« 2007年05月 | メイン | 2007年07月 »
不適合と観察事項はどちらが重いか!?
そんな問いかけを監査中に受けたことがありますが、
どちらもシステムのリスクであり改善のヒントですね!
それぞれの定義で言うと、
不適合は要求事項を満たしていない場合、
観察事項はその予備軍若しくは改善項目の指摘です。
監査員からすると規格に定義されていることが、
システムの有効性を図るための全てではないので、
敢えて観察事項で改善のヒントを提示することがあります。
観察事項なら受け入れるが不適合なら納得できない!
昔の監査光景でよく見受けられたやりとりですが、
現在では監査を有効に活用して改善のヒントを見つける、
この様なクライアント様が増えてきている様に感じています。
皆様の会社では如何ですか!?
マネジメントシステムのプロセスにはチェック機能があり、
認証取得組織では内部監査をそれに当てています。
内部監査員には力量が求められており、
必要な教育を実施してチェック機能を強化しています。
それに対して日々の活動状況をチェックする仕組みとして、
検査の機能を持たせている組織も見受けられます。
製品検査とは違ってプロセスの検査に該当しますが、
例えばセキュリティパトロールがそれに該当します。
どちらもマネジメントシステムを運用してゆくには
とても大切なプロセスなのですがそれぞれ意味合いが違います。
検査は日々の活動を確認する意味合いがあって、
運用を徹底してゆくためには一定の効果があります。
監査はプロセスの実施状況を監視する機能があり、
マネジメントシステムの有効性を評価する役割があります。
また内部監査員を養成することにより規格の理解を深め、
マネジメントシステム自体の強化につながる効果も出ています。
監査と検査、2つの機能を旨く活かした運用が重要ですね!
ネットスクエアのASPサービスとして、
ISO認証支援ツール「ISO-SQUARE」と、
セキュリティ教育ツール「Net-Learning05」があります。
それぞれクライアント企業様に利用して頂いているのですが、
最近では認証取得後の維持管理に活用頂くことが多いです。
ISO-SQUAREは、文書の改訂は配布がネットからできるので、
それらを担当コンサルタントと共有することで改善指導が受けられます。
Net-Learning05はISOの要求事項である年1回以上の教育により、
情報セキュリティに関するコンテンツを提供させて頂いています。
特にプライバシーマークの認定を受けた中小企業様には、
月々2万円(税別)からという低コストでのサービスが人気です!
ネットスクエアのHPから是非お試し下さい!
マネジメントシステムの構築はコンサル主導でもできますが、
構築されたシステムの運用はユーザ主導でないと実施できません!
業務分析からマニュアルの作成および規程類の整備までは、
決まったプロセスに従って実施しておけば何とかなるのですが、
方針展開から目標管理、ルール通りの運用、記録の保管等は、
普段の業務の中に浸透させないと負荷が増えるばかりです。
それらの準備が整ってはじめて内部監査で実施状況の確認をし、
マネジメントレビューで改善活動の評価を行っていくのが通常ですね。
システムの運用には時間をかけてもいいのでしっかり定着させて、
その成果をISO認証といった称号で評価を受けて欲しいですね!