ISO9000(品質マネジメントシステム)導入後、雑用を増やさず役立てたい。
前置き
ISO9000導入したけど書類(電子版も含む)増えて、アウトプットの質は変わらない・・という声は多い。製造業をメインに考えた9000だけでなくITを想定したISMS(情報セキュリティ ISO27000)も同様に感じる。製造業に身を置いていた者として効果の薄い作業を減らし、9000を生かしてアウトプットの質を高める方法を考えたい。
補足として特にISMS情報セキュリティマネージメント(ISO27000)で求められるリスク対応について 別枠で記述する。
自分の経験からISO9000導入の効果と導入後の運用について
1:ISO9000導入の最大の効果は自組織が品質管理の仕組みが有効に運用されていることを第三者に説明(証明)できることである。
輸出で相手国の役所から許可を取るときなどISO9000認証は説得力がある。
低レベルの社内ルールでも形が整えば認証は取得可能であるが、顧客の要求する品質に達しているかは別問題である。
とはいえ認証を取ることで品質保証という世界での意思疎通は出来るようになるが。
2:IOS9000の要求は概念中心であり具体的な対応策は書かれていない。
求められるのは、作業の手順を決めマニュアルを作り(ルール化、文書化)、作業の結果を記録し(記録の管理)、定期的にルールを見直し問題があればルールを見直すこと(品質マネージメントレビュー、文書管理)・・・である。見方を変えればあたりまえの事しか書いていない。
とはいえ項目の選択は整理はされているので品質問題を他者に説明する場合は使えると思う。
3:IOS9000の要求は概念中心なので要求事項を元に具体的な品質管理の仕組みを作ることは不可能
理想論に振り回されるだけ。(余計な管理作業を増やす)
あるいは概念を書いたルールが増えるだけ。(実務作業に落とし込めない)
4:新興企業でない限り品質管理の仕組みは認証取得前から存在していたはず
ISO9000の要求事項と現在の品質管理の仕組みをヒモ付けしてどうしても説明不能の部分のみ対処を考えればよい。
現状の品質管理プロセスと9000の要求事項のヒモ付けは社内の9000運用事務局の分析能力に左右される。能力の低い事務局は要求事項の解釈能力が低いのでヒモ付け出来ず、余計なルールを作り効果のない仕事を増やしてしまう。
例えば組織のトップの考えをどう理解させているか?・・に対してトップの説明会への社員の出席状況を管理しています・・という対応のようなものである。定期的に仕事の成果を確認し管理職がトップの方針に合っているか確認しています。・・と回答すれば新しいルールも不要な筈。
5:9000認証取得当初は別としてしばらくたてば、9000対応の形は整うので製造現場や管理部門への外部監査での指摘は難しくなる。(指摘したとしても現場から見て、理想論言われても困る、指摘されたような細かいことが最終品質に影響するのか・・といった反応になる)。外部監査で有効な指摘ができるのは9000の社内推進組織に対してであり、枠を広げても品質保証部門になる・・と思う(外部監査員が具体的に知っている仕事の領域だから)。外部監査でこのあと説明する6の品質改善活動で品質保証部門で何が不足しているかは指摘できるはず。
6:ISO9000を使って社内の品質向上を図るとしたら、9000とは別に今、社内の品質問題を起こしているのは、なぜか?・・を品質保証部門がキッチリ分析しておく必要がある。9000の考えで治せないのは以下のような例(解決の道筋が判っていないのでルール化出来ない)である。
a:技術的な問題で品質が安定しない。
b:何が原因で問題が起きているのか整理が付いていない。
(人手作業による発生頻度は極めて少ないポカミスもここに含まれる)
c:類似問題が出ても対応策が異なる。(最善な方法が決まっていない)
裏を返せば9000での不適合というのは現場へ強い牽制力を発揮できるので
例えば:作業の記録方法が定まっておらず、記録漏れなどで不良解析が出来ない。・・というような例は改善させることが出来るはず。
ただ現実は記録しようとしたが事情があって記録出来ないという例が多いので出来ない事情を分析させることが大切である。 出来ない事情というのはそう簡単に解決できないので不適合を出して2か月以内に対策を出せ・・的な運用をすれば結果を記入する・・というルールを作りましたで思わってしまうのでフォローが必要なはず。
9000で対応出来ない問題については2015年版から追加されたリスク管理で対応となるが、問題として認識できても9000の枠組みでは解決困難であることは認識しておく必要がある。
7:ISO9000における作業者の力量の管理について
元々 マニュアルを覚えてその通りにやればOK・・という仕事を対象にしたISO9000なので 日本企業に多い、その道10年以上で管理職より業務に精通している者に対しては力量の管理そのものが無意味である。とはいえこれでは説明出来ないので適当な資格や教育履歴で監査対応している例が多いように感じる。過去の職歴や成果などで力量を説明出来ればよいのだが・・要求事項で想定している内容と乖離しているので説明が難しい。
リスクの管理について
ISO9000では2015年版よりリスクの管理という項目が増えた。
100点満点での運用は無理という認識のISMS(情報セキュリティマネージメント)ではリスクアセスが最初から入っていた。
9000の基本はすべてが既知で管理可能な状態で作業をルール通りやる・・ということなのでリスクが存在していたら成り立たないはずである。製品に於いてはPriceが重要な指標になったので、満点狙いが無理ということである。裏を返せばいまさら要求事項にしなくても普通の企業ならすでにやっていることであり、結局監査機関にどう説明するかが9000事務局の力量になると考える。要求事項に沿ってリスクを分析しても効果は無いように思う。
結局はISOの社内事務局が品質保証部門と一緒になって現状の製品のリスクを調べ、それを経営会議等で事業責任者に報告し(要求事項で言うマネージメントレビュー)経営上でリソースを確保してもらうことがリスク対応かと思う。
リスクを調べるとは下記のような項目になると思う。ただしリスクを開発者や市場のサービス担当者に聞いているようでは本当の課題は上がってこない(本当の課題とはそう簡単に解決できるような物ではないので対策を求められている担当者が対症療法でなく本質的な原因を冷静に分析出来ないことが多いはず。対策を考えるのは担当者でも課題を見つけて分析するのは品質保証部門の仕事のはず)
1:開発中のリソース不足や技術的な未解決問題の存在
2:製品の販売時点での品質上の懸念事項 (ISMSだとシステム開始時点)
3:製品の市場での潜在的な問題(クレームに発展しそうな問題)
4:ISMSだと悪意ある攻撃も考慮が必要なはず
ISMS情報セキュリティマネージメント(ISO27000)ではリスクや脅威への対応が主たる目的になっているので感覚的な方法でリスクを評価されても監査で能力を評価できないので細かくリスク分析を提示していると思うが、9000と同じで要求内容からリスクを分析しても形だけになると思う。全体を俯瞰して課題を列挙しておき、要求事項との相関を整理しておくことで実務に即した対応になると思う。
なかには実務で対応していないリスクアセス項目が出てくるかもしれないが、これについては対策の漏れになっていないか考えるヒントになると思う。
最後に
もともと品質管理マネージメントは図面通りの部品を決められた通り組み立てれば品質を担保できるという宇宙や軍などコストを無視出来る分野が元になっているように感じる。民生品の生産ではそのような理想的な環境は競合との時間的な開発競争やリソースの制限で不可能である。ISO9000でカバーできるのは最善のやり方が見えている分野のみであり、残課題や不確実な領域に当てはめるのは無理があり、ISO9000を社内で推進している部門が現場が違和感を感じないような工夫をすべきである。
ISO9000は生産の上流である設計や経営まで考えを広げるのは自分の考えとしては無理筋に思える。(要求項目に経営者の責任があるが、リソース(人、金)や優先順位をどうするかであり、経営の見直しでは無いと思う)
ISO9000の要求事項は物づくり・生産の現場ではフレームワークとしてはよくできていると思う。
ただ認証取得して数年たてば要求事項対応は終了しているはず。そこで更にISO9000のシナリオで監査時に生産現場に改善ネタを無理に見つけようとするので、おかしなことになるのではないかと思う。
監査機関による外部監査ではISO9000は品質管理の事なので生産の品質を管理している部門の仕事の進め方が認証取得後の監査の主たる対象になるのが良いと思う。更に外部から指摘を受けることで企業の品質管理部門の質も向上するのではと思う。
そこまでの成果を求めないなら最初に述べた”認証取得の効果=第三者に品質管理が出来ていることを証明する。”・・に絞り監査受審の負荷を減らすことに注力すればよいのではないか。
最後に下記のwikiについては 正式な資料ではないが よくまとまっていると思うので参考にしました。
この記事が気に入ったらサポートをしてみませんか?