認証機関が作成する審査プログラムの作成(一時的サイト)について

組織の仕事の仕組み(マネジメントシステム)が国際規格に適合し、有効に機能しているかを第三者が審査し、世間に公表するISO認証制度がある。

 

このISOマネジメントシステム審査について、最近、個人的に気になっている点を備忘録代わりに、何回かに分けて少しまとめておきたい。

 

今回のテーマは、「認証機関が作成する審査プログラムの作成(一時的サイト)」について。

 

言わずもがなですが、企業や団体など「ISOマネジメントシステム規格の認証」を取得したい組織は、認証機関(審査登録機関)の審査を受審します。

組織は、取得を希望するマネジメントシステム規格が、例えば、品質マネジメントであれば、「ISO9001」、環境マネジメントシステムであれば「ISO14001」というように「認証基準となる規格」が決まっています。

 

では、認証機関は「どんな基準のもとで認証審査を実施」するのかというと、例えば代表的な規格として「ISO17021-1JIS Q 17021-1)」があります。

ISO17021-1では、認証機関が認証業務活動を実施するにあたって、満たすべき要求事項が規定されています。

 

例えば、認証機関は、組織審査を実施するにあたって「審査プログラム」を作成します。

ISO17021-1の「9.1.3審査プログラム」では、(以下引用)

 

9.1.3 審査プログラム

9.1.3.1 依頼者のマネジメントシステムが、選択した規格又はその他の規準文書の認証要求事項を満たしていることを、実証するために必要な審査活動を明確に特定した、認証周期全体に対する審査プログラムを策定しなければならない。認証周期に対する審査プログラムは、全てのマネジメントシステム要求事項を網羅していなければならない。

 

と規定されています。

 

詳細は、省きますが、審査プログラムの中では、組織の活動に「一時的サイト」や「シフト勤務」がある場合は、それらも考慮して審査プログラムを作成することが要求されています。

 

しかし、私の私見ですが、認証機関は「結果として一時的サイトやシフト勤務を確認している」のですが、「戦略的、かつ、中長期的な認証審査の計画的」に「審査プログラム」を立案して一時的サイトやシフト勤務を審査計画に組み込んでいるケースは少ないように思います。

 

つまり、例えば、審査プログラムの基本方針として「一時的サイトがあれば基本的には必ず見ます」として、「前回審査報告書を確認したら前回審査では一時的サイトを訪問していないので今回は訪問しました」的な、「パッチワーク的」な方法論(=戦略的、かつ、中長期的な計画的でない)が多いように思います。

 

認証機関に要求されている「IAF MD5:2015」には、

 

(以下引用)

一時的サイト

9.1認証の申請者又は認証を受けた依頼者が、その製品又はサービスを一時的サイトにおいて提供している状況では、そのようなサイトは、審査プログラムに組み込まれていなければならない。

 

9.2一時的サイトは、大規模なプロジェクトマネジメントサイトから小規模なサービス/据付サイトまであり得る。このようなサイトを訪問する必要性及びサンプリングの程度は、QMSが製品又はサービスアウトプットの管理に失敗するリスクの評価、又は依頼者の運営管理に伴いEMSが環境側面及び影響管理に失敗するリスクの評価に基づいていることが望ましい。

選定されたサイトのサンプルは、活動の規模及び種類、並びに、進行中のプロジェクトの各種段階及びそれに伴う環境側面及び影響を考慮した上で、依頼者の認証範囲、力量の必要性及びサービスの多様性の範囲を代表していることが望ましい。

 

9.3通常、一時的サイトのオンサイト審査を実施する。しかしながら、次のような方法は、オンサイト審査のいくつかを代替する手段とみなすことができる。

i)依頼者及び/又はその顧客との対面又は電話会議による面談又は進捗会議。

ii)一時的サイトの活動の文書レビュー。

iii)マネジメントシステム及び一時的サイトの審査に関係する記録又はその他情報が入っている電子的なサイトへの遠隔アクセス。

iv)有効な審査を遠隔的に行うことを可能にするテレビ及び電話会議、並びにその他の技術の利用。

(引用ここまで)

 

と要求されています。

したがって、「とりあえず、一時的サイトを見に行きました」では、「認定基準に適合」はしているかもしれませんが「適切かつ有効な認証審査だったか」という観点では、微妙です。

 

審査対象とする組織の事情や売上や顧客ニーズの変化といったトレンド、業態特性、法的要求といった側面を勘案して、重要度分類し、一時的サイトやシフト勤務の審査方法(訪問、文書審査、テレビ会議など)や頻度を決める(審査プログラム)べきなのでしょう。

 

ただ、認証機関の立場になって考えると、こうした理屈(ISO17021-1IAF MD 5)は理解できても、実際は「そこまで考えて審査プログラムを策定したくない」と考えるでしょう。

その理由としては、おそらく、

・審査プログラムの策定に時間がかかる(事務コストのアップになる)

・場合によっては、審査工数や移動経費が増える

・審査プログラムの策定に時間を割いたところで、顧客の信頼性向上につながらないし受注が増えるわけでもない

・したがって、できるだけ機械的に審査プログラムは策定したい

といった思考が働くからです。

つまり「努力が報われないことはやりたくない」のでしょう。

 

個人的には、認証された組織の顧客やユーザーが、その組織を審査した認証機関に対して「審査内容を開示できる仕組み」が必要かもしれないと思っています。

「ここまで戦略的かつ計画的に審査プログラムを策定して審査を実施していただいているのなら安心して認証された組織とお取引できます」というような評価がされるようなら、認証機関も努力すると思います。

しかし、現実的に、そこまで、ISO認証制度が活用される制度として社会に根付いていないので「認定基準を最低限でクリアしておこう」という思考になるのかもしれません。

(※ 自分を変える“気づき”ロジカル・シンキングのススメ メルマガ554号より)

 

【好評発売中!】
『ちょロジ ニュースで学ぶ7つの思考法』(パブラボ刊)
http://www.amazon.co.jp/exec/obidos/ASIN/4434176552/bloglogcom-22/ref=nosim/

【よかったらメルマガ読者登録お願いします♪】
(パソコンでアクセスしている方)

http://www.mag2.com/m/0000218071.html
(携帯でアクセスしている方)
http://mobile.mag2.com/mm/0000218071.html