不適合と観察事項はどちらが重いか！？ そんな問いかけを監査中に受けたことがありますが、 どちらもシステムのリスクであり改善のヒントですね！ それぞれの定義で言うと、 不適合は要求事項を満たしていない場合、 観察事項はその予備軍若しくは改善項目の指摘です。 監査員からすると規格に定義されていることが、 システムの有効性を図るための全てではないので、 敢えて観察事項で改善のヒントを提示することがあります。 観察事項なら受け入れるが不適合なら納得できない！ 昔の監査光景でよく見受けられたやりとりですが、 現在では監査を有効に活用して改善のヒントを見つける、 この様なクライアント様が増えてきている様に感じています。 皆様の会社では如何ですか！？

マネジメントシステムのプロセスにはチェック機能があり、 認証取得組織では内部監査をそれに当てています。 内部監査員には力量が求められており、 必要な教育を実施してチェック機能を強化しています。 それに対して日々の活動状況をチェックする仕組みとして、 検査の機能を持たせている組織も見受けられます。 製品検査とは違ってプロセスの検査に該当しますが、 例えばセキュリティパトロールがそれに該当します。 どちらもマネジメントシステムを運用してゆくには とても大切なプロセスなのですがそれぞれ意味合いが違います。 検査は日々の活動を確認する意味合いがあって、 運用を徹底してゆくためには一定の効果があります。 監査はプロセスの実施状況を監視する機能があり、 マネジメントシステムの有効性を評価する役割があります。 また内部監査員を養成することにより規格の理解を深め、 マネジメントシステム自体の強化につながる効果も出ています。 監査と検査、２つの機能を旨く活かした運用が重要ですね！

ネットスクエアのASPサービスとして、 ISO認証支援ツール「ISO-SQUARE」と、 セキュリティ教育ツール「Net-Learning05」があります。 それぞれクライアント企業様に利用して頂いているのですが、 最近では認証取得後の維持管理に活用頂くことが多いです。 ISO-SQUAREは、文書の改訂は配布がネットからできるので、 それらを担当コンサルタントと共有することで改善指導が受けられます。 Net-Learning05はISOの要求事項である年１回以上の教育により、 情報セキュリティに関するコンテンツを提供させて頂いています。 特にプライバシーマークの認定を受けた中小企業様には、 月々２万円（税別）からという低コストでのサービスが人気です！ ネットスクエアのＨＰから是非お試し下さい！

マネジメントシステムの構築はコンサル主導でもできますが、 構築されたシステムの運用はユーザ主導でないと実施できません！ 業務分析からマニュアルの作成および規程類の整備までは、 決まったプロセスに従って実施しておけば何とかなるのですが、 方針展開から目標管理、ルール通りの運用、記録の保管等は、 普段の業務の中に浸透させないと負荷が増えるばかりです。 それらの準備が整ってはじめて内部監査で実施状況の確認をし、 マネジメントレビューで改善活動の評価を行っていくのが通常ですね。 システムの運用には時間をかけてもいいのでしっかり定着させて、 その成果をISO認証といった称号で評価を受けて欲しいですね！

先日IPv6とNGNのお話しを聞いてきました。 これまでインターネットの世界ではIPv4を使っていたのですが、 爆発的な普及によりIPアドレスの枯渇が問題になってきており、 それを改善した技術がIPv6となる訳です。 簡単に言えばIPアドレスの有効数が大幅に増加し、 1対1で直接通信することができるようになります。 そのため幾つかの付加サービスを受けることになります。 セキュリティの向上もそのひとつなのですが、 技術的セキュリティの世界はイタチごっこですので、 IPv6でインターネットは安心とは行かないでしょうね。 NGNとはその技術を活用したいくつかのサービスの総称で、 Next Generation Networkの頭文字を取ってNGNなのですが、 日本語でいうと次世代通信でいつまでも経っても次世代なのですね。 家庭の電化製品がインターネットで接続されると効果が出てきそうです。 勿論そこに新たなビジネスが生まれる訳で将来楽しみです。。。

最近小規模事業者からのプライバシーマークへの 問い合わせ及び引き合いが増えてきています。 そう言った場合に、 個人情報の数が少ないからプライバシーマークが 簡単に取得できると言った誤った認識があります。 個人情報を１件取得していても１万件取得していても プライバシーマークを取得するまでのプロセスは同じです。 違いは個人情報の評価と維持管理の負担が減ってきます。 逆に個人情報に対する安全対策は新たに増えてきますので、 それに対応する設備投資は割高になってくるでしょう。 時間と手間暇をかければプライバシーマークは取得できますが、 それに当てるキャパがないのでコンサルに依頼するのですから、 時間とノウハウを外部から購入していることになってきます。 重要なのはプライバシーマークの取得よりも 個人情報を守っていく仕組みであることをお忘れなく！！！

GWの休暇を利用して伊勢神宮へ行って来ました！ 前厄のお祓い訪れたのですがとても神聖な気持ちになりました。 ただ大型連休とも重なって大勢の人集りで歩くにも大変でした。 伊勢神宮には外宮と内宮の２カ所があり内宮が中心だそうですが、 滅多にいける処でもないので両所ともお参りしてきました。 内宮の参道には「おかげ横町」といった場所があり、 伊勢うどんや赤福のお店に行列が出来ていました。。。 勿論私たちもその中に並んで順番をじっと待っていました！ これで前厄の厄払いができたのでまた１年しっかり働きたいと思います！

ISO認証取得企業から内部監査員研修の依頼がよくあります。 最近では内部監査自体を委託されるケースも増えてきています。 Plan-Do-Check-Actのマネジメントシステムのサイクルの中で、 チェック機能にあたる内部監査の認識が高まっており、 それに内部統制が加わり益々重要度が増してきています。 内部監査のポイントとしては、 ・規格が求める要求事項 ・組織が定めた要求事項 ・法令、規制要求事項 の３つを満たしているか適合性評価をするのですが、 それだけでなく効果的に運用されているかどうかを診る 有効性評価を求められている企業も増えてきていますね。 内部監査員教育を実施し内部監査員を養成することにより 組織のマネジメントシステムの意味を初めて知ることは珍しくなく、 マネジメントシステム定着のための監査員の強化はお奨めです！

最近コンサル先や審査先からこのブログを見ているとよく言われます。 コンサル先からのコメントはこれまでも何度かあったのですが、 審査先で私のブログを知っていると聞くと一瞬ドキっとしますね。 どうして知っているのですか？と聞き返すと笑ってすまされます。。。 因みに私の名前で検索サイトで調べてみるとすぐに出てきました。 インターネットが普及してリサーチは本当に容易になったのですね。 私は経営者の立場、コンサルの立場、審査員の立場と３つの顔があり、 それぞれでの経験は色んな場面でとても参考になっています。 それはなかなかできない貴重な経験だとありがたく思っています。 特に監査先でのトップインタビューではビジネス雑誌に載っている対談を、 普段は会えない経営者と実際に経験できるのですから役得ですよね。。。 勿論仕事はきっちりやっていますのでご安心を。。。

ネットスクエアでもISO9001を認証取得しています。 その定期監査（５年目）が先日行われました。 これまでは審査員の立場が多かったのですが、 受審者の立場になるとまた違った感覚です。 特にシステムの改善に繋がる指摘を頂けると 組織にとってもスタッフにとっても大変ありがたく、 いいこと言ってるな～と感心して聞いていられます。 特に何故必要なのか考えさせる質問がいいですね。 私も監査の中では形式的なやりとりではなく、 改善する意欲を沸きたてる質疑応答を心掛けています。 ただそれはとても難しく相手の立場になってみて、 改めて監査の有効性について考えさされました。。。