日本のISMS審査の歪みを生んだ元凶?
<歪みとは?>
第三者認証制度のベースとなるQMS(日本のTQCをベースにしたもの)では審査機関としてはそれほど大きな実績を残していない某審査機関がISMSではいきなり他社を圧倒するような審査実績を残した。最大数のクライアントを残したということだ。一時は国内の約半数が某審査機関の審査で認証を取得していた。当初はISMSの特殊性に起因するのかとも思ったが、規格自体には特殊性は無かった。しかし、起きていることは一種の異常事態だ。
<情報収集>
何故か?。情報がなければ考察も何も有ったものではない。噂はいろいろあった。断片的に流れてくる。フィルターが掛かっているので何処まで信じて良いかは分からない。
審査の席にオブザーバーで出席する。実際に審査に立ち会う。出席した人から話を聞く。可能ならJIPDECやJABの人から話を聞く。
件の審査員から直接話を聞く。
.*.
(特記事項:順不同)
- 判定委員会がない。判定委員会などは形式的で面倒なだけ。有効性に疑問。プロでなければ審査の判定など出来る訳がない。
- 判定委員会は時間と金の無駄と考えても不思議はない。しかし、民主主義と品質経営は時間と金を無駄にしないと始まらないものだ。
- 手際が良い。オープニング、クロージングがセレモニー(周知教育の場)になっていない。事務的な重要事項説明に留まる。
- 投下される審査員の数が少ない。殆どが一人審査。
- セキュリティリスクのランクは低く、投下工数が少ない。
- コンサル的対応は少ない。審査員倫理に忠実であるというより実務を知らない印象。事務的なチェック。
- プロセスベース審査と言っておいてチェックリストで審査する人もいる。
- プロセスベースの解釈がバラバラ。情報セキュリティ管理におけるPDCAトレースとクライアントの業務フロー(業務プロセス)トレースと審査チェックリストトレースと何でも有り。
- 不適合を出さない。口頭で済ます。せいぜい観察事項。観察事項もこちらが抵抗すれば削除してくれる。
- 脅かすような言い方で「不適合出しますよ」とはよく使う。不適合を忌み嫌う傾向にある。改善活動実務経験のない人ばかりみたいだ。
- コンサルを兼業とする審査員が大勢いる。
- コンサルの紹介で審査しているケースが多い。コンサルが特定の審査機関を推薦(実質的には指定)してくる。
- 契約審査員を大量に抱えている。期末に集中する審査を契約審査員で消化している。所謂、こなしている図式だ。
- 契約審査員の一部に審査員の力量の高い人がいる。社員の審査員の力量は低い。
- 社員の審査員が得意なのは事務手続き、イベント進行、おしゃべりなど、本質以外の部分。実務経験がなく眼力が低いのでどうしてもそうなる。
- 社員審査員は管理職経験もなければIT業務経験もない人が多い。だから事務屋かイベント屋にしかなれないのだ。
- 無理な審査計画。工数を削るから移動は夜。時には瞬間移動。いい審査ができる訳ない。体育会系の乗りで審査を捕らえる馬鹿の存在。
.*.
<要因の洗い出し>
- 審査という社会貢献活動を売り上げ利益優先の商売と勘違いしたことに尽きる。
- 審査のQCDでQは放置して、CとD(M)にばかり注力したことが最大の問題だろう。
- 英国の本社が日本のオプコに売り上げ利益を過渡に要求している訳はない。日本法人トップが自分の金銭的な欲得のために暴走したのだろう。
.*.
