文書化が必要なのは?(その2)
ISOを認証する場合、然るべき機関から認定された審査機関の審査を受けなければなりません。
でも、コンサルタントの利用は必須ではありません。
審査機関については、いずれ触れますので、今回はコンサルタントについて書きます。
多少、手前味噌になることはご勘弁ください。
まず、コンサルタントを利用するかどうか。
先ほど書いた通り、コンサルタントの利用は必須ではありません。
自力で取り組めるなら、利用しなくてもよいのです。
コンサルタントを利用するメリットは、多々ありますが、おおよそ以下でしょうか。
・認証登録に必要な情報を提供してもらえる
・難解なISO規格をわかりやすく説明してもらえる
・相応しい審査機関を紹介してもらえる
一方、デメリットはメリットで書いた内容を自分たちでやらなければならないことと費用が発生すること。
世の中にISOコンサルタントは実数がわからないほど、多数います。
コンサルタントも個人事業、ISOに特化している企業、そして当社のように複数の事業の中のイチ事業としている企業…等様々。
コンサルティングのサービス内容も料金体系も様々。
ISOと縁がなかった組織はどのようにコンサルタントを選べばいいか、迷ってしまうことでしょう。
大別すると以下の通りのようです。
(1)認証登録までを基本とし、その後の運用支援は別途(オプション)
認証登録までの料金も私が知る限り、50~100万が多いようです。ちなみに弊社は認証登録までで50万。運用支援は内容により変動します。
(2)認証登録移行の運用支援も含む
月額数万が多いようですが、3~5年程度の長期契約が前提となるようです。
大事なことは自らの組織がISOの認証目的を明確にし、それに合致するコンサルタントを選ぶことです。認証している組織の多くが認証の理由に“公共案件の入札要件への対応”“取引先の要求(取引条件)”を挙げています。取引の条件だから“仕方なく”なのか、せっかくの機会だから品質や情報セキュリティを“強化する”のか、目的次第で相応しいコンサルタントは変わります。
“仕方なく”取り組むなら、運用支援も含んでいるサービス内容のコンサルタントが相応しいですし、“強化する”なら、自分たちで運用できる仕組みを構築できるコンサルタントが相応しいと思います。
今回はここまでとし、次回は、“強化する”方を中心に書きたいと思います。
