リスクに基づく考え方(risk_based_thinking)
掲載:2016年03月28日
執筆者:エグゼクティブコンサルタント 英 嘉明
用語集
“リスクに基づく考え方(Risk-based thinking)”とは、「リスクを起点に効果的・効率的に目的・目標達成を図るアプローチ」のことです。ここでリスクとは、目的・目標達成を阻害または促進する可能性のある要因全てを指します。すなわち、「リスクを起点に効果的・効率的に目的・目標達成を図るアプローチ」とは、「目的や目標の達成を危うく、または、促進する要因を洗い出し、それらの影響を明確にし、必要な対策を考えることで、目的・目標達成の確度向上を狙うアプローチ」を意味します(以後、「リスクベースアプローチ」と呼称)。
以下に具体例を挙げます。
・約束した納期の厳守を脅かす要因・発生可能性・影響を洗い出し、そのリスクの大きさを考慮し対策を検討すること
・機密情報保護に関する脆弱性や脅威・発生可能性・影響を検討し、そのリスクの大きさを考慮し予防対策を考えること
・製品需要が生産能力を大幅に上回る可能性・影響を分析し、そのリスクの大きさを考慮し、出荷の統制を検討すること
ちなみに、“リスクに基づく考え方(Risk-based thinking)”という言葉は、2015年9月発行のISO規格「ISO9001品質マネジメントシステム-要求事項」において、品質マネジメントシステムの有効性にとって不可欠な考え方として導入されました。
リスクベースアプローチの具体例
以下にリスクベースアプローチの具体例を挙げます。
- 約束した納期の厳守を脅かす要因・発生可能性・影響を洗い出し、そのリスクの大きさを考慮し対策を検討すること
- 機密情報保護に関する脆弱性や脅威・発生可能性・影響を検討し、そのリスクの大きさを考慮し予防対策を考えること
- 製品需要が生産能力を大幅に上回る可能性・影響を分析し、そのリスクの大きさを考慮し、出荷の統制を検討すること
ちなみに、“リスクに基づく考え方(Risk-based thinking)”という言葉は、2015年9月発行のISO規格「ISO9001品質マネジメントシステム-要求事項」において、品質マネジメントシステムの有効性にとって不可欠な考え方として導入されました。
リスクベースアプローチの特徴
リスクベースアプローチと対照的なものに、ルールベースアプローチがあります。ルール、つまり“答え”ありきで目的・目標達成を図るアプローチです。
たとえば、ISO9001:2008では、「品質マニュアルを作成せよ」と謳っています。他方、ISO9001:2015には「品質マニュアル」という言葉は登場しません。「記録・証拠以外の文書化は、“QMSの有効性のために必要であると組織が決定したもの”に対して行え」と求めています。言い替えれば、「組織がQMSの目的・目標の実現に係るリスクを判断し、組織にとって必要な文書化を行いなさい」と求めているようなものです。
このことから、リスクベースアプローチは、より組織の特徴を鑑みたアプローチであることがうかがえます。
ISO9001:2015に見るリスクベースアプローチの例
先述しましたように、ISO9001:2015は規格として規範的な要求事項を減らす一方、組織は”リスクに基づく考え方”を実践し、組織が自らの製品・サービスやプロセス等に潜むリスク(=目的に対する不確実さ※1)を検討し、自組織にとって最善の対策を自ら決める、ことを改めて求めています。
ISO9001:2015は、“リスクに基づく考え方”を適用した例として、下記を示しています。
- 起こり得る不適合(※2)を除去するために予防処置を実施すること
- 発生したあらゆる不適合を分析すること
- 不適合の影響に対して適切な再発防止のための取組みを行うこと
※1リスク:「目的に対する不確かさの影響」(参照:BCM Navi 用語集「リスク」)
※2 不適合:「要求事項を満たしていないこと。」(参照:ISO9000:2015)なお、予防処置とは、「望ましくない事態の原因を除く(発生を未然に防止する)処置」を意味します。ここでのリスクベースアプローチとは、たとえば、他社で起きた品質事故をきっかけとして、「あの事故は自組織でも起こり得る事故なのではないか?」「その可能性はどの程度のものか?」「その影響はどの程度の大きさか?」「自社にとっても起こり得る大きいリスクであるとしたら、どのような手を打つべきか?」などといったステップを踏むことがこれに該当します。
また、「不適合を分析」および「再発防止のための取り組みを行うこと」では、起きた事故の根本原因を特定し分析することで、再発するリスクの大きさを評価し、その結果に応じて、打つべき対策の範囲や深さを考えるといったアプローチが、まさにリスクベースアプローチに当たります。たとえば、重大な納期遅延の根本原因が特定原材料の入荷遅延だったとします。将来、この原因によって同じような納期遅延事故が起きるリスクの大きさを分析し、評価します。その結果、許容できるレベルと判断できれば、簡単な再発防止策(または特に手を打たないこと)で済むでしょうし、許容できないリスクレベルと判断できれば、しっかりとした再発防止策を打つことになるでしょう。
以上から、こうした活動そのものが“リスクに基づく考え方”の実践例であるということがおわかりいただけたかと思います。
リスクに基づく考え方(リスクベースアプローチ)“実践のコツ
2つ目は、リスクそのものよりも、リスク源の特定を意識させることです。リスク源とは文字通り、リスク要因になりうるもの全て、です。先の再発防止の取り組みの例で触れた、根本原因を特定する活動も、このリスク源を特定する活動にあたります。更に詳しくは弊社ISO31000記事(「ISO31000 リスクマネジメント規格とは」)をご覧ください。
最後に、自身が強く望んでいる目的・目標の実現に関するリスクを、安易に他を参照するのではなく、あえて自身が想定し、主体的に考え抜くことが重要です。その為には、まず今やろうとしていることの意図(目的・目標)を確認し、次にその意図が実現するまでの状況を分析して、意図の実現を阻害しかねない要因を洗い出すことがポイントです。何としてでも、ある意図を実現したいと強く思うことが、その阻害要因を広く、深く洗い出し、分析し、有効な対策を考えだす原動力になると言えます。
