ISO 9001とリスク
ISO 9001:2015で改めて注目が集まった概念の1つが「リスクと機会」です。リスクに基づくマネジメントという観点から、ISO 9001:2015の実施についての記事をお届けします。
quality.orgに掲載の英文記事はこちらから
あらゆる品質マネジメントシステムの大目的は、製品や顧客に提供したサービスの品質レベルが確実に一貫性をもち、許容可能なものとすることです。ISO 9000規格は産業顧客要求事項を満たすために開発され、使用されています。度々改訂され、新しい考え方が示され、改良されてきました。
ISO 9001:2015における「リスク」という概念は、マネジメントシステムの目的達成における不確かさや望ましくない成果に関連しています。
組織はリスクに基づく考え方を用いることにより、プロセスと品質マネジメントシステムが計画した結果から逸脱する可能性がある要因を明確にし、悪影響を最小限に抑える予防管理策を整備し、捉えた機会を最大限に利用することができるようになります。
リスクの重要性
組織のQMS を確立し、決定し、実施するためのリスクに基づくアプローチには、明確な利点がいくつかあります。
例えば:
- 事業上のリスクと関連するプロセス及び活動を、組織はあらかじめ想定することができる
- 明確になったリスクに対しては、問題を軽減し、状況を改善するために先回りして対応することができる
- 変動する市場における事業運営に関わる不確実性を捉えるのに非常に役立つツールである
- いつでも適切に行動することによって製品及びサービスのクオリティの一貫性を保証するように気を付ける
- 顧客の信頼や満足を高めるための基盤をつくることができる
- 競争の激しい市場の状況において、製品/サービスのクオリティを向上させる機会を捉えることができる
- 事業運営上の決断や資源配分が優先される
- QMS の意図した結果を達成する能力に影響を与える外部及び内部の課題を決定するのに役立つ
リスク要求事項に対応する
ISO 9001:2015 にはリスクの概念が文書全体に織り込まれていますが、特に下記の箇条では顕著です。
箇条 4.4: 組織は、自分たちの目的を満たす能力に影響を与える可能性のあるリスクを決定することが要求されている
箇条 5.1: トップマネジメントは、プロセスアプローチ及びリスクに基づく考え方を用いて、品質マネジメントシステムに対するリーダーシップとコミットメントを実証しなければならない
箇条 6.1: 組織は、a) リスクと機会に対応する活動を計画しなければならない
箇条 9.1.3: 組織は、リスクと機会に対応するためにとった処置の有効性を分析し、評価しなければならない
箇条 10.2: 不適合が起こった時、必要に応じ、計画の際に決定したリスクと機会を見直す
リスクマネジメントプロセス
リスクは、重要な事業上の問題であるので、これに対応するためには正式なプロセスが必要となります。これは必ずしもすべてを文書化するという意味ではありません。
プロセスのスタート地点で状況 (context) を明確にし、組織はリスクアセスメントを考慮し、外部だけでなく、内部のパラメータを理解し、把握する必要があります。
リスクアセスメントは見直す必要があり、定期的に、及び/または不測の事態が起こった場合には実施しなければなりません。
正しいリスクアセスメントのテクニックを選定することは非常に重要です。繰り返しになりますが、これは組織が提供する製品及び/またはサービスの種類により変わってきます。
ISO 31010 は、リスクアセスメントで利用できるさまざまなテクニックを記述しています。例えばコピーサービスを提供している組織では、組織の状況と関連する課題とリスクアセスメントの結果を理解するまでブレインストーミングするという簡単なテクニックを採用することもできます。他方、原子力発電所を運営する組織は、リスクを評価するために、FMEA (failure mode effect analysis 故障モード影響解析) のように複雑かつ厳格で信頼のおける定量的なテクニックを採用する必要があります。
プロセスアプローチの目的は、組織が設定した目標を効果的かつ効率的に達成するようにすることです。これは顧客要求事項を満たすという点で顧客満足を向上させることにもつながります。
プロセスアプローチでは、インプット、価値の付加 (プロセスの資源及び管理) とアウトプットがあります。
適切なタイミングで正しく適切なインプットを得て、製品を正しく設計し、適切なプロセスと管理策を選定し、すべての機械を操作し、監視するためのインフラストラクチャ、環境及び力量を備えた人的資源を整備するためのリスクがあります。
これらのリスク要因は、望んだ結果を得るために重要な役割を果たします。
プロセスと活動を特定し、組織の状況において実際に実践する際に発生する可能性のある問題を予測する必要があります。
リスク計画
リスクアセスメントの包括的なプロセスの後、QMS と意図した結果に影響を与える可能性のあるリスクに対してリスクアセスメント計画を立てる必要があります。その際には、リスクの種類、深刻度及び事業に与える影響に応じて、リスク解決に優先順位を決定する必要があります。
このプロセスにおいて、リスクの原因を精査する必要があります。リスクの深刻度は、発生する可能性と影響を軽減することにより、軽減することができます。
リスク対応で取り得る対策には、リスクを回避する、機会を追及するためにあえてリスクを取る、リスク源を根絶する、起こりやすさや結果を変更する、リスクを共有する、あるいは情報に基づく意思決定によるリスクの保持が含まれます。
すべてのリスクを軽減することは不可能です。それは実現可能でもなく、費用対効果に見合いません。リスクを許容可能で、事業が行えるレベルまで軽減することしかできません。理解でき、管理でき、許容できるリスクは受容可能なリスクです。
著者についてTapas BandyopadhyayとChittaranjan Das は両人ともインド政府の電子及び情報技術部門に勤務しています
