主任コンサルタント 柏原 吉晴
今回は、ISO9001:2015「6.1リスク及び機会への取り組み」について解説します。
これは旧版(2008年版)の要求事項上には無く、序文の「0.1一般」に出てきます。
序文の内容は次の通り。
――序文0.1(一部抜粋)――――――――――――――――――――
品質マネジメントシステムの採用は,組織の戦略上の決定によることが望ましい。
組織における品質マネジメントシステムの設計及び実施は,次の事項によって影響
を受ける。
a) 組織環境、組織環境の変化、及び組織環境に関連するリスク
b) 多様なニーズ
c) 固有の目標
d) 提供する製品
e) 用いるプロセス
f) 規模及び組織構造
この規格は、品質マネジメントシステムの構造の画一化又は文書化の画一化を意図
していない。
―――――――――――――――――――――――――――――――
ISO9001:2015では、上記のa)b)が要求事項として追加され(4.1及び4.2に該当)、
品質マネジメントシステムの構築・運用において、これらを考慮することが求め
られています。
私は、内部監査員養成研修で「ISO9001はリスクマネジメントの規格です」と、
以前から解説していましたが、多くの企業では、ISO9001がリスクマネジメントの
規格として捉えることができていませんでした。その要因は、上記の通り「影響を
受ける」と言っているだけで、具体的な行動計画を要求するものではなかったため
です。2015年版になって、その要求が具体化されました。
それが「6.1リスク及び機会への取り組み」です。
要求事項は、次の通りです。
――6.1リスク及び機会への取り組み―――――――――――――――
6.1.1
品質マネジメントシステムの計画を策定するとき、組織は、4.1に規定する課題及び
4.2に規定する要求事項を考慮し、次の事項のために取り組む必要があるリスク及び
機会を決定しなければならない。
a)品質マネジメントシステムが、その意図した結果を達成できるという確信を与える。
b)望ましい影響を増大する。
c)望ましくない影響を防止又は低減する。
d)改善を達成する。
6.1.2
組織は、次の事項を計画しなければならない。
a)上記によって決定したリスク及び機会への取組み
b)次の事項を行う方法
1)その取組みの品質マネジメントシステムプロセスへの統合及び実施(4.4参照)
2)その取組みの有効性の評価
リスク及び機会への取組みは、製品及びサービスの適合への潜在的影響と釣り合いの
とれたものでなければならない。
注記1 リスク及び機会への取組みの選択肢には、リスクの回避すること、ある機会
を追求するためにリスクを取ること、リスク源の除去すること、起こりやすさ若しく
は結果を変えること、リスクの共有すること、又は情報に基づいた意思決定によって
リスクの保有することが含まれ得る。
注記2 機会は、新たな慣行の採用、新製品の発売、新たな販路の開拓、新たな依頼人
への取組み、パートナーシプの構築、新たな技術の使用、及び組織のニーズ又は顧客の
ニーズに取り組むためのその他の望ましく、かつ、実行可能な可能性につながり得る。
――――――――――――――――――――――――――――――――
簡単にまとめると、
6.1.1が、「リスクと機会の決定」で、
6.1.2が、「リスク・機会への対応計画の策定」と「対応計画の品質マネジメント
システムへの統合方法と有効性評価の方法の策定」です。
まず、6.1.1ですが、要求事項に書いてある通り、4.1及び4.2を考慮してリスクと機会
を決定しなければならないので、4.1で決定した課題と、4.2で明確にした要求事項
から、組織として対処すべきリスク(好ましくない要因又は状態)と機会(好ましい
要因又は状態)を決定します。
多くの会社は、顧客、消費者、親会社や株主などを利害関係者とするかもしれません。
対処すべきリスクと機会の考慮事例としては、
①日本経済の景気停滞、人口減少、円安ドル高、円高ユーロ安
②世界、特にアジア圏の景気上昇、人口増加、人民元切り下げ
③原材料価格の上昇、輸送費の上昇
④製品表示の変更に伴う法令違反
⑤工場、インフラ設備、生産機械等の更新
⑥気候変動に伴う洪水、台風、豪雪、高温、乾燥、津波
⑦情報漏えい、不正アクセスによるシステム障害、情報の損失
⑧停電、地震、火災、原子力発電所事故、戦争、テロ、破壊行為、感染症
などが挙げられ、
これらキーワードから、自社に関係するリスク及び機会が決まります。
上記項目すべてがリスクのように感じますが、リスクの裏には機会があります。
表裏一体と考え、リスクは機会に、機会はリスクにならないように取り組む必要が
あります。
次に、決定したリスクと機会に対する取り組みを計画します。主担当となる部署も
決めます。この時、取り組みの方向性・選択肢としては、
①リスクを回避して、やらない。
②リスク源を除去し、リスクの発生を抑える。
③リスクの起こり易さ(発生の可能性)と結果(重大性)を何らかの方法で変化(低減)させる。
④リスクを他社や委託先と共有し、分散する。
⑤リスクが発生しても耐え得る場合、経営判断でリスクを保有する。
⑥機会はビジネスチャンスなので、積極的に取り組み、活かす。
例えば、新採用、新商品開発・販売、販路開拓、新規顧客獲得、パートナーシップ構築(業務提携)、
新技術開発などです。
最後に、これらリスクと機会への対応について、品質マネジメントシステムとの関連
を明確にします。例えば、目標管理(6.2)、教育訓練(7.2、7.3)、コミュニケーション
活動(7.4)、運用管理(8.1)などが該当します。
食品会社であれば、ハザード分析という仕組みがあります。
私はこれまでよく、プロセスアプローチによるハザード分析をしましょうと申し上げて
きました。食品安全ハザードのみの対応ではなく、経営資源やガバナンスに関連する
高いレベルのリスクアセスメントをすることで、継続的な企業の発展が望めるはずです。
フローダイアグラムを明確にしてから取り組むハザード分析ほどは、ISO9001:2015の
要求は細かくありませんが、ハザード分析並みのリスクと機会への取り組みをされて
もよいかもしれません。