あたらしいISO規格はAnnex SL（ISO/IEC専門業務指針リスク）なるものに基づいて章たてと項目が決まっている。それで2015年改定のISO9001、ISO14001共に6章は「計画」で6.1項は「リスク及び機会への取組み」となっている。そしてその文章も「計画を策定するときは、組織は、（中略）リスク及び機会を決定しなければならない」とあり、更に「リスク及び機会への取り組みは、製品及びサービスの適合への潜在的な影響とみあったものでなければならない」と続くのも同じだ。
定義を代入すると、「計画するときは潜在的で有害な影響や有益な影響を認識し、それに見合ったものとせよ」ということになる。
まあ言ってることは間違ってもいなそうだ。とはいえ、感心するようなことでもない。そんなことは半世紀前に、私がラインの作業者のときもしていたことだ。

サポーズ、私はライン作業者で、インパクトドライバーでねじ締め作業をしているとする。
どうも朝からドライバーの調子が悪く、ネジがしっかりと締まらないときもあるような気がする。さて作業者である私はどうしたらよいだろう。
監督に報告してラインを止めて対策をとるべきか、あるいは明白な問題が起きるまで作業を続けるべきか、とりあえず代替え機の手配を頼むべきか、
まあ実際に仕事をしていればそんなことは日常茶飯事でしょう。
あっ、すみません、あまりにもレベルが低いたとえ話をしてしまいました。
きっとISO規格策定者や認証機関の人たち、審査員の方々はもっと重大で高尚なたとえ話をされていることと推察いたします。

とはいえこういった問題、あるいは判断は別に計画策定の際だけでなく、日常の業務、ルーチンワークにおいてさえ発生し、判断し処理しているのは通常のことです。
そしてその判断においては、発生する可能性もありますが、なによりも結果の重大性を考慮しているはずです。人の生死に関わる恐れがあるなら、すぐさま手を打たねばなりません。問題が起きても重大でなく、問題が起きてから対応しても間に合うなら放っておくという判断もあり得ます。まさに「リスク及び機会への取り組みは、製品及びサービスの適合への潜在的な影響とみあったものでなければならない」そのものです。
まあ、ここまでは認識を合わせておこうというだけのことです。

では次に進む。
ISO認証ビジネスにおいてこの命題（？）を考えてみよう。ISO認証ビジネスにおいて「リスクと機会」にはどんなものがあるか？
ちょっと考えただけで、リスクは両手ほど思いつくが、機会は・・・ウーン、思い当たらない。しかし待ってほしい。リスクと機会はデメンションが違うのではなく、同じ次元ので、方向が違うだけだと思う。だって定義3.2.11において「有害な影響と有益な影響」となっている。有害の反対は有益だろう。
いや待て、日本語ではダメだ。原語ではどうか？　adverse の反対語は benefical なのか？　単純に辞書を引くとそれらの反対語はいろいろあって一概にそうは言い切れないが、ニュースの経済記事などでは adverse の反対語は benefical が使われている。もちろん別のジャンルでは違う言葉が一般的なこともあるだろう。
ともかくリスクと機会は、一直線上にあって向きが違うということでよろしいだろう。

話を戻すと、ISO認証ビジネスにおいても、常にリスクと機会を考えてデシジョンメーキングして行動しなければならないということは異議ないだろう。もちろんそれはISO認証ビジネスだけでなく、すべてのビジネス、人間のすべての判断においてそうでなければならない。
では「ISO認証ビジネスにおいて、常にリスクと機会を考慮してきたか」というのが次の問いになる。
先ほど言ったがISO認証ビジネスに機会はあまりなかったようだが、リスクは両手両足で足りないほどあった。
具体的には「ISO認証は信頼できない」というのは直接的なISO認証制度への問いかけ、いや挑戦と言っても良い。マイルドなものとしても2000年頃には「認証して良くなったものはない」とも言われた。それより前、1995年頃「認証して良くなったのは文書管理だけ」なんて声を聞いたこともある。

認証制度の人たちが自分たちのしている事業について、リスクと機会を認識しているのか、対策をしているのか？　企業の方は審査の際に審査員にぜひ質問してほしい。

1. 認証機関にとってリスクと機会を認識していますか？
   規格の文言通り「決定していますか？」でも良い。
2. その対策をされていますか？
3. その対策の結果、リスクを妥協できる程度に抑え込んでいるのでしょうか？

万が一、その質問に答えられない審査員がいたら帰ってもらうべきだろう。
もちろん審査員の方は自分たちの事業に関わる「リスク」はとうに検討済であろうから即答できるだろう。
第一問はもちろんYESであり、第二問もYES、第三問もYESであるに違いない。
万が一、自分たちの事業にリスクがないにしても問一にはYESと答えられるはずだ。

己の事業のリスクと機会を認識して行動しているなら、ISO認証ビジネスは右肩上がりであるはずだ。私は認証ビジネスの売り上げ推移とか認証件数推移など存じていないが、そうであることに間違いない。
おっと、万が一、現実はそうでなくても認証機関の方ばかり責められることはない。認定審査のときに同じことを認定審査員に問えば回答が与えられるだろう。

ともかくISO認証制度にはリスクも機会も存在することは間違いないし、存在して悪いわけではもちろんない。
しかし認証制度にとってのリスクとは、一般企業にとってのリスクとは質的に異なるような気がする。
どんな事業にもコンペティターが存在する。もちろん同業者とは限らない。ビール会社の競争相手はビール会社だけでなく焼酎だったりウイスキーだったり、あるいはまったく異なる嗜好品や贈答品かもしれない。家電品メーカーは同業他社もあるだろうし、テレビやパソコンの購買時に比較されるのは他の耐久消費財ということもある。しかしリスクの一部が己の内部にあっても、すべてのリスクが内部に存在しているわけではない。
だが、ISO認証制度の場合、外部に同業者以外のコンペティターは存在せず、リスクはすべて制度内にあるように思える。つまりリスクは外部ではなくすべて内部の脅威ではないだろうか。
まずTBT協定というものがあるおかげで、類似規格は存在できない。簡易EMSなるものはISOと対等な挑戦者ではなく、いつかISOになりたいという井上靖の「あすなろ」的存在だ。レクサス（ISO）に軽自動車（簡易EMS）がチャレンジャーたりえるわけがない。ISO認証機関のコンペティターはISO認証機関に限られる。そして同業者間の競争であるなら、個々の認証機関の認証件数が増減することはあっても、全体の認証件数が減るということは考えられない。理屈はそうだろう。
またISO認証の代わりにUL認定とかTSということもない。それぞれ目的が異なり、ISOとコンパチブルなものが存在しているわけではない。

ではISO認証ビジネスが外部から価値なり効用について、鼎の軽重を問われたことがあるのだろうか？
実をいって過去ISOの批判や鼎の軽重を問うたのは、ISO認証制度の人たちだけであった。
経産省が語ったのは「ISO認証が信頼できない」ではなく「産業界にも、認証が優良企業の目安にならないとの声がある。最近の認証取得組織による不祥事の頻発によりこのような傾向に拍車がかかることが懸念される（アイソス誌、2008、経産省・標準課長）」であった。
それに対してISO認証制度が言った論理が面白い。「審査の際に企業が嘘をついたから認証の信頼性がない」というのだ。そりゃ違うだろう！
そもそも会社が嘘をついたからというのは論理的ではない。会社つまり審査を受ける組織が嘘をついたとしても、審査員がその嘘を見破れなくてどうする。だって審査なんだよ。
ペーパー試験で、採点者が試験中カンニングをしたかどうかわからないというのとは違う。審査で嘘をつかれて騙されたというのは、試験中に試験官がカンニングを見逃したということであり、職務怠慢の故に処罰を受けて当然だ。
例ならいくらでもあげられる。公認会計士が嘘をつかれましたとか、取り調べの刑事が騙されましたとか、言い訳になるか？　誇りある職業人なら、己の不明を恥じるだろう。
「ISO認証が信頼できない」と言われたら、信頼できるようにしなければならない。それには審査方法を見直す、審査員を教育する、審査工数を増加する、その他考えられることを認証制度は手を打たなければならないだろう。それこそ「計画するときは潜在的で有害な影響や有益な影響を認識し、それに見合った」手を打つことが必要であり、それがISO規格にある是正処置だろう。
そもそも企業が嘘をついたという証拠があるのか、それと認証制度の信頼性がいかほどリンクしているのか、そういうことを科学的に考えないということは、認証制度の問題解決能力が低いという内部にリスクを抱えているということ、そのものだ。
かって「ノンジャブは安かろう悪かろう」と語った大手の認証機関の幹部がいた。悪かろうというのはどのような指標なのか定かではなく、その発言の根拠を私は聞きに行った。私は疑問があれば直に問い合わせる。このときは都内の某認証機関に行って、そう語った取締役にお会いした。
「いや特段ないよ」と言う。ということは根拠なく発言するその幹部がリスクであることは間違いない。
もちろん審査料金が安い、高いというのは見積書あるいは請求書に書いてあることで現実である。コンペティターよりも自分が提供するサービスが高額であるということは、ビジネスにおいてリスクである。しかしそれは外部ではなく自社内部に存在するリスクではないのか。それに対していかなる対策をしたのだろうか？
ISO認証というビジネスは他のビジネスと違い提供するサービスで競争することは難しい。なぜなら提供するサービスそのものが国際標準で決まっており、コンペティター以上の仕様を提供するということはできない。同じ仕様において品質をあげる納期やコストで顧客の要望に応えるしかなさそうだ。どんな方法で？　それがリスクを考慮することだろう。

いろいろ考えると、今問題になっていることは未来の話ではなく、5年前、10年前、いやいや15年前からの話である。つまり15年前に手を打てば、10年前に手を打てば、いやいやほんの5年前に手を打っておけばよかったと思えることが多い。
ISO認証制度というものは、己の事業においてISO規格の意図を適用できないのでしょうか？　そういう人たちが他社さんをお金をいただいて審査して、リスク及び機会への対応が適切か否かを判断できるものでしょうか？
これは検討に値することかと・・・

　本日の疑問
未来のことを考えようとするのだが、現状の問題事例を取り上げると、すべては過去から言われていたことわかっていたことであり、新しい問題というものが存在していない。
以前、寺田さんが「人間は予防処置などできるのだろうか」とおっしゃった。確かに神ならぬ身、まだ起きていない問題の対策を打てるほど能力があるとは思えない。それどころか実際に起きた問題についてさえ対策を打てないのが人間100万年の歴史である。日本、ロシア、中国がとった北朝鮮の核開発への対応は、チェンバレンのヒトラーにとった宥和政策のようだ。
ともかく近未来のISOを考える以前に、近未来にISOが存続するためには、今ある問題に手を打たなければならないことは確実である。そして過去20年間の歴史を振り返ると、今ある問題に手を打つ能力がないのも確実なようだ。

　本日皆さんが持った疑問
ISO規格の解説ではないのか？
まあ、まあ、ISO認証そのものがまっとうな、正しいものでなければISO規格などまじめに考えることはありません。
ISO認証制度の人々は、ISO認証に存在するリスク及び機会を真正面から考えているのか？　そういうことも問い直さねばと思った次第です。

　本日皆さんが持った疑問 2
本日は非常に短いじゃないかって？
いえいえ、キーボードを叩くのが飽きたからではありません。短い方がいいという声が1名様からありましたんで・・
おっと以前N様から長すぎると言われましたから、都合2名の方からですね。このウェブサイトにそれほど大勢（！）の方からご意見があったことは初めてです。



名古屋鶏様からお便りを頂きました（2017.03.13）

ISO認証は企業にとってリスクだらけですね。工数はかかるわ、ヘンな宗教儀式を強要させられるわ、費用は馬鹿高いわ・・・ 機会ですか？うー・・・ん、おばQ様をはじめとして様々な皆様と関われた事と、管理について勉強する機会を与えてくれた事でしょうか？

名古屋鶏さん これは気が付きませんでした。確かにISO認証のリスクと機会は、認証制度から見るだけでなく、企業からも、社会からも、その他の利害関係者すべての視点がありますね、 いや待ってください。認証制度以外にとってISO認証のリスクも機会も認証制度がなくなれば意味がありません。 でも認証制度にとって認証制度がなくなれば世界の崩壊です。将棋を指している人にとって将棋の勝ち負けは無意味ではないけれど単なるひまつぶしです。それに対して将棋の駒にとって盤面の勝敗は己の生き死にですね。 ええっと、我々認証制度外の人間にとってISO認証制度はゲームであるが、認証制度の中の人間のとってはリアルの戦争であると・・それにしては認証制度側の人より私の方が真剣なのではなのか？ ま、どうでもいいか

うそ800の目次にもどる
ISO14001:2015解説に戻る