ランサムウェア対策の海外公的機関ガイドライン|CISA等の英語情報を解説
catfish_admin
経営リスクナビ
ISO9001「リスク及び機会への取組み」の実践プロセスと文書化のポイント
catfish_admin
ISO9001の規格で求められる「リスク及び機会への取組み」について、審査を意識した具体的な進め方や文書化でお悩みではありませんか。この要求事項は、単なる形式的な対応に留まると、品質マネジメントシステムが形骸化する原因にもなりかねません。この記事では、規格の要求事項の解説から、リスクと機会を特定・評価する具体的な手順、業種別の事例、審査で指摘されにくい管理表の作成方法までを網羅的に解説します。
目次
ISO9001の要求事項(6.1)
規格が求める「リスクに基づく考え方」
ISO9001における「リスクに基づく考え方」とは、組織が目標を達成する上で障害となりうる要因を事前に特定し、予防的な対策を講じるための戦略的なアプローチです。この考え方の目的は、問題が発生した後の事後対応に追われるのではなく、未然に防ぐことで品質マネジメントシステムの有効性を高める点にあります。具体的には、業務プロセスに潜む潜在的な問題を洗い出し、その影響度を評価して優先順位をつけ、適切な対策を計画・実行します。このようにリスクと機会を組織全体で管理することで、予期せぬ不利益を回避し、顧客へ安定した品質の製品・サービスを提供できるようになります。また、リスクを単なる脅威として捉えるだけでなく、新たな成長のきっかけを見出す「機会」として活用する視点も重要です。この考え方を組織文化として定着させることは、変化の激しい市場環境で競争力を維持するための不可欠な基盤となります。
項番6.1.1:QMS計画時の考慮事項
品質マネジメントシステム(QMS)を計画する際、組織はまず自社の内部および外部の課題(4.1 組織及びその状況の理解)と、利害関係者のニーズと期待(4.2 利害関係者のニーズ及び期待の理解)を十分に考慮しなければなりません。これらの情報をもとに、品質目標の達成を確実にするために取り組むべき「リスク」と「機会」を決定することが求められます。例えば、市場縮小や原材料価格の高騰といった外部要因は経営を圧迫する「リスク」として、新技術の登場や法改正は事業を拡大する「機会」として捉えることができます。このように課題を的確に把握し、事前に対策を準備することで、組織が意図した成果を確実に達成できる体制を整えます。この取組みは、望ましくない影響を防止・低減するだけでなく、望ましい影響を増大させるための施策も含む必要があります。
項番6.1.2:取組みの計画策定
特定したリスクと機会に対しては、具体的な取組みを計画し、それを品質マネジメントシステム(QMS)のプロセスに統合して実行し、その有効性を評価する必要があります。計画を立てるだけでなく、それが日常業務に組み込まれ、確実に実行される仕組みを構築することが重要です。取組みの内容は、製品やサービスに与える潜在的な影響の大きさに応じて決定します。計画の実施後は、あらかじめ設定した基準に基づいて効果を測定し、必要に応じて見直しを行います。この「計画(Plan)→実行(Do)→評価(Check)→改善(Act)」のサイクルを回すことで、リスクと機会への対応が形骸化するのを防ぎ、継続的な改善を促進します。この一連のプロセスが、リスク管理を組織の文化として定着させる原動力となります。
リスクと機会を特定・評価するプロセス
「リスク」と「機会」の定義と関係性
リスクとは目標達成に好ましくない影響を及ぼす不確かさ、機会とは好ましい影響を及ぼす不確かさを指します。これらは表裏一体の関係にあり、同じ事象でも捉え方次第でどちらにもなり得ます。例えば、革新的な新技術の登場は、対応が遅れれば市場シェアを失う「リスク」ですが、積極的に導入すれば新たな顧客層を開拓する「機会」となります。リスクを単に避けるだけでなく、その背後にある成長の可能性を見出し、事業に活かす視点が不可欠です。リスクを管理しつつ機会を最大化する統合的なアプローチが、現代の経営環境では強く求められます。
| 項目 | リスク | 機会 |
|---|---|---|
| 定義 | 目標達成に好ましくない影響を及ぼす不確かさ | 目標達成に好ましい影響を及ぼす不確かさ |
| 捉え方 | 脅威、障害、損失の可能性 | 好機、成長、利益の可能性 |
| 関係性 | 同じ事象のマイナス側面 | 同じ事象のプラス側面 |
手順1:リスクと機会の特定
リスクと機会の特定は、組織の目標達成に影響を与える全ての要因を網羅的に洗い出すプロセスです。SWOT分析などのフレームワークを活用し、多角的な視点で行うことが推奨されます。
リスクと機会を特定する手順
- 組織の強み・弱みなどの内部環境を分析する。
- 市場動向、競合、法規制などの外部環境を分析する。
- 利害関係者(顧客、従業員、取引先など)からの要求や期待を整理する。
- 上記の分析結果から、目標達成のプラス要因(機会)とマイナス要因(リスク)を具体的にリストアップする。
手順2:リスクの分析と評価
特定した全てのリスクに同じように対応するのは非効率なため、優先順位付けが必要です。
リスクを分析・評価する手順
- 特定した各リスクについて、その「発生可能性」を分析する。
- リスクが現実となった場合の「影響の大きさ」を分析する。
- 「発生可能性」と「影響の大きさ」のマトリクスなどを用いて、各リスクの重要度を客観的に評価する。
- 評価結果に基づき、対応の優先順位(例:高、中、低)を決定する。
手順3:機会の分析と評価
機会についても、やみくもに取り組むのではなく、戦略的に評価し、取り組むべきものを選択します。
機会を分析・評価する手順
- 特定した各機会について、その「実現可能性」を分析する。
- 機会を活かせた場合に得られる「利益や効果の大きさ」を分析する。
- 実現に必要な投資や伴うリスクを考慮し、投資対効果を評価する。
- 評価結果に基づき、取り組むべき機会の優先順位を決定する。
特定に活用できる社内情報源(顧客の声・内部監査など)
リスクと機会を的確に特定するためには、現場の実態を反映した客観的な情報を活用することが重要です。これらの情報は、組織が抱える課題や改善のヒントを正確に示してくれます。
特定に活用できる社内情報源の例
- 顧客からのクレーム、フィードバック、要望
- 内部監査やマネジメントレビューでの指摘事項
- 従業員からの提案やヒヤリハット報告
- 品質データ(不良率、手直し率など)の分析結果
- プロセス監視や測定の結果
特定後の取組み計画と実践
リスクへの取組み計画(回避・低減など)
特定・評価したリスクに対しては、その性質に応じて適切な対応策を選択し、計画的に実行します。これにより、事業への損害を最小限に抑えることができます。
| 取組みの種類 | 内容 | 具体例 |
|---|---|---|
| 回避 | リスクの原因となる活動そのものを中止する | 高リスク事業から撤退する |
| 低減 | リスクの発生可能性や影響度を下げる対策を講じる | 定期的な設備メンテナンスを実施して故障を防ぐ |
| 移転 | リスクによる損失を第三者(保険会社など)に転嫁する | 損害保険に加入する |
| 保有 | リスクを受容し、特段の対策を講じない | 影響が極めて小さいリスクは経過観察とする |
機会への取組み計画(創出・強化など)
特定・評価した機会は、具体的な行動計画に落とし込むことで、初めて組織の利益に繋がります。計画には、責任者、期限、必要な資源を明確にすることが重要です。
機会への主な取組み
- 新しい技術や製品を開発・導入する
- 新しい市場へ参入する、または既存市場でのシェアを拡大する
- 顧客満足度を高めるために新しいサービスを開始する
- プロセスを改善して生産性や品質を向上させる
計画を品質目標やプロセスへ統合する方法
策定したリスク・機会への取組み計画は、単独の活動としてではなく、既存の品質目標や日常業務のプロセスに統合して実行することが不可欠です。業務と一体化させることで、対策が現場に浸透し、継続的な監視と改善が可能になります。例えば、不良品発生リスクの低減策を製造工程の作業標準書に反映させたり、機会への取組みを部門の業績評価指標(KPI)に組み込んだりする方法が考えられます。
【業種別】リスク及び機会の具体例
製造業における具体例
製造業では、安定した生産体制の維持と技術革新への対応が重要なテーマとなります。
製造業のリスク例
- 設備の老朽化による故障や生産停止
- 原材料価格の高騰や供給の途絶
- 熟練技術者の退職による技術伝承の断絶
- 製品の品質不良によるリコールや賠償
製造業の機会例
- 新技術(AI、IoTなど)導入による生産性向上
- 自動化設備の導入によるコスト削減と品質安定化
- 環境配慮型製品の開発による新規顧客の獲得
建設業における具体例
建設業では、現場の安全性確保と工期の遵守が極めて重要です。
建設業のリスク例
- 労働災害や公衆災害の発生
- 悪天候や資材納入遅れによる工期の遅延
- 近隣住民からの苦情やトラブル
- 資材価格や人件費の高騰
建設業の機会例
- 新工法の採用による工期短縮とコスト削減
- ICT(情報通信技術)を活用した施工管理の効率化
- 省エネ・耐震など付加価値の高い建築物の受注拡大
IT・サービス業における具体例
IT・サービス業では、技術変化への迅速な対応と情報セキュリティの確保が事業の成否を分けます。
IT・サービス業のリスク例
- サイバー攻撃によるシステムダウンや情報漏洩
- プロジェクトの遅延や仕様変更による採算の悪化
- 技術の陳腐化や競合サービスの出現
- 法規制の変更(個人情報保護法など)への対応遅れ
IT・サービス業の機会例
- クラウドやAIなどの先端技術を活用した新サービスの開発
- DX(デジタルトランスフォーメーション)需要の拡大
- サブスクリプションモデルへの移行による安定収益の確保
リスク及び機会の管理表(文書化)
管理表に含めるべき必須項目
リスク及び機会への取組みを効果的に管理するためには、関連情報を一覧できる管理表の作成が有効です。これにより、進捗状況の共有や評価が容易になります。
管理表の必須項目
- 課題の識別番号
- 課題の内容(リスクまたは機会の具体的な説明)
- 評価(発生可能性、影響度、優先順位など)
- 取組みの計画(対応方針、具体的な対策内容)
- 責任者および担当部署
- 実施期限
- 進捗状況と有効性評価の結果
記載内容の具体性と客観性を保つコツ
管理表は、誰が読んでも同じように理解できるよう、具体性と客観性を保つことが重要です。抽象的な記述は、解釈のずれを生み、対策が実行されない原因となります。
具体性と客観性を保つコツ
- 「注意する」などの曖昧な表現を避け、「〜の手順書を確認する」など具体的な行動を記述する。
- 「影響が大きい」といった主観的な表現ではなく、「生産停止3日以上」など定量的な基準を用いる。
- 5W1H(いつ、どこで、誰が、何を、なぜ、どのように)を意識して、事実に基づいた客観的な言葉で記述する。
管理表の記載サンプル(項目と記入例)
以下に、リスク管理表の具体的な記入例を示します。このようなフォーマットを参考にすることで、一貫性のあるデータ蓄積が可能になります。
| 項目 | 記入例 |
|---|---|
| 課題内容 | 設備の老朽化による突発的な故障で納期遅延が発生するリスク |
| 評価 | 発生可能性:中、影響度:大 → 優先順位:高 |
| 取組み計画 | 【方針】リスク低減 【対策】①最新設備への更新計画を策定 ②月次点検項目を追加 |
| 責任者 | 製造部長 |
| 実施期限 | ①YYYY年MM月末まで ②YYYY年MM月より開始 |
審査で指摘されやすい管理表のNG例と改善策
審査では、取組みの具体性や実効性が確認されます。抽象的な記述や完了基準が不明確な管理表は、指摘の対象となりやすいため注意が必要です。
| 項目 | NG例 | 改善策 |
|---|---|---|
| リスク内容 | 人手不足による品質低下 | 熟練者の退職に伴う、特定工程の検査精度低下 |
| 対策内容 | 担当者のスキルアップを図る | 検査マニュアルを改訂し、新任担当者向け研修をYYYY年MM月までに実施する |
取組みの有効性評価と改善
有効性評価の具体的な指標と方法
実施した取組みが意図した効果を上げているかを確認するため、客観的な指標を用いて有効性を評価します。対策の実施前後でデータを比較し、目標の達成度を測定することが重要です。
有効性評価に用いる指標の例
- 不良品発生率、クレーム件数
- 労働災害の発生件数
- 納期遵守率、生産リードタイム
- 新規顧客獲得数、売上高
マネジメントレビューでの報告と活用
リスクと機会への取組み状況とその有効性評価の結果は、マネジメントレビュー(経営層による見直し)で報告し、組織全体の戦略を検討するための重要な情報として活用します。経営層が現場の状況を正確に把握し、必要な経営資源の配分や方針変更を決定するために不可欠です。
評価結果に基づく継続的な見直し
有効性の評価結果に基づき、取組み内容を継続的に見直し、改善を図ることが求められます。ビジネス環境は常に変化するため、一度決めた対策が永続的に有効とは限りません。計画(Plan)→実行(Do)→評価(Check)→改善(Act)のPDCAサイクルを回し続けることで、品質マネジメントシステムを常に最適な状態に維持します。
運用でよくある失敗例と対策
失敗例1:特定が形式的で形骸化する
リスクと機会の特定が、ISO認証のためだけの形式的な作業となり、毎年同じ内容を更新するだけで形骸化するケースです。これを防ぐには、管理部門だけでなく現場の担当者を巻き込み、定期的にワークショップなどを開催して実務上の課題を吸い上げる仕組みが有効です。
失敗例2:対策が曖昧で実行されない
「徹底する」「気をつける」といった精神論で対策が終わってしまい、具体的な行動に結びつかず実行されない失敗例です。対策は「誰が」「いつまでに」「何を」するのかを明確にしたアクションプランに落とし込み、進捗を管理することが不可欠です。
失敗例3:一度作成して見直されない
管理表を一度作成したきり、事業環境が変化しているにもかかわらず見直されず、内容が陳腐化してしまうケースです。マネジメントレビューや内部監査の際に必ず管理表を見直すことを業務プロセスに組み込むことで、形骸化を防ぎ、常に最新の状況に対応できるようにします。
よくある質問
リスクと機会は必ず文書化が必要ですか?
ISO9001の規格では、リスクと機会への取組み自体について「文書化した情報を保持すること」を明示的に要求していません。しかし、取組みの内容や進捗を関係者で共有し、有効性を評価し、審査で客観的に説明するためには、管理表などの形式で文書化することが強く推奨されます。
リスクと機会はどのくらいの頻度で見直しますか?
少なくとも年に一回、マネジメントレビューの時期などに合わせて定期的に見直すのが一般的です。ただし、新規事業の開始、大幅な組織変更、重大な品質問題の発生など、事業環境に大きな変化があった場合は、その都度臨時に見直しを行う必要があります。
「リスクへの取組み」と「是正処置」の違いは?
「リスクへの取組み」と「是正処置」は、問題への対応タイミングと目的が異なります。リスクへの取組みは未来の問題を未然に防ぐ予防的な活動であるのに対し、是正処置は既に発生した問題の再発を防ぐ事後的な対応です。
| 項目 | リスクへの取組み | 是正処置 |
|---|---|---|
| タイミング | 問題発生「前」 | 問題発生「後」 |
| 目的 | 潜在的な問題の発生を未然に防ぐ(予防) | 発生した問題の再発を防ぐ(再発防止) |
| 対象 | まだ起きていない不確かさ | すでに起きた不適合やインシデント |
小規模な組織でもリスクアセスメントは必要ですか?
はい、組織の規模にかかわらず必要です。むしろ、小規模な組織ほど一つのトラブルが経営に与える影響が大きいため、リスクアセスメントの重要性は高いと言えます。複雑な手法を用いる必要はなく、経営者と従業員が日々の業務で感じる懸念や改善点を話し合うなど、組織の実態に合ったシンプルな方法で実施することが持続的な成長に繋がります。
まとめ:ISO9001のリスク及び機会への取組みを実践する要点
ISO9001における「リスク及び機会への取組み」は、問題発生を未然に防ぐ「リスクに基づく考え方」が中核となります。これは、目標達成を妨げる不確かさ(リスク)を管理し、好影響をもたらす不確かさ(機会)を積極的に活用する予防的な活動です。重要なのは、特定したリスクと機会を「発生可能性」や「影響度」といった客観的な基準で評価し、優先順位をつけて取り組むことです。まずは、顧客からのフィードバックや内部監査の指摘事項など、身近な情報源から自社のリスクと機会を洗い出してみましょう。その上で、具体的な対策を計画し、既存の業務プロセスや品質目標に統合して実行することが、実効性を高める鍵となります。本記事で紹介した内容は一般的な進め方であり、最終的な判断や具体的なシステムの構築については、組織の状況に合わせて専門家の助言を求めることもご検討ください。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
