今日まで15年間にわたり、プライバシーマーク認定審査等に従事して、数百以上の受審組織を見て思うことを、以下に書いてみようと思います。
プライバシーマーク認定審査にしろ、品質や環境或いは情報セキュリテイ他のISO規格認証審査にしろ、いずれもマネジメントシステムが組織内に浸透しているか否かの審査です。つまり、対象分野を、例えば個人情報保護としたり、品質管理だとか、環境対策、或いは情報セキュリティとして、自組織のリスクマネジメントへの取組結果の状況を第三者機関に判断してもらい、合格点に達しているなら認定証等を受取り、未達(不適合)なら是正処置を講じて合格点に到達する努力をして、再審査を経て認証されることになる訳です。
言い換えると、このプロセスは組織的なリスク管理の妥当性及び適合性の判定ですので、最終的には組織の経営力強化やサバイバル、或いは経営業績向上に結びつくことを狙いにしているのです。で、これらの認証規格は全てマネジメントシステムを名乗っているとおり、方法論としてはPDCA管理サイクルの繰返しによる継続的改善で狙いを達成しようとしているのです。
しかし、私の審査経験では、この様な狙いを明確に意識している組織は指折り数える程度以下しかなく、圧倒的大多数の受審組織では営業力の維持向上ツール程度の位置付けに留まっています。極言すると、『認証ロゴは欲しいけれど、マネジメントシステムとしての組織的なPDCAサイクルの実践管理等の面倒なことはしたくない』と思っている経営者が多いということです。このような経営スタンスでは、マネジメントシステムとしての狙いや効果は不在のままで、どれだけ長く続けていようと組織にマネジメントシステムは定着しないばかりか、むしろ形骸化して、業務現場では維持更新のための負担感が増大するだけになります。加えて、マネジメントシステム認証の狙いを本質的に理解していない質の悪いコンサルタント企業も存在していて、『運用負荷を軽減します』を売り文句に偽の運用記録等を作成し、形骸化を促進しているケースもあります。
審査員の立場からすると、どのようなスタンスで受審組織が自社のマネジメントシステム運用に取組んでいるかは、現地審査の際にヒアリングや運用記録の閲覧、現場視察等により全て判りますから、上のようなケースを見るたびに人、モノ、カネ、時間という経営資源を無駄に使って、この組織にとって認証維持の価値はどこにあるのだろうと思う訳です。特に認証取得が常識になっているような業界では、競合組織も認証取得している訳ですから、営業上の差別化要因として機能する訳ではなく、PDCA運用も定着していない状況では自社の組織能力が認証取得によって強化されることもないことを思うと、他人事ながら陰鬱な気分になります。
経営資源が潤沢で、組織経営の仕組みと運営が完成しているような大企業は別にして、中小企業がマネジメントシステム認証を有効に利用し、経営業績向上や企業組織能力を強化するには、マネジメントシステム認証の本質に立ち帰った取り組みをする必要があります。つまり、経営者は冒頭に書いた規格認証の狙いを先ず取組の基本認識にして、経営に貢献するマネジメントシステム運用の組織内定着を、どう実現するのかを真剣に経営者及び担当の推進事務局を始めとする主要メンバーが工夫しなければなりません。
初めて認証審査を受ける場合は、コンサルタントを利用するのが効率的ですが、社外の存在であるコンサルタントは認証取得を目指す組織現場の詳細な業務特性を知り得ない点に留意が必要です。コンサルタントは個々の組織現場の実態が分りませんから、一般的なサンプルとしての文書等様式を提供します。これで良いのだと受審組織は思っていますが、それは自社の業務実態に基づいたものではないために、マネジメントシステムとしては過大な内容だったり過少な内容しかないものになります。こんな代物が自組織の経営に貢献できる仕組みであるはずはないのです。コンサルタントの能力にも拠りますが、どんなにヒアリングをしてから持ってきたサンプルでも他人からの借り物の域を出ることはないと思っているべきでしょう。
ここからが、経営者及び推進メンバーの腕の振るいどころになります。提供されたマネジメントシステム文書類が、どんなビジネスモデルを参照して作成されたものか、自社の事業や業務実態との合致度を詳細に調べて修正を加え、自社の事業や規模、業務実態に最適化した内容にする必要があります。これは結構と負荷のかかる作業で出来の悪いサンプルを掴んでしまうと、最初から自力で取組んだ方が良かったということにもなりますが、その程度のことをして初めて自組織の経営に貢献できるマネジメントシステムが出来上がるのです。
このマネジメントシステム構築のプロセスには重要なノウハウがあります。認証規格は、目的を達成するためのメソッドとして毎年のPDCAサイクル実践による継続的改善手法を採用しています。概ねは、(1) 自組織の事業等を理解した上でのリスクの認識及び評価、(2) 自組織が採用するリスク対策を明らかにして規程及び運用様式を策定します(ここまでがPLANに該当)。次いで、(3) 実践を確実にするための組織的な管理や人的能力育成のための教育、(4) 業務現場での実践(DOに該当)。更には、(5) 自己点検と内部監査、(6)マネジメントレビューを行います(CHECKに該当)。最後に、(7) 不適合等に対する是正や予防(これがACT)というプロセスがあります。このような機能は、大企業なら整備されているケースもありますが、中小規模の組織でPDCAの機能を全て実装しているケースは滅多にないでしょう。
経営に貢献するマネジメントシステム運用を実現するポイントは、ここにあります。大企業では経営管理の仕組みが既に確立していますから、マネジメントシステム認証規格が要求する仕組みは余計なものとして経営管理の仕組みには受容れられません。しかし、経営管理の仕組みが未整備な中小企業なら、認証規格が要求するPDCAの仕組みを自組織の標準的な経営管理の仕組みとして取込み、融合させることにより、その毎年のPDCA運用の結果として企業組織力は継続的に強化され続けることになります。認証維持の手段としてではなく、企業組織力を強化するための手段として自組織の経営管理の仕組みに位置づけ、その運用を管理していくことが重要なのです。
■執筆者プロフィール
中村 百善(なかむら ひゃくよし)
プライバシーマーク主任審査員、ITコーディネータ、中小企業診断士
e-mail: ohnakamura@gmail.com
コメントをお書きください