審査員ってどんな人?(PartⅡ)
現在でもISOに取り組むかどうか、迷っている経営者は多いと思います。
このような認証、認定制度は多くの場合、大企業から始まり、徐々に規模が小さい企業に広がっていくことが多いです。
最近、審査する企業は従業員が数名、あるいは創業まもないということが目につきます。
なぜ、認証に取り組むことを迷うのか?
まずは、本当に“認証が必要なのか”でしょうか。
認証に取り組む会社の目的、理由の多くは“顧客の要求”。
公共の案件に入札する企業なら“入札要件”。
民間の、特に大手企業と取引している企業なら“取引要件”。
私自身がISO/IEC27001のコンサルティングや審査を中心に活動しているからか、あるいはITやソフト開発企業と接する機会が多いからか、官民、業種・業界を問わず、情報セキュリティへの取り組みが求められることが多いように感じます。
次の理由は費用。
かかる費用は審査とコンサルティング。
この内、認証する以上、どこかしらの審査機関の審査を受けなければならないので、審査費用は必ず発生します。審査に関する費用は大きく、以下の通り。
〈審査費用〉
・新規認証時
・維持審査時
・再認証・更新審査時
新規認証は最初の年だけですが、以降、1年後及び2年後に維持審査、3年後に再認証・更新審査。移行、毎年維持審査→維持審査→再認証・更新審査が3年サイクルで繰り返されます。
ようするに、毎年いくらかの審査費用が発生します。
審査に係る費用は取り組む規格、審査機関によって異なるので複数の審査機関に問い合わせるのがよいでしょう。また、コンサルタントの支援を受ける場合、紹介してもらえることが多いです。
傾向として、新たに日本市場に参入した審査機関の方が費用はリーズナブルな傾向があります。
コンサルタントについては、次回!
