ISO情報

ISOの認証取得って大変なの?

 前回までの数回、ISO認証取得の価値、意義を簡単にご説明してきました。まだまだ十分なご説明とは言えないかもしれませんが、概要はご理解いただけたのではないかと思います。今回からは、認証取得をするためにどのような、そしてどのくらいの準備をすればよいかのお話をしますね。

 まず、いきなり結論として申し上げましょう。
 ISOの認証取得は、決して難しいものではありません。特別なことをしないといけない、ということは基本ありません。とは言っても、どの組織でも簡単に取得できるか、と言うとそんなことはありません。何しろ世界標準であり、そのステータスは国内だけでなく、国外でも通用するわけですから(すべての国、地域で、というわけではありません)。

 認証を取得するには、第三者認証機関(以前は審査機関と言っていました)から審査を受けて、対応するISOの要求事項の全項目を満たしていることを審査員に証明して貰う必要があります。審査を受けるにあたって審査工数というものがあります。何人の審査員で何日間にわたって審査を行うか、という数字算定の根拠が国際的にも決められているのです。その審査工数に見合う審査員の手配が行われ(小さな中小企業であれば審査員が一人、中堅規模の組織であれば審査員3名程度でしょうか)、その審査員が皆さんの組織に来て、対象部門の運営、活動状況を見て、合否判定をする訳です。ISOの要求事項というのは、クリアしていなければならない項目が規格書内に列記されているのですが、審査ではそのすべての項目のチェックを受けることになります。
 しかしその審査というのは、例えば要求事項の番号が1~100までつけられていて、上から順番にそれができているかどうかを見る、というものではありません。昔の審査ではそれに近いやり方がされていたとも言えますが、ISOの審査もどんどん進化しており、できるだけ審査を受ける組織の業務の流れに沿ってその適切性を見ましょう、というやり方に変わってきています。よって、創業間もない会社でない限り、会社が営業を続けているイコール、お客様に取引をしてもらえる製品を作ったりサービスを提供する仕組みをその組織は持っているわけですので、その仕組みがベースになっていれば、特にISO 9001の品質マネジメントシステムであればその要求事項の大半はクリアできていると言っても過言ではありません。
 もちろん一部の要求事項を新たに取り入れる必要があるかもしれませんが、今まで持っていた自社の仕組みにその部分だけ取り込んでより強い体質の会社になれば良いわけですから、決して難しく考える必要はありません。

 ある程度の年数、事業が継続している会社であれば、組織運営の基本の仕組みができているからそこにISOの要求事項の中で不足のものを取り入れれば、審査にパスすることは難しくありません、というお話を前回しました。
 但し、ここは多少補足しないといけません。ISOの認証を取得すると言っても、ISOにも色々な種類があります。
 だいぶ以前に、「ISOマネジメントシステムって何?」というテーマでお話をした時がありました。
 その時はISO 9001とISO 14001のお話をしました。それぞれが何か覚えていますか?
 そうです、ISO 9001は品質に関するマネジメントシステム規格、ISO 14001は環境に関するマネジメントシステム規格です。世界的に見ても圧倒的に有名かつ利用されているのがISO 9001です。そしてその次がISO 14001です。ですが、ISOマネジメントシステム規格はこれだけではありません。その次に活用されているのが、ISO/IEC 27001という情報セキュリティに関するマネジメントシステム規格でしょう。もっとも古く、つまり一番初めに開発されたのがISO 9001なのですが、それをベースにして、その後どんどん派生的に他の分野に関するISOマネジメントシステム規格が開発されてきているのです。上記のほかには、ISO 22000という食品安全に関するマネジメントシステム規格が世界的にも有名です。また業界ごとに自分たちの業務特性に合致した規格を開発しよう、という動きもあって、たとえば自動車部品の世界では、ISO/TS 16949(現在はISO規格から離れ、IATF 16949という自動車業界の国際規格になっています)、医療機器の分野ではISO 13485、試験所/校正機関の世界では、ISO/IEC 17025という規格が開発され、活用されています。それ以外にISOではないのですが、業界向けのマネジメントシステム規格もいくつも開発されています。例えば航空宇宙分野ではAS 9100、電気通信分野ではTL 9000というISO 9001をベースにした規格ではあるものの、自分たちの業界にあった内容に変更したり、要求事項の追加をしたりして、より活用価値のある規格にしているものです。
 これらの業界規格と言われるものは、自分たちの普段使っている言葉が登場するため、一般的な用語が使われるISO 9001よりも馴染みやすい、という見方がある一方、その内容は高度になっているところもあるため、取り組むのは大変だ、という意見もあります。いずれにしても、楽をして何かをしようとしても大して得るものがないのが世の常です。多少の苦労はいとわずに、ISOの認証の意義をしっかり認識したうえで、取り組んでいただきたいと思います。

 いよいよ具体的な話に入りましょう。
 認証取得とは何かといえば、とても簡単に言えば、皆さんの会社が、ISOの要求事項をカバーする形で仕組みを作り、そして運用が行われていることが第三者によって認められた、ということです。
 ここでとても重要なことですが、認証を取得するためには、ISOの要求事項が求めている内容に、皆さんの会社の仕組みを合わせなさい、ということでは決してないのです。
 例えば、健康診断で考えてみましょう。
 ある身長180㎝の男性の体重が100㎏と測定されたとします。男性であってもずいぶんな重さですよね。ではこの男性、この体重だけすぐさま健康上問題があるあるいは要精密検査、という判断をしますか、ということで考えていただきたいのです。体重100㎏というのはいくら身長が180㎝と高い人であってもさすがに問題になる可能性大ですが、それだけで精密検査(ISOの認証審査で考えると不合格ということです)ということにはなりません。もしその男性が20代でなおかつラグビーの現役選手だとしたらどうでしょうか。つまり体重は脂肪によるものではなく、筋肉によるものだとしたら、おそらく体重以外の健康診断の数値も全く問題なし、となるはずですよね。
 何が言いたいか、というと、ISOの要求事項は、体重を70㎏以下に抑えなさい、というような内容ではないということなのです。ある一部分をみて良い悪いの判断をするのではなく、あくまで全体をみて判断をしていく、ということなのです。つまり健康な体を作り、維持している状態であればよいのですから、健康診断であればその人の身長や性別によって健康体かどうかをチェックするのと同様に、その組織の業種業態、そして規模や社歴など様々な要素を勘案して、今の状態がその組織にとって適切なものかどうかを評価判定し、その結果、ISOの要求事項と照らし合わせても問題ない、となると認証が授与される、ということです。
 せっかく今まで良い組織運営の仕組みを持っていたのに、ISOに取り組むという判断をした後に、ISOの要求事項に合わせるような形で自社の良い部分が隠れてしまう、下手をするとなくなってしまう、という組織が出ていることも事実です。
 これから取り組み皆さんは決してそのようなことにならないように、自分たちにフィットする、つまり役に立つ仕組みを整備したうえで、ISOの認証取得に臨んでいただきたいと思います。

 復習になりますが、前回ラグビー選手のお話を出したのを覚えておられますか。体重100㎏が問題かどうか、という例題のお話です。くどいようですが、もう少し補足すると、女性のダイエットで考えてみていただきたいのです。例えばとても素敵な洋服を見つけたが、今の自分の体形ではサイズが合わない、さあどうするか、というときで、なおかつその女性が標準体型の健康な方である、と考えてみてください。その洋服を着るようになるためには相当なダイエットをしなければならない、そして実際にダイエットを始めたが、急いで成果を出そうとして体調を崩してしまい、なかなか回復せず、本当の病気になってしまった、というケースを想像してみてください。ダイエットを始める前までは健康体で充実した毎日を送っていたわけです。そうすると、この素敵と思えた洋服は本当にこの女性にとって良い出会いだったのでしょうか。違いますよね。
 ISOの認証取得にもこれと同じ危険性が潜んでいるのです。今の健康状態がよりよくなるのであれば取り組む価値があります。しかし悪くなるのであれば、残念ながらその判断は誤っていたことになります。
 繰り返しますが、ISOの認証取得はそれほど難しいことではありません。ですがその使い方を間違えると毒になってしまう危険性があります。是非明確な目的意識を持って、健康な人がダイエットをしてかえって体調を崩すようなことにならないように取り組みを図っていただきたいと思います。
 『品質マネジメントシステムの採用は、パフォーマンス全体を改善し、持続可能な発展への取り組みための安定した基盤を提供するのに役立ち得る、組織の戦略上の決定である』(ISO 9001:2015 0.1一般)とISO規格の中でまずは謳われています。最後の「組織の戦略上の決定」ということへの意識を持っていただくことが出発点になるのです。
 従って、これから認証取得をお考えになっているという段階であれば、まずは自分たちの現在の仕事の進め方に問題はないかどうか、改善点はないかどうかの確認から入ることが大事なことになります。自分たちの仕事のやり方を再確認し、まずはそのやり方で良いのだ、ということへの自信を持っていただきたいのです。その上で、ISOの要求事項との照らし合わせを始めていきます。そしてもし、すべての要求事項をカバーしていると考えられるのであれば、すぐにでも認証審査を受けても良い、ということになります。
 とは言え、さすがにそのような組織は少ないかもしれません。足りないところが見つかれば、それをどのように補うかを考えていくことになります。その際の注意点は、決してその追加対応が、それまで持っていた自分たちの仕組みの改悪にならないように進めることです。

 今、作られている皆さんの組織の仕組みとISOの要求事項の照らし合わせをし(ギャップ分析という言い方をします)、不足部分を補っていくことで、仕組みのリニューアルが終わると、次はその運用になります。新しくなった仕組みを全社に浸透させなければなりません。そのやり方は色々なやり方がありますが、ある程度の規模までの組織であれば全社教育のような形でイベント的に伝えることが良いと思います。もちろん数百名も社員の方がいらっしゃるような組織であればそうはいかないでしょうから、ISO推進担当(ISO事務局)の方が、各部署を回って説明会をする対応も必要になるでしょう。
 その後、それぞれの部門で新しい仕組みを踏まえた日ごろの運用に移ります。そこで疑問やさらなる手直しの有無を確認し、これで良いだろう、という段階に来ると、次は内部監査の実施です。創業間もない、あまり大きな規模ではない組織にとっては、この内部監査は今まで持っていなかった仕組みかもしれません。ISO認証を目指すために新たに取り組む必要がある事項ということになりますので、少し注意を多めに払って欲しいと思っています。
 ISOの内部監査員は、特に決められた資格があるわけではありません。組織内で、内部監査員の任命手順・基準を決めていただき、それに則って任命し、その方々が内部監査を実施すればよいことになります。任命のための教育訓練も社内で取り組む形で全く問題ありません。大事なことはどのような内容で、力量をつけるか、その内容をしっかりと決め、本当にその力量が身についていることを自分たちの組織として保証できるかどうかです。
 保証と言うと堅っ苦しいイメージになりますが、どのような形で第三者に説明できるか、ということです。そして第三者が納得できる手順があればさらに安心できますよね。
 さて、内部監査は、どの部門にどれだけの時間をかけて行えばよいか、ISOの規定上は一切の指定はありません。すべてが自分たちで考えて実施すればよいことになります。いずれにせよ大事なことは、なぜそのような計画としたのか、その理由を明解にこちらも第三者に説明できるようにしておくことです。
 そしてもう一つはマネジメントレビューです。これは経営者自らが主体的に行う必要があるものです。できれば会議の議事進行すべての経営者の方が行うことができれば理想ですが、なかなかそうもいかない部分もあるでしょうから、ナンバー2の方がうまくサポートしながら進めていく必要があります。
 マネジメントレビューも言葉に踊らされることなく、今までそれに該当する内部対応がどのようなものであったかを踏まえて、仕組み構築を行っていただきたい部分です。今まで定期的な経営会議を行っていれば十分それはISO規格で言うマネジメントレビューに該当するはずです。ISO認証取得のためにマネジメントレビュー会を新たに設置し、規格の詳細条項の内容確認をする場を設ける組織もあるのですが、それが最適解とは一概には言えない点も是非念頭においていただきたいのです。
 肝心なことは、経営者が自ら掲げた経営方針、経営計画に合致するパフォーマンスが出ているのか、その上で、ISOの要求事項に合致しているかを自分自身で確信を得るために会議を行うことです。もちろん今までお話ししてきたように、ただ単にISOの要求事項に合致した自組織の運営ができているかどうか、の確認ではなく、お客様満足を確実に得ることができているかどうか、組織運営の仕組み(人材育成などを含みます)の改善が進んでいるかどうか、です。これを経営者自らが自分できちんと状況把握し、その上で、この先どのような推進を図っていくかの判断を経営者にしっかり行ってもらうことが大事なことです。
 次回は経営者に関しての話に入っていきましょう。