おはようございます!マネジメントオフィスいまむらの今村敦剛です。
ISO9001:2015 箇条8.4では「供給者評価表」的なものを作って運用することが一般的です。しかし規格は本当にそれを求めているか?を考察します。2回目の今回は、箇条8.4.1から読み取れることを整理し、リスクに応じた供給者管理の具体例を説明します。
前回の記事はこちら
-
-
ISO9001:2015 8.4における「供給者評価」では何が求められているか&具体的運用例の考察(1)
おはようございます!マネジメントオフィスいまむらの今村敦剛です。 ISO9001:2015の箇条8.4に基づいて、「供給者評価表」のようなものを作って運用することがポピュラーなやり方です。しかし規格は ...
この8.4.1の規格要求事項から読み取れること
このようにISO9001:2015の8.4.1項は、発注者側(組織)が供給者を評価、選択、パフォーマンスの監視、及び再評価するための基準を、供給者の能力をベースに設定し、実際の業務に適用し、その結果は記録することを求めているだけです。規格は「全ての供給者に対して、一律に、または定期的に評価や再評価をすべきだ」なんてことは一言も言ってません。つまりよくある「年1回、◯月に、品質・価格・納期の評価項目が書かれたの供給者評価表に◯✕を書き込むような運用」を、ISO9001の規格がやれと言っている訳ではない、ということです。
じゃあ規格に従うと、具体的に何をすればいいんだ?ということですが、リスクに基づくアプローチをとることが考えられるでしょう。
例えばISO 9001:2015の箇条6.1では、組織はリスクと機会を特定し、それに対する取り組みを決定することが要求されています。また箇条8.4.2では、重要度や影響度に応じて管理の方式や程度を決めることが要求されています。これらの箇条が根拠となって、外部供給者から調達する製品やサービスにも、リスクに基づくアプローチが適用されます。
具体的には、リスクが高いと特定された製品やサービスに対しては、より厳密な評価基準や監視プロセスを設けることが取り組みとなります。また、それほどリスクが高くない製品やサービスに対しては、それなりの評価基準や監視プロセスを設けることが、取り組みとなるでしょう。そして8.4.1では、ただ、その基準を作りなさいと言っているのです。
8.4.1に関するリスクアプローチの例
では、外部供給者から調達する製品やサービスに対して、どのようにリスクに基づくアプローチができるでしょうか。リスク分析を、発生確率・影響度マトリックスを使って行う場合を例としてみます。
下記のようなマトリックスを作ることが考えられそうです。
横軸は「発生可能性」ですが、これは供給者の管理体制の脆弱さや、これまでの品質実績の悪さなどとみなすこともできそうです。供給者の管理体制が弱かったり、これまでの品質実績が悪ければ、発生可能性は高いとみなすこともできます。
また縦軸は「影響度」ですが、そのリスクがもし起こった場合に、最終製品やサービスの品質、納期、コスト、顧客満足度などにどの程度の影響を与えるかによって想定することができそうです。
緑色のセルに分類されるリスクは最小限の管理として、黄色のセルに分類されるリスクはより詳細な監視が必要です。そしてピンクや赤色のセルに分類されるリスクは優先的に対策を講じる必要があります。こうして、リスクに応じた供給者評価の方法を決めます。
「リスクが低い」場合は、何をすればよいのか?
では「リスクが低い」場合は、何をすればよいのでしょうか。あくまでも一般論であり、ケースバイケースだとも思いますが、定期的な評価はせず、リスクが低い製品・サービスの取引先との日常のやり取りを監視する(今回も大丈夫だったなと確認する)だけで、供給者を評価・選択をしても良いと思います(そういう運用ルールを、品質マニュアルや購買管理規程で明確にしないといけませんが)
えっ?何もしなくてもいいの?そりゃ運用が楽になる!ラッキー!!と思うのは早計です。こうしたリスクに基づくアプローチを購買プロセスに適用する場合には、何がリスクが高い製品・サービスなのか?という判断をした根拠(例えばリスク分析結果)などをちゃんと記録しないといけないと、ぼくは思います。その根拠は、箇条8.4.1の「組織は、これらの活動及びその評価によって生じる必要な処置について、文書化した情報を保持しなければならない。」にあります。規格にしたがって、何がリスクが高い製品・サービスなのか?というのを「評価」したならば、それを記録に残さないといけませんね。。
万が一のケースを考えてみましょう。「何がリスクが高い製品・サービスなのか?」という判断の根拠が記録されていなければ、万が一、リスクが低いと思っていた製品・サービスで重大な不適合が発生した時、「我が社の判断や意思決定が適切だったのか?」と振り返ることもできませんよね。
万が一の場合でなくても、もし記録を取っていれば、状況が変わった際に、その時のリスク分析結果を、再評価の基準としても使えます。(例えば、これまではリスクが低いと思っていた製品・サービスだったけど、その供給者の経営者が変わったとか、製造工程を大幅に見直した場合には、以前のリスク分析結果を使って、もう一度評価することができます)
したがって「リスクが低いから評価表を作らなくていいや」と安易に決めるのではなく、供給者に関してリスクに基づくアプローチを採用した信頼性を担保する意味でも、記録を取ることが期待される、というのがぼくの解釈です。
なお、「低リスク」と評価した基準とその監視方法に関しては、適切な頻度で見直しを行ったほうがよいとも思います。