ISO認証制度：部分的にICTを利用した審査の有効性の言及

組織の仕事の仕組み（マネジメントシステム）が国際規格に適合し、有効に機能しているかを第三者が審査し、世間に公表するISOマネジメントシステム認証制度がある。

このISOマネジメントシステムについて、最近、個人的に気になっている点を備忘録代わりに、何回かに分けて少しまとめておきたい。

今回のテーマは、「部分的にICTを利用した審査の有効性の言及」について。

コロナ禍で経済は停滞しましたが、逆に急激に普及したことは、「リモートワーク」ではないでしょうか。

マネジメントシステム認定認証制度においても、ご多分に漏れず、いわゆる「リモート審査」や「リモート会議」、「リモート審査員研修会」などが一般的になりました。

マネジメントシステムの認定、認証審査では、ICT（情報通信技術）を利用する場合のルールが、IAF MD4で規定されています。

MD4の要求事項は、割愛しますが、主な要求事項の概要を以下に挙げます。

《セキュリティ要求事項》

・ICTを利用する前に、受審者と審査側との間で、セキュリティ規則を合意する

・ICT利用について合意が得られない場合、別の方法を使用しなければならない

《プロセス要求事項》

・ICTの利用ごとに審査の有効性に影響を及ぼすリスク及び機会を特定し文書化する

・ICT利用が提案された場合、申請レビューは、必要なインフラの確認を含める

・審査計画は、ICTがどう活用されるのか、特定するものでなければならない

・ICT を利用する際には、情報通信技術を理解し、活用する力量をもたなければならない

・ICTを利用する場合、審査工数に追加審査工数の要因となる

・審査報告書及び関連記録は、ICT利用の程度とICTの有効性を示さなければならない

つまり、（注1）

・審査にICTを利用する場合は、セキュリティ規則を含め、双方の合意が必要

・審査にICTを利用する場合のリスク及び機会を特定すること

・審査計画にICT利用を明示することが必要

・審査でICTを利用する人は、力量があること

・審査でICTを利用する場合は、審査工数に追加必要になる可能性がある

・審査でICTを利用した場合は、審査報告書等にICTの利用方法と有効性の記載が必要

ということです。

私の知る範囲では、実際には、認証機関の審査方針や食品安全などスキーム要求により、フルリモート審査は実施せず、「部分的なICT利用」が多いようです。

「部分的ICT利用」は、「初回会議や最終会議」、「経営者インタビュー」、「本部から離れた場所にある営業所」といった限定的なケースから、製造プロセス（工場）や建設現場、サービス提供現場などの主要プロセス以外の「間接部門全てをICT利用で実施」というケースまで様々です。

ただ、「初回会議や最終会議のみICT利用」というケースでは、「ICT利用の有効性」が審査報告書等の記録で言及されていないケースが意外とあります。

現実的には、日常的に、組織が利用している会議システムを利用して、初回会議を実施する程度のことであれば、ICT利用のリスクは、殆どないと思われますが、MD4に従えば、程度問題ではありますが、「注1」に列記した事項は、明確にしておくことが必要です。

フルリモート審査や主要プロセスの部分的なICT利用については、「注1」の事項は実施されていますが、そうで無い場合も、ICTの有効性評価が必要だと言うことを忘れないようようにすることが必要です。

（※　自分を変える“気づき”ロジカル・シンキングのススメ　メルマガ785号より）

【好評発売中！】

『事例で学ぶコンプライアンスⅠ』

（トータルEメディア出版）

『できるビジネスマンのマネジメント本』

（玄武書房）

【よかったらメルマガ読者登録お願いします♪】↓
（パソコンでアクセスしている方）