ISO 9001:2015には3つの重要な概念があります。
ISO9001:2015の3本柱
- リスクに基づく考え方
- PDCAサイクル
- プロセスアプローチ
この3つの概念はプロジェクト・マネジメント (PMBOK 6th Edition)にも共通している内容です。
この記事では「リスク」「リスクに基づく考え方」について説明いたします。
- リスクの定義を詳しく知りたい
- リスクに基づく考え方 (Risk Based Thinking) を知りたい
- 具体的に、どのようなアクションをするのか知りたい
リスクとは、「Risk & Opportunity / Threat & Opportunity」
まず、リスクの定義について説明します。
ISOとPMBOKから引用しましたが、両方とも同じような定義をしています。
ISO での定義
ISO 9000:2015では、リスクを次のように定義しています。
注記 1. 影響とは、期待されていることから、好ましい方向又は好ましくない方向に乖離することをいう。
注記 2. リスクとは、起こり得ること、そして、それが起こった場合の影響としてあり得ることである。
注記 3. リスクでは、その起こりやすさについても考慮する。
引用: ISO9001: 2015
“好ましい方向又は好ましくない方向に乖離”とあるように、「リスク」という単語には良い意味も悪い意味も含まれています。
一般的には、悪いイメージしかないと思います
そして、両方の意味をまとめて「リスク」と呼んでいては区別がつかないので、ISO9001: 2015 では、
と呼ぶことで区別しています。
PMBOKでの定義
PMBOKではリスクを次のように定義しています。
リスク (Risk). 発生が不確実な事象または状態。発生した場合、ひとつ以上のプロジェクト目標にポジティブあるいはネガティブな影響を及ぼす。
An uncertain event or condition that, if it occurs, has a positive or negative effect on one or more project objectives.
引用: PMBOK GUIDE 6th Edition
ISO同様、PMBOKも”リスク”という単語に良いリスクと悪いリスクを含ませて定義しています。そして、次のように呼ぶことで”良い/悪い”を区別しています。
リスクの定義をまとめると、次のようになります。
「良いリスク」の英語表記が”Opportunity ”という点は共通しています。
| ISO | PMBOK | |
| 良いリスク | 機会 Opportunity | 好機 Opportunity |
| 悪いリスク | リスク Risk | 脅威 Threat |
“悪いリスク”に関してですが、「リスク」の意味の混同を防ぐためには、PMBOKの”脅威 Threat”という呼び方が良いかな~、と個人的には思います。
ISO 9001: 2015 “リスクに基づく考え方”(Risk-based thinking) とは
箇条0.3.3に、”リスクに基づく考え方”(Risk-based thinking)の定義が書かれています。
Clause 0.3.3リスクに基づく考え方(Risk-based thinking)
組織は,この規格の要求事項に適合するために,リスク及び機会への取組みを計画し,実施する必要がある。リスク及び機会の双方への取組みによって,品質マネジメントシステムの有効性の向上,改善された結果の達成,及び好ましくない影響の防止のための基礎が確立する。機会は,意図した結果を達成するための好ましい状況,例えば,組織が顧客を引き付け,新たな製品及びサービスを開発し,無駄を削減し,又は生産性を向上させることを可能にするような一連の状況の結果として生じることがある。機会への取組みには,関連するリスクを考慮することも含まれ得る。リスクとは,不確かさの影響であり,そうした不確かさは,好ましい影響又は好ましくない影響をもち得る。リスクから生じる,好ましい方向へのかい(乖)離は,機会を提供し得るが,リスクの好ましい影響の全てが機会をもたらすとは限らない。
引用: ISO9001: 2015
目的の達成のためのプロセスに影響を与える要因(リスク)を抽出し、それらの影響を明確にして、組織が決定した基準に従って対策を施し、目的達成の可能性を高める方法です
ISO 9001:2015とリスク
ISO9001: 2015では、”リスクに基づく考え方”はPDCAサイクルのすべてのプロセスで用いられています。
概要は次の通りです。
箇条 4(状況):組織は、組織の目的・目標に影響を与えるかもしれないリスクを明確にすることが求められる。
箇条 5(リーダーシップ):トップマネジメントは、箇条4 の確実な実施を約束することを求められる。
箇条 6(計画):組織は、リスク及び機会を特定するための処置を取ることが求められる。
箇条 8(運用):組織は、リスク及び機会に取り組むためのプロセスを実施することが求められる。
箇条 9(パフォーマンス評価):組織は、リスク及び機会を監視し、測定し、分析し、評価することが求められる。
箇条 10(改善):組織は、リスクの変化に対応することで改善することが求められる。
引用: ISO/TC 176/SC 2/N1222
では、ISO9001: 2015の中ではリスクに対して、どのように要求しているのかを確認しましょう。
ISO 9001: 2015 リスクに関する箇条
4. 組織の状況
4.4 品質マネジメントシステム及びそのプロセス4.4.1 f)6.1の要求事項に従って決定したとおりにリスク及び機会に取り組む。
5. リーダーシップ
5.1 リーダーシップ及びコミットメント5.1.1 一般
d) プロセスアプローチ及びリスクに基づく考え方の利用を促進する。
5.1.2 顧客重視
b) 製品及びサービスの適合並びに顧客満足を向上させる能力に影響を与え得る,リスク及び機会を決定し、取り組んでいる。
6. 計画
6.1 リスク及び機会への取組み
6.1.1 品質マネジメントシステムの計画を策定するとき,組織は,4.1に規定する課題及び4.2に規定する要求事項を考慮し,次の事項のために取り組む必要があるリスク及び機会を決定しなければならない。
- 品質マネジメントシステムが,その意図した結果を達成できるという確信を与える。
- 望ましい影響を増大する。
- 望ましくない影響を防止又は低減する。
- 改善を達成する。
6.1.2 組織は,次の事項を計画しなければならない。
a) 上記によって決定したリスク及び機会への取組み
b) 次の事項を行う方法
1) その取組みの品質マネジメントシステムプロセスへの統合及び実施(4.4参照)
2) その取組みの有効性の評価
リスク及び機会への取組みは,製品及びサービスの適合への潜在的影響と釣合いのとれたものでなければならない。注記1: リスクへの取組みの選択肢には,リスクを回避すること,ある機会を追求するためにそのリスクを取ること,リスク源を除去(remove)すること,起こりやすさ若しくは結果を変えること,リスクを共有すること,又は情報に基づいた意思決定によってリスクを保有することを含めることができる。
注記2:機会は,新たな慣行の採用,新製品の発売,新たな販路の開拓,新たな依頼人への取組み,パートナーシップの構築,新たな技術の使用,及び組織のニーズ又は顧客のニーズに取り組むためのその他の望ましくかつ実行可能な可能性につながり得る。
9. パフォーマンス評価
9.1.3 分析及び評価e) リスク及び機会に取り組むためにとった処置の有効性
10. 改善
10.2 不適合及び是正処置
10.2.1 苦情から生じたものを含め,不適合が発生した場合,組織は,次の事項を行わなければならない。
e) 必要な場合には,計画の策定段階で決定したリスク及び機会を更新する。
引用: ISO9001: 2015
上記は、実際に”リスク及び機会”という用語が使用されている箇所を抜粋しました。
”リスク及び機会”をコントロールするために、PDCAサイクルを回し、常に情報を最新に保つことが要求されていることが読み取れます。
「予防処置」要求は消えていない!
ISO 9001 が2008年版から2015年版にアップデートした際の「違い」として、「予防処置要求がなくなった」という意見がありますが、どうでしょう?
「「予防」はしなくてよいの?」、結論は「予防処置」は必要です。
これは、ISO 9001 2015 にも明確に記述されているんです。
それが本文ではなく付属書 A に、こんなにも重要なことが書かれています。
A.4 リスクに基づく考え方
リスクに基づく考え方の概念は,例えば,計画策定,レビュー及び改善に関する要求事項を通じて,従来からこの規格の旧版に含まれていた。この規格は,組織が自らの状況を理解し(4.1参照),計画策定の基礎としてリスクを決定する(6.1参照)ための要求事項を規定している。これは,リスクに基づく考え方を品質マネジメントシステムプロセスの計画策定及び実施に適用することを示しており(4.4参照),文書化した情報の程度を決定する際に役立つ。
品質マネジメントシステムの主な目的の一つは,予防ツールとしての役割を果たすことである。したがって,この規格には,予防処置に関する個別の箇条又は細分箇条はない。予防処置の概念は,品質マネメントシステム要求事項を策定する際に,リスクに基づく考え方を用いることで示されている。
引用: ISO9001: 2015
“リスクに基づく考え方” をとるためには、必ず最初に組織のリスクを考えなければなりません。
望ましくない影響(リスク)を予防又は削減する上で、早期のリスク特定・取組みをすることは後追いではなく、先取り、「つまり、予防処置」をするようになります。
品質マネジメントシステムがリスクに基づいたものとなると、自然と予防処置が備わるようになります。
つまり、
と言えます。
PMBOK におけるリスク・マネジメント
ISO 9001: 2015では、「リスクに基づく考え方」という概念の説明はありますが、具体的にどのように取り組めばよいかの記述はありません。
規格なので、具体的説明が無くて当然です。
そこで、PMBOK Guide 6th Edition の記述を参照して、どのように取り組むのかを説明します。
リスク・マネジメントの全体の流れ
リスク・マネジメントの全活動の基準・指針を定義する。
例) どの程度のリスクを許容するのか、必要資金など
個別のリスクを特定し、リスク登録簿を作成する。
発生確率影響度マトリクスを利用して、リスクに等級(ABC, 高中低 など)をつけ、等級に応じたグループ分けする。
等級が高いグループのリスクに対して、目標に対してどの程度(日にち、コスト)の影響を与えるのかを、具体的に算出する。算出結果をもとに、リスクの優先度をつける。
個別リスク・全体リスクに対して事前策、事後策を計画する。
合意済みの対応策を実行する。
対応結果の情報を、リスク登録簿に記録します。
新しいリスクを特定、特定されているリスクの再査定をします。
11.2 リスクの特定、11.3 リスクの定性的分析、11.4 リスクの定量的分析、11.5 リスク対応の計画 について、キーとなる項目を説明します。
11.2 リスクの特定
リスクを特定するために使用されるツールに、「SWOT分析」があります。
SWOTとは、Strength(強み)、Weak(弱み) 、Opportunity (好機)、Threat (脅威)の頭文字をとったワードで、「スウォット」と読みます。
組織の内部環境と外部環境に関するSWOTを洗い出し、企業や事業の現状を把握するためにし要される手法です。
(内部環境と外部環境) × (プラス要因とマイナス要因)の、2 ×2のマトリクスで組織の状況を洗い出して整理します。
| プラス要因 | マイナス要因 | |
| 内部環境 | 強み(Strength) 強みや長所、得意なこと | 弱み(Weakness 自社の持つ弱みや短所、苦手なこと |
| 外部環境 | 機会(Opportunity) 社会や市場の変化などでプラスに働くこと | 脅威(Threat) 社会や市場の変化などでマイナスに働くこと |
この項目すべてが「リスク」となります。
11.3 リスクの定性的分析
洗い出したリスクをザックリとしたグループ分けをするための分析をおこないます。
ここで使用されるのが「発生確率・影響度マトリクス」です。
どの組織でも発生確率には「%」が使用されますが、影響度は異なります。
- コストが予定よりも「xx%」増える
- スケジュールが予定よりも「xx %」伸びる
といった、割合で定義する場合もあれば、具体的に「xx円」、「xx日」と定義する場合もあります。
また、スケジュール延長によって増えるマンパワーコストや、機会損失を算出して、一括して「コスト」でリスクの影響を評価する場合もあります。
このようなマトリクスであらわせます。
ここでは、説明を簡単にするため 3×3で説明しましたが、4×4、5×4、100×100、何でも構いません。
それぞれのリスクがどこに位置するかでグループ分けをします。
- 赤 : 高重要度
- 橙 : 中重要度
- 緑 : 低重要度
そして、高・中重要度リスクは定量的分析をし、低重要度リスクは監視するのみ、といったプロセスにつなげます。
「組織のリスク許容度」に依存するため、「高重要度リスクのみ定量的分析をする」と判断する組織もあります。
リスク・マネジメント計画書で定義しておくことの例を挙げておきます。
- マトリクスの縦軸と横軸の単位と分割数
- グループ分けの区切り
- 法令要求は、低重要度でも対応すること
- 人命にかかわるリスクは、発生確率を下げること
11.4 リスクの定量的分析
リスクの定性的分析の結果、より詳細な分析が必要と判断したリスクを定量的に分析し、優先順位を決定します。
「定量的に分析」することで、リスクの影響を具体的な数字で表すことができます。
そして、リスクの優先度を客観的に決めることができます。
トルネード図
トルネード図は、基準値を軸にして項目ごとの不確実性の幅を表示した棒グラフです。
目的や目標に影響を与えるリスクが、「どの程度」影響を与えるのかを定量的に分析する手法です。
一般的に、軸からの変動幅が大きい(影響度の高いリスク)順に並べます。
その見た目が「竜巻 (トルネード)」のように見えるため、この名前がつきました。
変動幅が分からない場合は一定率(±5~10%)を用います。
この例では、市場規模の変動幅がNPVに与える影響が最も大きいことがわかります。
これより、「市場規模」の予測に注力し、その結果を組織のアクティビティにフィードバックするべき、ということがわかります。一方、「固定費」に対する取り組みの優先度は低くなります。
デシジョンツリーダイアグラム
意思決定の各段階の選択肢を樹木構造で示し、最適な結果を得るための経路を視覚化した図です。
各段階で、影響(コスト、利益)と発生確率から期待値を算出し、期待値を足し合わせることで、全体の期待値を算出します。
この例では、設備Aを購入するほうが投資効果が高いことがわかります。
ただし、設備Bの投資効果との差は300万円ですので、初期投資を抑えるためにあえて設備Bを購入する、という判断もありえます。
11.5 リスク対応の計画
このプロセスでは、リスクへの対応方法を定義します。
PMBOKではリスクを全体リスクと個別リスクに分類しています。
全体リスク:プロジェクト全体に及ぼす不確実性の影響をいいます。業界動向、他社動向、為替変動といった、自組織では対応が難しいリスクが該当します。
ロシアのウクライナ侵攻、大規模地震も当てはまりますね。
個別リスク:ひとつ以上のプロジェクト目標(コスト、品質、スケジュール)に、プラスあるいはマイナスの影響を及ぼすリスクが該当します。
また、先ほど説明したように個別リスクは好機のリスクと脅威のリスクに分けられます。
好機のリスクへの戦略、脅威のリスクへの戦略、全体リスクへの戦略をまとめたのが次の表です。
まとめ
日常では、リスクという言葉をあまり意識せずに使用していると思いますが、本記事を読むことによって、「リスク」の概念や対応策を深く知ることができたのではないでしょうか。
日ごろの生活でもリスク評価、対応策は無意識のうちに考えているはずです。
- コロナワクチンを打つという行動 : 脅威のリスクへの「軽減」
- コロナワクチンを打たない行動 : 脅威のリスクへの「需要」
- 外界との接触を完全に遮断する : 脅威のリスクへの「回避」
赤信号を渡る、曇っていて傘を持っていく/持っていかない、100円拾った、などなど、様々なリスクに囲まれて生活しています。
このような、リスク・マネジメント手法をまとめて文章化したものがPMBOKの内容です。
