株式会社 渡辺コンサルティングオフィス
トップページ
データ経営構築と運用
審査の現場から
内部監査員養成講座
会社案内

…渡辺コンサルの独り言…

(2016年9月11日付)

〜要求事項を満たすという事〜

皆さん、今日は、この渡辺コンサルの独り言ですが、以前は毎週 200 件以上のアクセスがあったのですが、最近は 5 〜 60 アクセスになっています。随分、減っちゃったなぁと思う反面、本当に読みたい方々にアクセスして頂いているという実感があります。一時のブームみたいな感じは去り、じっくりと読んで頂いている。これは逆に嬉しいですね。その代り、内容も益々しっかりとしたものを書かなければならない。仮に、アクセス数が毎週たった1件でも、“その方のために、この独り言は書き続けたい” そう思っています。今後とも宜しくお願い致します。

さて、普段、コンサルティングの際に良く説明するのが “リスクの評価方法” です。リスクの評価は、先日の高橋先生のセミナー 「 ISO 31000 リスクマネジメント」 の解説にもありましたが、以下の方法が一般的だと思います。

   発生頻度 × 影響度

これは、リスクの定義の注記4. に 「リスクとは、ある事象 (その周辺状況の変化を含む) の結果とその発生の “起こりやすさ” ( JIS Q 0073 : 2010 の 3. 6. 1. 1 の定義参照) との組合せとして表現されることが多い。」 に基づいています。

これが FMEA (故障モード影響解析) になるともう一つ “検知度” というのが加わって、3つの評価項目になります。これはややこしいです。

   発生頻度 × 深刻度 × 検知度

“検知度” とは “故障要因 (欠陥) の発見のし易さ” という事になりますが、3次元になりますので中々難しい評価方法になります。時々、環境 ISO の環境影響評価でこの “発見のし易さ” を入れた3次元評価をしている組織がありますが、使いこなせていないですね。当時、指導したコンサルタントさんにそう教えられたという事ですが、何でこんなに難しく考えるのか私には判りません。発生頻度と影響度で充分です。

本題に戻ります。この発生頻度×影響度で出た数値ですが、当然、リスク評価結果という事になります。

   発生頻度 × 影響度 = ○点

この点数が評価であり、組織が設定した何等かの基準を下回った場合と、超えた場合とが出てきます。例えば、発生頻度・影響度共に1点から3点の3段階評価を行うとすると、最大値は3 × 3で9点となります。そこで、例えば・・・。

6点以上・・・容認出来ず、何等かの対策要
5点以下・・・容認可。経過観察、現状の維持

とすると、以下の4つの選択肢の中から対策を取ることになります。

受容 : あらかじめ定めた受入レベル以下のリスクを受け入れる。(5点以下)
低減 : リスクに対して適切な管理策を適用する。
移転 : リスクを構成する要素を含む事業を他者にアウトソースしたり、保険を掛けて担保する。
回避 : リスクを構成する要素の執行や運用を停止する。

これと似たような記述が、ISO 9001 : 2015 の 6. 計画の注記1にリスクへの取組みの選択肢として解説がありますが、ただ、上記の4つの選択肢と完全には一致していません。

さて、今日の本題です。品質も環境も情報セキュリティも、そして様々な規格も、それぞれに要求事項があると思います。「〜しなければならない。」 という例のやつです。この 「〜しなければならない。」 というのは分かるのですが、それじゃ、要求事項を満たすという事は、このリスク対応の選択肢のどれに該当するのでしょうか?

規格は、「リスク及び機会」 と言っています。組織が意図した成果を出すに当り、その達成に至るまでの不確かさ = リスク (脅威) を明確にし、その不確かさを受容するのか、低減するのか、移転するのか、回避するのか? 組織は、この4つを理解し、何れかの対応をしていかなければならない事になります。例えば、6.1 リスク及び機会への取組みの 6.1.1 のc) に以下の記述があります。

6.1.1
c) 望ましくない影響を防止又は低減する。

ここで言う “防止” とは、望ましくない影響の発生を限りなくゼロにしてしまうという事であり、ある意味で受容に繋がると思います。「この程度のリスクであれば、まぁ、問題ないでしょう。」 っていう事です。でも、このコラムを読まれる方の中には 「受容とか、低減は分かるけど、移転とか、回避なんか規格にあったけ?」 と思われる向きもおられるでしょう。

例えば、7.2 力量の注記に以下の説明があります。これは明らかにアウトソース (外注)、つまり、“移転” です。

注記 適用される処置には、(略)、また、力量を備えた人々の雇用、そうした人々との契約締結などもあり得る。

また、組織の製品実現能力の評価に基づく、「 8.4 外部から提供されるプロセス、製品及びサービスの管理」 はアウトソースそのものです。

残るのは “回避” ですが、この領域は発生頻度も多く、さらに影響度も大きいという部分です。この領域は事業リスクが大変に大きいという事になり、例えば、進出しようとしている分野や新規事業、M&A、(設備) 投資などがあまりにもリスキーであると判断した場合は、リスクの回避という事になります。所謂、事業の撤退 ・ 売却です。また、事業を継続する場合は発生頻度か、影響度合のどちらか、若しくは双方を下げなければなりません。
ただ、ご存知のとおり、品質にはこのような明確なリスク評価プロセスは導入されておらず、この点で ISO 31000 リスクマネジメントや SWOT 分析、統計的手法といった別なアプローチが必要になってくるのだと理解しています。

今回はこの辺で。


Copyright (C) 2006-2007 Watanabe Consulting Office CO.,ltd. All Rights Reserved. | 個人情報保護方針