ISO9001/ISO14001 コンサルティング・研修
5        ISO9001 CD 「リスク及び機会」は新しい概念・要求事項ではない
TC176改定説明第1報「リスク思考」
<31e-01-05>
0. 概要  こちら
   
付属資料.1  
TC176改定説明 第1報 「リスク思考」, 2013年12月    
             (ISO/TC176/SC2N065ISO9001:2015Risk-based Thinking”*1:著者による全和訳)
付属資料.2  CD版の変更点としての“リスク思考(Risk-based Thinking)”  
              
 (ISO/CD 9001 0. CD版概論*2  : 関係部分の著者による抜粋、和訳)>
付属資料.3  “ISO9001の将来のコンセプト”作業班の検討事項としての“リスク管理”、 2012年8月
                 (ISO9000 -これからの10年、  ナイジェル・H・クロフト (ISO/TC176/SC2 議長)*3 :著者sによる抜粋)
 
  
  
1. TC176改定説明第1報 「リスク思考」

  ISO9001の改定作業を担当するTC176/SC2が改定経緯説明の第1報として昨12月に、「リスク思考」という標題の文書*1を発行した。発表会投射資料の形式の文書には、冒頭で今後も改定作業の進捗に伴い定期的に発行されると記されている。同文書ではこの第1報の目的を、改定版が「リスク」をどのように取り扱っているかを説明することであるとしている。
 
 
2. 改定説明の要点
(1) 「リスク及び機会」の規定の意図 -疑問の余地なく明確に
  この第1報の説明の明瞭でわかりやすい、かつ、重要な点は、①規格の「リスク及び機会」の規定の意図が「リスク思考」の必要の強調であることと、② 「リスク思考」が実務では当たり前のことであり、規格にも常に含まれてきた概念であること、が誤解の余地のない直接的表現で述べられていることで説明である。
 
① リスク管理ではなくリスク思考
  「リスク及び機会」の規定に関する規格の意図について、規格が「リスク管理」の必要を規定しているのでなく、「リスク思考(risk-based thinking)」や「リスク立脚取り組み(risk-driven approach)」の必要を規定しているということが明確に述べられている。まず、文書標題が「リスク思考」であることが何よりのしるしである。また、本文では、組織の改定版対応が「組織の業務実行にリスク立脚取組みを用いること」であると明白である。さらに、リスクと機会を特定するという規定は「組織が完全な、公式のリスク評価を行ったり、リスク登録を維持したりすることを自動的に求めているのではない」と記されている。
 
② リスク思考は実務でも規格でも当たり前
  この「リスク思考」が、組織の実務においては目新しいことではないということについては、「リスク思考とは誰もが自動的に、また、しばしば無意識に行っていることである」「成功組織では、本能的にリスク思考の取組みが行われている」と直接的表現で説明されている。
 
  また、ISO9001にとっても新規な概念ではないことは、「リスクという概念は、ISO9001には常に暗に含まれていたが、今次改定ではこれをよりはっきりと述べ、マネジメントシステムの全体に組み込まれることになる」「リスク思考は、これまでも プロセスアプローチ の一部であった」として説明されている。これは、改定作業責任者Croft氏の「ISO9001の多くの項目でリスクへの対応が暗に含まれていますが、明示はされていません。そのため、多くのユーザーが、リスク管理の要素が既に規格に含まれていることに気付いていません。特に組織の製品、評判、品質マネジメントシステム、資源及びインフラストラクチャーに関係するリスクがあることを理解することが重要です」という改定作業前の説明*3と軌を一にしている。
 
(2) リスク思考の規定化の理由-説明がない
  一方、同文書には、「リスク思考」がこれまで暗黙的であったことにどういう問題があったのか、又は、なぜ明示的な表現としなければならなかったのかという改定説明として最も重要な説明がない。TC176による理由の説明らしいものは、高位構造・共通テキストへの用語「リスク及び機会」の導入に伴い、経営管理活動の予防的性格に鑑みて予防処置の規定が不要になったというCD版に付記された変更点説明*2だけである。つまり、リスク思考の明示的規定化には積極的理由はなく、共通テキスト化に付随する単なる形式上の必要が理由ということと受け止めるのが自然である。
   
(3) リスクの概念-あいまい
  概念の説明も論理性と具体性の両面で不十分であり、あいまいである。すなわち、ISO9001で取り上げられているリスクという説明はリスクを4.5.6項と8.9.10項とに分けており、経営上のリスクと業務実行管理上のリスクの2種類の性格の異なるリスクが認識されているようにも思えるが、明確な見解表明はない。さらにそれぞれに規定されるリスクが現行版のどのようなリスクの暗黙的表現と関係するのかの説明もない。「リスク思考」であって「リスク管理」でないと言いながら、多くのしかし特定の条項のみでリスク(と機会)を特定/決定/対応/考慮することが必要という規定があるのも解せない。
 
  これらのことからは、規格作成者の間で「リスク」の概念、とりわけ実務における具体的なリスクというものに関する理解が整理されていないように思える。これは「リスクと機会」の規定が世界の組織の多用な実務を標準化した結果ではなく、共通テキスト採用により押しつけられた結果と考えると腑に落ちる。
 
 
3. 改定作業の評価
  「リスク思考」の強調が意図なら、規格表現と規格解釈の混乱回避のためには、「プロセスアプローチ」を独立条項としたように、「リスク思考」を独立条項として、その他の規定における「リスクと機会」の明示化をやめるべきであろう。全体として、規定における「リスクと機会」の明示化が確固たる必要性に基づいたものでなく、その概念の整理も不十分なまま改定版に織り込まれている感がある。
 
 
4. 改定版規格の解釈と組織の対応
  ともあれ「リスク(と機会)」の規定がこれまでの規格も依拠してきた「リスク思考」の明示的表現に過ぎないことが明瞭となった。そして、組織はその経営管理活動の実務において、また、ISO9001への取り組みにおいて、これまでも「リスク思考」に基づき、「リスク立脚取り組み」方式で経営管理の業務を行って来たというのが、この説明文書の基本的認識である。従って、改定版の「リスク(と機会)」の用語や規定を取り上げて、例えば、リスクマネジメントが要求事項になったというのはもとより、戦略的取り組みが要求されることになったとか、リスクと機会の特定が要求されることになったとか、はたまた、4.1/4.2の組織の状況と利害関係者のニーズと期待からリスクと機会を決定するとの6.1の規定が新しい要求事項だという類の改定解釈が誤りであることは、この説明文書の趣旨に照らして明白である。
 
 
5. 改定版規格の解釈と組織の対応
  普通の認証組織は、現行の品質方針や目標、手順や資源を決めた時に意識して、或いは、「自動的に或いは無意識に」考慮した「リスクと機会」が何であったか振り返って自らに対して明確にすることが改定版対応となる。
   
 年次方針としての品質方針なら通常、なぜこのようでなければならないか、つまり、どんな「リスクと機会」に対処するのかのトップマネジメントの説明があり、文書で表されることもある。製造手順は、所定外の理由で品質不良が出ないように、怪我をしないように、汚染水を垂れ流さないように、機械を壊さないように等々の様々なリスクに対応するように決めてある。規格の『設計開発の妥当性確認』は、設計した製品が適切であることの判断を、製品が顧客で所定外の問題を起こさないか、つまり、製品が抱えるリスクを考慮して行うことである。
   
 経営で考慮したリスクと機会は経営方針、経営目標の中に残され、また、業務実行で考慮すべきリスクの知識は職場に蓄積され、管理者の職務能力の一部を構成する。「リスクと機会」が規定化されたと言っても、特に何かをしないといけないというものではない。審査員に「リスクと機会」を特定する手順がありますかとかその一覧表を見せて下さいと言われることはない。
 
 
*1: ISO/TC176/SC2、N065、ISO9001:2015“Risk-based Thinking”、2013年12月
*2: ISO/CD 9001, 0. Introduction to this Committee Draft, 0.3 Significant Changes, d) Risk and Preventive Action,
*3: ナイジェル・H・クロフト (ISO/TC176/SC2 議長)、ISO9000-これからの10年
 
   
   
付属資料.1
ISO/TC176/SC2 N065,   ISO9001:2015  “Risk-based Thinking)”  2013年12月 < 著者による全和訳 >
  (ISO/第176専門委員会/第2小委員会、N065文書、 IS9001:2015の”リスク思考”
 
改定説明
l ISO9001の次期改定版に関する情報公開の責任を有するISOの小委員会によって作成された。
l 改定作業の進捗に合わせて定期的に発行されることになろう。
l 誰でも入手可能である。
    
説明の目的:  将来のISO9001:2015が“リスク”という事柄がどのように取り扱っているのかを概説すること。
      
リスク思考(risk-based thinking)とは何か?
l リスク思考とは誰もが自動的に、また、しばしば無意識に行っていることである。
l リスクという概念は、ISO9001には常に暗に含まれていたが、今次改定ではこれをよりはっきりと述べ、マネジメントシステムの全体に組み込まれることになる。
l リスク思考は、これまでも プロセスアプローチ の一部であった。
l リスク思考では、予防的行動が日常業務の一部となる。
l リスクとはしばしば否定的な意味だけで捉えられる。リスク思考はまた、可能性(opportunity)を特定することに役立つ。このことは、リスクの肯定的な側面と考えることができる。
    
ISO9001の主な目標
l 顧客に適合物品及びサービスを一貫して提供できるという組織の能力への信頼性を与える。
l 顧客満足を向上する。
(注) ISO9001の文脈における“リスク”の概念は、これら目標を達成する上での不確実性に関係する。
    
リスクは、ISO9001:2015の現時点の原案のどこで取り上げられているか?
プロセスアプローチ、リーダーシップ、計画の項のリスク
l 4項では、組織はこれら目標を満たす能力に影響を及ぼすリスクを特定することが必要である。
l 5項では、トップマネジメントに4項の遵守を確実にする責任を完遂する決意が求められている。
l 6項では、組織はリスクと機会に取組む処置をとることが必要である。
業務実行、評価、改善の項のリスク
l 8項では、組織はその業務実行におけるリスクを特定し、それに取組むことが必要である。
l 9項では、組織はリスクと機会を監視、測定、分析及び評価することが必要である。
l 10項では、組織はリスクの変化に対応することによって改善することが必要である。
    
なぜ“リスク思考”をとるべきか?
l 顧客からの信頼と満足を向上させるため
l 物品・サービスの品質の安定性を確実にするため
l 予防と改善の事前対応文化を確立するため
l 成功組織では、本能的にリスク思考の取組みが行われている。
 
組織は何をなすべきか?   組織の業務実行にリスク立脚取組み(risk-driven approach)を用いること
l 組織におけるリスクと機会を特定する
   ISO9001:2015は組織が完全な、公式のリスク評価を行ったり、リスク登録を維持したりすることを自動的に求めている
   のではない。ISO31000(リスクマネジメント - 原理及び指針)は、有益な参考資料となろう(しかし強制ではない)。
l 組織におけるリスクと機会を分析し、優先順位づけをする  ー 何が受容でき、何が受容できないか? 
l リスクに取り組む処置を計画する   ーどのようにリスクを回避し、又は、消滅させるか、緩和できるか?
l 計画を履行する -処置をとる
l 処置の有効性を点検する -機能しているか
l 経験から学ぶ -継続的改善
    
次は何か : 改定作業の進捗次第で追加の情報が入手できることになろう
    
   
付属資料.2
ISO/CD 9001 0. CD版概論   < 著者による抜粋、和訳 >
  CD版の変更点としての“リスク思考(Risk-based Thinking)”
  
0. CD版概論(Introduction to this Committee Draft)
0.1 一般 <和訳略>
0.2 付属書 SL <和訳略>
0.3 重要な変更点
a) 規格をより汎用的に、また、サービス産業により容易に適用できるように書き直した <和訳略>
b) 組織の置かれた状況 <和訳略>
c) プロセスアプローチ <和訳略>
d) リスク及び予防処置
  付属書SLの付録2(高位構造と中核文章)には、“予防処置”に関する特定の要件を定めた条項が存在しない。これは、公式のマネジメントシステムの主要な目的のひとつが予防的用具としての役割を果たすことであるからである。
  
 この結果、高位構造及び共通テキストは4.1項で、組織の目的に関連し、意図した結果を達成する能力に影響する外部及び内部の事情を評価すること、6.1項で、品質マネジメントシステムがその意図した結果を達成し、望ましくない結果を防止し低減し、改善を実現できることを確実にするために取り組む必要のあるリスクと機会を決めることをそれぞれ必要としている。
 
 これら2つの規定は“予防処置”の概念を包含し、また、リスクと機会について検討する場合の視野を拡げるものと考えられる。このような取組みは、付属書SLの中核文章に追加される分野別文章に引き継がれ、品質マネジメントシステムの確立と履行を通しての予防処置に対するリスク思考(risk-based thinking)とリスク立脚取り組み(risk-driven approach)を求めている。また、このことにより規範的要件(prescriptive requirement)が幾分減り、性能的要件(performance based requirement)に置き換えられている。リスクを特定しなければならず、対応しなければならないが、公式のリスクマネジメントに関する規定は存在しない。
e) 文書化された情報 <和訳略>
f) 物品・サービスの外部からの調達の管理 <和訳略>
    
   
    
付属資料.3
ISO9000 -これからの10年   ナイジェル・H・クロフト (ISO/TC176/SC2 議長)  
   2012.8 J‐VAC社 ウェブサイト <ウェブサイト日本語原文> <関連部分のみ抜粋>
   
“ISO9001の将来のコンセプト”作業班の検討事項としての“リスク管理”
  「ISO9001の将来のコンセプト」に関するタスクグループがここ数カ月の間活発に活動しており、特にISO9001の2008年改定で取り入れられなかったアイデアについて検討しています。将来のISO9001に向けて様々な考え方が検討されていますが、中でも以下は特に注目すべき点でしょう。
  
 ― 「リスク管理」アプローチの導入 
  ISO9001の多くの項目でリスクへの対応が暗に含まれていますが、明示はされていません。そのため、多くのユーザーが、リスク管理の要素が既に規格に含まれていることに気付いていません。特に組織の製品、評判、品質マネジメントシステム、資源及びインフラストラクチャーに関係するリスクがあることを理解し、これらの相対的な重要性は組織の「ビジネス環境」によって異なることを理解することが重要です(ISO9004:2009, 4.31項参照)
 
 ― 製品の適合性の強調 <本文引用略>


H26.2.1
禁無断転載  (個人的使用のための複写歓迎)
サニーヒルズ コンサルタント事務所