コンサルティングサービス
経営コラム
経済・政策レポート
会社情報

経営コラム

コラム「研究員のココロ」

【RCM経営入門 アフターJSOXシリーズ】(第2回) ISO(マネジメントシステム規格)にRCMを活用

2009年06月08日 藤田芳夫


1. はじめに-そのISO(マネジメントシステム規格)は役に立っていますか

 ISOというと、多くの方はISO9001やISO14001などのマネジメントシステム規格(以下「ISO(マネジメントシステム規格)」という)を思い浮かべることだろう。ISO(マネジメントシステム規格)は、品質、環境、情報セキュリティなどの管理運営体制を規定した規格文書であり、第三者機関による審査登録制度が実施されているものとして、ISO9001、ISO14001、ISO/IEC27001などが有名である。しかし、多くの企業ではISO(マネジメントシステム規格)は単に認証を取得・維持するためだけのもので、経営管理に有効なシステムになっていないのではないだろうか。
 ISO(マネジメントシステム規格)は、PLAN・DO・CHECK・ACTのPDCAサイクルの確立によって継続的改善を行うことをうたっている。特に審査登録をしている場合は、このPDCAが規格に沿って運用されているかを、審査登録機関から定期的に審査される。ではなぜ、ISO(マネジメントシステム規格)が形骸化しているといわれるのだろうか。筆者は、PDCAサイクルの中でも特にCとAが原因ではないかと考えている。そこで本稿では、RCM(リスクコントロールマトリクス)のプラットフォームを利用して、ISO(マネジメントシステム規格)の有効性を向上する方法について考察した。

2. ISO(マネジメントシステム規格)の本質は「予防処置」

 ISO(マネジメントシステム規格)において、PDCAのCとAに相当する部分は、内部監査、是正処置、予防処置、及びマネジメントレビューによる継続的改善からなる。ISO(マネジメントシステム規格)を導入する組織は、規格が規定した最低限実施すべき事項(「要求事項」という)を、自組織での具体的な活動内容としてルール化する。自組織で規定したルールがこの要求事項を満たしていることを「適合」、満たしていないことを「不適合」という。内部監査では規格の要求事項を満たすために自組織が定めたルールに実際の業務が適合しているかどうかを検証し、不適合の場合に是正を行う。そして、顕在化した不適合を解消し、原因に対して対策をうって、再発を防止することを「是正処置」という。
 一方、まだ起こっていないが将来起こるかもしれない潜在的な不適合に対して対策をとることを「予防処置」という。予防処置は、概ね以下の手順で行われる。

  • 潜在的な不適合を識別する

  • 識別した潜在的な不適合が発生する原因を特定する

  • 不適合が起こった場合の影響を評価し、対策の必要性を検討する

  • 不適合を未然に防ぐための対策(予防処置)を決定・実行する

  • 予防処置の結果を記録する

  • 予防処置の有効性をレビューする

 かなり乱暴な言い方をすれば、ISO(マネジメントシステム規格)の要求事項を満たすための活動(自組織が定めたルール・統制)は、潜在的な不適合に対する統制、つまり予防処置であるといえる。なかでも筆者が注目しているのは、「潜在的な不適合の識別」と「予防処置の有効性レビュー」である。

3. ISO(マネジメントシステム規格)の限界-「予防処置」の困難さ

 予防処置は、ISO(マネジメントシステム規格)導入企業が非常に悩む部分である。まだ起こっていないが将来起こるかもしれない潜在的な不適合といっても、どこまでを想定すればよいのか悩むのである。結果として、「予防処置が必要な潜在的不適合はない」とするか、審査対策として形式的に潜在的な不適合を1つ2つあげるだけで終わってしまう。
 また、「予防処置の有効性レビュー」は継続的改善につながる非常に重要な事項である。しかし、ISO(マネジメントシステム規格)では、従来この「予防処置の有効性のレビュー」をどのような方法で行うのかについて、明確な回答を持っていなかった。予防処置のレビューは大変困難である。現在も不適合が顕在化していないからといって、予防処置が有効だからなのか、たまたま、まだ起こっていないだけなのか、判断できないのである。そのため形式的な方法でレビューを行ったことにする場合が多くなってしまう。
 また内部監査や審査登録機関による外部審査は通常短期間で行われるため、深く掘り下げた監査(審査)は困難となっている。ISO(マネジメントシステム規格)は最低限実施すべき事項を規定しているに過ぎず、規格の要求事項を満たしていれば、たとえ形式的であれ審査登録機関の審査は合格するのである。
 すなわち「潜在的な不適合の識別」や「予防処置の有効性レビュー」が困難であり、内部監査や外部審査でもそれを指摘しにくいことが、ISO(マネジメントシステム規格)の継続的改善の限界を生んでおり、形骸化してしまう原因であると考えられる。

4. 要求事項の準拠監査から統制活動の有効性レビューとしての監査へ

 ISO(マネジメントシステム規格)の内部監査は、多くの場合、被監査対象部門の責任者又は担当者に対して、要求事項を知っているかという質問や、要求事項に従って定められた社内ルールを遵守しているか、規定されている記録があるか、などを確認する準拠監査が中心である。内部監査員は要求事項等に準拠しているか否かの視点で監査を行うので、その要求事項、あるいはルールが、どのようなリスクを防ぐために存在しているかをあまり考えていない。形式的にルールが守られていれば監査上は適合となり、潜在的な不適合は発見が困難である。そこで筆者が推奨するのが、JSOXで導入したRCM(リスクコントロールマトリクス)の活用である。
 ISO(マネジメントシステム規格)を、リスクとコントロールという視点で見てみると、RCMとの関連が捉えやすい。例えば、ISO(マネジメントシステム規格)ではあるべき姿(統制目標)を要求事項という形で記述している。要求事項を阻害する可能性が、リスクである。また、不適合とはリスクが顕在化した状態であり、内部統制に不備がある状態と言い換えることができる。


 従来のISO(マネジメントシステム規格)では、要求事項を阻害する可能性=リスクという概念があまり明確ではなかった。そこで、RCMツールを用いれば、ISO(マネジメントシステム規格)でも潜在的な不適合の認識とリスクベースの有効性評価が可能になると考えている。
 まずISO(マネジメントシステム規格)の要求事項に対して、潜在的不適合を「要求事項を阻害する可能性=リスク」と捉えて、RCM形式で記述していく。要求事項に準拠した社内ルールがコントロール(統制活動)である。また、全て予防処置に対して有効性のレビューをすることは困難である。どの予防処置に対してレビューを行うかは、キーコントロールの考え方を参考に、リスクの大きさやコントロールの重要性から判断することができるだろう。
 有効性評価手法を用いた内部監査では、要求事項やルールがどのようなリスクを防ぐための活動であるかを認識した上で、RCMを使って以下のレビューを実施する。


 これが統制活動=予防処置に対する有効性のレビューとなるのである。

 以上のように、RCMツールを用いることで、要求事項を阻害するリスクを明確に意識することができるようになる。リスクを認識し、統制活動の有効性を評価することで、従来以上にマネジメントシステムの継続的改善が可能になると考える。また、RCMコンセプトの評価はJSOXの独立的評価との親和性が高い。ISO(マネジメントシステム規格)の内部監査とJSOXの独立的評価を同じ形式の評価ツールを用いて同時に行うことで、内部監査にかかる作業負担を軽減することも可能となる。

第1回を見る | 第3回へ続く

経営コラム
経営コラム一覧
オピニオン
日本総研ニュースレター
IKUMA Message
カテゴリー別

業務別

産業別

レポートに関する
お問い合わせ