コンサルティングに関する考え方
弊社が最近、実施しているISO/IEC27001認証コンサルティングでの文書は以下の通りです。お客様によって、若干前後がありますが…
・ISMSマニュアル 表やフローを中心に16ページ
・適用宣言書 管理策の実施手順を含んで9ページ
・書式 10種
私はコンサルティングだけでなく、審査員としても活動しています。審査の場にコンサルタントが同席することも多々あります。審査先のマニュアルや規程は規格要求事項をオウム返ししているだけ、ひどいと規格をそのままコピペなんていうこともあります。
規格要求事項のオウム返しとは、規格で“~しなければならない”と求めていることをマニュアルや規程で“~する”と書いてあるだけ。ひどいとそのまま“~しなければならない”と書いてある。そもそも、“~する”に関する5W1Hが決まっていないと実行されないと思いますが…。
“こんなのどうすればいいの?”
“そんなマニュアルや規程って必要?
だから、弊社が行うコンサルティングで作成するマニュアルは表やフローを中心、適用宣言書は管理策の実施手順を含む。書式は必要最小限とし、すでに運用されているものを極力利用する、なのです。
