ISO9001コンサルタントの視点による”ISO9001”序文における「リスクに基づく考え方」とは?
「リスクに基づく考え方」とは、どんなことでしょうか?従来の「予防処置」がなくなりましたがなぜでしょうか。ISO9001の2015年版への改定検討段階の情報(ISO-TC176-SC2-N1284)などから、検討経緯や新しい要求事項について確認してゆきます。
「リスクに基づく考え方」とは
組織がリスクと機会を考慮し、事前に対策を講じることで、品質マネジメントシステム(QMS)の有効性を向上させる考え方です。
ISO9001:2015では、従来の「予防処置」という概念がありましたが、リスクマネジメントのアプローチに統合されました。
1) 旧版(ISO9001:2015以前の規格)におけるリスクの取り扱い
旧版における「リスクに基づく取り扱い」の概念として
- 起こり得る不適合を除去するための予防処置を実施する。
- 発生したあらゆる不適合を分析する,及び不適合の影響に対して適切な,再発防止のための取組みを行う。
等が含まれていました。
予防処置とは、”起こりうる不適合またはその他の起こりうる望ましくない状況の原因を除去するための処置”であり、発生を未然に防止するために実施することです。起きた不適合の再発防止である是正処置と比べると、まだ起きていない不適合への対策をイメージすることが難しかったと考えられます。
審査において「予防処置」の実施事例を確認しても、多くの組織では残念ながら予防処置が行われた事例を確認することができませんでした。是正処置の水平展開を予防処置として位置付けている組織は散見されました。
2) ISO9001:2015におけるリスクの取り扱い
ISO9001:2015では、それまであった要求事の「予防処置」がなくなり、「リスクを考慮するための体系的アプローチ」を確立することが要求されています。その結果、品質マネジメントシステムの有効性の向上、改善された結果の達成、及び好ましくない影響の防止のための基礎が確立することを狙っています。
規格では、組織が内外の課題を認識し、計画策定の基礎としてリスクを決定することを要求しています、すなわち、リスクに基づく考え方を品質マネジメントプロセスの計画策定及び実施に適用することを示しています(4.4参照)
3) リスクに対する要求事項(6.1)とリスクに関連する他の箇条との関係
ISO9001:2015における“リスク”の取り扱い箇所は以下のとおりです。
|
箇条 |
リスクに関する要求 |
|
序文 |
リスクに基づく考え方の概念が説明されています。 |
|
箇条 4 |
組織は、自らの QMS のプロセスを決定し、そのリスク及び機会に取り組むことが要求されます。 |
|
箇条 5 |
トップマネジメントは、次の事項を行うことが要求されます。
|
|
箇条 6 |
組織は、QMS のパフォーマンスに関連するリスク及び機会を特定し、それらに対して適切な取組みを行うことが要求されます。 |
|
箇条 7 |
組織は、必要な資源を明確にし、提供することが要求されます。(リスクは、“suitable”又は “appropriate”と記載されているときには常に含まれています。) |
|
箇条 8 |
組織は、運用プロセスを管理することが要求されます。(リスクは、“suitable”又は “appropriate”と記載されているときには常に含まれています。) |
|
箇条 9 |
組織は、リスク及び機会への取組みの有効性を監視し、測定し、分析し、評価することが要求されます。 |
|
箇条 10 |
組織は、望ましくない影響を修正し、防止し又は低減し、かつ、自らの QMS を改善し、リスク及び機会を更新することが要求されます。 |
「リスク」と「機会」のバランスを考慮し、単にリスクを回避するのではなく、成長の機会として捉えることが重要です。
4) リスク及びリスクへの取り組みとリスクマネジメント
ISO9001では、組織が直面するリスクは「外部要因」と「内部要因」に分けられるとしています。
- 外部に起因するもの:自然災害、為替変動、法改正、景気変動、競合他社の動向、技術革新、社会情勢の変化、世界情勢の変化など
- 内部に起因するもの:採用難、人の行動、技術継承、高齢化、設備の老朽化、経営方針や戦略の不明確さ、コミュニケーション不足、生産性の低さなど
【組織やプロセスにより異なるリスク】
品質マネジメントシステムのすべてのプロセスは、組織の規模・業種・経営環境・人材・設備などが異なり、同じレベルのリスクを示すとは限りません。どのようなリスクを特定し、どのように取組むかは、組織の状況に応じて決めてゆくことが重要です。
【リスクマネジメントへの取り組み】
ISO9001:2015付属書AのA4.には、”組織がリスクへの取り組みを計画するにあたり、リスクマネジメントのための厳密な方法または文書化したリスクマネジメントプロセスは要求していないが、他の手引又は規格の適用を通じて、この規格で要求しているよりも広範なリスクマネジメントの方法論を展開するかどうかを決定することができる”と示されています。
ISO9001:2015規格6.1の注記1には、以下のように書かれています。
リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することが含まれ得る。
この取り組み方法は、“ISO3100:2018/リスクマネジメント”における「リスク対応の選択肢」を引用しています。
規格要求事項は、あくまで最低限の実施事項を規定しているのであり、組織の状況に応じてより有効・効果的な考え方を取り入れることで、組織の強靭化を図ることが可能です。
5) まとめ
ここでは、旧版と2015年版においてリスクがどのように取り扱われているか、規格のどの箇条でリスクを扱っているか、リスクマネジメントとの関係を見てきました。
組織のリスク対策を高め、強い組織にしてゆく参考にしていただければ幸いです。
お気軽にお問い合わせください。
ISO(9001/14001)一日診断、認証取得のコンサルタント、現状のシステムの見直しと改善、内部監査教育や支援、ご質問などお気軽にお問合せ下さい。貴社のニーズに合う最善のご提案とサポートをご提供いたします。
