19.08.19
規格が改定されると新たに追加された言葉が、どんな意味なのかがいつも議論になる。早くは1994年のISO9001の1回目の改定で、「データ」という言葉が現れたときだ。定義がなくて、業務で使うアプリだとか、NCプログラムだ、いやJIS用語のデータそのもので調査結果や測定結果だと諸説紛々であった。
私も改定後最初の審査のとき確固たる考えもなく、なるようになれと自然体というか諦めというか、何も考えずに対応した覚えがある。そのときの認証機関は国内最大手のJQ▲だったが、「御社がデータに該当するものを定めて、それをしっかりと管理していれば良い」と言われて、そんなものかと思った記憶がある。後で考えると審査員もひょっとして認証機関も、データとは何か分からなかったのではないか。
その数か月後、別の製品を認証していた外資系認証機関B▼●I社の審査を受けたとき、「データってフォームのことです」と言われた。要するに文書で定義した用紙様式とか記録用紙のことだという。
なんだ、そうだったのかと思いましたね。今は知りませんが、当時はB▼●I社のトップはイギリス人で、日本人審査員もプロフェッショナルばかりでしたから、その発言に間違いはないと思います。
だったら日本語に訳すとき「データ」などと言わずに、「様式」としてくれたら無用な混乱が防げただろうと思います。翻訳した国内委員会が知らなかったのかもしれません。
ご存じと思いますが、ISO9001認証開始当時、記録用紙は文書なのか記録なのかと議論になった。ISO9001も未完成だったのだろう。
おっと、今だって完成したわけではない。むしろ改定のたびに劣化していると考えている。
さて、2015年改定で現れた新しい言葉と言えば「リスク」でしょうか。2015年版では共通テキストという発想で、どのMS規格でも構造や用語を共通にするという発想で作られている。ですからどのMS規格でも「リスク及び機会への取り組み」という項番が存在するわけです。
ともかく2015年改定から4年が過ぎて、「リスク」という言葉も、もうリスク()ではなくなったことでしょう。4年も聞いていると、なこと以前からしていたことじゃないかとなるのは当然です。だってISOMS規格というものは過去から考えられていたことを後追いで文書化したものであり、規格で新しいアイデアを布教しようなんてするわけではありません。
PDCAでも是正処置でも内部監査でも、名前はどうあれ似たようなことはどの会社でもしていた。はっきり言って、規格に書いてあることなんか以前からしていたよという会社が過半を占めるでしょう。
だからこそ2015年以前のISOMS規格には「組織がこの規格の要求事項に適合した品質マネジメントシステムを構築するに当たって、既存のマネジメントシステムをこの規格に適応させることも可能である(ISO9001:2008序文0.4)」と書いてあったのだ。2015年版になったとたんに俺様偉いと勘違いして、その文言を削除してしまったけど……
本日はリスクを基に一つひねってみようと考えた。同じことを過去に書いていないだろうかとHDを全文検索するとひっかかった。そのときリスクと機会は認証を受ける組織だけでなく、認証機関にも適用されると考えた(妄想した)ことがあった。
みると、なんともう2年も前のことではないか。忘れていたとは、いかに私のボケが進んだかということだ。いやボケではなく時間が進んだということにしよう。
まあ、悲しいことは置いといて、本日は前回とちょっとニュアンスを変えて認証機関のリスクを考えてみた。
実はというか、既にというか、認証機関にとってのリスクは論じられている。
エッなんて言われると困る。ISO17021-1:2015を見よ!
ISO17021-1には、リスクに関係する項番は次のように多々ある。
- 4.8 リスクに基づくアプローチ
認証機関は、力量が確保された、一貫して公平な認証を提供することに関連するリスクを考慮する必要がある。リスクには、次の事項に関連するものを含む場合があるが、これに限らない。
−審査目的
−審査プロセスで用いるサンプリング
−実在し、認識された公平性
−法的、規制上及び債務の問題
−審査を受ける依頼者の組織及びその活動環境
−依頼者及びその活動に対する審査の影響
−審査チームの健康及び安全
−利害関係者の認識
−被認証組織による、誤解を招く表明
−マークの使用
- 5.2.3 最終行
トップマネジメントは、残留リスクが容認可能な水準にあるかどうかを決定するために、すべての残留リスクをレビューしなければならない。
リスクアセスメントプロセスには、透明性及び一般社会の認識を含む公平性に影響する問題について助言する、適切な利害関係者の特定及び適切な利害関係者への諮問を含めなけらばならない。適切な利害関係者への諮問に当たっては、いずれかの利害関係者だけに偏らないように均衡をとらなければならない。 - 5.3.1 認証機関は,認証活動から生じるリスクを評価し,活動する分野及び地域における運営から生じる債務を担保できる適切な処置(例えば,保険又は準備金)を講じていることを実証できなければならない。
- 6.2.1
詔証機関は、支社、提携先、代理店、フランチャイズ加盟店などの法的地位,関係又は地理的所在地にかかわらず、これらが行う認証活動を、効果的に管理するためのプロセスをもたなければならない。
認証機関は、これらの活動が認証機関の能力、一貫性及び公平性にもたらすリスクを考慮しなければならない。 - 7.2.9 認証機関は、審査及び他の扉証活動に関与する全ての要員による的確な業務の実施を確実にしなければならない。要員の起用の頻度及びその活動に関連するリスクの程度に基づいた、関与する全ての要員の力量及びパフォーマンスを監観するための文書化されたプロセスがなければならない。特に.認証機関は、教育・訓練の必要性を特定するために、要員の力量をその実績に駆らしてレビューし、記録しなければならない。
- 9.1.4.2 認証機関は、審査工数を決定するに当たって、特に次の側面を考慮しなければならない。
中略
g) 組織の製品、プロセス又は活動にともなくリスク - 9.4.3.2 入手した審査証拠が、審査目的が達成的ないことを示しているか、又は緊急で重大なリスク(例えば、安全上のリスク)の存在を示唆している場合、審査チームリーダーは、これを依頼者に報告しなければならない。
- 10.2.5.2 マネジメントレビューへのインプット
マネジメントレビューへのインプットには、次に示す情報を含まなければならない。
中略
e)リスクヘの取組みの状況
上記要求は必要十分なのかは検証できませんが、概ねは納得できるでしょう。
ともかく認証機関にはISO17021-1で規定されたたくさんのリスクがあり、それにいかに対応するかも決められていることが分かります。じゃあそれに、しっかりと把握して対応しているかが気になります。
あっ、あなたは気になりませんか?
商取引のために、一生懸命お金をかけて人手をかけてISO認証を頂きました。ところがその認証機関が認定機関の認定審査で手抜きやミスが見つかり、
認定取り消しとか停止になって、あなたの会社が入手した審査登録証が絵に描いた餅になった! なんてことになると、大変でございます。いや、そういうことはないことではなく、毎年1件くらいそんな事件が起きているのでございます。
ともかくそういうことのないように、認証機関がしっかりとリスク管理をしているかを、認証を受けている会社も目を光らせいないと銭失いになるかもしれません。
さて我々は認証機関を審査する認定機関じゃありません。単に認証審査を依頼するだけの組織にすぎません。すぎないといっても我々が存在しなければ、認証機関も認定機関もオマンマの食い上げで倒産しちゃいますけどね……
とはいえ、認証機関のリスク全部について監視するのは骨でございます。
我々認証を受ける企業から見た認証機関のリスクはなにかとなると、認証を受けた企業がダメージを受けるものと考えるとどんなことでしょうか?
審査力量がある・なしは重要でございます。いくら他社に評判を聞いてみたとか、コンサルタントに聞いて認証機関を選んだといっても、そんな情報が当てになるわけはありません。
実際に審査を受けてみると、規格解釈に癖があるとか審査員にバラツキがあることもあるでしょうし、礼儀作法とはいわずともビジネスマナーがなっていないとか、俺様審査員とかいろいろあるわけです。
もっと重要なこともあります。もし審査結果で金品の被害が生じたら、認証機関は賠償する力があるかということです。
当社はISO審査で問題が起きても裁判とか損賠賠償など要求しないという横綱相撲なら問題ありませんが、審査員にこうしろと言われて、やってみたら大変な損失が出れば等閑できません。
いえ、これは例え話ではなく21世紀初めに某大手電鉄会社が大手商社に土地を売ったのですが、その土地に土壌汚染が見つかり、その電鉄会社はISO14001を認証していたために、認証機関ともめたと聞きました。裁判まで行かなかったようですが、今認証組織を検索してみると、その電鉄会社は認証機関を鞍替えしていました。
そこまで行かなくても、審査の際に法的届け出が漏れていると指摘されて、行政に相談したらそれは不要ですという回答を得た場合、それにかかった手間暇を認証機関に損害賠償することは可能でしょう。問題がなくて良かったと笑える人もいるでしょうか? 次回からその審査員は拒否するのは最低ラインでしょう。
おかしいですか?
ISO17021-1:2015では7.2.5で
認証機関は、一般的な審査の技能及び知識に加え、特定の専門分野の審査に適切な技能及び知識をもつ審査員及び審査チームリーダーの起用を含め、効果的な審査を達成し、それを実証するプロセスをもたなければならない。
と定めています。
これを遂行できなければその認証機関は認定を受けられるはずがありません。「プロセスを持てばいいんだ」という理屈はあるかもしれませんが、達成できないことを実証してしまった以上はその理屈は通らないでしょう。そんなことを強弁したら、審査でも相手から強弁されてしまいます。
認証機関の審査力量は客先からのフィードバック……つまりPDCAだ……を適切に反映していただくしか外部としては手がありませぬ。有効なのは鞍替えでしょうけど、
審査見積もりと実施して見たら違った。その費用の差額はどうでしょう?
審査の計画の立てて、現地で審査してみたら、予想したより時間がかかってしまったというなら、そのときは追加費用を請求されるのか、それとも工数見積もりが不適切だったのか、どうでしょう?
ウェブにアップされていたいくつかの認証機関の審査案内&イクイバレントを眺めると、追加費用を頂きますと明記してあるのはありませんでした。
すると見積もり違いは認証機関のリスクであって、審査を受ける組織のリスクではないようです。
次なる事業継続性、事業そのもののリスクはどうなんでしょう?
ちなみにISO14001では6.1.1で「外部の環境状態が組織に影響を与える可能性を含め、望ましくない影響を防止又は提言する」ことに取り組む必要があるとしています。
環境とはいわゆる「(守るべき自然)環境」ではなく「組織の活動をとりまくもの(3.2.1)」ですから、経済的なことや製品にまつわることも入る事業的な環境も含むでしょう。そうでなければ環境製品とか環境性能という発想が出てこない。単に製品の環境側面への対応とも言えるけど、現実問題としては事業継続のための圧力の方が断然大きい。
そうしますと、今 製造あるいは販売している製品が売れなくなってきている、ライフサイクルの末期になっているという場合、6.1.1を読めば「組織は事業活動を外部環境に合わせて見直していかなければならない」ということになりますね?
今のISO第三者認証制度つまり認証機関、認定機関を取り巻く環境を見渡せば、毎年認証件数が減少し、売り上げ規模が減少している。当然これは「外部の環境状態が組織に望ましくない影響を与えており防止しなければならない」状況です。この現実を踏まえると、早急な対策が、いや策だけでなく実効性のある行動が必要になる。
上図はISOMS認証件数のグラフですが、これを見れば過去10年間、単純減少を続けているのがわかります。
ここで考えることがたくさんあります。
己のリスク対応ができない組織(認証機関)に、他社のリスク管理を審査する力量があるのかどうか?
自分の問題を解決できなくても他人の問題を指摘することはできる、という理屈もあるでしょう。錦織を教えた修三は錦織ほど成績を残したわけではありません。でも修三は素晴らしい選手であったのは事実です。日本では昔から「己の頭の蠅を追え」と言いますし、イエスキリストも「なぜ、兄弟の目にあるちりを見ながら、自分の目にある梁を認めないのか(ルカによる福音書・第6章41)」と語っています。
やはり認証機関としては、己の力量を示してからでないと、客にリスク管理をどうしているとはいいがたいのではないでしょうか? そんなに気を使っている審査員はいませんか? 受ける方としては気を使った欲しいですよね、
認証機関はそうでなくてもいいのだと強弁するのは、類似の職であるコンサルタントなどを考えるとできないだろう。もし指導した会社で指摘がたくさんあれば、そのコンサルタントは忸怩たるものでしょうし、評判がた落ちです。
ここはひとつ、さすが認証機関だと言わせなくちゃなりません。あそこはビジネス環境が逆境であったにもかかわらず、それを跳ね返して認証件数急上昇だといわれるところには、ISO認証なんてどうでもいい、ぜひそのビジネス戦略を教えてたもれと審査依頼が殺到するに違いありません。
おっと、今現在 注文殺到している認証機関はどこでしょうか?
いやいや、ご安心ください。
ISO17021-1では、リスクを把握して、文書化したプロセスがあって、レビューして、記録すれば良いようです。
すると我々が認証審査を受けるときも「御社はリスクと機会をどのように……」と聞かれたら、動じることなく「しっかりと把握して、文書化したプロセスがあって、レビューして、記録してます」と言えば大丈夫でしょうか?
ちょっと待てよ、ISO14001 6.1.1では「環境マネジメントシステムが、その意図した成果を達成できると言う確信を与える」ことと「望ましくない影響を防止または低減」しなければなりません。我々企業は「お手本を見せて欲しい」と返すのは反則になるようです。
認証機関の経営状態は健全なのでしょうか?
財務諸表を公開する義務をもつ認証機関は皆無のようです。個人企業もしくは株式未公開、業界団体設立、財団法人の兼業などばかりですから。
売上が最盛期から半減しても、固定費や変動費の削減に努めて今も利益を出しているのか、ちょっと気になります。オフィスを丸の内から神田に移したり、社員を減らし契約審査員を増やしてもそんなに変わらないと思うのですが。
数年前ですが認証機関設立にあたり、資本金や財務状況の申告するルールを見た記憶があります。今、いろいろとググったのですが、見つかりませんでした。
それからイギリスのGoogleで「Bankruptcy + ISO + certification body」で検索しましたが倒産した企業の認証機関の扱いしか見つかりませんでした。
ともかく認証を受けている企業から見たリスクは情報不足という点で大きいでしょう。
とはいえ認証を受けている企業があって、その認証機関が倒産したとします。このときの認証を受けている企業のダメージはいかなるものでしょうか?
まず審査登録証は次回審査まで有効でしょう。倒産したとはいえ、その後のフォローはするでしょうし、しなくてもJABが審査登録証の有効期限までは有効であると宣言すると思います。過去の認定停止などでもそうでしたし……
次回審査の時期になる前に、複数の認証機関が「今度はわが社に」とお土産と審査依頼書類一式をもってお邪魔するでしょうから、心配ありません。
となると、認証機関の財務状態は認証を受けている企業にとってリスクではありません。むしろ認証機関鞍替えすることで改善とか費用逓減の機会になることが期待されます。
代わりになる認証機関がない……ということはそのときは第三者認証制度が崩壊しているわけで、もう改めて認証を受ける必要はないでしょう。
結論として、認証を受ける企業が認証機関をリスクと考える必要はさらさらないようだ。
本日の裏話小説もどきも終わって、これから少しISOの解説でも書こうかと2015年版のISO9001とISO14001を読んでいる。いってみればリハビリテーションである。
するとおかしいぞ!と思うことが多々ある。いや数え切れない。
いろいろ頭に浮かぶのだが、歳を取ったせいですぐに忘れるので、とりあえずひとつ文にしたためた。
外資社員様からお便りを頂きました(2019.08.22)
おばQさま 連載が終わっても、泉の如く文章が涌いてくる。 素晴らしい頭脳で羨ましいです。 私のような原稿を書き終わると、しばらく書きたくなる怠け者からみると感心してしまいます。 お書きの内容はいつものように大変参考になりますが、別の観点でふと思いました。 「トップマネジメントは、残留リスクが容認可能な水準にあるかどうかを決定するために、すべての残留リスクをレビューしなければならない。」 確かに言われる事は判るのですが、マネジメントの観点で見れば、これは守りの面での考え方ですよね。 観点を変えれば、リスクを上回るゲイン、利益があれば、許容可能な水準そのものを変える事が出来ます。 この考え方は、一面では危険ですが、それを含めて判断するのがマネジメントとおもいます。 認証の時に、リスク云々で言われた時に、それを上回るゲイン(利益)があるという事をいったならば、認証機関はどう判断するのか非常に興味があります。 まともな審査員ならば、リスク判断は、その会社の基準だから、自身が判断できないものとして受け入れると思います。 注意事項として特記するのか可能とおもいます。 勘違い審査員ならば、判断基準がオカシイとかいうかもしれません。 この考え方が危険だと言うのは、ある意味 ゲインが期待出来れば、リスクを無視する事にもなってしまう点。 戦前の軍部の暴走がまさにこれで、奇襲や国際法無視、暗殺などで相手を攻撃すれば、一次的な勝利を得る事は可能。 それをもって利益と言えば、その通りだが長期的には成り立たない。結局 リスクの軽視が国を誤りました。 蛇足ですが、今の韓国で盛り上がっている克日騒動も、短期的に見れば勝った様な自己満足が得られますが、長期に見れば出口が無い行き詰まりで似ております。 結局、何を言いたいと言えば、リスクやゲインの判断は、ある程度の時間軸の中で判定しないと無意味だという事と、ISO認証の中では そうした事は書いていない?から時間軸を含めた判断の責任はマネジメントにあるのだという、当たり前の事でした。 いつもながら、まとまりのない意見で済みません。 |
外資社員様、毎度ありがとうございます。 リスクをどう判断するのかということは、その組織の裁量です。だって審査員がその会社の内情を知るはずがありません。 おっと、そんなこと私の一存(?)では断言できません。偉大なる品質監査の方法論を確立した故L.M.ジョーンズが「会社のことを一番知っているのは会社の人だ」と言っています。 どんな方針でも、計画でも、受容できる品質コストでもリスクでも、審査員が判断できるわけありません。 審査員が判定できるのは、「その会社がリスクを評価する基準と仕組み、対応する手順があり、そして実行しているか」しかありません。絵に描いた餅ではいけません。 では開戦とかクーデターなどの際の、決定手順、基準があったのかと大日本帝国憲法をみると…… 「第13条 天皇は戦を宣し和を講じ及び諸般の条約を締結す」 とありますが、これを読むと単なる国事行為とも思えるし、決定権があるようにも思えます。マッカーサー憲法もいいかげんですが、大日本帝国憲法よりは具体的です。 こういうのをISO的には手順不足と言いまして、上記の手順・基準が定めていないことで不適合でしょう。 私なら 第13条 次のすべてを満たす場合、内閣は開戦を決定する。 1 国家の損益、安全保障、名誉、その他を考慮して武力行使の必然性がある 2 外交交渉で妥協できないことが明白である 3 戦いが勝利に終わる可能性が55%を超える (2) 天皇は内閣の開戦決議を受けて次を行い、承認して宣戦布告するまたは開戦を拒否する。 1 内閣総理大臣及び関係大臣から説明を受ける。 2 必要に応じ枢密院の意見を求める。 とでもしましょうか? 条文はさってばさと書いたので必要十分は吟味してません。手順・基準とはこんなものよと示しただけです。そこんとこはあまり突っ込まないでください。 *「さってばさ」とは福島県の方言で、すぐにするとか、深く考えずに処理することです。 いずれにしても旧憲法の13条(だけではないでしょうけど)はISO的には手順不足として不適合ですね。 |
外資社員様からお便りを頂きました(2019.08.23)
おばQさま さすが、こういうお話しになると冴えております。 >こういうのをISO的には手順不足 なるほど、そういう見方が出来るのですね。 そういう意味では「輔弼」もあいまいな概念で、 55条「國務各大臣ハ天皇ヲ輔弼シ其ノ責ニ任ス。凡テ法律勅令其ノ他 國務ニ關ル詔勅ハ國務大臣ノ副署ヲ要ス。」とあります。 当時でも解釈上の諸説があり、天皇が輔弼を拒否できるのか、輔弼の責任とは何かが議論になり「天皇機関説」が出て来ました。 これも、確かに手順不足が原因だからで、議論があれば、それに基づいて修正すれば良いのに、当時でも「不磨の大典」と、変更を拒む人々がいたようです。 憲法もISOも、国家や組織の為の規定である限りは、状況に合わせて修正、改定が望ましいですね。 ご教示、有難うございました。 |
外資社員様、毎度ありがとうございます。 昨日書いた上記は、手順ばかりでなく基準(55%など)まで書いているので、これは書きすぎです。規則の体系上いけないと反省します。 規則は手順だけ、基準は別物で定めるべきでしょう。 おっしゃる「ほひつ」ですが、定義ってあるのでしょうか? 単なる言葉だけとなるとあいまいですね。明治憲法もマッカーサー憲法も似たようなもの、更に改憲を阻止する勢力が右にも左にもいては、21世紀憲法でも作らないとだめですかね? 前途多難です。 |
うそ800の目次にもどる