企業は、一方では機会を体系的に識別し、分析し、行動し、他方では関連するリスクを識別し、それに応じて行動することで成功します。ISO 9001におけるリスク・ベース・アプローチは、主にビジネスの不確実性の影響を特定し、計画の基礎となるリスクを決定することを目的としています。さて、品質マネジメントシステムにおける「リスク」の話題は、まったく新しいものではありません。ISO 9001の旧バージョンでは、予防措置に関する要求事項の中に組み込まれていました。この章は、ISO 9001:2015では削除され、リスクと機会を見ることに置き換えられています。
リスク・ベース・アプローチとは?
機会とリスクを注意深く見るための出発点は、ISO 9001:2015が「意図した結果」を達成することに鋭く焦点を当てていることです。これは、品質マネジメントシステム(QMS)と、そのために必要なプロセスの両方に適用されます。
規格では、リスクを、意図した結果に対する「不確実性の影響」と定義しています。
ISO 9001:2015 - 品質マネジメントシステム - 要求事項
一方、意図された結果とは、次のことを満たさなければならない製品やサービスを提供することを目的としたマネジメントシステムの範囲から生じるものです。
- 顧客要求事項
- 法的及び/又は規制上の要求事項
- 組織の独自仕様
リスクと機会をどのように管理しますか?
ISO9001には、リスクベースのアプローチが糸のように張り巡らされています。よく知られているISO規格の第6.1章(計画)には、リスクと機会に対処するための一般的な要求事項が記載されています。しかし、この規格では、適切な対策を計画し、品質マネジメントシステムに統合し、実施し、その有効性を評価しなければならないと規定しているだけです。この要求事項をどのように実施すべきかは規定されていません。
また、 ISO 31000規格などに基づく包括的なリスクマネジメントシステムや、正式なリスクマネジメントプロセスについても言及されていません。また、ISO9001には、リスク識別やリスク評価に使用する特定の方法に関する要求事項もありません。
そうでなければ、次のようになります。
- リスクを回避する。
- リスクの原因を排除する。
- 発生の可能性に影響を与える。
- 起こりうる結果に影響を与える、または
- チャンスを掴むなど、根拠のある決断をすることで、的を得た方法でリスクを取る。
リスク・ベース・アプローチ - 規格は何を要求しているか?
- 意図した結果の確実な達成
- 望ましい影響の強化 - これが機会です
- 望ましくない影響(リスク)の防止または低減
- 改善の達成- 識別、決定されたリスクと機会の評価。ここでは、強制的に使用すべき方法は記載されていません。しかし、一般的で確立されたツールは非常にお勧めです。例えば、
- (プロセス)FMEA
- SWOT分析
- ABC分析
- リスクマトリックス - 識別されたリスクと機会から対策を導き出す。これらは次のことができます:
- リスクの除去または回避、あるいはリスクの原因を参照する
- 発生の確率または効果や結果の変化によるリスクの低減に焦点を当てる
- 機会をつかむためなどにリスクの受容を含む。
- 識別されたリスクの非発生
- 発生確率の低下
- 影響の低減、例えば保険や顧客契約における契約上の保護措置を通じたものなど。
証拠としての文書化された情報
証明として文書化された情報がどのような形で、どの程度必要かという質問には、次のように答えることができます。規格の関連する章には、これに関する具体的で正確な要求事項はありません。
代わりに、読む価値のあるISO 9001 QM規格の附属書A4には、"・・・組織は、リスクベースの考え方を適用し、リスクに対処するための行動を開始する責任があり、これには、リスクの決定の証拠として文書化された情報を保持するかどうかの質問に答えることも含まれる。" と記載されている。
簡単に言えば、これは組織が個別に自分で決めることであり、規格ではありません。また、認証機関やその審査員が決定するものでもありません。
利害関係者とその関連要求事項
見逃してはならない一つの側面は、品質マネジメントシステム(QMS)に関連する利害関係者の必須要求事項の検討です(4.2章)。
ここでいう「関連性」とは、次のように解釈されます。
準拠した製品及びサービス、すなわち、顧客の期待及び法的、規制的要求事項を満たす製品及びサービスを継続的に提供する組織の能力に影響を与えること。したがって、リスク・ベース・アプローチの文脈では、これらも考慮に入れなければなりません(6.1.1項 計画)。
ISO9001でいう機会とリスクの区別
規格の要求事項では、リスクを考慮することに加えて、リスクから発生する可能性のある機会についても取り上げています。しかし、多くの企業は具体的にどのような機会があるのかという疑問に直面しています。機会とは、意図した結果を達成することではありません。これはマネジメントシステムとそのプロセスの基本的な要求事項である。
QM 規格では、機会は、企業が制御可能なリスクを取ったときに発生する可能性のある「可能性又は機会」として理解されています。ISO9001の0.3.3章では、以下のような可能性のある機会が挙げられており、良い参考になります。
- 顧客の獲得
- 新製品・新サービスの開発
- スクラップや廃棄物の削減
- 生産性の向上
機会によって何が理解されるかについての更なるガイダンスは、6.1.2 章の注記に記載されている。
- 新しい慣行の採用と新しい技術の使用
- 新製品の市場導入
- 新しい市場の開拓
- 新規顧客の獲得とパートナーシップの構築
- 新しい技術の使用 など
さらなるヒント
ISO 9001の0.3.3章では、リスクベースのアプローチに対処する方法について、適切かつ補足的な説明がなされています。とりわけ、リスクベースの考え方は、効果的な品質マネジメントシステム(QMS)に不可欠であり、改善された結果を達成し、マイナスの影響を回避するために使用されるべきであると述べています。
さらに、ISO 31000のガイドでは、QMSの要求事項をはるかに超える、リスクを管理するための包括的で体系的なアプローチを提供しています。
また、担当のISO委員会が発行した2つの文書は、リスクベースのアプローチが実際に何であるかを簡潔に説明しており、本当にお勧めです。これらは、第一にスライドセット(「ISO 9001 and Risk Based Thinking」)、第二に文書「Risk Based Thinking in ISO 9001:2015」です。
ISO 9001におけるリスクベースドアプローチの結論
リスクは「不確実性の影響」である。したがって、リスクは結果として機会にもなります。機会は、例えば新規顧客の獲得や新市場の開拓などにつながりますが、これは機会が逆に不確実性とそれに伴うリスクを生むこともあるということです。
つまり、潜在的な機会については、リスクを判断し、評価し、それに基づいて対策を講じるのと同じ強度で対処することをお勧めします。チャンスもまた、決定、評価され、それを実行するための方策が導き出されなければならないのです。
ISO 9001 - 付加価値のある監査
私たちは、すべてのプロジェクトにおいて、品質と能力の最高基準を設定しています。その結果、私たちの行動は、この業界の基準となるだけでなく、私たち自身の指針となり、日々更新されています。
私たちのコア・コンピタンスは、認証審査と評価の実施にあります。これにより、当社は、信頼性、品質、顧客志向において常に新しいベンチマークを設定することができる、世界有数のプロバイダーとなっています。
DQSのメールマガジン
Frank Graichen
Standards expert and long-standing DQS auditor for ISO 9001 with diverse activities as a passionate keynote speaker, sought-after trainer, moderator, and author of publications on standards and management systems.