ISO認証取得の流れって？全体の流れや手順、審査までに準備すべきことまで徹底解説！

「ISOを認証取得することになったが、まずは何をすればいいのか、そもそも流れが分からない」
「ISOって難しそうだし、やることがとても多いイメージがあってめんどくさそう」
など、非常に多くの方からISO認証取得に関するお困りの声が寄せられています。

そのような皆様の声にお応えして、当コラムではISO認証取得のために必要な準備から審査実施までの流れをご説明させていただきます。

ISO審査のサイクルと各審査の流れ

ISO認証は取得時の初回審査を通過すれば終わりというわけではなく、取得後もISO認証を維持していくために毎年1回の維持審査（定期審査）と3年に1回の更新審査（再認証審査）を受ける必要があります。

この「初回審査」「維持審査（定期審査）」「更新審査（再認証審査）」について、それぞれの審査の流れを順番にご説明致します。

初回審査

初めてのISO認証取得の際は「初回審査」を実施します。

初回審査は1段階審査・2段階審査と2回に分けられており、1段階審査した上で、2段階審査へ進むことができるのか判断します。
2段階審査の実施後に認定機関へ認証書発行の推薦をする流れとなります。

2種類の審査の特徴としましては、1段階審査でマネジメントシステム（仕組み）の構築が出来ているか・ISOの規格が要求する文書類が存在するのか等の確認を行います。
2段階審査は社内で作成されたマニュアルは、ISO規格に沿っているのか、又そのマニュアル通りに運用しているのかの確認を行います。

維持審査

認証書が発行された1年後と2年後に「維持審査」を行います。

審査内容としまして1年ごとにISOのマネジメントシステムの構築が継続して行われているのか確認する審査になります。
そのため認証書が新たに発行されることはありません。

また、初回審査と違い、審査は1段階のみです。

更新審査

初回審査から3年後に「更新審査」を行います。

ISOが適切に運用され、認証登録に適合した状態が維持されているか、更新期間（有効期限）の間に発生した新たな問題点・改善点を放置することなく、PDCAサイクルを回して継続的な改善が行われているかも確認されます。
維持審査のように部分的な審査ではなく、取得時の審査と同じように文書を含めISOに関わるすべての項目が審査されます。

過去3年間のすべての運用状況が審査の対象期間となるため、維持審査よりも審査員の人数や審査の工数が増えますが、こちらも維持審査と同様に審査は1段階のみです。

更新審査終了後には新たに認証書が発行される形となります。
その翌年からはまた維持審査を2年間実施したのちに更新審査をするといった流れとなります。

審査日数について

審査は全て1日で終わるかと言いますと、そうではございません。
業務内容や拠点数、従業員数等によって審査にかかる日数が変わります。

審査日数を大きく左右するのが「認証範囲」です。
ISO認証取得する際には、まずこの認証範囲を決めなければなりません。

ISOは会社のすべての業務・部署・事業所を対象として認証取得するだけでなく、一部分（限られた業務、部署、各事業所等）を対象として認証取得することが可能です。
そのため、まずはISO認証の対象範囲＝「認証範囲」を決める工程が必要です。

上記の工程で決められた認証範囲に基づいて審査日数がどれだけ必要か、ISOの国際的な審査ルールに沿って審査機関が決定します。

認証範囲の規模によっては審査が1日で終了したり、数日間かかったりと様々です。
ISO審査のお申し込み前に詳しい審査日数をお知りになりたい場合は、弊社GCERTI-JAPANにお問い合わせくださいませ。
ISO審査日数と審査費用をまとめてお見積りさせていただきます。

GCERTIへのお問い合わせはこちら

審査までの準備とやっておくべきこと

認証範囲を決めたあとは認証範囲の中の業務に対して、ISOマネジメントシステムを構築していきます。

ISO規格の種類によってやることは多少変わってきますが、どの規格においてもISO認証取得の為に大きく業務を変える必要は全くございません。
現在行っている業務をISO規格に沿って当てはめていく作業をするだけです。
そこで、足りないルールや業務、文書、記録等を増やすのか、ISO規格に沿って必要のない余分な業務を失くすのかについて決定していきます。

ただ、残念ながらISOの規格内容は難しく書かれており、専門用語も多いため戸惑われる方も多いです。
ISO規格に目を通してみたが結局何をしたらよいのか分からない・そもそもISO認証取得のためにそこまで時間をさけないという場合は、ISOの認証取得をサポートするためのコンサルティング会社がありますので、そういったコンサルティング会社をご活用いただくのも良いかと思います。

ISOコンサルティング会社をご活用いただくと、全く未知の状態からでも短期間でスムーズに準備を進めることができます。
ISO認証取得のための手間を省きながら万全な体制で審査に望むことができるため、ぜひご検討ください。

ISO審査機関によっては、コンサルタントの審査同席を認められているところもございます。
※GCERTIは審査時にコンサルタントの同席が可能です。

ISO審査の流れ

では、実際にISO認証取得時の審査では一体何をするのでしょうか？

審査という言葉だけを見ると、何をどうチェックされるんだろうとドキドキしてしまう方もおられるかと思います。
そんな方のために、実際の審査ではどんな事をするのか、GCERTIによるISO審査のスケジュール例に沿って、審査当日の流れをご紹介致します。

09:00-09:30	オープニングミーティング →審査側（ISO審査機関）と被審査側（お客様）で審査の内容についてのすり合わせを行います。 審査機関から審査計画書という当日の予定表の共有を行い、その計画を基に当日のスケジュールや進行について確認をします。
9:30-10:00	トップインタビュー →マネジメントシステムの運用についてヒヤリングを行います。 と、言うと固いですが実際に伺う内容は組織外の状況や課題、変化があった事や今後の目標等、組織の大枠部分の事をトップの方にお話を伺います。（認証取得の範囲により、対応者が異なりますが社長様にご対応頂いているケースが多いです）
10:00-10:30	サイトツアー →実際に業務されている現場を差支えない範囲で審査員が見て回り、社内で決められたルール通りに業務が実施されているかを監査していきます。 立ち入り禁止場所や危険な場所等ある場合は組織様の方よりお知らせ頂き、その旨に審査員は従って行動を致します。
10:30-11:15	管理責任者インタビュー →ISOマネジメントシステムで求められている内容の主に管理に関わる部分（文書・記録類）や実施状況等についてお話を伺います。 管理責任者様や組織内ISOご担当者にお伺いする事が多いです。
11:15-12:00	部署インタビュー① →認証範囲で定められた対象部署のご担当者様に対して、ISOマネジメントシステムで求められている内容の主に実運用部分・部署内での実業務について、記録等を拝見させて頂きながらお話を伺います。
12:00-13:00	昼 食
13:00-14:45	部署インタビュー② →認証範囲で定められた対象部署のご担当者様に対して、ISOマネジメントシステムで求められている内容の主に実運用部分・部署内での実業務について、記録等を拝見させて頂きながらお話を伺います。
14:45-15:30	部署インタビュー③ →認証範囲で定められた対象部署のご担当者様に対して、ISOマネジメントシステムで求められている内容の主に実運用部分・部署内での実業務について、記録等を拝見させて頂きながらお話を伺います。
15:30-16:30	審査のまとめ →審査員が審査内容の整理及び報告書作成を行う時間です。
16:30-17:00	クロージングミーティング →審査員から今回の審査所見（総評）をご共有致します。 その後、審査事項の確認と審査後の手順についての説明を行います。

審査当日の流れは以上になりますが、あくまでこの流れは一例です。
審査員2名でご対応するため、管理責任者部分と部署ヒヤリングを同時進行にしたり、時間の都合上トップインタビューを最後にしてほしいといったご要望にお応えする場合もあるため、変動がございます。

各ご担当の方と実業務で使用されている記録等を一緒に拝見させて頂きながら、どのような形で業務をされているかお話を伺うような形になりますので、審査の際は是非リラックスして頂き、お話を頂ければと思います。

まとめ

今回はISO認証取得における準備や審査の一般的な流れについてご説明させて頂きました。
当コラムが皆様のISO認証取得に対しての不安を少しでも解消し、ISO認証取得への前向きな判断材料となりましたら幸いです。

他にもISO審査についてご不明な点がございましたら、GCERTIまでお気軽にお問い合わせくださいませ。
GCERTIへのお問い合わせはこちら

ISO9001に関するよくあるご質問

QISO9001の取得はやっぱり難しいですよね？

いいえ、実は難しくありません。
ただ、認証機関によって難易度は異なりますのでご注意下さい。
GCERTI-JAPANでは、審査通過率100％を維持しております。

QISO9001を取得したらどんなメリットがありますか？

• 顧客からの信頼が高まり円滑な取引に繋がる
• 企業のイメージアップや知名度の向上、ビジネスチャンスの拡大に繋がる
• 仕事の流れや手順が明確になり、業務の効率化や品質の維持・向上が期待される

等のメリットがあります。

以下の記事でISO9001取得のデメリットも含めてさらに詳しくおまとめしていますので、ぜひご一読ください。
ISO9001を取得するメリット・デメリット

ISO14001に関するよくあるご質問

QISO14001における環境側面と環境影響の違いは？

「環境側面」とは、環境と相互に作用する又は相互に作用する可能性のある、組織の活動又は製品サービスの要素と規定されています。
組織を取り巻く環境（近隣住民・従業員・消費者・自然環境）などに影響する可能性がある、組織の活動や製品及びサーボスの要素を指します。

「環境影響」とは、有害か有益問わず、全体的に又は部分的に組織の環境側面から生じる、環境に対する変化を指します。

Q環境マネジメントシステムと環境活動の違いは何ですか？

「環境活動」とは、省エネやごみの減量、環境に配慮した（環境への負荷を減らす）活動のことです。

「環境マネジメントシステム」とは、そもそもごみを減らすための仕組みの運用やエネルギーの使用量を減らすためのシステムのことです。

一見同じように見えますが、ISOは結果よりも過程を重視するため、結果が出るまでの前提や過程に重きを置いている点に違いがあります。

ISO27001（ISMS）に関するよくあるご質問

Q情報セキュリティって何ですか？

情報セキュリティ（ISMS）とは、情報の機密性・完全性・可用性を維持し、かつ、リスクを適切に管理することを言います。

QISO27001（ISMS）とPマークとの違いは？

対象となる範囲が異なります。
Pマーク（PMS）は個人情報が対象となり、ISO27001（ISMS）は組織や企業が所持している情報資産（個人情報も含まれうる）が対象となります。

範囲で言うとISO27001（ISMS）の方が多岐にわたります。

QISO27001（ISMS）の重要性は？

ISO27001（ISMS）を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。

情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。

そのため、行政の入札や大手顧客との取引でISO27001（ISMS）の取得が必須要件とされることが非常に増えてきています。

ISO27001（ISMS）は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。