ISOの取得5ステップ 必要な準備や費用相場、相談先の選び方も解説
企業が発展していくと社内体制の整備が必要になります。顧客要求で管理体制構築を求められることもあります。その際にはISOを取得することも対応策の一つです。この記事では、ISO取得のポイントや手順について、約30年にわたりISOに携わってきた中小企業診断士がわかりやすく解説します。
目次
1.ISOを取得する前に確認したい3つのポイント
ISOとは、スイスに本部があるInternational Organization for Standardization(国際標準化機構)の略称(※)です。ISOは国際的に共通な標準規格を制定して提供しており、ISOが制定した規格がISO規格です。
| (※)国際標準化機構の英語の頭文字はISOではありませんが、同機構のウェブサイトによると、機構名の頭文字は言語により変わってしまうため、ギリシャ語の「isos(等しい)」を由来として決定したとのことです(参考:About us丨ISO)。 |
ISO規格は以下のように大きく2つの種類があります。
- 製品などの仕様や表示などを定めている規格
ネジ、感光フィルムの感度、カードのサイズなど - 組織の活動を管理する仕組みを定めている規格(マネジメントシステム規格)
・認証のために使用するもの:品質マネジメントシステム、環境マネジメントシステムなど
・管理体制構築のための指針やガイドラインとなるもの:用語の定義、指針・ガイドラインなど
この記事では、ISOマネジメントシステム規格の認証取得に関することをお伝えします。
ISOマネジメントシステム規格は、2022年10月末現在で24,552発行されています。多くは製品や表示の規格ですが、マネジメントシステム規格も数多く存在します。認証取得に用いられる主なISOマネジメントシステム規格は以下のとおりです。
- ISO9001(品質マネジメントシステム規格)
- ISO14001(環境マネジメントシステム規格)
- ISO22000(食品安全マネジメントシステム規格)
- ISO22301(事業継続マネジメントシステム規格)
- ISO27001(情報セキュリティマネジメントシステム規格)
- ISO45001(労働安全衛生マネジメントシステム規格)
「ISOを取得する」とは、マネジメントシステム規格に基づいた活動を行っている企業であることを、ISOの認証機関(審査機関とも呼ばれています)から認証を受けることを意味します。認証の正当性や質を担保するため、認証機関は各国に一つある認定機関によって認定されています。そして各国の認定機関同士が相互承認することで、認定機関が認定した認証機関の認証は国際的に通用することになります。
以下、マネジメントシステム認証制度の概要です。
では、まずはISOを取得するときにおさえておきたいポイントからご紹介します。
(1)自社に適した認証機関か
日本の認定機関である公益財団法人日本適合性認定協会(JAB)によると、JABと一般社団法人情報マネジメントシステム認定センター(ISMC-AC)が認定している認証機関は2022年10月現在で36機関、また海外の認定機関から直接認定を受けて活動している認証機関は2019年3月現在で13機関あります。海外の認定機関の認定を受けた認証機関の増減はあると思われますが、ISOを取得するためには約50もある認証機関の中から、自社に適した認証機関を選定する必要があります。
認証機関選定のポイントをいくつかお伝えします。
①業界をよく知っている認証機関か
審査をするにはある程度の専門知識が必要であることから、認証機関は審査できる専門分野が各々決まっています。従って、その専門分野が自社の産業分野と合っていれば審査自体は行うことができます。
認証実績の多い認証機関は、それだけ多くの分野の経験と実績がありますが、その一方で、認証機関の成り立ちや産業分野ごとの実績の差などから得手不得手があります。また、構成する審査員の経験やスキルの違いも大きくなります。例えば化学業界に強い認証機関には化学に造詣の深い審査員が集まってきます。業界の慣習や専門用語などがわからないと、審査でトラブルになることもあります。
②認証機関の論理を押し付けてこないか
セクター規格とも呼ばれる特定の産業分野向けの規格を除き、認証に用いられるISOのマネジメントシステム規格には「何を(What)」は書かれていますが、「どのように(How)」については書かれていません。従って、規格が要求していることを実行する方法は、各企業が決めてよいことになります。
しかし、稀にですが「マネジメントレビューはこうやったらいい」「内部監査はこのようにやるのが望ましい」と言われることがあります。また、自社独自の方法で行おうとした場合に、自社にとって望ましいマネジメントシステムではなく、認証機関のやりやすいマネジメントシステムに誘導しようとしている認証機関もなくはありません。
各認証機関の審査に関する考え方は意外と異なっています。「どのように(How)」実行するかについて、対等の立場で話し合いができるような認証機関を選びましょう。
③認定機関は日本か海外か
日本でISOを取得した場合、多くの場合は日本の認定機関(JAB〈ISMSではISMC-AC〉)の認定シンボルがついた認証書を受け取ります。海外の認定機関の認定を受けている認証機関の場合は、その国の認定機関の認定シンボルが付きます。相互承認制度があることから、一般的にはどこの認定機関の認定シンボルでも差はありませんが、顧客の求めに応じてISOを取得しようとしている場合には、顧客から認定機関を指定されることがあります。海外取引が多い場合、顧客が多い国の認定機関の認定シンボルを受けることも検討したほうがよいでしょう。
④審査費用はいくらか
審査費用は、従業員数、部署数、拠点数などにより大きく変わります。自社の審査費用がいくらになるかは、見積もりを取ってみないとわかりませんが、筆者の経験では、拠点が1カ所の企業がISO9001を取得しようとした場合、従業員30名では概算で50~100万円程度、従業員50名では概算で100~200万程度かかります。
他方、認証機関として認定された時期が新しいほど、また日本以外で認定された認証機関ほど審査費用が安くなり、一方、有名な認証機関にはやはり権威やブランド力があり、その分だけ高くなる傾向があります。
費用の安さだけで判断するのではなく、前述の選定ポイントや費用対効果などを総合的に勘案しながら選びましょう。
(2)ISOを取得する目的は明確か
ISO取得のプロセス(後述)は基本的に変わらないのですが、取得の目的によって注意点が異なります。そのため、取得する前に「なぜISOを取得しようとしているのか」を明確にしておくことが大切です。
以下はよくある目的と、それに伴う注意点です。
①社内体制を見直し・整備したい
企業の規模拡大により社長のトップダウンによる体制から組織立った経営体制に移行しようとしているとき、あるいは既存の組織がうまく機能していないときなど、社内体制の見直しや体制の整備を目論む際にISO規格を活用できます。国際規格であるISO規格は業界や企業規模によらずに適用が可能であり、ISO規格に基づくことで抜け漏れなく体制を検討することができるでしょう。
この目的でISOを取得する場合の、筆者の考える注意点は以下となります。
・コンサルタントに丸投げしない
マネジメントシステム構築をコンサルタント主体で行うと、コンサルタントが持つテンプレートを修正しながらルールが作られることになります。この場合、自社の仕事のやり方や効率という観点ではなく、「認証審査で指摘されにくい」「コンサルタントの手間が少ない」システムが往々にして構築されます。
また、社外の人が作ったルールを基にしたシステムは社内理解が乏しい傾向にあり、「社内の実運用のためのルール」と「ISO審査のためだけのルール」という二重のルールが存在するというダブルスタンダード状態を作りやすいです。ISO取得企業が不祥事を起こしたというニュースが散見されますが、筆者はこの裏にダブルスタンダードの存在が見え隠れしているように感じています。
・余裕のある認証までのスケジュールを組む
マネジメントシステムのテンプレートがないため、業務のあるべき姿の検討が必要です。社内各署との調整が必要なほか、審査機関と相談したり、コンサルタントと話し合ったりするための時間を要します。そのため短期間での取得は難しく、取得までの期間が長くなる傾向があります。
例えば、50名程度の会社規模の場合、スケジュールをタイトにしても、ISO取得まで1年程度かかることが珍しくありません。そのため、余裕を持ったスケジュールを組むようにしましょう。
②顧客からの要請
新規に獲得した顧客との取引開始にあたり、ISO取得を求められることがあります。ISOの認証を受けている企業は、顧客にとっては安全に取引できる企業かどうかの判断材料の一つになっているのです。
この目的でISOを取得する場合の、筆者の考える注意点は以下となります。
・ISO取得が必須なのか確認する
外資系企業や海外企業の中には取引契約締結にあたりISO取得を必要条件としている企業もありますが、日本国内の企業で取引先のISO取得を必須としている企業は多くありません。ISOに準じる仕組みがあればよかったり、他の認証制度でも代用ができたりします。例えば、ISO14001はエコアクション21に、ISO27001はプライバシーマークに、ISO22000はHACCPに代用が可能です。
ISO取得には手間と費用がかかりますし、取得した後の運用にもコストがかかります。
ISO取得は「must(義務)」なのか「may(望ましい)」なのか「can(してもよい)」なのか、ISO取得に関する顧客の要望をきちんと確認しましょう。
・時間優先のためにコンサルタントが用意するテンプレートを活用しなければならないこともある
ISOを取得しないと取引が開始できない場合は、可能な限り早く取得する必要があります。
ISOの認証審査には3カ月のマネジメントシステム運用の実績が必要であり、これは短縮できません。短期間でISOを取得するには、ISOマネジメントシステムで求められているルールや文書を短期間で準備しなければならず、場合によってはコンサルタントが用意するテンプレートを活用する方法を採用しなければならないときもあります。
ただ、この方法をとると、前述したように、当初の目的からかけ離れていて、かつ実務に即していないルールが作られやすいため、事前に対策をしておくことが求められます。
(3)推進体制を構築できるか
ISO取得を進めるには、社内の推進体制を構築する必要があります。
コンサルタントが介在するかどうかで業務の負荷は変わりますが、コンサルタントがいる場合でも、社内調査、プロジェクトの進捗管理、部署間の調整、相談窓口、内部監査やマネジメントレビューの計画と実行など、コンサルタントが行えないような社内業務は多岐に渡ります。日常業務の傍らで進めるには負荷が高いので、専任(あるいは専任に近い)担当を少なくとも1人置いたほうがスムーズです。
一方、この専任担当(推進役)はISO取得に関する社内の軋轢を一身に受け、孤立しがちです。社内に一定の影響力がある人もプロジェクトに関与するようにしましょう。
また、一部の管理部門だけで進めると、机上の「あるべき論」でシステムを構築する結果、ISOのためだけの仕組みとなりがちです。キーとなる部署も含めた全社横断的な推進体制を構築するのが望ましいと考えます。
2.ISOの取得 取得決定から登録までの手順5ステップ
初めてISOを取得する際には、以下のようなステップで進めていきます。
ステップ1.事前準備
まず、ISOマネジメントシステム導入について検討し、社内決定します。
- 認証を受けるマネジメントシステムの種類
ISO9001、ISO14001、など - 認証を受ける範囲
全社、全事業、拠点、一部製品など - ISO取得の目標時期とスケジュール
- 推進責任者と推進体制構築
社内各所に顔が効く人や、信頼の厚い人を責任者とするのが望ましいです。初回認証までは、専任、あるいはある程度業務の融通が利く人を担当にしましょう。 - コンサルタント参画の有無
また、認証を受けるための準備を始めます。
- 認証機関との事前相談、見積入手、比較・選定
認定機関の制約がある場合は、それも考慮します。 - 現状業務の洗い出し
・顧客の引き合いから製品の引き渡し・サービスの提供、アフターフォローまでの直接業務や、人事・経理といった間接業務について現状の流れ、役割分担、マニュアルの有無、記録の有無などを明確にしていきます。
・個々の業務を調査するにあたり、バリューチェーンのようなフレームワークを使うのもおすすめです。 - 社員教育
・ISO取得活動が始まれば、社内各所に対して文書作成の依頼をしたり、今までの仕事のやり方を変えてもらったりすることになります。その際に理由がわからなければ不満を感じる社員もいるでしょう。初期段階でISOについての知識を社内に入れておくことで理解が深まり、後々の軋轢の緩和につながります。
・内部監査員の育成も同時に始めます。初めてISOを取得するときは、外部の研修を受けさせることが多いです。内部監査員は、内部監査の性質上、自身が所属する部署に対して行えないため、内部監査を開始するまでに最低2人は準備しましょう。
ステップ2.マネジメントシステムの構築
このステップは、文書などの作成が主となります。主なポイントをご紹介します。
①”必要なものが不足していないか”という視点で既存の書類を見直す
社内にある手順書や帳票類とISO規格の要求事項と照らし合わせ、文書化を求められている書類の作成や見直しを行います。
その際には、”必要なものが不足している”ことへの対処を優先しましょう。ISO取得のための文書作りを始めると「これを機にマニュアルのフォーマットを統一しよう」「手書きのマニュアルを清書しよう」と考える人がいますが、これらはISO取得後でも対応が可能です。
②会社の身の丈に合ったマネジメントシステムを構築する
マネジメントシステムを構築するとき、「これを機に、あるべき姿の管理体制を構築しよう」とするケースがしばしば見られます。ただ、そうした考えで行うと、付け焼き刃のようなマネジメントシステムになってしまい、うまくシステムが機能しなかったり社内に定着しなかったりするなど、後々問題が顕在化することが多いです。
ISOのマネジメントシステムでは、「決められたことがやられていない」ということが大きな問題(ISOの専門用語では不適合といいます)となります。決められたことができないのであれば、決めない方がいい場合もあり得ます。まずは会社の身の丈に合ったマネジメントシステムを構築して認証を受け、ISO取得後の継続的な改善活動の中でレベルを上げていく方がよいでしょう。
③コンサルタントに文書類の作成を依頼するときは形式知や暗黙知を生かしてもらうようにする
ノウハウもあまりない中、社内だけでISO取得に必要な文書類の作成するのは時間と手間がかかりますが、コンサルタントに依頼すればそれを大幅に減らすことができます。
また、コンサルタントは、自身が持つテンプレートをベースに、企業の固有の事項を足しながら文書を作成していくので、ISO規格の要求事項に対する抜け漏れがほとんどありません。文書の問題でISOが取得できなくなる可能性は非常に低くなるでしょう。
その一方で、自社特有の仕事のやり方や社内用語、既存の帳票などはあまり反映されません。導入期の作業負担が大きいために費用や時間との兼ね合いもありますが、社内に染み込んでいる形式知や暗黙知を極力生かした方がISO取得後の運用が楽になるので、依頼するコンサルタントにそれらも文書内に適宜入れてもらうように伝えましょう。
ステップ3.マネジメントシステムの運用開始と改善
マネジメントシステムに必要な文書類ができあがったら、それらを社内承認して正式に発効し、マネジメントシステムの運用を開始します。遅くとも認証審査予定日の3カ月前にはマネジメントシステムの運用を開始しておく必要がありますので注意しましょう。
マネジメントシステムの運用を開始すると、当初は予想していなかった不具合や改善点が出てくることもあるため、文書類を随時見直していきます。ただし、勝手に直すのではなく、制定時と同様に社内承認してください。
ステップ4.内部監査とマネジメントレビューの実施
内部監査については、遅くとも認証審査予定日の約2カ月前までに行いましょう。ISO規格の要求事項やマネジメントシステム文書、マニュアル類との不整合があった場合、文書類を随時見直して改訂・承認を受けて発行します。
また認証の事前審査(一次審査、第一段階審査、ステージ1審査)も同じタイミングで受けることになります。事前審査とは、認証審査予定日の1~3カ月前に行われる、本審査に進めるかどうかの判断材料となる審査です。文書審査(形式審査)と実地審査があり、この2つは同じタイミングで行われる場合と、別々の日に行われる場合があります。審査委員から受けた指摘にはきちんと対応していくことが重要です。
内部監査や事前審査を終えたら、その結果を踏まえながらマネジメントレビュー(経営者による見直し)を行います。
この頃は登録審査までの期間が短い中、内部監査やマネジメントレビューによるシステムの見直しや文書の改訂が重なり、社内の業務負荷が非常に大きい時期となりますが、踏ん張りどころとなります。認証機関とスケジュールなどをよく協議しながら進めていってください。
ステップ5.認証審査の実施とISO登録
予備審査に合格できると、いよいよ次は本審査(二次審査、第二段階審査、ステージ2審査)です。
ISO規格の要求事項に則ったシステムが構築されて運用されているか文書や記録、現場の作業などを確認し、また運用の適切性や有効性などを評価していきます。本審査で問題が発見された場合、ISOの規格要求事項を満たしていないなどの重大な不適合であれば審査中止になるとされていますが、予備審査の指摘に対応できていればその可能性は低いでしょう。
軽微な不適合を指摘された場合、本審査終了後1カ月程度以内に修正内容や是正措置(原因究明・再発防止など)を審査員に報告することになります。
本審査が終わり、必要な是正措置が報告されたら、認証機関内で行われる「判定委員会」にかけられ、問題ないと判断されれば認証登録が決定します。登録証の発行は、本審査の2カ月後くらいが一般的です。
3.ISO取得にかかる費用
それでは実際にISOを取得しようとした場合、どれくらいの費用がかかるのでしょうか。
審査の費用は、認証を受けたいISO規格の種類、認証対象組織の規模(人数、組織数、拠点数など)、適用範囲、認証機関により大きく異なってきますが、1拠点で従業員50人の会社がISO9001を取得するのに必要な費用を概算でお伝えします。
(1)体制構築費
マネジメントシステムに対応した社内体制を構築するための費用となります。なお、ISO取得のために新たな採用を行わなければ人件費はサンクコスト(将来的に回収できないコスト)となりますので、実質的にこの時点でかかる費用はコンサルタント費と研修費の2つです。
| 推進担当者の人件費 | 1工数×半年~1年分 |
| マニュアル、文書作成 | 0.1工数×部署数×半年~1年分 |
| コンサルタント費 | 100万円程度(およそ50~200万円) または5~10万円/月×認証取得までの月数 |
| 研修費 | ISO規格解説(管理者向け) 5万円/人 内部監査員教育 5万円/人 |
(2)認証審査費
審査に関する費用は、認証機関により大きく異なります。新しく認定された認証機関、海外の認定機関の認定を受けた認証機関が安い傾向です。
| 審査費(登録料含む) | 100万円程度(およそ70~150万円) |
(3)維持費
ISOでは、初回認証はゴールではなくスタートです。毎年の定期審査、3年に一度の更新審査が行われ、そのたびに審査費用がかかるというサブスクリプションに似た方式になっています。
| 取得後の審査費用 | |
|---|---|
| 定期審査(維持審査) ※認証の1年後・2年後 | 初回認証審査の約半分程度 |
| 更新審査 ※認証3年後 | 初回認証審査と同等 |
| 社内の維持費用(サンクコスト) | |
|---|---|
| 事務局費 | 0.5工数×年 |
| システム運用費 | 0.1工数×部署数×年 是正措置、予防措置 マニュアル制改訂 内部監査 マネジメントレビュー 審査対応 |
4.ISO取得で困ったときの相談先と選び方
ISO取得にあたって「こういうときはどうしたらよいのだろう」「意味のあるものにするためには、どう考えたほうがよいのだろう」と悩み、もし誰かに相談できたら……と考えることもあるでしょう。
ここでは、ISO取得に関する主な相談先と、相談先を選ぶコツについてお伝えします。
(1)ISO取得に関する相談先
①認証機関
まずは認証機関に相談してみましょう。すでに契約を結んでいる認証機関であれば、取得のためにいま、このタイミングでは何をやるべきなのか、的確なアドバイスがもらえます。
②ISOコンサルタント
認証機関は、審査で問題になりにくくなるようなアドバイスは強いのですが、かゆいところに手が届くような助言や、一般的ではないマネジメントシステム構築に関するアドバイスは不得手のところが多い印象があります。
認証機関に相談しても腹落ちする回答が得られない場合、ISOコンサルタントに相談するのも一つです。ただし、込み入った内容の相談の場合は相談料が必要になることもあります。
また、直接相談しなくても、ISOを得意とするコンサルティングファームやコンサルタントが、自社のウェブサイトを通じて発信しているFAQや対応事例などを見て学びを深めるのもよいでしょう。
③商工会議所・商工会
一部の商工会議所・商工会ではISOの取得支援や相談受付を行っています。ただし、都市圏に近いところや工業地帯を有するエリアが中心であり、すべての商工会議所・商工会が行っているわけではありません。最寄りの商工会議所・商工会がサービスを実施しているかどうかは直接問い合わせる必要があります。
④その他の相談窓口
東京都中小企業振興公社が行っている「ワンストップ相談窓口」ではISOに関する相談を受け付けています。また行政が行っている経営相談窓口では、専門家がいる場合はISO取得に関する相談を受け付けているところがあります。必要であれば一度問い合わせてみてはいかがでしょうか。
(2)ISO取得に関する相談先を選ぶときのコツ
自社の業務内容や現状がわかるところの方が的確なアドバイスを受けやすいです。そういった意味では、契約している(あるいは申し込んでいる)認証機関は有力な相談先となります。
外部のISOコンサルタントの場合、やはり業界に精通している方がよいでしょう。経歴や支援実績などを調べて相談することをおすすめします。
最近は少なくなりましたが、上から目線で「こうすべきだ」とか「これ以外に方法はない」いうアドバイスをされる人が稀にいます。自社の言い分も聞いてくれたり、質問に対して納得できるように答えてくれたりする人か見極めるためにも、最初の相談対応時にコンサルタントの人物像を把握するようにしましょう。
5.上手に協働してISOの取得を
筆者の経験上、日本で事業をしている一般的な企業であれば、「文書管理」と「内部監査」以外は何かしらISO規格に準じた管理を行っていると思っています。
実際、以前に従業員25人の町工場のISO9001取得を支援しましたが、新たに作った文書は「品質マニュアル」「文書管理規程」「内部監査規程」だけで、その他は購買先の評価制度を作ったことと既存の手順書を一部手直しした程度でした。記録類もほぼすべてが従来のままで受審し、問題なくISOを取得できました。
「ISOの取得はしたいけれど、あんまりよくわかっていないから」とコンサルタントに丸投げするのではなく、協働して自社の既存の仕組みを洗い出しながら、認証がスムーズに進められるようになるとよいですね。
