リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

リスクに基づく考え方(risk_based_thinking)

2016年03月28日

“リスクに基づく考え方(Risk-based thinking)”とは、「リスクを起点に効果的・効率的に目的・目標達成を図るアプローチ」のことです。ここでリスクとは、目的・目標達成を阻害または促進する可能性のある要因全てを指します。すなわち、「リスクを起点に効果的・効率的に目的・目標達成を図るアプローチ」とは、「目的や目標の達成を危うく、または、促進する要因を洗い出し、それらの影響を明確にし、必要な対策を考えることで、目的・目標達成の確度向上を狙うアプローチ」を意味します(以後、「リスクベースアプローチ」と呼称)。
以下に具体例を挙げます。

  • 約束した納期の厳守を脅かす要因・発生可能性・影響を洗い出し、そのリスクの大きさを考慮し対策を検討すること
  • 機密情報保護に関する脆弱性や脅威・発生可能性・影響を検討し、そのリスクの大きさを考慮し予防対策を考えること
  • 製品需要が生産能力を大幅に上回る可能性・影響を分析し、そのリスクの大きさを考慮し、出荷の統制を検討すること

ちなみに、“リスクに基づく考え方(Risk-based thinking)”という言葉は、2015年9月発行のISO規格「ISO9001品質マネジメントシステム-要求事項」において、品質マネジメントシステムの有効性にとって不可欠な考え方として導入されました。

リスクベースアプローチの特徴

リスクベースアプローチと対照的なものに、ルールベースアプローチがあります。ルール、つまり“答え”ありきで目的・目標達成を図るアプローチです。

 

たとえば、ISO9001:2008では、「品質マニュアルを作成せよ」と謳っています。他方、ISO9001:2015には「品質マニュアル」という言葉は登場しません。「記録・証拠以外の文書化は、“QMSの有効性のために必要であると組織が決定したもの”に対して行え」と求めています。言い替えれば、「組織がQMSの目的・目標の実現に係るリスクを判断し、組織にとって必要な文書化を行いなさい」と求めているようなものです。

このことから、リスクベースアプローチは、より組織の特徴を鑑みたアプローチであることがうかがえます。

ISO9001:2015に見るリスクベースアプローチの例

先述しましたように、ISO9001:2015は規格として規範的な要求事項を減らす一方、組織は”リスクに基づく考え方”を実践し、組織が自らの製品・サービスやプロセス等に潜むリスク(=目的に対する不確実さ※1)を検討し、自組織にとって最善の対策を自ら決める、ことを改めて求めています。

ISO9001:2015は、“リスクに基づく考え方”を適用した例として、下記を示しています。

  • 起こり得る不適合(※2)を除去するために予防処置を実施すること
  • 発生したあらゆる不適合を分析すること
  • 不適合の影響に対して適切な再発防止のための取組みを行うこと

※1リスク:「目的に対する不確かさの影響」(参照:BCM Navi 用語集「リスク」)
※2 不適合:「要求事項を満たしていないこと。」(参照:ISO9000:2015)なお、予防処置とは、「望ましくない事態の原因を除く(発生を未然に防止する)処置」を意味します。ここでのリスクベースアプローチとは、たとえば、他社で起きた品質事故をきっかけとして、「あの事故は自組織でも起こり得る事故なのではないか?」「その可能性はどの程度のものか?」「その影響はどの程度の大きさか?」「自社にとっても起こり得る大きいリスクであるとしたら、どのような手を打つべきか?」などといったステップを踏むことがこれに該当します。

 

また、「不適合を分析」および「再発防止のための取り組みを行うこと」では、起きた事故の根本原因を特定し分析することで、再発するリスクの大きさを評価し、その結果に応じて、打つべき対策の範囲や深さを考えるといったアプローチが、まさにリスクベースアプローチに当たります。たとえば、重大な納期遅延の根本原因が特定原材料の入荷遅延だったとします。将来、この原因によって同じような納期遅延事故が起きるリスクの大きさを分析し、評価します。その結果、許容できるレベルと判断できれば、簡単な再発防止策(または特に手を打たないこと)で済むでしょうし、許容できないリスクレベルと判断できれば、しっかりとした再発防止策を打つことになるでしょう。

以上から、こうした活動そのものが“リスクに基づく考え方”の実践例であるということがおわかりいただけたかと思います。

リスクに基づく考え方(リスクベースアプローチ)“実践のコツ

リスクベースアプローチを実践するにあたってのポイントは3つあります。1つは、何の目的・目標達成を阻害する要因かをはっきりさせておくことです。たとえば顧客満足度の継続的改善が目的だとすれば、品質直接的な影響を持つ製造工程が抱える課題もリスクになるし、継続的に改善されないことそのもの…すなわちたとえば力量や意識のともなわないISO事務局員を体制に組み込むこともリスクたりえます。このように何の目的・目標を加味するか、すなわち、何に対するリスクなのか、をハッキリさせなければなりません。

2つ目は、リスクそのものよりも、リスク源の特定を意識させることです。リスク源とは文字通り、リスク要因になりうるもの全て、です。先の再発防止の取り組みの例で触れた、根本原因を特定する活動も、このリスク源を特定する活動にあたります。更に詳しくは弊社ISO31000記事(「ISO31000 リスクマネジメント規格とは」)をご覧ください。

最後に、自身が強く望んでいる目的・目標の実現に関するリスクを、安易に他を参照するのではなく、あえて自身が想定し、主体的に考え抜くことが重要です。その為には、まず今やろうとしていることの意図(目的・目標)を確認し、次にその意図が実現するまでの状況を分析して、意図の実現を阻害しかねない要因を洗い出すことがポイントです。何としてでも、ある意図を実現したいと強く思うことが、その阻害要因を広く、深く洗い出し、分析し、有効な対策を考えだす原動力になると言えます。

(文責:英 嘉明

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム