結局、この会社のISOの活動は、審査員の気に入る
様式や文書にすること、書類の体裁を整えることが
主な活動になってしまっているといいます。

文書や様式は大事なものですが、
そもそも、わざわざ訪問する現地審査において、
文書や様式の善し悪しが主たる審査となり、、
肝心の活動に関しては、ほとんど評価の対象にならない、
おかしな審査です。

これを逆手にとって、文書や様式の善し悪しだから、
対応しやすい（一部の者だけで表面的に対応できる）
という組織もありますから、このような審査は、
ISOのあり方をゆがめているともいえます。


具体的な審査でのシーンを考えて見ますと、
たとえば、情報セキュリティの審査であれば、
リスク分析や資産目録などのまとめ方が主な審査の
主題ではなく、具体的に行っているセキュリティ対策を
主題とすべきだと思いますし、また、組織にとって、
最大の資産は、人であり、最大のぜい弱性は、その人なの
ですから、これにかすりもしない審査というのは、
組織にとって、役に立つものとはいえないと感じます。


ISOは誰のために行うのでしょうか？

少なくとも審査員のために行うものではありません。
まずは、自分たちの組織のために行うものとしなければ
ならないと思います。


企業の経営者であれば、第三者認証審査を受けて、
本当に知りたいことは、文書や様式の善し悪しなどではなく、
うちの会社は、しっかりと品質管理をやっているのか、
情報セキュリティは大丈夫なのか、などという組織の
実態としての活動の評価が気になるところです。


ISOの審査は、あくまでも仕組みの審査で、
その質は、評価しないということがいわれますが、
審査を行った結果としての報告は、いくらでも工夫の
余地があると感じます。

成熟審査と呼ばれるASRP適用審査※というものがありますが、
審査機関もあまりPRしていないようですし、
まだまだ、発展途上にあります。

ISOの審査が、
組織にとって価値を生むような指摘や報告がなされる
ことを期待したいです。
（追記：JABがISOマネジメントシステム有効活用表彰制度を開始）


※ASRP適用審査とは、3年以上審査登録し、一定の条件を
満たした組織に対して適用できるもので、基本的な審査工数に
とらわれずに審査スケジュールを自由に設計できる制度。