QMSとISMSの、要求事項の共通構造

久しぶりにISOマネジメントシステム規格の話題です。
私は環境や食品安全の管理規格には詳しくなく、
品質(ISO9001:2008)と情報セキュリティ(ISO27001:2005)しか知らないのですが、
これらの要求事項に目を通されたことがある方なら、
共通する内容が多いことが分かると思います。
部分的には、完全に一致する箇所もあります。
(原文である英語が同一でも、日本規格協会による和訳が
 微妙に異なる箇所もあります。不思議です。)
「似ている部分」と「それぞれの規格に固有の部分」を見比べているうちに、
どちらの要求事項も、3つのカテゴリーに分けることが出来るのではないかと思い、やってみました。
当ブログをお読みの皆様がISOマネジメントシステム規格を理解する一助になれば幸いです。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
【1:マネジメントシステム全体に関わる、大前提について】
「マネジメントシステムを構築する上での心得」と言い換えることも可。
プロセスアプローチについての説明や、
経営者のコミットメント、一般要求事項などが該当します。。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
【2:マネジメントシステムの枠組み
1よりはやや具体的。
実際に組織内にマネジメントシステム(管理体制)を作るうえで
土台とすべき”基本構造”を示す要求事項。
文書、内部監査、マネジメントレビュー、是正処置などに関する要求事項が該当します。
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
【3:管理のツボ
1と2だけでは、実際に何を管理したら品質を管理したことになるのか、
情報セキュリティを管理したことになるのか、全く分かりません。
その”何”を示しているのがこのカテゴリーです。
当然、内容は品質と情報セキュリティとで大きく異なります。
品質においては、顧客関連や設計・開発、購買などについての要求事項が該当します。
情報セキュリティにおいては、付属書Aにある「133の管理策」
このカテゴリーに該当すると思います。
・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・
大雑把な分類ですが、いかがでしょうか。
分かりやすい要求事項のみ例示したので、その他の要求事項がどのカテゴリーに属するかは、
また、そもそも3つというカテゴリー数が妥当かどうかについては、
人によって様々な意見があるものと思われます。
1と2については、品質も情報セキュリティも、内容は概ね共通しています。
抽象的な分汎用性も高いので、これらの要求事項をベースとして、
必要に応じて多くの「○○マネジメントシステム」が作れるのではないでしょうか。
1から3にかけて、抽象的な要求が徐々に具体的な要求になって来るわけですが、
実務レベルで何をしたらいいのかは、結局最後まで触れられていません。
あくまでもマネジメントシステム(管理体制)についての要求事項なのですから、
組織内の管理職層向けに管理のツボまでを示すことが出来ればそれで十分だ、と
割り切っているものと思われます。
そもそも、あらゆる業種業態に適用できなくてはいけないので、
実務レベルのことなんて書きようが無いのです。
示された管理のツボを、どうやって、どれだけ詳細に、どれだけ頻繁に管理するか、
そのために現場はどう動けばよいのか、といった具体的なことは、
各組織が自分で考えなくて決めなくてはいけません。
(逆に言えば、組織が自由に決めてよい。)
規格要求事項と向き合う際には、コレはそもそもそういうモノなのだと認識し、
決して品質(情報セキュリティ)向上の特効薬だとは思わないことが肝要です。

何をマネジメントするのか? <3>

前回からだいぶ間が開いてしまいましたが、今回が最終回です。
この「何をマネジメントするのか?」シリーズを書くきっかけになった
某顧客(大手電機メーカー系SIer)は、わりと大がかりな「Web購買システム」を構築しています。
私のような下請企業の社員は、インターネット経由でそのシステムにアクセスし、
見積情報や納品情報などをそこへ入力します。
当然、入力された情報は必要に応じて各種処理がなされ、
様々な統計値が経営陣のところへ届けられるものと思われます。
しかし、入力される情報と言うのは、第2回でも述べているとおり、
往々にして「都合のよい情報」であり、「現場の実態」とはやや異なることが少なくありません。
(全てがそうだとは言いませんが。)
そんな情報でも、データとしての整合性さえ取れていれば
少なくともシステム上は、エラーせず入力可能です。
どんな立派なシステムを構築したとしても、インプットの時点ですでに情報が歪んでいたら、
意図するアウトプットを得られるはずがありません。
ITなんてそんなもんです。
いえ、ITに限らず、ありとあらゆる「システム(=仕組み)」はそういうものだと思います。
このシステムから得られた情報を元に、顧客の経営陣が
「今期の購買の傾向は○○だった。次期は△△になるように■■の手を打とう。」
といった意思決定を、もししているのだとしたら・・・
ちょっと可哀想になります。
別のルートで、ちゃんと「マトモな情報」を得ているのならいいんですけどね。
(もし仮にそうだとしたら、それはまぎれもなく二重管理であり、
 購買システムが無駄な代物であることになってしまいますが。)
そろそろまとめます。
システムの立派さは、必ずしもマネジメントのに直結しません。
マネジメント業務を楽に、かつ確実に運用するためにITを導入するのはいいでしょう。
大企業であれば、それが大がかりなものになるのも仕方が無いでしょう。
しかし、そのシステムを通じて得られる情報だけを鵜呑みにして
現場で実際に起きていること」に目を向けなくなったら、危険です。
経営者にとって、社内に存在する各種IT・非ITシステムは経営のツールと言えますが、
そのツールが思うように機能しているか否かを評価・検証しようと思ったら、
どのみち現場に目を向ける以外には無いのです。

何をマネジメントするのか? <2>

私の勤務先は従業員数十人規模の「ソフトウェア受託開発業」で、
顧客である某大手SIerから、相互に関連性の無い案件を、
同時期に複数件受注することもあります。
それぞれの案件自体が「相互に関連性の無い」ものでも、
顧客側の担当者は同一人物であることも少なくありません。
そういう場合に、稀にですが「原価の付け替え」が行われます。
たとえば、外注予算500万円のA案件と、200万円のB案件が有ったとします。
私の勤務先に見積依頼が届き、必要な工数を算出したうえで
「A案件は350万、B案件は250万円」という見積書を提出したとします。
このままですと、A案件はノープロブレムですが、
B案件は予算オーバーになってしまいます。
顧客側担当者が、そんな見積書を自社の購買部へ提出しても、
受理されない可能性が高いのは明白です。
特別な手続きを踏めば受理してもらえるのかもしれませんが、
普通はそんな面倒な事はしません。
そこで、「A案件は400万、B案件は200万円」という、
「(フィクションの)見積書を書いてくれ」と頼まれます。
こちらとしてはまぁ、トータルの「受注額」は同じですから、別に文句はありません。
むしろ、断って受注出来ない方が馬鹿らしい。
ちょちょいのちょいと「数字」をいじって一丁上がりです。
誰も損せず、八方丸く収まってメデタシメデタシ・・・
はたしてそうでしょうか?
確かに、「トータルの数字」は変わりありませんので、
金銭的な「損」は、誰もしていません。
しかし、「本当の情報」を受け取れなかった人がいます。
顧客企業の経営者です。
本来なら、「黒字案件1件、赤字案件1件」という報告が経営者のところに届くはずです。
そして、
「この案件はなぜ赤字になってしまったのだ?どこかに問題があったのか? 繰り返さないようにせねば!」
という改善活動が始まります。(たぶん)
ところが、当たり障りのない「フィクションの情報」しか経営者の耳に届かない場合、
当然ですが何も改善はされません。
実際には、「改善すべき課題」が存在すると言うのに・・・
これは、経営者(=マネジメントする側)にとって、かなり深刻な「損」のはずです。
それこそ、金銭的な損に勝るとも劣らない、重大な問題です。
担当者からしたら、自分の抱えている案件の片方が赤字になるのは
(たとえそれが自分の責任ではなかったとしても)嫌なことですから、
隠そうとする気持ちは分からないでもありません。
もしかすると、「こういうのが、案件をスムーズに進めるテクなんだぜ」
と考えているのかもしれません。
to be continued… 

何をマネジメントするのか? <1>

言わずもがな、「現実を」です。
経営者が、「現実に起こっている”こと“」をマネジメントせずに、
「フィクションとして作られた”情報“」ばかりをマネジメントしていたら、
その企業はどうなるか。
 ・・・潰れるでしょうね。
後者は、もはやマネジメントと呼ぶにも値せず、
“マネジメントごっこ“と言っても過言ではありません。
これは、なにも企業経営に限ったことではなく、
およそこの世に存在するあらゆる「○○マネジメント」について言えることではないでしょうか。
なぜ突然こんなことを言い出したのかと言いますと、
「企業の中では、フィクションの情報が独り歩きすることが結構あるんだな。」
と感じたからです。
ここでいう「フィクションの情報」とは、
ありのままの事実・現実を表現していない情報を指します。
それらは大抵、誰かにとって「都合の悪い事実」を隠すために作成されます。
偶発的に生成される例はまず見たことが有りません。
私が知る限りは、意図的なものばかりです。
to be continued… 

業務としての内部監査とは? <中編1>

前回の記事で「前提」を明確にして、今回から本題に入ろうと思うのですが、
ちょっとその前に、タイトルについて説明しておきます。
わざわざ「業務としての」と付けたのは、現在QMS認証取得企業の多くで行われている
内部監査が、「セレモニー」になっているように思えたからです。
ここで言うセレモニーとは、「の役に立つのか」、
どれだけ役に立っているのか」が曖昧なまま、
“QMS認証取得のために”という大義名分(?)の下に行われる形式的な活動のことです。
内部監査以外でも、マネジメントレビューや各種記録作成が、
あるいはQMSそのものがセレモニーと化している企業は少なくないと思います。
規格には本来、企業にそんなセレモニーの開催を強制する意図はありません。
中小企業のためのISO9001 何をなすべきか ISO/TC176からの助言」(ISO編著)の
P18には、「品質マネジメントシステムによって、過度の(お役所仕事的な)形式主義や
 過剰な文書業務、または柔軟性の欠如に陥ってしまうことがあってはならない。」
とあります。
またP19には、「ISO9001の意図は、これまでと異なる全く新しいものを
組織に課すものではない。」ともあります。
これらはきっと、品質マネジメントシステムだけでなく、
ISO内のあらゆるマネジメントシステム規格に当てはまる原則論でしょう。
セレモニーではない、通常の企業の「業務として自然な」形で行われる
内部監査とはどういうものなのか、それを考えるのが今回のテーマです。
それでは本題に入ります。
まず、内部監査についてのISO9001の要求事項(8.2.2)を整理してみます。
(原文ママではありません。)
[A]あらかじめ定められた間隔で実施する。
[B]次の事項が満たされているか否かを明確にするために実施する。
  a)組織のQMSが、個別製品実現の計画に適合している。
  b)組織のQMSが、ISO9001の要求事項に適合している。
  c)組織のQMSが、および組織が決めたQMS要求事項に適合している。
  d)QMSが効果的に実施され、維持されている。
[C]監査対象となるプロセスや領域の、状態や重要性と過去の監査結果を鑑みて監査計画を立てる。
[D]監査の基準、範囲、頻度、方法を規定する。
[E]監査員の選定と監査の実施においては、客観性と公平性を確保する。
[F]監査員は、自分の仕事を監査してはいけない。
[G]監査の手順(計画・実施・記録・報告)は文書化する。
次に、これらの要求事項をどう解釈したらよいのか、考えてみます。
[A]は要するに「定期的にやりなさい」と言っているわけですね。
毎週でも年1回でも、はたまた3年に一度でも、組織の自由です。
もちろん、臨時で行うことも禁止されてはいません。
ただ、認証を受けるにあたっては、審査が年一回なのですから、
内部監査も少なくとも年一回必要かもしれません。
去年の審査から今年の審査の間で、規格要求事項である内部監査が
一度も行われていないようでは、審査のしようがないので。
(同じことがマネジメントレビューにも言えます。)
<続く>
※一度[b]までをこの記事に収めてアップいたしましたが、
 [b]だけでも長いので、<中編2>として独立させました。
 [C]~[G]は<中編3>とする予定です。

ISO認証審査のあるべき姿とは?<番外編> ~ISOとは別の”審査”~

大地を守る会」という団体をご存知でしょうか?
生協と似ていて、有機野菜や自然食品の宅配サービスをしています。
以前、TVでここの「契約農家への抜き打ちチェック」が紹介されていました。
アポなしで契約農家を訪問し、農薬の使用量・使用時期・用途
契約通りか否かを調べるのです。
(これらの情報は消費者へ配られるカタログにも記載されます。)
帳簿を見て農薬の購買履歴をチェックし、
気になるものがあれば説明を求めます。
除草剤や殺虫剤を使わない契約の場合、実際に畑に行って
雑草が生えていて虫が付いていることを確認します。
そんなチェックを抜き打ちで何度もやっているのであれば、
消費者としては大変安心(信頼)できます。
(当然ですが、近所のスーパーより割高なうえに品数も少なく、生産量も限られています。)
ISOのような認証審査と大きく違うのは、
「審査する側へお金を払っているのは、受審側ではなく、消費者である。
という点です。
大地を守る会としては、農家の何らかの違反を見逃せば、
消費者からの信頼を失い、自分のビジネスが立ち行かなくなります。
だから受審側(農家)へは“消費者の代理人”として厳しい態度で臨むでしょうし、
それを受け入れる覚悟のある農家だけが契約に応じます。
類似のサービスは大地を守る会の他にもあるのでしょうが、
本来、「商社」というのは、程度の差こそあれ、
すべからくそのような機能を有しているべきです。
ある程度規模の大きい経済社会では、消費者は、
有名な大手メーカーを除き、なかなか生産者を選べません。
買い物の直接の相手は「小売業者」ですから、
「あそこが扱っている物なら安心だ。」という判断をすることになります。
つまり「信頼性チェック作業の代行(集約)」が行われるわけです。
同じ作用は、小売店が卸業者から仕入れる際にも働いていることでしょう。
誰がやるのかはともかく、流通のどこかの段階で
必ず誰か(あるいは皆)が「信頼性チェック」をしているはずです。
しかし、チェックを受ける生産者は、取引先ごとにチェックを受けるのは面倒です。
(チェックの基準は取引先ごとに違うはずですし。)
商社も、全ての生産者をチェックするのは大変です。
そこで、究極の「チェックの集約」としてISOがあります。
(そう意図して作られたのかどうかは分かりませんが。)
ISOなら世界共通の基準ですし、チェックも年一回で済みます。
たしかに生産側、仕入側の双方にとって便利ではありますが、
万能ではありません。
広範に適用可能であることを目指しているため、
チェックの内容はやはり大味であり、
末端消費者一人一人のニーズに応えきれているとは言えません。
やはり、流通業者(最終的には小売店)の判断での選別は重要です。
また、”立場の違い“もあります。
チェックと言うのは、「チェックする側」と「応じる側」
の2者によって行われるわけですが、現在のISOにおける認証機関は
「仕入側の、消費者に代わって生産者をチェックする」機能ではなく、
「生産側の、チェックに応じて自社体制を説明する手間を集約する」機能として
存在していると言えます。
生産者側から対価を受けて審査しているわけですから。
審査機関としては、対価を払ってくれるのは生産者(受審側)ですが、
同時に自らの説明により、仕入側、ひいては消費者を納得させなくてはいけません。
消費者からの信頼を失えば、結局は生産者も受審しようと思わなくなるでしょう。
現在のISOがそれだけの価値を発揮しているかは、少々疑問です。
10年後、20年後には、果たしてどうなっているでしょうか・・・

ISO認証審査のあるべき姿とは?<後編> ~審査というビジネスの付加価値とは~

2010/7/25の記事の続きです。
ISO業界では最近、「付加価値型審査」という言葉が流行っています。
どこの審査機関が言い出したことなのか分かりませんが、
ISO認証のブランド価値が低下している昨今、
顧客離れを食い止めるために発生したのでしょう。
しかし、その中身はよく分かりません。
一体、「(従来よりも)付加価値の高い審査」とは
どんな審査のことなのでしょうか。
審査員は助言(=コンサルティング行為)を禁じられているため、
たとえ審査中に「ここをこうしたらもっと良くなるのになぁ」と感じても、
そう口に出すことは出来ません。
(規格への適合性に関する事であれば別です。)
もっとも、たまに口に出す審査員がいるのは確かですが。
(残念ながらその内容が的外れなことも、少なくありません。)
この付加価値型審査について、月刊アイソスが多くの審査機関を対象に
興味深いアンケートを行っているので紹介します。(2010年1月号 No.146より)
「付加価値型審査、あるいは類似の名称の審査を提供しているか?
 していたらその中身とは?」
というアンケートです。
これに対し、多くの審査機関が「特にしていない。」という回答をしています。
日本化学キューエイ株式会社は特に態度が明確で、
ISO/IEC 17021に従った審査で、審査の類型区別があるはずがない。」
と回答しています。
また、新日本認証サービス株式会社は、
付加価値型審査といった名称のサービスを提供していない理由として、
「現制度化における第三者認証審査は「適合性審査」であること。
 ”マネジメントシステム認証のような適合性評価は、
 それによって、組織、その顧客及び利害関係者に価値を提供する”
 (ISO/IEC 17021:2006 序文)のであって、意図的に
 「組織に役立つ審査」「付加価値の提供」を行うべきではないからです。」
と主張しています。
当たり前と言えば当たり前ですが、審査とは、受審企業が
規格要求事項を満たしているか否かをチェックするものであり、
それ以上でもそれ以下でもありません。
コンサルティングが出来ず、あくまでも規格を根拠として
「適合/不適合」の判断を下すことだけが仕事の審査員は、
一体どんな審査をすれば「この機関(審査員)に審査してもらってよかった。」
と顧客(受審企業)から言ってもらえるのでしょうか。
ISO認証審査の本質が「規格に対する適合/不適合のジャッジ」に
あるのだとしたら、やはりそこで勝負すべきでしょう。
それ以外の概念を持ち出してきては、もはやそれは認証審査ではありません。
ただ用意された記録書類に目を通し、チェックされている項目や
ハンコの漏れをチェックする審査も、適合性審査には違いありません。
しかし、それら「監査の証拠」を元として最終的に「適合/不適合」を判断する際に、
ちょっと考えてもらいたいことがあります。
それは、
「今ここで私が適合(or不適合)の判断を下すことは、
 この企業が自社のマネジメントシステムを(ISOに基づいて)成長させる上で、
 メリットがあることだろうか?

 そもそもこの会社は、(ISOに基づいて)マネジメントシステムを構築し、
 成長させることで、何を実現しようとしているのか?
 私が今から下そうとしているジャッジは、その助けになるものだろうか?
ということです。
こういったことを踏まえて出てきた結論であれば、
それがたとえ不適合であったとしても、
(あるいは観察事項やコメントかもしれませんが、)
受審企業としては「この人に審査してもらえてよかった。」
と思えます。
少なくとも私はそうです。
そのためにはまず、審査員は「この受審企業は、ISOを通じて何がしたいのか?
を理解しなくてはいけません。
これは受審企業によって千差万別だと思います。
逆に最悪なのは、規格に対する変な解釈の自説を押しつけたり、
規格とは別の基準(多くの場合、自分の経験に基づく自分だけの常識)
を持ち出して審査をしようとしたりする審査員です。
たとえ言っていることが正しくても、それはISOの審査ではありません。
その道のコンサルタントへの転職をお勧めします。

ISO認証審査のあるべき姿とは?<中編> ~企業のシステムを審査するという行為~

だいぶ間が空いてしまいましたが、2010/06/13の記事の続きです。
多くの企業では、審査の時期が近付くと、審査で見られそうな書類を集め
漏れなく作成されているかとか、ハンコが押されているかどうかなどを調べて
受審体制」を整えておきます。
そして、審査の席では
「○○の記録を見せてください。」
「はいどうぞこちらです。」
という儀式(寸劇?)的なやりとりが粛々と行われます。
それが審査の大部分を締めているのですが、
(そうでない部分も確かにあります。)
はたして審査とはそういうものなのでしょうか。
「企業が自社をマネジメントするためのシステム」などというものは、
本来、その企業が自由に作っていいはずですし、
実際、あらゆる企業において、システムとしての完成度は別としても、
有形無形の”マネジメントシステム”が存在するはずです。
もし、そういったものが一切存在しない企業があったとしても、
すぐに潰れるはずです。
そして、企業が自主的に、自力で、自社のために作り上げたシステムが、
国際標準化機構という第三者が作成した規格に「適合しているか否か」を
ジャッジするのが審査員の仕事のはずです。
であるならば、極端な話、受審企業にとって、
受審のために何かをする」という行為は邪道ですし、
審査する側も求めてはいけません。
審査員は、規格の条文一つ一つに対して
「この要求事項に応えるために、御社ではどのようなことをされていますか?」
という質問を繰り返していけば良いだけであり、
受審企業はその一つ一つに対して、口頭もしくは書類を根拠に、
自社のマネジメントシステムがどのようにしてその要求事項に
応えているのか
を、素直に説明すればよいだけです。
当然、そこで上手く説明できなかったり、
要求事項に応えきれていない部分があったりしたら不適合です。
受審企業はただ聞かれたことに都度答えれば良いだけで、
事前の準備や、まして「審査員に説明するための資料」を作成する必要はありません。
どんな企業でも、自社のためのシステムというものが、ただ自社のためだけに存在します。
それを理解し、規格と照らし合わせて適合/不適合のジャッジをするために審査員が来る、
という構図が本来の審査ではないでしょうか。
もっというと、予告なしの抜き打ちだっていいんです。
ある日ふらりとやってきて、「ちゃんとやってますか?ちょっと見せてください。」
というスタイルでもいいはずです。
もっとも、上述のようなやり方は、現実的には不都合が多いのも事実です。
何年も同じ企業を同じ審査員が担当しているケースならともかく、
審査員にとって「ただそこにある」企業のシステムを理解するためには
それなりに時間もかかるでしょうし、
確認が必要な記録書類等が事前に揃っていなければ、
その都度書庫から出してくるのは面倒で、お互い時間を取られてしまいます。
たとえばマネジメントレビューですが、「マネジメントレビュー」という
独立した会議体が存在する場合はともかく、そうでない場合、
企業のシステム内のあちこちに存在するであろう「マネジメントレビューに該当すると言える活動」を
特定し、さらにその記録を探してくるとなると、かなりの手間がかかる可能性があります。
まして、繁忙期にふらりとやってこられても、そんな時間は作れません。
審査側からすれば審査時間(≒人件費)の節約のため、
受審企業側からすれば、日常業務との調整および書類整理(偽造含む)のため、
お互いの利害が一致しているので、現在のようなスタイルが主流になったのでしょう。
それはそれで悪いことだと断定することは出来ないのですが、
そういう活動が果たして本当に自社のためになっているのかは、
多くの企業が考え直す必要があると思います。

ISO認証審査のあるべき姿とは?<前編> ~審査員が(たぶん)言わない本当の不適合~

2010年7月号のアイソスの特集は「三代目事務局の時代」でした。
私の2009年3月22日の記事
を見ていただければ分かる通り、私は「ISO事務局」といった制度・体制に懐疑的です。
(別に要求事項ではないのですが、なぜか多くの企業で導入されています。)
どんな企業でも、その内部ではいくつかの「○○システム(仕組み)」が稼働していることでしょう。
しかし、わざわざ間接部門の社員を中心に人員を集め、
事務局を設けて運用させているケースはISO以外にあるでしょうか?
そのシステムを実際に運用・活用する「主体者」が自ら能動的に手掛ければよいことであり、
「マネジメントシステム」における「主体者」は、
マネジメント層(いわゆる中間管理職以上の役職者)以外にあり得ません。
まあそれはさておき、今月号は
多くの企業のISO(9001と14001が中心)の運用の
現場の実態」が記載されており、非常に興味い内容でした。
まあ第1印象としては「どこも同じような苦労をしているんだなあ」
といったところですが、読めば読むほどに「ISO規格を認証するための審査」
というビジネスに疑問が湧いてきました。
たとえば、ISOの運用に関心のないトップマネジメントが「全部任せた」と言って
運用を事務局にほぼ丸投げしているが、
特に権限もない事務局は右往左往するばかり・・・
といったケースです。
こういった状態は本来、経営者の責任(9001や27001であれば第5章)の中の
いくつかの要求事項に抵触する不適合のはずです。
しかし、そんな不適合を指摘されたという話は実際には聞きません。
この手の不適合に審査員が気付くとしたら、
●そうとわかるような詳細な資料を受審企業側が提出した場合。
あるいは、
●審査員が、トップマネジメントや各部署の責任権限体系と
その運用「実態」を根掘り葉掘り聞いた場合
ぐらいでしょう。
前者は、受審企業がそんな資料を出すことはまず考えられませんし、
後者も、そういう観点で審査をする審査員には(私の経験上)お目にかかったことは有りません。
マネジメントシステムを実際に機能させようと思ったら、こういった部分は
非常に重要になって来るポイントだと思うのですが、
多くの審査員が関心を持つのは、記録書類がちゃんと規定通りに作られて、
ハンコが押してあるかどうか、といった枝葉の問題ばかりのようです。
それはそれで大事なのかもしれませんけど・・・
<次回に続く>

マネジメントレビューとは何か

最近、アイソス(発行 株式会社システム規格社)という月刊誌の購読を始めました。
ISOの専門誌です。
その中に「ISOを斬る」という連載があるのですが、
№146号(2010年1月号)の第4回においては
マネジメントレビュー」が俎上に上がっています。
私の持論と全く同じ箇所もあり、違う箇所もあり、参考になった箇所もあり・・・
今回はそれに触発されて、私見による「マネジメントレビューとは何か?」を書きます。
 * * * * * * * * * * * * * * * * * * * * * * 
規格条文を見ると、インプットやアウトプットの項目が色々書かれていますが、
それらを認証取得のために機械的に実行しようとすると、ただの「儀式」になってしまいます。
(なっている企業は多いと思います。)
そこで、規格が言わんとする本質は何かを考えてみました。
・マネジメントレビューの主体は?
 →トップマネジメント
  当然ですが、トップが主体的に取り組まない限り、
  意味のあるマネジメントレビューは行えませんし、
  マネジメントシステム自体の意味も疑わしくなってしまいます。
・マネジメントレビューの対象は?
 →マネジメントシステムそのもの
  日常的に起こる、現場での問題は対象としてそぐわないと思います。
  私は、2009/10/25~2009/11/29にかけて連載した「マネジメントシステムの正体」において、
  「マネジメントシステムには3層ある。」とし、
  それぞれの層に対して監査とレビューが必要だと書きました。
  ただ、日本全国に工場や事業所があるような大企業では、
  「核に対するマネジメント」までも社長がレビューするのは現実的ではありません。
  規格条文の裏を読めば、
  「トップへインプットし、大所高所からの見直しが必要」な事案について
  レビューするのがマネジメントレビューですから、
  企業規模や事案の重要度によっては、「トップが関わらないレビュー」で済ませても良いはずです。
  それは企業ごとの裁量に任されているはずです。
・何のために行うのか?
 →マネジメントシステムがちゃんと機能しているか、
  今後もこのままでよいのかを大所高所から評価し、
  必要に応じて手を加えるため。
  
  ほぼ必然的に、定期的な活動となります。
  日常的に現場業務を見直すのは「核に対するマネジメント」であり、現場の管理職の仕事です。
・いつ行うのか?
 →アイソスでも「よくある誤解」として上げられていますが、
  「年一回」という定説(?)にこだわる必要はありませんし、
  マネジメントレビューと言う名の独立した会議体も必要ありません
  企業が必要と判断した周期で、時には臨時で、行えばよいはずです。
 
・どの程度細かい情報を扱うのか?
 →これも、企業が必要と判断したレベルで良いはずです。
  ただ、規格条文を読む限りでは、かなり荒いレベルで良さそうです。
  
  規格は大企業にも適用可能なように作られています。
  インプットの必須項目として、「顧客からのフィードバック」や「是正処置」が挙げられていますが、
  なにも「苦情(や是正処置)が発生する度」に行う必要はありません。
  そんなことを規格が意図しているとは思えません。
  もし規格の意図がそうであるならば、大企業のトップマネジメントは
  一日中マネジメントレビューをしていなくてはいけません。非現実的です。
  対象期間中の統計的な情報をインプットとするだけでも、規格には適合するはずです。
  もちろん、企業が自主的に細かい情報も扱うのは、自由です。
  企業規模によっても、適切なレベルは異なるはずですから。
  ただし、やはり「核に対するマネジメント」と混同してしまうと、
  マネジメントレビューの位置づけが曖昧になるので注意が必要です。