おはようございます!マネジメントオフィスいまむらの今村敦剛です。
内部監査レベルアップ講座、今回はリスクについて解説したいと思います。ISOに取り組んでいる会社の皆さんは、この「リスク」という考えをどう扱えばよいか、戸惑っている印象があります。3回目の今回から、リスクの観点で内部監査をどうやるかについて解説します。
スポンサーリンク
これまでの記事はこちら
-
【内部監査レベルアップ講座】リスクに基づく考え方と内部監査(ISO9001編)(1)
おはようございます!マネジメントオフィスいまむらの今村敦剛です。 内部監査レベルアップ講座、今回はリスクについて解説したいと思います。ISOに取り組んでいる会社の皆さんは、この「リスク」という考えをど ...
続きを見る
-
【内部監査レベルアップ講座】リスクに基づく考え方と内部監査(ISO9001編)(2)
おはようございます!マネジメントオフィスいまむらの今村敦剛です。 内部監査レベルアップ講座、今回はリスクについて解説したいと思います。ISOに取り組んでいる会社の皆さんは、この「リスク」という考えをど ...
続きを見る
動画でも解説しています(無料・登録不要)
リスク管理プロセスの例
これまで説明したようなこと(リスクの洗い出し、分析、評価、対策の決定)を、ISO9001の中で展開していく場合は、どんなイメージになるのでしょうか。まずリスク管理のプロセスの全体像は、一般的にはこんな感じになるかなと思います。
まずは「組織の状況」ですが、箇条4.1で明らかにした、課題や要求事項などを指します。ISOの規格では、リスクを決めるときにはこうした課題や要求事項を考慮しなさいと言っています。例えば課題として「最近、資材が高騰しているなあ」ということが挙げられたとしましょう。
次はリスクの特定です。ここでは、「組織の目標を助けるか、邪魔するかもしれないリスクを見つけて、書き出す」ことをします。「最近、資材が高騰しているなあ」という課題に対して、どんなリスクがあるかを洗い出すということですね。例えば「資材が手に入らなくなる」とか「生産が遅れてしまう」とか「採算が取れなくなる」というリスクがありそうですよね。
次のステップは、リスク分析です。いま洗い出した、それぞれのリスクが起こる可能性や、その影響がどれくらい大きいかを見積もります。たとえば「資材が手に入らなくなる」というリスクは、起きてしまったときの影響の大きさは中程度で、起こりやすさも中程度くらいかな?という感じですね。
そしてその後にリスクの評価をします。リスク分析の結果を見て、どこに力を入れるべきか決めます。この例では「資材が手に入らなくなる」リスクが最も大きいということがわかりました。
そして最後、リスク対応では、重要なリスクに対して、どう対処するかを考えて、それを実行します。例えば「高騰していない資材で生産する」とか「材料屋に価格交渉をする」といった対応策が出てくるかもしれません。
これがリスク管理のメインのプロセスですがこのプロセスをサポートするサブのプロセスもあるはずです。例えば、それぞれのプロセスがうまくいっているかを監視し測定することが必要ですし、リスクに対する取り組みがうまくいっているかどうかは、マネジメントレビューでトップに報告する事になっています。場合によってはリスクを見直す必要もあるでしょう。
サブのプロセスはまだあります。このようなリスク管理プロセスが組織全体で実施されるようトップが奨励することも必要です。さらには、必要に応じて、このプロセスの手順や結果等を記録したほうがいいかもしれません。規格をかなり生真面目に読むと、だいたいこういうことをやってほしいんだと思います。これを全部やるのは大変だというのはよくわかりますけどね。
リスクにまつわる内部監査の方法(規格にそったやり方)
では経営層や各部門に対する内部監査で、リスクにまつわる部分をどう内部監査するかについて考えていきましょう。オーソドックスな方法としては、規格要求事項に沿って尋ねていくというやり方があるでしょう。
例えば「リスクをどういう方法で特定していますか?」と聴いて、リスクの特定方法について確認をするとか、「特定したリスクは、どのように重み付けをしていますか?」ときいて、リスクの分析方法について確認する、というやり方ですね。もちろんこのやり方でもいいんですが、このやり方はちょっと形式的すぎるというか、おそらくこういう聞き方をされると、ほとんどの人はうまく答えられないんじゃないかなと思います。
では、効果的な監査方法にはどういうものがあるでしょうか。それは次回に解説をします。