当社の取得規格 ~ISO9001,ISO27001~

当社は、2017年9月に、国際規格であるマネジメントシステムの、ISO9001とISO27001を取得しています。

ISO 9001(品質マネジメントシステム)
顧客に品質のよいモノやサービスを提供すること、つまり『顧客満足』を目的とする。
ISO 27001(情報セキュリティマネジメントシステム)
情報の漏洩を防ぐことを目的とする。

そして、今年9月に2回目の維持審査をパスしました。
今回は、初回の取得審査と2回の維持審査を担当した私自身の経験から、どの企業にも共通して言える「ISOの審査を乗り切るために必要なこと」をお伝えできればと思います。

ISO認証取得企業になるためには?

本題に入る前に、まずはISO認証取得企業とは何かを簡単にお話しします。

認証取得企業になるためには、国際規格規格であるISOに沿って会社内に運用の基準や手順(=マネジメントシステム)を構築します。
会社の構築したマネジメントシステムをISO審査機関の審査によって認証された状態を、ISO認証取得といいます。

つまりISO認証取得企業とは「社内のマネジメントシステムについてISO審査機関からお墨付きをもらった(審査をパスした)企業」です。
ISO認証取得企業であるという事は、「(当社でいえば)品質管理・情報セキュリティに対して、確立されたマネジメントシステムを有する企業である」という事になります。
取得時の審査では、会社が品質向上と情報セキュリティを維持していくために、ISO規格にそってどのようなマネジメントシステムを構築したのかを第3機関より詳しく審査を受けます。
そして構築したマネジメントシステムを維持してく体制が認められ、登録番号が与えられISO認証取得企業となります。

取得したISO規格は維持していかなければならない

無事に2つの国際規格の取得審査をパスした時は、どの企業の担当者様も正直ほっとしたのではないでしょうか。もちろん私自身もそうでした。
ですがISO規格は一度認証を受ければそれでおしまいではありません。
年に一度、確立されたマネジメントシステムをうまく運用しているか、さらなる改善に努めているかの維持審査があり、それをパスしなければ登録は維持できません。
あくまでもISOの本質としては、規格を維持すること=継続的な改善が出来ているということ(もしくは改善する計画があるということ)ですが、やはり「審査をパスする」ということ自体には大きな意味があります。

社内のISO担当になるのは不安・・・審査を乗り切ることはできるのか

社内のISO担当になることを嫌がる(?)社員の方は多いでしょう。
大量の規格内容をインプットしたり、ドキュメント作成や、構築したMSの運用など、面倒なことが目白押しです。
ですが、担当になりたくない一番の理由は審査員からの指摘事項・審査結果に対するプレッシャーでしょう。
・審査で指摘を受けたくない
・指摘があれば、それは自分のせいになるかもしれない
・もしも審査に落ちたら責任をとりきれない
これらの理由は、実際に社内のISO担当を経験したことがある方なら誰もが感じたプレッシャーだと思います。
しかし、そもそも指摘を全く受けない企業などごくわずかです。
(少なくとも私は聞いたことありません)
どんなに有名な大手企業でも、ほとんどの企業様が指摘を受けています。
指摘を受けたからと言って、即「重大な不適合!」と言い放たれて規格の維持が出来なくなるわけではありません。
指摘されたことは改善点が見つかっていい機会だと思って審査に挑みましょう!

最低でもこれだけ押さえておけば維持審査をパスできる!

では、冒頭でもお伝えした本題に入ります。
「ISOの維持審査を乗り切るために必要なこと」つまり、最低でもこれだけ押さえておけば審査に落ちることは無いというもの。
それは
・内部監査
・マネジメントレビュー
です。
これらを実施していない、かつ実施した記録が無いと、確実に審査は通りません。場合によってはその場で審査員から審査の終了を言い渡され、審査を打ち切られます。
この2点が最重要事項なのです。

もちろん、内部監査とマネジメントレビューを実施していても、指摘事項から不適合が出る場合はあります。
でも大丈夫、その時は審査後2週間以内に「是正行動をとりましたよ」というエビデンスを出せばOKです。(面倒ではあるので、不適合は出ないに越した事はありませんが)

審査員からの指摘は怖くない!

このブログの初めの方でも言いましたが、指摘は必ずといって出ます。
だからこそ、 指摘を減らすことばかりを考えて必要以上に準備に時間をかけるのではなく、指摘は出るものと考え、その時間を通常業務や、本来のISOの真意である企業の価値向上のために費やしましょう。

指摘を受けてから、それを改善するために動く事。そうすることで、準備の手間は大きく短縮されます。わざわざISOのためにしていることをやめて、通常業務にISOを組みこんでいくことが大切です。

おわりに

ISO 担当者の皆様は、審査に落ちて規格が維持できないのではないかと毎年不安になっていると思います。
しかし内部監査とマネジメントレビューの実施・記録をしっかりと抑えておけば、審査に落ちることはありません。この2点はしっかりと覚えといてください。

今回は「維持審査にパスするため」ということに焦点を当てて内部監査とマネジメントレビューをとりあげましたが、本来は社内のMS運用を振り返り、改善のための意識付けとして、とても有意義な項目です。
次の機会にはこの2つの具体的なやり方や、審査のための形だけでなく意味のある機会にするための内容も紹介したいと思います。

Follow me!