内部監査について書きたいのですが、その前段として、
まず「ISOが規定するところの"マネジメントシステム"の在り方」の
について、前提を確認しておこうと思います。
<前提その1:ISOが新しい活動を規定したのではない。>
ISO9001:1994にて品質管理システムが規格化される前から、
立派な品質管理を行い、高品質な製品やサービスを
世に生み出している企業は多くありました。
品質に限らず、ISO27001なども同様です。
規格は、それらの企業を手本として、
多くの業種・業態・規模に適用可能なように、一般化したものにすぎません。
(という風に私は解釈していますが、ISO9001:1994の制定委員会が
発足時にどのような活動をしていたのかは、詳しくは存じません。)
ということは、それら手本となった企業において
規格制定以前に全く行われていなかったような活動は、
基本的には規格の中にも書かれていないはずです。
ISOの規格制定委員の人たちが、「こういう活動もしたらいいんじゃね?」
と勝手に考えたことを盛り込んだとは考えにくいので。
規格の条文は非常に分かりにくい書き方をしているため、
「こんなこともしなくちゃいけないのか~」
と思えてしまう個所がいくつもあります。
しかしそれらも本当は、「手本とされた企業」の中では
当たり前のように行われている活動ばかりのはずです。
同じ業界にいる人間なら、(たとえ自社ではやっていなくても)
そういう活動の存在を聞いたことぐらいはあるはずです。
表現が抽象的なので、そうとは分かりにくいのですが。
「ISO9001の規格を読んで初めて、品質管理において
○○のような活動が必要だと知ったよ。」
と言う人がいたら、おそらく解釈の仕方が間違っているだけです。
その活動の正体は、多くの場合、決して目新しいものではなく、
まともな企業ならどこでもやっていることだと思われます。
<前提その2:要求に応える方法は自由。>
規格の条文は、様々な要求を企業につきつけていますが、
企業がどのようにしてその要求に応えるかは、とくに規定していません。
業種・業態・規模等の自社の特性を鑑み、適切なやり方で応えれば良いのです。
そのはずなのですが、実際には、「○○の要求には××という方法で応えるべし。」
という画一的な手法が蔓延しています。
たとえ××が世間で普及しているやり方であったとしても、
「大企業ならやれるだろうけど、中小には無理そうだな。」
だとか、逆に
「社内全体をパッと見渡せるような零細企業なら出来るけど、
拠点が複数あるような企業じゃ非現実的だ。」
と思うのであれば、それに盲従する必要はありません。
もちろん、××という方法だって間違いではありません。
ただし、ただ単に「間違いではない」というだけのことであり、
それ以上でも以下でもありません。
それが本当に自社に合ったやり方かどうかは、自社で考えなくてはいけません。
なお、審査員はそんなこと教えてくれません。
彼らは基本的に、「○○がちゃんと出来ているか否か」にしか興味ありませんから。
(それが仕事の根幹ですし。)
ISO規格はあらゆる業種・業態・規模に適用可能であることを
意図して作られています。
なので、規格を読んで
「この要求に応えるには、こんなことをすればいいのかな。
でもこんなこと、◎◎業界だったら出来るんだろうけど、××業界じゃ難しいよ。
きっと××業界はISOに向いてないんだろうな。」
などと思ったのなら、それは解釈が間違っている証拠なのです。
規格が要求していることを、きっと大袈裟に捉えているのでしょう。
ISOに向いていない業界なんて、理論上は存在しないはずですから。
もっと柔軟に解釈して良いのです。
「なんだ、ようするに○○が出来ていればいいのか。
それなら、××業界においては□□というやり方が考えられるな。」
という結論を出すのが、正しい解釈です。
さて次回は、これら2つを前提条件として、
巷で一般的に行われている「内部監査」を見直してみます。
(決して、巷で一般的に行われている内部監査のやり方を否定する内容ではありません。
ただ、あまりにも同じようなスタイルしか聞かないので、
全く違うやり方でも規格要求事項を満たせることを示してみようと思っています。)