ウイルス対策ソフトの定義ファイル未更新は不適合か?
会社のルールは普通は最新の状態に保つことを要求うるだろう。ゼロデー攻撃を考慮すると最新以外は許容できない。心情的にはそういうものです。
規格は適切な管理策を求めているが、適切な管理策の範囲は合理性を欠かない範囲では組織の決め事。
不適合と出来ないことも無いが、更新が滞る原因を考えると、単純に行かない。結果の現象として更新未了が発生するので、ヒューマンエアーを含め不可抗力が一定の割合で入る場合は、別の側面で不適合とすべきだろう。
大規模組織はある割合で発生する。軽微であっても不適合が連続すると重大な不適合にされてしまう変なロジックがある。
.*.
経営が意思を示し、社員が理解して努力すれば回避できる問題、達成できる課題は、不適合の対象としても構わないが、結果指標を捕らえて不適合とすると不幸なことになる。社内規定でも目標管理と結果指標管理の違いを理解しないでルールを作る失敗があるので、それに悪乗りして不適合を出すのは経験のある審査員は避けて欲しい。コンサルも手の打ちようがなくなる。
不適合の悪い?例によくあるのは是正処置。内部監査の指摘に対する是正で、原因の記載が不適当とやる奴です。真の原因、本質的な原因になっていないとか。噛み付きます。この手合いのものはいくらでも難癖をつけることが出来るので、その気になれば重大な不適合に追い込むことも出来ることになる。そんなことをされてはたまりません。
不適合は現象から発見することもありますが、指摘は現象に対してではなく仕組みに対して行うことが必要です。この場合は是正が出来ます。現象の是正は、他の要因も絡んできて気まぐれですから難しくなります。ともすれば過剰な対策を強いることにもなりかねません。
.*.