ISOは国際標準規格なのに、「標準化が遅れている」とは何事なのか？ しかしながら、これは事実です。これまで、ISO9001（品質マネジメントシステム）、ISO14001（環境マネジメントシステム）など多くのマネジメントシステムの章立ては、それぞれ勝手な章立てで構成されていました。それが現在では、マネジメントシステムを標準化するための規格が出てきており、ISO9001:2015やISO14001:2015では、各規格の要求事項の章立てなどがほぼ統一されました。

さて、この「標準化されたマネジメントシステム」は、単に章立ての問題を解決するだけではなく、もっと大きなポイントがあります。そうしたポイントも含め、標準化されたマネジメントシステムの構築・運用は、まだまだこれからという状況です。そこで今回は、あえて規格の言葉はできるだけ使わずに、新たに標準化されたマネジメントシステムに取り組むときのポイントを三つに絞ってお話したいと思います。

ポイント1：リスクアセスメントは、トップマネジメントが本当にやっている内容を示す

１点目は、「リスクアセスメントは、しかるべきトップマネジメントが本当にやっている内容を示す」という点です。情報セキュリティのリスクアセスメントのやり方はこう、品質リスクはこうなどと個別のリスクアセスメントがあるのは、そもそもおかしな話です。会社を経営するにあたって、経営者は日々必ずリスクアセスメントしています。リスクアセスメントをどうやっているのか、まずは、その事実が土台になります。

また、そのリスクアセスメントは目的ではありません。あくまでもトップマネジメントの意思による会社の目標があり、それを支える施策があるから、何がリスクなのかを特定できるわけです。だからこそ、その目標達成に向けて安心・安全に邁進するために会社としてどうするかを、トップマネジメントが意思決定できるのです。新たに標準化されたマネジメントシステムでは、そうした本質的なことを求めており、コンサルタントや審査員がそのやり方の良し悪しを決めるのはお門違いです。「本当はそんなことじゃないんだけどなあ」は、規格も求めていません。即刻止めましょう。

ポイント2：決まり事は、適合性だけではなく有効性を評価する

2点目は、「組織が定める各種決まり事は、適合性だけではなく有効性を評価する」という点です。審査の際に、規格が求めている内容に適合しているのかばかりを考えていないでしょうか？ しかし、会社の経営にとって役に立たないルールを作るべきでないことは、誰が考えても明らかです。

標準化された規格では、マネジメントシステムを監視・測定・分析・評価するよう求めています。なんらかの新たなルールを取り入れたとき、すぐにその評価はできません。規格の要求事項に適合しているかどうかということよりも、十分機能しているか、有効性があるのかどうかが問題です。それを明らかにするために、常に監視し、測定し、分析し、評価する必要があるのです。

ポイント3：なんでもかんでも文書化する必要はない

3点目は「なんでもかんでも文書化することを求めていない」という点です。文書が必要かどうかは自社が判断すべきものです。より良い組織の活動にするために必要なら文書化するし、邪魔ならしない。規格ごとに確認は必要ですが、規格の標準化にあたり文書化に対する明確な要求は格段に減っています。

さて、こうした変更は、認証取得そのものが目的になって規格に振り回されることのないように考えられてきたものです。ですので、そうした意図をぜひとも理解し、ポイントを押さえておきましょう。会社のマネジメントは、もともと一つです。どんなマネジメントシステムも、それぞれが親和性の強いものとして、一体として考えて運用する。それが、最先端のやり方です。 （大塚商会ウェブサイトより転載）