますが、ISO(アイエスオー)27001(ISMS)は2年前の2013年に改正を行っている。

ISO(アイエスオー)27001(ISMS)の規格目次とISO(アイエスオー)9001(QMS)、ISO(アイエスオー)14001(EMS)の規格目次をみて頂ければ気づくかもしれないですが、大枠の流れは同じである。

その為、ISO(アイエスオー)9001(QMS)、ISO(アイエスオー)14001(EMS)、ISO(アイエスオー)27001(ISMS)の統合も今後はしやすいようになっていくかもしれませんね。

 

ISO(アイエスオー)27001(ISMS)の規格改正は現状ひと段落を終えていますが、今後はISO(アイエスオー)9001(QMS)とISO(アイエスオー)14001(EMS)の規格改正が周りの会社で増えてくるでしょう。是非、お困りやご相談事があれば、弊社に一度ご連絡ください。

弊社のコンサルタントがお伺いさせて頂きます。

ISO9001(QMS)、ISO14001(EMS)、ISO27001(ISMS):2015年度版 審査機関について

_shared_img_thumb_PAK86_rahunaimadesyo20131223_TP_V

ISO総合研究所コンサルタントの河野です。

今回はISOの審査機関移転について、お話させていただこうと思います。

このページを見られているということは、皆さんISO9001(QMS)、ISO14001(EMS)、ISO27001(ISMS)の
いずれかの審査を一度は受けたことがある、
またはこれから受けられる方が多いのではないでしょうか?

そのISO9001(QMS)、ISO14001(EMS)、ISO27001(ISMS)の審査をしてくれる審査機関ですが、
取得してからずっと同じ審査機関に審査をしていただいているのではないでしょうか?

実はこの審査機関は変更することが可能なのです。しかもとても簡単に。
この審査機関を変えてもよいという事実を知らない人も多いのではないかと思います。

そしてこの審査機関を見直すという行為はメリットが非常に大きいという要素を含んでいます。

そこで今回は審査機関の移転に関する様々な疑問にお答えしていこうと思います。

Q.1 ISOの審査機関は移転できるの?

はい、できます。
ISOの本部はスイスのジュネーブにあるのですが、
本部だけで世界中の企業をみることはできないので
各国に認定機関というものを置いています。
日本では公益財団法人 日本適合性認定協会:JAB(http://www.jab.or.jp/)、
イギリスではUKASなどがそれにあたります。
さらにそこから認証を受けたところが皆様の企業に審査に伺う審査機関ということです。
JABに登録されている審査機関だけでも60前後の審査機関があると言われております。
その60前後の審査機関、どこでISOを認証してもよいのです。

Q2.ISOの審査機関移転のメリットは?

まず1番わかりやすいのは審査費用です。
ISOの審査費用は、規模や業種によって一律ではなく、
審査機関によって審査工数や費用がバラバラです。
中には2倍から3倍、審査費用が変わるというところもあるそうです。

次に審査の考え方や手法というのも審査機関によって異なります。
書類中心の審査を行うところもあれば、現場中心の審査を行うところもあります。

例えば御社「実務をそのまま見てほしい」という要望があったとします。それにもかかわらず、
審査機関が『書類や記録類を重視する』というタイプだとしたらどうでしょうか?
御社の方向性と違った審査の方向性になり、当然ですがムダな指摘が増えます。
審査を通して、ムダな指摘が増えないことで、御社の活動にムダがなくなり、よりスムーズな活動が推進できます。

Q3.ISOの審査機関移転のデメリットは?

審査機関が移転されると認証機関のマークが変更されます。
つまり、名刺や会社案内等の印刷物、ホームページにてマークを使用している場合は
変更しなければならなくなります。

ただし逆をいうとそれぐらいしか審査機関を移転するデメリットはありません。

Q4.ISOの審査機関にブランドやマークの価値に違いってあるの?

審査機関にブランドやランクはあるのか?という疑問にもぶつかると思います。
お答えすると答えはNoです。
前述したとおり、ISOは本部から各国の認定機関、
そして審査機関へと委託をしているかたちです。
ですので、あの審査機関の方が質がよいといった差は生まれないのです。

Q5.ISOの審査機関移転はお金がかかるの?

かかりません。
別途費用はかからず審査機関の移転は行うことができます。

Q6.なぜみんな移転をしないの?

審査機関を移転できると知らないというのが一番だと思われます。
または他の審査機関の情報は、自分から情報を集めるなど動かない限り手に入りにくいです。
それにより、ISOの審査機関を移転しようとは思わないため、移転をしないのだと思われます。

Q7.今の審査機関、審査員に慣れてきたので変更したくないんだけど。

審査員に依存することはデメリットも非常に大きいです。
いまの審査員は必ず今後もずっと来てくれるわけではありません。
むしろ同じ審査員が継続で審査に行くことは基本的には正しい審査ではありません。
審査員に依存するのではなく、「方向性がしっかりしている審査機関」を選ぶことで、
御社と同じ方向性の審査機関を選ぶことが本業にあった運用につながります。

Q8.審査機関を変えたら審査にうかりにくくなるのでは?

審査機関は基本的に登録企業を落とすようなことはしません。
どの審査機関も同じように規格要求事項との適合性で御社の課題を見つけてくれます。
安心して審査機関を変更してください。

いかがでしたでしょうか?
審査機関を見直すという行為はメリットが非常に大きいということが理解していただけたと思います。
見積もりだけでもとってみて、検討の材料にしていただけたらと思います。
弊社にご相談いただけたら、御社の要望に合わせた審査機関をご紹介することは可能です。
その際はお気軽にご相談ください。

ISO9001を10人規模で認証する方法!~半年以内編~

いつもご愛読ありがとうございます。
ISO総合研究所コンサルタントの鈴木です。


様々な理由からISOの取得を検討する機会が訪れると思います。
入札、経審(経営事項審査)、クライアントからの要求、社内の仕組みの改善、従業員の意識の改善などなど、

今挙げたのは一部の理由ですが実際にこのような理由からお問い合わせを多く頂いています。

 


ISOを取得するきっかけは様々ですがご相談をいただく中で本当に多い内容というのが
取得までの期間についてです。


ISO といっても色々な種類があります。検討としてよく上がるのは、ISO9001、ISO14001、ISO27001といったところでしょうか。

組織の状況 などによって期間などは前後するものですが、タイトルでも触れた、ISO9001を期間としては半年、人数として10人という少し小規模な組織を例にあげて考えてみます。

このような条件で取得が予定通りいくにはどうしたらいいでしょうか?

 

「取得する方法!」とタイトルにしていますので、この条件で可能かどうかでいったら
十分可能です。実際にこのような状況で取得されたケースも多くあります。
半年と聞いて短いと感じる方もいれば長いと感じる方もいると思います。
この6ヶ月という期間をどう考えるかは会社の規模や状況によっても異なると思いますが、

共通して言えるのは取得までのスケジュールの考え方です。少ない人数でやる分、無駄なことをいかにやらずに済ませるかが半年で取得するキモになります。


ISO9001に関する情報収集、社内への通知・展開、各部門へのヒアリング調査、文書の作成、実際の運用、審査などやろうと思えばいくらでも出てきますしキリがありません。


スケジュールを立てるには当然ISOに関して知っていなければ、たてられません。
そのあたりの情報収集期間なども含めると、スケジュールをたてるまでに予想以上に時間がかかっていることに気づくと思います。
そして実際に情報を集めに行っても意外と情報集まりません。といいますか、インターネットで検索という方法をとったところで、

知りたい情報が出てこなかったり、情報が結構まちまちだったりしますよね…。


ニッチな分野というのもありますし他にも色々だと思いますが、それだけISOを取得するまでのアプローチの仕方が様々あるとも言えると思います。


ISO9001という規格を取得するにはどんな道のりを通っても、最終的に審査を受けて合格を貰わないといけないのは変わりません。

どのような道のりをたどるかが違うだけです。

自社だけでやるか外部のサービスを使うのかによっても変わってきます。ですが、取得するとしたらあまり手間をかけずに、費用もかけずに取りたいですよね。
それは当然だと思います。それには外部のサービスやISO9001に関する専門的な知識をもっている方(お知り合いにいればですが)がどうしても必要になってくると思います。
情報収集やISOの勉強って少し面倒です。いえ、すごく面倒です。
ここでいう専門的な知識と言ってもISO9001の規格に関する知識だけではありません。

最終的には審査を受けて合格するのが目標ですので、審査に対する知識や経験も必要です。
特に2015年はISO9001が2015年版に改訂(改定)されました。規格が変わることで、規格要求事項への解釈方法はもちろん、審査自体も問われる内容が変わってきます。

とても良い仕組みをつくっても、審査に受かるという大きな目標を達成しないと意味がありません。


そのためには、規格改訂前と後の違いについて、規格についても審査についても知っておかないと慌ててしまうことになりかねません。
費用についても同じことがいえます。お問い合わせ頂く内容には、


規格が改訂されることで追加で何をやらなければいけないのか?
何か追加で買わなければいけないもの(設備、サービスなど)があるのか?


というものをいただくことがあります。
これらを判断するには規格についても審査についても知っておかないとやはり判断するのは難しいです。

審査は機械がするものでなく人がするものですので、実際審査員受けの良し悪しというのも存在します。あまり考えたくありませんが。
ですが無駄な費用もかけたくありませんよね。ISO9001の取得に必要だからする設備投資というのは極力減らしたいです。

その投資をすることによってISOを取得する以外のメリットがあれば別ですが、そのためだけのコストは無駄でしかありません。


ISO自体は半年あれば少人数でも十分取得可能です。

審査を受けて合格するまでにどのような方法を取るのかが、全体で見た時の会社組織への負担や会社で働く人の負担が変わってきます。
実際にスケジュールをたてて動き出している人もいれば、情報を集めている段階の人、
まさにこれからスケジュールを立てようとしている人もいるかもしれません。
果たしてその取得までの計画は妥当でしょうか?


必要ないことや無駄な設備投資していないでしょうか?
改めて確認して、必要があれば専門的な知識を持った方にご相談されてみることをおすすめします。


お知り合いにいなくてもコンサルティングなどのサービスは相談無料です。
30分以上は費用が発生することなどありません(全てかはわかりませんが…)。

実際に話に聞く内容ですが、準備が足りていないと感じて取得が先送りになる、担当になったはいいが仕事が忙しく手がまわらない、

そもそも仕事が突発的に入ってくるためスケジュールすら立たない。このような悩みも数多くいただくことがあります。
ですが最終的には当初の予定通りの認証まで行き着きます。

それはそのスケジュールが無理なく進行できる計画であり、無駄なことをそぎ落としているからです。
ある意味、コンサルティング会社や私どもの仕事は踏ん切りがつかない意思決定についてそっと背中を押してあげることです。
状況によっては体当りしてでも背中を押すかもしれませんし、行き過ぎていたらぐいっと引き戻すかもしれません。


しつこいようですが、スケジュールをきちんと管理し、必要なときに背中を押せて、急がなくていい時にはバタバタせずに進行できるような人をどのように社内に配置できるかが重要になってきます。
当初の議題に話を戻すと、とくに少人数での取得では、ISO9001の取得について時間をさくのはやはり難しいとおっしゃる方が多い印象です。


スケジュール立てた段階では取得が見込めていたのに、急なトラブルや仕事で頓挫してしまうことなどは、ある意味当然だと思います。
そのようなときにいかにスケジュールを調整していくか、取得を先に伸ばすのか予定通りにしておくのか。この辺りを決めていくのは難しいと思います。


またトラブルや急な案件が入らないとは限りませんし、それ以外にも仕事をしていく以上は突発的なことが入るのは当然です。


現在の状況を整理し、どのような方法でISO9001という規格に取り組むのか、ベストな方法を考えてみてください。
取って終わりのものではありません。取得後は毎年審査がやってきます。
会社の身の丈に合わせた、重荷にならないベストな方法をみつけるのが情報収集というところで一番重要になってきます。