公務員の危機管理広報|平時の備えから有事のメディア対応まで解説
catfish_admin
経営リスクナビ
ISO9001のリスクと機会|規格要求の要点とアセスメントの進め方
catfish_admin
ISO9001の認証で求められる「リスク及び機会への取組み」について、規格は理解できても具体的な進め方や文書化に悩んでいる担当者の方は少なくありません。この要求事項への対応が曖昧だと、審査で指摘を受けるだけでなく、潜在的な経営課題を見過ごすことにも繋がりかねません。この記事では、ISO9001が求めるリスクアセスメントの具体的な手順から、実務で使えるリスク管理表の作成例、形骸化させないための運用ポイントまでを網羅的に解説します。
目次
ISO9001のリスク及び機会とは
規格が求める「リスクに基づく考え方」
ISO9001における「リスクに基づく考え方」とは、品質マネジメントシステムの有効性を高めるため、問題の発生を未然に防ぐ予防的なアプローチを体系的に行うことを指します。旧規格にあった「予防処置」という独立した要求事項が、より広範なリスクマネジメントの考え方に統合されたため、あらゆる業務プロセスでこの考え方が重視されるようになりました。具体的には、内部・外部の環境変化から潜在的な問題を洗い出し、その影響度や発生確率を評価して、システムの弱点を先回りして排除します。この考え方は、単に問題発生を防ぐだけでなく、予防を経営計画や業務の基盤に組み込むための重要な戦略と位置づけられています。
要求事項「6.1 リスク及び機会への取組み」
要求事項「6.1 リスク及び機会への取組み」は、組織が直面する不確実性に対し、戦略的かつ計画的に対処することを求めています。ビジネス環境の変化は品質マネジメントシステムに大きな影響を与え、意図した結果を達成するためには事前の備えが不可欠だからです。この要求事項に応えるためには、まず組織の課題や利害関係者のニーズを特定し、それらに基づいてリスクと機会を洗い出します。その上で、望ましくない影響を防止・低減するための対策を計画し、業務プロセスに統合して実施し、その有効性を評価するという一連の活動が求められます。このように、6.1は単にリスクを回避するだけでなく、継続的改善を促進するための具体的な行動計画の策定を組織に促すものです。
「リスク」と「機会」の定義と関係性
ISO9001において、「リスク」と「機会」は、組織の目的達成に影響を与える「不確かさ」という点で表裏一体の関係にあります。リスクが目的に対する好ましくない影響であるのに対し、機会は目的に対する好ましい影響をもたらす可能性を指すものです。例えば、ある技術革新は、対応できなければ競争力を失う「リスク」ですが、活用して新製品を開発できれば市場を拡大する「機会」となり得ます。同じ事象でも、組織の状況や捉え方によって両方の側面を持つため、双方のバランスを考慮して経営戦略に組み込むことが重要です。
| 項目 | リスク | 機会 |
|---|---|---|
| 定義 | 目的に対する不確かさの好ましくない影響 | 目的に対する不確かさの好ましい影響 |
| 性質 | 脅威、損失、問題、障害 | 好機、利益、成長、改善 |
| 発生源の例 | 技術の陳腐化、法規制の強化、競合の台頭 | 新技術の登場、市場の拡大、規制緩和 |
| 取組みの方向性 | 回避、低減、移転、受容 | 強化、活用、追求 |
リスクアセスメントの実施手順
リスクアセスメントは、以下の手順に沿って体系的に実施します。
ステップ1:リスクと機会の特定
リスクアセスメントの最初のステップは、組織の目的達成に影響を及ぼす可能性のある潜在的なリスクと機会を、多角的な視点から漏れなく特定することです。将来発生し得る事象や環境変化を正確に把握することが、効果的な対策の前提となります。特定にあたっては、組織の内部環境と外部環境の両面から洗い出します。このプロセスで作成されたリスクと機会のリストは、以降の分析・評価の基礎となる重要な情報源となります。
主な特定要因
- 内部環境: 人材のスキル、設備の老朽化、組織文化、情報システムなど
- 外部環境: 市場動向、競合の戦略、法規制の変更、技術革新、社会情勢など
ステップ2:リスクの分析・評価
特定したリスクと機会は、客観的な基準で分析し、対応の優先順位を決定することが一般的です。企業の資源(人、物、金)は有限であり、すべての事象に等しく対応することは非現実的なためです。一般的には、「影響度(発生した場合の被害の大きさ)」と「発生確率」の2軸で評価し、両者を掛け合わせてリスクの大きさを算出することが一般的です。算出された数値を、組織が予め定めた基準と照らし合わせ、「優先的に対応すべき重大なリスク」か「監視に留める軽微なリスク」かを分類します。この評価により、限られた資源を最も重要なリスクへ戦略的に配分できます。
ステップ3:取組みの計画策定
リスクの評価と優先順位付けが完了したら、優先度の高いものから具体的な対応策を検討し、実行計画を策定します。計画には、「何を」「誰が」「いつまでに」実施するのかを明確に盛り込む必要があります。リスクへの対応戦略には、いくつかの選択肢があり、事象の性質や費用対効果を考慮して最適なものを選択します。また、機会に対しては、そのメリットを最大化するための投資計画などを立てます。
主なリスク対応戦略
- 回避: リスクの原因となる活動そのものを中止する
- 低減: 影響や発生確率を下げるための対策を講じる
- 移転: 保険への加入や業務委託により、リスクを第三者に移す
- 受容: 対策費用が見合わない場合などに、リスクをあるがまま受け入れる
ステップ4:計画の実施
策定した取組み計画は、品質マネジメントシステムや日常の業務プロセスに統合して実施します。計画が現場の業務手順から乖離していると、形骸化しやすくなるためです。例えば、設備の故障リスクを低減する計画なら、日常点検項目を作業手順書に追記し、作業者が普段の業務の中で自然に実施できる体制を整えます。特別な追加業務ではなく、日常業務の一部として定着させる工夫が、計画を確実に実行する鍵となります。
ステップ5:有効性の評価と見直し
計画の実施後は、講じた対策が意図した効果を上げているかを定期的に評価し、必要に応じて見直します。ビジネス環境は常に変化するため、一度決めた対策が永続的に有効とは限りません。不良品の発生率や顧客からのクレーム件数といった客観的なデータを用いて効果を測定し、その結果をマネジメントレビューなどで経営層に報告します。この評価と見直しのサイクル(PDCA)を継続的に回すことで、組織は環境変化への適応力を高め、より強固なマネジメント体制を構築できます。
対応すべきリスクと「受容」するリスクの判断基準
すべてのリスクに対応する必要はなく、対策を講じない「受容」という判断も重要です。過剰な対策はコストを増大させ、事業活動を圧迫する可能性があるため、明確な基準で判断します。一般的には、以下の基準に該当する場合にリスクの受容が選択されることがあります。予め設定したリスク許容度に基づき客観的に判断することで、経営資源を重大なリスクへの対応に集中させることができます。
リスクを「受容」する主な判断基準
- 発生確率が極めて低いと評価される場合
- 顕在化しても組織の目標達成や財務への影響が軽微な場合
- 対策にかかるコストが、想定される損失額を上回る場合
リスク管理表の作成と文書化
文書化が求められる理由
ISO9001規格ではリスク管理の文書化を厳密に義務付けていませんが、実務を円滑に進める上で作成することが強く推奨されます。口頭での伝達や記憶に頼ると、認識のズレや引継ぎ漏れが生じるためです。文書として記録を残すことで、様々なメリットが生まれます。
文書化の主なメリット
- 誰が何をいつまでに行うかが明確になり、進捗管理が容易になる
- 担当者が変更になった際の正確な情報共有と引継ぎが可能になる
- 内部監査や外部審査において、体系的な管理体制を客観的に証明できる
リスク管理表に含めるべき項目
実効性の高いリスク管理表を作成するには、リスクの特定から対策、評価までの一連のプロセスを管理できる項目を網羅する必要があります。情報が不足していると、関係者への正確な状況伝達や効果的な対策立案が困難になります。一般的に、以下の項目を含めると管理しやすくなるでしょう。
リスク管理表に含めるべき主要項目
- リスク・機会の識別情報(管理番号など)
- 特定したリスク・機会の具体的な内容
- 関連する内部・外部の課題
- 発生確率と影響度による評価スコアと優先順位
- 具体的な取組み計画(対応策)
- 担当部署および責任者
- 実施期限
- 進捗状況と有効性の評価結果
項目ごとの具体的な記入例
リスク管理表の各項目は、誰が読んでも状況を正確に理解できるよう、抽象的な表現を避けて具体的に記入することが重要です。曖昧な記述では、現場での行動に結びつきません。例えば、「ベテラン職人の退職」という課題に対しては、以下のように具体的に記述します。
| 項目 | 記入例 |
|---|---|
| 課題 | 【内部課題】ベテラン職人の相次ぐ定年退職 |
| リスク内容 | 熟練技術の継承が途絶え、特殊加工品の不良率が上昇する |
| 機会内容 | 作業手順を標準化し、属人性を解消して組織全体の技術力を底上げする |
| 対応策 | ①作業手順の動画マニュアル化 ②若手向け技術研修プログラムの導入 |
| 担当部署 | 製造部、人事部 |
| 期限 | 〇年〇月〇日まで |
| 評価指標 | 不良率を5%から2%未満に低減する |
【業種別】リスク及び機会の例
製造業における具体例
製造業では、サプライチェーンや生産設備の安定稼働が品質に直結するため、これらに関するリスクと機会の管理が重要です。納期遅延やコスト増大に直結する要因を的確に把握する必要があります。
製造業のリスクと機会の例
- リスク: 特定業者への部品調達依存による供給停止、生産設備の老朽化による突発的な故障
- 機会: 調達先の複数化によるサプライチェーン強靭化、最新の自動化設備導入による生産性向上
建設業における具体例
建設業では、現場の安全性や天候といった特有の要因が、企業の信用や経営に致命的な影響を与える可能性があります。労働災害や工期遅延は特に重大なリスクです。
建設業のリスクと機会の例
- リスク: 高所作業での墜落事故、異常気象による工期の大幅な遅延、若手技術者不足による品質低下
- 機会: 最新の安全装備導入による労働災害防止、ドローン活用による現場管理の効率化と安全性向上
サービス業における具体例
サービス業では、従業員のスキルや顧客対応の品質が事業の成否を大きく左右します。人手不足やクレーム対応の失敗が、顧客満足度の低下やブランドイメージの毀損に直結します。
サービス業のリスクと機会の例
- リスク: 慢性的な人手不足によるサービス提供の遅延、不適切なクレーム対応によるSNSでの悪評拡散
- 機会: マニュアル整備やITツール(チャットボット等)導入による業務効率化とサービス品質の標準化
運用を形骸化させないポイント
目的を全社で共有する
取組みを形骸化させないためには、この活動が審査のためではなく、自社の事業をより良くするための重要な戦略であるという目的意識を全社で共有することが不可欠です。経営層は、リスク管理が組織の成長や安定にどう貢献するのかを、会議や朝礼などを通じて継続的に発信し続ける必要があります。従業員が「自分たちの働く環境を良くするための活動」と認識することで、主体的な取組みが促進されます。
現場の業務と結びつける
特定したリスクへの対応策は、現場の日常業務プロセスに直接組み込んで運用することが重要です。既存業務と切り離された「特別な管理業務」にしてしまうと、現場の負担が増え、多忙な時期には形骸化しがちです。例えば、不良品対策であれば、既存の作業手順書に確認項目を一行追加するなど、現場の実態に即した無理のない仕組みを構築することで、対策が日常業務の一部として定着します。
定期的な見直しを計画に組込む
市場環境や組織の状況は常に変化するため、一度策定した対策が陳腐化する可能性があります。これを防ぐため、四半期ごとや年度末など、定期的にリスクと機会を見直すプロセスをあらかじめ計画に組み込んでおくことが重要です。内部監査やマネジメントレビューの場で、対策の有効性を検証し、必要に応じて計画を修正するルールを設けることで、常に実効性のあるマネジメントシステムを維持できます。
特定したリスク・機会を経営層と共有し活用する
現場で特定された重要なリスクや機会は、必ず経営層と共有し、実際の経営判断に活用する仕組みが必要です。重大なリスクへの対応や、大きな機会を活かすための投資には、部門を超えたリソース配分や、経営トップによる迅速な意思決定が不可欠だからです。マネジメントレビューなどを通じて現場の情報を経営層に報告し、事業戦略の修正や予算配分に反映させることで、組織全体のリスク感度が高まります。
よくある質問
Q. リスクと機会はセットで考えるべきか?
はい、可能な限りセットで考えることが推奨されます。一つの事象が、視点を変えればリスクと機会の両方の側面を持つことが多いためです。例えば、顧客からの厳しいコストダウン要求は、利益を圧迫する「リスク」ですが、生産工程を抜本的に見直す「機会」と捉えることもできます。両面から統合的に分析することで、より本質的で戦略的な対策を立案できます。
Q. 更新や見直しの適切な頻度は?
原則として年に一回以上は定期的に見直すことが望ましいです。それに加え、以下のような組織内外の環境に大きな変化があった場合は、その都度、随時見直しを行う必要があります。
随時見直しが必要なタイミングの例
- 新しい生産設備を導入したとき
- 主要な取引先が変更になったとき
- 関連する法律が改正されたとき
- 新たな事業を開始したとき
Q. 小さなリスクにも対応は必要か?
いいえ、特定したすべてのリスクに対応する必要はありません。リスクアセスメントの目的は、限られた経営資源を有効活用するため、対応の優先順位を付けることにあります。発生確率が極めて低く、影響も軽微であると評価されたリスクについては、対策を講じず「受容」する(=状況を監視するに留める)という判断が合理的です。重大なリスクに資源を集中させることが、組織全体を守る上で最も効果的です。
Q. 誰が責任者となって進めるべきか?
最終的な責任は、組織のトップマネジメント(経営者、役員、工場長など)が負います。全社的な資源配分や方針決定には、経営層のリーダーシップが不可欠だからです。ただし、実務上の推進責任者として、品質管理部門や総務部門の管理者を任命し、各部門の担当者をメンバーとする横断的なチームで進めるのが一般的です。トップの強いコミットメントと、現場の専門知識を組み合わせることで、実効性の高い体制を構築できます。
まとめ:ISO9001のリスク管理を実務に活かすために
本記事では、ISO9001の要求事項である「リスク及び機会への取組み」について、リスクアセスメントの具体的な手順から文書化、運用ポイントまでを解説しました。規格が求めるリスクとは「目的に対する不確かさの影響」であり、その特定、分析・評価、計画、実施、有効性評価という一連のプロセスを体系的に回すことが品質マネジメントシステムの継続的改善に繋がります。特に重要なのは、この取組みを審査対応のためだけでなく、自社の経営課題を解決する戦略と位置づけ、現場の業務に落とし込んで全社で運用することです。まずは自社の内部・外部環境を整理し、どのような潜在リスクや機会があるかを洗い出すことから始めてみましょう。ただし、ここで紹介した内容は一般的な進め方であり、各社の事業内容や規模によって最適な管理方法は異なります。判断に迷う場合は、専門家に相談し、自社の状況に合わせた体制を構築することが重要です。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
