ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
取得にコンサルタントは絶対必要なの?.jpg.webp)
ISO27001(ISMS)取得にコンサルタントは必要なのか…
結論、絶対に必要というわけではありません。
ただし、社内体制によってはコンサルタントに頼った方が良い場合もあります。
本記事では、ISO審査員の私が実際に担当した中でコンサルタントが不要だった企業様の実例を挙げながら、コンサルタントが必要か不要かの見極め方を解説します。
自社がどちらに当てはまるのか、企業のご担当者様は検討材料としてぜひご活用ください。
さらに、必要と判断される場合のコンサルタントの選び方と費用の相場についてもまとめます。
そちらも参考にしてみてください。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
繰り返しになりますが、ISO27001(ISMS)に限らずISOを取得するときにコンサルタントが必要とは必ずしも言い切れません!!
たとえば先月私が審査に伺ったお客様(ISO27001の新規取得をご希望)は、コンサルタントと契約せずにISO27001(ISMS)を無事取得されました。
ただし企業様によって必要か不要か分かれます。コンサルタントがいた方がよいケースも少なくありません。
そのため、自社の状況をもとに判断する必要があります。
以下、自社は必要・不要どちらに当てはまるか考えながらお読みください。
ISMSをはじめISOのコンサルタントは、一般に以下のような業務を行います。
取得とコンサルタント.png.webp)
ただしコンサルタント会社やサービスによって対応する範囲が異なります。
ISO27001(ISMS)の取得においてコンサルタントを依頼する最も大きなメリットは労力や負担の削減です。
先述のコンサルタントの行う業務内容だけを見て、「コンサルタントに頼らず自社でやってしまってもいいかな…」と思われた方も多いかもしれません。
しかし取得のためにはしっかり要求事項を理解して、その上で実務も実施しないといけません。
また、ISO業務だけならまだしも、普段の業務も兼務しながら上記の業務を同時に行うのはかなり大変です。
過去にISO業務を兼務されているお客様が仰っていたのですが、ISOの審査3か月前からISOの準備で家に帰れていない方もいたそうです。
しかしコンサルタントと契約すれば、自社社員のそういった負担を大幅に減らすことができます。
さらに、自社に適したシステムを構築することができます。
コンサルタントは専門知識が豊富で、ISO取得に向けてシステムを構築するプロだからです。
そして認証を取りやすくなるのもメリットです。
申請に際しては、ただ単に文書を作成するだけではなくISOの規格要求事項を満たしていなければいけません。
コンサルタントなら必要な作業をスムーズにこなすことができ、準備期間を短くできる可能性も高くなります。
一見簡単そうに見えるISO関連業務ですが、実際に新規でISOを取得されるお客様の8~9割はコンサルタントと契約をしているのが実情です。
なお、たまに審査機関である弊社も「コンサルティングもお願いできますか?」とお問い合わせをいただくのですが、審査機関とコンサルタントの会社は全く別物です。
さらに審査機関はISOのルール上、お客様へのコンサルティング行為は固く禁じられているという背景があります。
そのため、コンサルタントを契約する場合は審査機関とは別でコンサルタント会社と契約をする必要があります。
ほとんどの企業様はISMS取得のためコンサルタントと契約していますが、コンサルタントなしでもスムーズにISMSが取得できるケースもあります。
以下に当てはまる場合です。
いずれかに当てはまるのであれば、コンサルタントは必要ないと私は思います。
私が担当したうち、上記の条件に該当していた企業様の例を挙げます。
まず、社内にISMS取得の知識のある人材がいる企業様の例です。
会社によっては、一度ISMS認証をやめたけれども再度必要となり取得する企業もいらっしゃいます。
そのような場合、過去にISMSを取得したときの担当者は規格要求事項を理解しています。
そういった社員は文書作成など取得の準備に慣れています。
コンサルタントなしでも規格要求事項に合わせた準備ができるでしょう。
私の担当した企業様は、過去に作成した文書をアップデートして審査を受審されておられました。
なおISO27001(ISMS)の規格要求事項については以下の記事にまとめてあります。
ISO27001(ISMS)の規格要求事項とは?
次に、社内にISMS業務を専門に対応できるマンパワーがある場合です。
ISO業務のみを担当する従業員がいるケースがなどが該当します。
例えば会社を引退されてISO担当として再契約される方など、他業務は一切なくISOのみに時間を割くことができる方がいればコンサルタントは不要です。
ただし、その社員がISO規格要求事項を理解している必要があります。
逆に次のような場合は、コンサルタントが必要(コンサルタントの利用がおすすめ)と言えます。
繰り返しになりますが、新規でISOを取得されるお客様の8〜9割はコンサルタントと契約しておられます。
ほとんどが上記のような事情をお抱えになっているからです。
次に、コンサルタントを選ぶ時の比較のポイントについてまとめます。
ここでは4つのポイントについて解説します。
まず、サービスの内容や範囲を確認しましょう。
コンサルタントや、提供するコースによって対応するサービスの内容や範囲が異なります。
たとえば取得向けか運用向けかの違いや、アドバイスだけなのか作業の代行まで行うのかなどの違いがあります。
それに伴い、具体的なサービス内容にも違いが出てきます。
自社の希望に合う内容にどの程度対応してくれるか比較しましょう。
次にサービスやサポートの品質も重要です。
評判や口コミを調べるのは難しいかもしれませんが、参考になる事項を調べることはできます。
たとえばサービス内容に訪問があったとしても、回数の制限があればサービスの品質に差が生まれる可能性があります。
そのほか、会社による違いというより担当コンサルタントによる違いの場合もありますが、対応のスピードやアドバイスの内容のクオリティなども挙げられます。
契約前のやり取りである程度イメージできるでしょう。
目安に過ぎませんが、実績も比較のポイントになります。
自社の課題に合った実績があるか確認しましょう。特に自社と同業の会社の経験があると安心です。
経験は認証までの期間にも影響します。
実績が認証の確実さやスピード感の判断材料の1つにもなります。
ただし実績がない/少ないコンサルタントでも、実績作りのためにきめ細かに対応してくれるなら逆におすすめです。
一概に言い切れない部分もあるので総合的に判断しましょう。
最後に費用についてです。
金額が安いかどうかだけで判断すると、サービス内容が不十分だったりクオリティが低かったりする可能性があります。
金額の額面よりも、上記のようなサービスの内容や品質と金額とのバランスを見ることが大切です。
ISMSコンサルタントと契約した場合、費用は50万~100万円程度が目安とされています。
幅がありますが、いくつかの要素で金額は変わります。
金額に影響する要素としては次の点が挙げられます。
希望する条件で相見積もりを取るのが確実です。
コンサルタントを頼まない場合、もちろんコンサル費用は不要です。しかし自社の担当社員の人件費や審査費用はかかります。
自社で行う場合は期間が長引く可能性などもあり、トータルで試算する必要があるでしょう。
コンサルタント費用を含め、ISO取得の費用については次の記事を参考にしてみてください。
ISO取得に必要な費用について【審査費用とコンサル費用】
特に費用負担の面でコンサルタントとの契約に悩まれている企業様も多いかと思います。
しかしISMSにかける人件費を考慮すると、むしろコンサルタント契約をした方が費用面でメリットがある場合も多々あります。
もしお客様から直接コンサルタントに問い合わせなさると、多くの場合は「必要」と判断されるでしょう。
コンサルタントに加えて、審査機関の選び方を知りたい場合は次の記事が参考になります。
ISO認証機関(ISO審査機関)の選び方
客観的な意見をお求めであれば、コンサルタントに問い合わせる前に審査機関である弊社(株式会社GCERTI-JAPAN)にご相談ください。
お話を伺ったうえで必要に応じたご提案をすることが可能です。
その他にもISO審査についてお悩みのことがございましたら、まずはお気軽にお問い合わせくださいませ。
ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!お問い合わせフォーム
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
