ISO9100について知るほどにリスクマネジメントの重要性を再認識しています。
マネジメントシステムでのリスクの扱いは、以下のイメージです。
- ISO9100(航空・宇宙のQMS)は、ISO9001(QMS)よりもより高いレベルのリスクマネジメントが要求されています。
- ISO9001(QMS)品質マネジメントシステムでは、リスクアセスメントまでは要求されていませんが、リスクを洗い出し対応することは求められています。
- ISO27001(ISMS)情報セキュリティマネジメントでは、リスクマネジメントを含め付属書Aに管理目的と管理策の詳細が示されています。
しかし、実際にリスクマネジメントに取り組もうとすると、そもそも「リスクの意味が、立場の違いにより違う」など意外に難しいものです。
「化け物の正体見たり枯れ尾花」とも言いますし、リスクに備えチャンスをつかむためのリスクマネジメントにしたいものです。
ここでは、ISO9000シリーズのマネジメントとリスクとの関係について説明します。
リスクの程度とは、起こりやすさと影響度合い
リスクとは、「放置しておくと重大な影響を及ぼすこと」です。
リスクが大きいとか小さいとか言いますが、リスクの大小(程度)は、「そのリスクの起こりやすさ」と「リスクによる影響度」とで、下表の様に表すことができます。
下図は、リスクによる起こりやすさと影響度の分類です。
| 高い ⇐ 起こりやすさ ⇒ 低い | ||
|
高い ⇑ 影響度 ⇓ 低い |
分類A:リスク大 影響が大きくかつ起きやすい |
分類B:リスク中 影響は大きいが起きにくい |
|
分類C:リスク中 影響は小さいが起きやすい |
分類D:リスク小 影響が小さく起きにくい |
|
図1 リスクの分類イメージ
リスクマネジメントでは、全てのリスクを対象にしますが、これは、全てのリスクを同程度に扱う(マネジメントする)ということではありません。
リスクマネジメント(リスク管理)の取り組み順序(優先度)を、上図の4つの分類について説明すると以下の様になります。
- 分類Aの「影響が大きくかつ起きやすいリスク」を最優先にします。
- 分類Dの「影響が小さく起きにくい」には、「リスクがあることは知っている」にとどめます。
- 分類BとCについては、分類Aにある程度目途がついてから着手する。
また、リスクの大小(程度)を、「そのリスクの起こりやすさ」と「リスクによる影響度」で分類するということは、リスクは複数存在しているということです。
リスクマネジメントとは、数多くあるリストについて、大きいリスクへの対応を最優先するということです。このため、小さいリスクは放置(情報セキュリティであれば受容にあたる。そのリスクの発生は受け入れること)、リスクが中程度のものは社内外の環境などの変化に応じて対応していくことになります。
参考:重要度と緊急度に応じた重点指向の考え方
参考までに、モノづくりにおける品質管理で使われている、重点指向の考え方について説明します。
やることが増えてくると、何を優先するか、何に重点をおくか、選択と集中が必要となります。
重点指向とは、より重要なものに焦点を絞り活動することです。
下図は、重要度と緊急度による分類です。
| 高い ⇐ 緊急度 ⇒ 低い | ||
|
高い ⇑ 重要度 ⇓ 低い |
分類A 重要かつ緊急 |
分類B 重要だが緊急ではない |
|
分類C 緊急だが重要ではない |
分類D 重要でも緊急でもない |
|
図2 重要度と緊急度による分類イメージ
分類A「重要かつ緊急」は当然やることです。
ポイントは分類B「重要だが緊急ではない」をどうやって進めるかになります。
例えば、現場での改善活動は、目先のできることから改善しようとなりがちです。しかし、人・物・金・時間には限りがあります。
「重要だが緊急ではない」ことは解決が困難でも全体への影響が大きいため、優先順位を上げて取り組むことが会社全体にとっては効果的です。
リスクの程度に応じたマネジメント
リスクの大小(程度)は、「そのリスクの起こりやすさ」と「リスクによる影響度」とで分類することができ、リスクの大きいものからマネジメント(管理)していくことが重要です。
以下、リスクの洗い出しとリスク大と小のマネジメントについて説明します。
リスクの洗い出し
ISMS(情報セキュリティマネジメントシステム)では、リスクアセスメントを行いますが、そもそも、ISMSでは情報セキュリティという大きな枠のなかでのリスクマネジメントになります。
つまり、リスクの大小の評価以前に、対象となるリスクの範囲を決める必要があります。リスクの範囲があいまいなままにしておくことは、リスクによる影響やリスクの起こりやすさ、リスクの大小を評価していく過程で問題として表面化してきます。
そこで、初めてリスクマネジメントをする場合には、役職や部署毎などの単位でリスクと思っていることを書き出すことが最初の作業になります。
また、リスクの洗い出しは、定期的に行うことが必要です。
リスクマネジメントとして見た場合には、今一つのやり方に思えるかもしれませんが、リスクの洗い出しをすることで、次の様な効果を得られます。
- リスクは人によって違う。
- リスクの影響や起こりやすさは立場によって違う。
- 最も重要な効果としては、「リスクの洗い出しをすることで、リスクについての認識の違いを参加者が認識することで、リスクとはどの様なものなのか共有できる」
進行役やまとめ役の方は大変かもしれませんが、これをやらないと形だけのリスクマネジメントになってしまいがちなので、踏ん張りどころでもあります。
それなりのポジションの方のサポートをしっかりつかむことが重要だったりもします。(判断する人が必要になるので)
「影響が大きくかつ起きやすいリスク」への取り組み
リスクマネジメントは、「影響が大きくかつ起きやすいリスク」から始めます。
リスクは複数あることが普通ですし、各々のリスクが関連していることもあります。このため、リスクについて検討する際には、進行役の役割が重要になります。
進行役の注意点をいくつか列挙します。
- 「そのリスクの起こりやすさ」と「リスクによる影響度」を意識する。
- 「検討範囲」を意識する。
- 「アウトプット(いつまでに何をするか)」を意識する。
正解はありませんし、結果的にリスクが起きなかったとしても、先送りをしてもよいことにはなりません。
対策を検討する際には、最初の対策の完成度を上げるよりは、リスク対応の範囲や程度を限定して、PDCAを回しながらリスク対策の完成度を上げていく進めたかがよいと考えています。
「影響が小さく起きにくいリスク」に対応するデメリット
例えば、社内で製品不具合が見つかり対策を取る場合、声の大きい偉い方から「心配だ~。」と言われてしまい、「影響が小さく起きにくいリスク」に対して対策をすることがあります。
これは、過剰な(ムダな)リスク対策となることが多いのですが、様々なリスクのある中でリスク対応に割り当てられる、人や時間などのリソース(経営資源)は限られています。
つまり、「影響が小さく起きにくいリスク」に対応することで、最優先で対応しなければならない「影響が大きくかつ起きやすいリスク」に割り当てるリソースが減ることになります。
これは、会社全体(経営、あるいは、品質マネジメントシステム)で見た場合、重大なリスクに対応できないという新たなリスクとなります。
モノづくりにおける不具合対策
モノづくりのリスクというと少々大げさになりますので、組立ミスの不具合と効率化の弊害について、リスクマネジメントの視点で考えてみます。
組立ミス(不具合)と対策
モノづくりにおける製品品質は、基本的に工程内で確保していくことが原則です。
組立ミスの原因の1つに、人のミス(ヒューマンエラー)があります。ヒューマンエラーの場合、現実的にできる対策が人による確認(ダブルチェック)だったりすると、組立ミスの対策をすることで、確認作業が新たに増えることになります。
確認作業が増えると、不具合対策として以下のことが追加されます。
- 組立作業者のチェック
- 組立作業後の確認(工程内検査)
- 検査員による最終検査での確認
この時、忘れがちなのが、対策を続けることができるかという視点です。
この視点が抜けると、
- 不具合対策を続けることができない。
- (時間が無くて)不具合対策をやらないことが起きる。
- 不具合対策をやらなくても注意しているから大丈夫と思い込む。
- 不具合対策が形だけのものになる。
そして、
- 不具合の再発
ということになります。
そして、「不具合が再発する」と上述の対策が繰り返され、「不具合の再再発」となり、会社対会社の問題となっていくこともあります。
リスク対策についても同様であり、リスクの大小(程度)により、どの様にリスクをマネジメント(管理)していくかを変えていく必要があるということでもあります。
効率化の弊害
効率化を進めることが、不具合発生のきっかけとなることがあります。
以下に事例を紹介します。
設備点検を毎日から週1に変更
毎日始業時の設備点検を行っていたが異常がないため、毎週1回にしたところ稼働停止となる故障が発生した。
理由:週1回としたことで、毎日始業時の点検で気づく兆候に気づかなくなった。
議事録を廃止
議事録作成に時間がかかるので廃止したところ、会議の決定事項が実施されなくなった。
理由:議事録作成に時間がかかるのは、会議の決定事項の議事録への記載内容だったため、議事録がなくなることで決定事項そのものがあいまいになってしまった。
作業手順書の簡素化
作業手順書を作るのが大変なので、作業手順書は簡潔に書くこととしたところ、読んでも作業の流れしか分からず、作業ができなくなってしまった。結果的に、作業を教える側と教わる側の双方の力量による作業内容の差が大きくなってしまった。
理由:作業に必要な要点(ノウハウ)をまとめるのではなく、単に手順書の量(ページ数)を減らしたため、
まとめ
マネジメントシステムでのリスクの扱いは、以下のイメージです。
- ISO9100(航空・宇宙のQMS)は、ISO9001(QMS)よりもより高いレベル
- ISO9001(QMS)は、リスクアセスメントまでは要求されていませんが、リスクを洗い出し対応すること
- ISO27001(ISMS)は、付属書Aに管理目的と管理策の詳細明記
しかし、実際にリスクマネジメントに取り組むと、「リスクの意味が、立場の違いにより違う」など意外に難しいものです。
「化け物の正体見たり枯れ尾花」とも言いますし、リスクに備えチャンスをつかむためのリスクマネジメントにしたいものです。
ここでは、ISO9000シリーズのマネジメントとリスクとの関係について以下の項目で説明しました。
ここでは、
- リスクの程度とは、起こりやすさと影響度合い
- 参考:重要度と緊急度に応じた重点指向の考え方
- リスクの程度に応じたマネジメント
- リスクの洗い出し
- 「影響が大きくかつ起きやすいリスク」への取り組み
- 「影響が小さく起きにくいリスク」に対応するデメリット
- モノづくりにおける不具合対策
- 組立ミス(不具合)と対策
- 効率化の弊害
- 設備点検を毎日から週1に変更
- 議事録を廃止
- 作業手順書の簡素化
