文書審査はISMS構築の裏づけとなるだけに最も大事な審査要素ですが、初回認証審査と継続審査(サーベイランス)と更新審査では自ずと重みには違いが出る。特に、初回認証審査ではもっとも重要視せざるを得ない。構築が終わると再構築は色々な理由でおいそれとは出来ない。維持審査(継続審査)はその名前の通り構築より維持継続が主眼。
更新審査は3年間を踏まえて、特に作ったシステムの有効性を評価して、システムの再構築(Re-Build)に当たる訳だから、文書審査は重要になる。ここで勘違いしてはいけない。
「更新審査を通じてシステム再構築に向けた文書上の問題を洗い出すのではない!」
.*.
更新審査の前に実施されるマネジメントレビューを通じて、有効性改善に向けたシステム(ISMS)の見直しが行われ、その一環として文書改定は終了していなければいけない。更新審査は、その改善作業が妥当なものかどうかを確認する立場をとる。コンサルは、マネジメントレビューの準備プロセスにおいて3年間の有効性評価、改善に向けた新たな提案の検討を行わなければいけない。
実際は、周回遅れ以下かも。更新審査で初めて有効性が妥当であったかどうかチェックして、それから文書改定(システム見直し)に入る。悪くすると、改善のための見直しすら実施されない。何故なら、有効性評価に真面目に取り組んでいないケースが殆どだから。
.*.
冒頭タイトルに戻る。更新審査の場合、主要な文書の見直しが行われていないことが明らかな場合は、文書記載事項と実施内容の不整合を調べる審査は殆ど意味が無い。しかし、更新も2回目となれば尚更だ。文書の改定を実施していれば改定箇所の妥当性・合理性・有効性に問題が行くが、変更していなければ、ルールと実態の乖離を見るアプローチは2流3流の審査。
ベテランの多くが2流3流のアプローチを嬉々として続けている。
.*.
基本方針、適用宣言書、マニュアルなど主要文書の見直しをやらない組織、2回目の更新だと6年間も放置したままの組織、そこで文書審査をやる意味はどの程度あるか。有効性改善への取り組みが無いままなのに過去6回の審査で合格を出してきた文書を下敷きに構築されているISMSに対する正しいアプローチは何か?
「実態としての矛盾・問題に対する理解を共有することから始めなければいけない!」
経営者の狙い・目的を達成できているかを実態から客観的に判断すること。これが先決。その上で、現在のシステムの課題を明確にする。
文書に基づく実態の点検ではなく、実態に基づく文書の点検になる。発想・手順は逆にしなければいけない。ベテランでもこの辺が全く理解できていない先生が居るようです。規格→文書→実態の流れしか理解できていない。規格→実態→文書の流れもあることをです。特に、いい加減な文書構築を容認してしまった場合は後者の流れが必須になります。
.*.