リスクに基づく考え方
国際標準化機構 (ISO) と国際認定フォーラム (IAF) は「リスクに基づく考え方」についてのAPGガイダンス (Auditing Practices Group Guidance) を取りまとめています。ISO 9001 - 品質マネジメントシステムでは、組織のリスク計画にどう取り組むことができるかを見てみましょう (この翻訳文は、意味が通りやすくなるよう、あえて噛み砕いた表現にしています)。
quality.org に掲載の英文記事はこちら
リスクは、ISO 9001 において黙示的にではありますが、常に取り扱われてきました。ISO 9001の要求事項の多くは、リスクを防ぐことを目的としています。つまり、リスクとISO 9001は何も新しい組み合わせではないのです。ISO 9001の前の版 (2008年版) には、予防処置に関する箇条があり、これは不適合の発生を防ぐためのものでした。
ISO 9001は、計画策定の前提として、組織が自分たちの状況を理解し、リスクを決定するよう要求事項を定めています。リスクに基づく考え方では、リスクと機会の両方を検討します。
ISO 9001:2015 の序文と附属書Aでは、リスク及び機会とは何かを含む、リスクに基づく考え方の説明がなされています。さらに包括的な情報は、iso.org/tc176/sc02/publicにあるリスクに基づく考え方の文書にあります。
独立した活動として、組織におけるリスクに基づく考え方を審査することはできません。トップマネジメントのインタビューを含め、QMS の審査全体の中に潜ませて審査することになるでしょう。審査員は、次のようなステップに従って行動し、客観的な証拠を収集しましょう:
● 組織がリスクと機会を決定する際に、どのようなインプットを用いていますか。これらのインプットには、以下が含まれていることが望ましいでしょう。
- 外部及び内部の課題の分析
- 組織の戦略的方向性
- 組織のQMSに関わりのある利害関係者、同じくそれら利害関係者の、組織のQMSに関わりのある要求事項
- 組織のQMSの適用範囲
- 組織のプロセス
● 審査員は、リスクに基づく考え方を適用していることを客観的に証明するために必要な文書化した情報の程度を決めなければならないのは組織だということを忘れないようにすべきでしょう。ISO 9001:2015には、リスク及び機会の決定の結果をどのように文書化するかについて、具体的な要求事項はありません。
● 文書化した情報に対する組織のニーズ、程度及び種類は、組織の状況、規模、文化、製品及びサービスの性質、適用される法令規制要求事項、あるいは製品のリスクに関する顧客要求事項などによって、大きく異なるでしょう。
● 上記のことを考えに入れて、組織は自分たちのリスク及び機会をどのように決定することができるでしょうか。客観的証拠は、さまざまな形を取り得るでしょう、例えば:
- 会議の議事録
- SWOT 分析
- 顧客フィードバックの報告
- ブレインストーミング活動
- 競合組織の分析
- 例えば戦略的計画の策定、設計開発、マーケティング、製造及びサービス提供、是正処置などのさまざまなプロセスに関連する計画、分析及び評価活動
- マネジメントレビュー
- 組織が適切、あるいは必要と考えた場合は、リスクの決定あるいは評価の記録など
● 組織は、自分たちが決定したリスク及び機会にどのように取り組むことができるでしょうか。取るべき必要な処置は、さまざまな形を取るでしょう。例えば:
- 現在の目標の修正、もしくは新しい目標の設定
- 実行計画
- OJT (実地訓練)
- 作業指示書
- 改善の目標及び改善のプロジェクト、など
● 組織は、上記の活動の有効性を評価していますか。審査員は、リスクに基づく考え方を効果的に適用しているかを、内部監査とパフォーマンス評価活動の際に考慮しているかどうかを確認するようにしましょう。
出典: © ISO & IAF 2016 – All rights reserved
www.iaf.nu; www.iso.org/tc176/ISO9001AuditingPracticesGroup
免責事項
この文書は、国際標準化機構 (ISO)、ISO技術委員会 176、または国際認定フォーラム (IAF) の承認手続きの対象となっていない。この文書に含まれる情報は、教育及び情報伝達の目的のために提供されている。ISO 9001 Auditing Practices Group は、間違い、見落とし、またはその他、これらの情報の提供またはその後に情報を利用したことによって生じる可能性のある賠償責任についてはその責任を負わない。
