システムの有効性に関する確認の話です。
審査後に審査側が作成する報告書の中に、下記の表現を良く見かけます。
「有効的に機能している」
「有効的に実施している」
類似する表現は多種多様だと思いますが、ここに違和感を感じることが多いわけです。
前後の文章次第ではあると自分でも分かってはいるのですが、「マネジメントレビュー」「内部監査」という単語が前後に入っていると、胡散臭いというか、ぶっちゃけ「それって本当にそうなの、違うんじゃない? それでいいのかISO」など、様々思うわけです。
レビューや内部監査実施の有無が、ISOというツールの使用状況を判定するのに値するのでしょうか?しかもそれが有効かどうかの定規になるんでしょうか?
前回の指摘(メジャー、マイナーより下の改善の機会又はそれに相当する項目)に対してレビューをしているとか、指摘に対応しているなどの確認も同様です。
ISOの審査って、「ISOをいう経営ツールを使いこなしているか?」の一点に集約されるんじゃないの?と。
内部監査をしなさいとか、マネジメントレビューをしなさいとか、そういうのはツールの項目の一部分であって全体ではないのだから、トピック(題目)として取り上げているのを見ると「それだけしか確認してないの?」と感じちゃうんですよね。
報告書で、一部分をピックアップして記載する意図がわかんない。
しかも毎回、結構な頻度で(下手をすれば毎回)同じ項目(内部監査とレビュー)を取り上げるんですわ。
こうも同じ項目を多く見かけてしまうと、「何処がサンプリングなんだよ」と感じてしまうんですよね。
お前ら(監査側)の法規制登録簿には「サンプリング法」は適用対象外なのかよ!と。
マネジメントツールが「有効的に機能している」ことを評価するには、当然同様に審査の手法も「有効に機能している」必要があるわけです。
監査する側が「有効に機能している」ことは当然、トレーサビリティーの証明書としてJABが保障しているわけではありますが、報告書に「有効的に機能している」という記載を見かけると、どうにも機能不全を起しているんじゃなかろうかと。
では、有効かどうか?についてでしょう。
もともとISOの規格要求ってのは、本来やって当たり前のことが書いてあるだけです。
元々やられていたことを、システムの規格要求事項に落とし込んだものでしかありません。
であれば、有効性の有無は事業が継続している又は継続する見込みがあるかどうか?という業績状況を指すもので判断が付くのではないでしょうか?
(もちろん、バーチャルシステムであればまた違うんでしょうが……)
であれば審査は何をするのか?と言えば簡単で、企業の定めた規定に則って社員が働いているかどうか?という部分に大部分が集約されると思っています。
確認するべき事項は、社員が自社の規定内容を把握しているかどうか?という、審査のほどんとが社員へのヒアリングに終始するのではないでしょうか?
社長や部長に対しては、社員への教育・指導状況や、自身に対する「監督者として」どういった職責にあり、その職責に対してどのような行動を起こしているのか? それは適切であるか? という部分に集約される。
いわゆる事務局といった規定を管理する部門に対しては、あるべき規定の抜けがないかどうかのチェックくらいでしょうか。まぁ、記録の管理状況なんかもあるやもしれません。
「有効的に機能」
という言葉は、そんなに軽いものじゃないと思います。このくらいやって初めていえる言葉なんだと思います。
ISOから離れてずいぶん経った今だからこそ言える言葉かもしれませんが、、、、
久しぶりに見た最新の報告書見て 「進歩ないなぁ」って思いました。
中身もなければ、言葉も軽い。
審査員の方々。申し訳ないが、もうちょっと使用する言葉の重みというものに注意してみませんか?
そうすれば、現状のISOの審査程度で「有効的に機能」 という言葉は、重すぎて使用できませんから。
