組織を再編したら不適合にされてしまった?
この手の話は何度も出てくる。
ある企業の某事業所で、既存の部門からメンバーを募ってプロジェクトを立ち上げた。そのプロジェクトは新たな一つの部門として位置づけた。外部(関連会社)からもメンバーを入れた。
それが審査の直前に実施された。審査より事業優先。当然ですね。
歳は取っているが審査員では青二才の爺がやってきて、新組織として内部監査は実施したかと聞く。適用範囲は全社だから、組織変更前の部門では内部監査は当然済ましている。しかし、新部門としては内部監査は実施していない。リスクアセスメントの切り分けなどもまだ途中だ。
すると、この青二才は何を言い始めたか。新たな部門の拡大だから、今回の審査の範囲に含めることは出来ない。無理に適用範囲に入れると言うなら、不適合を出しますよ。とやった。
話の筋が悪い。組織の再編自体が適用範囲に含む含まないの問題は有り得ない。既存の適用範囲と比べて何が違うかを基本的に見てみる必要がある。サイト(端的に言えば住所)が追加されているかどうか。これは問題ない。同じ事業所ビル内だから。事業上の特徴の変化点の有無。新しいプロジェクトが従来のスコープ(事業概要)の範疇に収まるかどうか。これが全く新しい事業エリアでセキュリティ上の特徴も異なってくる場合は拡大審査が必要になる。既存事業と同列で新たなセキュリティの側面が加わらなければ適用範囲の変化なしと判断できる。
事業の変遷、組織の変遷は小規模なものはどの企業でもどの組織でも日常茶飯事。その都度、審査でもあるまい。全くひどい話になった。組織のトップは納得していないが審査員と争う無謀は避けたいのか黙って幕を下ろしたらしい。
組織の事業戦略の一環として組織再編などはいつでも自由に出来る経営者のフリーハンド領域のもの。それが本来。審査が事業戦略に優先していいはずもないし、新組織の内部監査が遅れているからといっていきなり不適合と言う話にはならない。もっとも、組織変更後何日以内と決め事があれば別だが。
<何が問題か>
- 何をもって適用範囲の拡大としたのかが不明確。特にセキュリティの側面で何が新たに留意されなければいけないのか。このことが審査員から説明されていない。
- 新規の部門も適用範囲に含めると言うなら不適合を出しますよと迫った審査員の態度。客観的に事実に基づく態度ではない。加えて、不適合出しますよって不適合出すことは伝家の宝刀なの?。日ごろの審査態度が窺い知れて嫌だね。
- 最大の問題は、全社が適合範囲だったものに、適用範囲外の穴が開いてしまったこと。ある意味、由々しきことです。審査の事前言うべき内容に該当していたのかどうかも怪しい。クライアントが100%責めを負う状況でもなさそうだ。
兎にも角にも。新部署が適用範囲から締め出されたことは最低最悪の判断。審査事故レベルらしい。
大人の知恵が何処かで働いたのか、何事も無く時が過ぎているようだ。目出度し目出度し。
.*.
