murachan2feb’s blog

主にCSRやISOのことを書いていきます。

ISO14001:2015 6.1.3 順守義務

6.1.3 順守義務

 

組織は、次の事項を行わなければならない。

 a) 組織の環境側面に関係した順守義務を特定し、参照する。

 b) これらの順守義務を組織にどのように適用するかを決定する。

 c) 環境マネジメントシステムを確立し、実施し、維持し、継続的に改善するときに、これらの順守義務を考慮に入れる。

 

組織は、順守義務に関する文書化した情報を維持しなければならない。

 

注記 順守義務は、組織に対するリスク及び機会をもたらし得る。

 

順守義務とは、法令や条例といった必須の順守事項のほかに、業界団体や所属団体の方針、自治体や地域との取り決めといったような、組織が「守る」と決めたルール全般のことです。

ここらへんは、2004年度版と同じ解釈です。

ただ、2004年度版では、Legal(法的)と other requirements(その他の要求)でしたが、今回は Complianceコンプライアンスとなっているので、意味合いが広義になったような気がします。

 

a)では、環境側面に関連して、組織が守るべき順守義務を決定することと、その順守義務を参照することを求めています。

 

ちなみに、2004年度版では、a)は次のように書かれています。

 

a)組織の環境側面い関係して適用可能な法的要求事項及び組織が同意するその他の要求事項を特定し、参照する。

 

 おおむね要旨は同じように見えますが、今回の付属書Aでは法令以外に「近隣諸国の法令」、「規制当局による命令」、「裁判所または行政審判所の判決」、「NGOなどの非政府組織との合意」、「顧客との合意」、「組織の要求」、「行動規範」などが順守義務の対象として挙がっていて、グローバルというか多様な社会を反映した、いかにもコンプライアンス的な内容になっていることが覗えます。

 

”参照”は、原文では”access”となっているので、環境側面に関する法令などを確認するときなどには、関係省庁のホームページにアクセスして、そこから最新版を入手するような手順があれば大丈夫ということになります。

これについて手順を作るとしたら、「いつ」、「誰が」、「どのようにして(この場合は関係省庁のHPにアクセス)」、といったことを明記しておけばいいでしょう。

 

b)では、法令などの順守義務をどのように適用するかを求めています。

2004年度ではその対象を”組織の環境側面に”としていましたが、今回は”組織に”となっているところに違いがあります。

つまり、「どの法令」の、「どの条文」の、「どの文言」が、「どの環境側面(業務や製品など)」に関係しているのかを明確にしておけばよかったわけです。

しかし、今回は、「どの法令」の、「どの条文」の、「どの文言」が、「どの環境側面」に関係し、「どの部署(誰)」が管理を担当するのかを明確にする必要が出てきたということです。(ex.『順守事項一覧表』(筆者作成)の抜粋:下表)

下表でいうところの一番右端の欄が今回の改訂で必要になりました。 

 

f:id:murachan2feb:20161025160759p:plain

 

 

c)は2004年度版と同じですが、今回は”確実に考慮にいれること”の”確実に”が省略されています。

 

組織は、順守義務に関する文書化した情報を維持しなければならない。

”維持”ですから、常に最新の情報を閲覧できるようにしておくことが求められています。

手順書はどこまで詳細に書くべきか

私は、私が勤める会社のある市(し)の、環境評価委員をしています。

その市は、ISO14001に基づく環境マネジメントを運用しています。

それを認証機関ではなく、市に関係する人たちに審査してもらうような体制を作っています。

いわば、市民によるEMS監査をしているわけで、その委員の一人が私というわけです。

 

その市は、今回の文書改訂で環境マニュアルを大幅に簡素化しました。

その結果、もともと24ページあったものが14ページに。

 

これに対して、一人の評価委員が問題提起しました。

 

「マニュアルはあまり簡素化するもんじゃない。

大雑把になると、やるべきことが曖昧になる。

マニュアルに書かれたことが守られているかどうかを審査するのに、”マニュアルおよび関連文書等・・・”の『等』といった表記だと適合してるか適合していないのかがわからない。

だから、マニュアルは簡素化すべきじゃない」

 

と厳しい口調で発言されたのです。

 

これについては、賛否両論あると思います。

その後会社に戻って上司にその旨を伝えると、

「確かにその人のいうのは最もだなぁ」

と言ってましたし、

私はまったく逆の意見ですし。

 

ちなみに、私の考えはこうです。

「マニュアルはあまり分厚くするもんじゃない」

です。

大雑把に書きすぎて、単なる”規格の裏返し”的なものでは意味ないし、かといって、詳細に決めすぎると、運用がスムーズにいかない上に、「マニュアル通りにすることが目的」といった人が出てくるからです。

ですから、

マニュアルはあまり詳細になりすぎない程度に書いて、あとは運用のレベルを上げていくべきだと思います。

内部監査のときに、「大雑把に書いてあるから適合だか不適合だか判断しかねる」というのであれば、まずは自分なりの判断をして、記録には「何を見たのか」「何を判断基準にしたのか」その結果、「どのように判断したのか」を明記すれば、後で誰かが見たときにもわかるはずです。

 

運用のレベルを上げれば、みんなの常識のレベルを上げれば、マニュアルや手順書は簡素化できるし、運用において応用も利くでしょう。

そのためにも教育訓練は大事。

情報を発信し、情報を共有し、価値観を共有すれば、手順書は簡素化できます。

兄弟、姉妹、家族の間に手順書は不要です。

また、何かあったときにも相互扶助が自然とできて、阿吽の呼吸で危機に対応していきます。

そういうマネジメントを目指すべきだと思います。

 

つぶやき

私は知っています。

 

「ISOマネジメントシステムは、トップの積極的なコミットメントがあるかないかで決まる」

と言われていながら、トップが全くISOに関心がない、というか「ISOってなんだっけ・・・」といったことを平然と言うトップがいても、10年以上にわって認証を維持することができることを。

 

 

私は知っています。

 

外部審査の前に慌てて書類をそろえて、「みんな、本番では指摘されないように」と事務局が号令をかけている会社が未だに存在することを。

 

 

私は知っています。

 

外部審査のときは、「審査員の先生の機嫌を損ねないように、極力発言を控えるように」と管理責任者が指示してる会社があることを。

 

 

私は知っています。

 

上に書いたすべてに該当する会社が、ISO認証事業所として存在することを。

ISO14001:2015 リスクと機会 その1

産業環境管理協会(CEAR)の審査員への最新情報講演会に行ってきました。

現役の審査員で、しかも通産2000回以上は審査しているという超ベテランの方の講演でした。

内容は、ISO14001の2015年度版で審査する際のポイントについてでした。

これから審査員になろうという私にとっては非常に参考になりました。

というよりも、現役で会社のEMSを構築する”事務局の私”としてのほうが、正直参考になりました。

 

主に、「リスクと機会」についてお話されてました。

規格の要求項目でいえば、4項と6項でよく出てきますね。

やはりこの二つの項目(4と6項)は厄介のようです。

 

ざっくり言うと、4項での「リスクと機会」は、経営における環境要素を脅かす”リスク”であり、逆に追い風となる”機会”という捕らえ方でいいようです。

また、6項で以降に出てくる「リスクと機会」は、環境側面を脅かす、別の言い方をすると、環境影響を助長する要素が”リスク”であり、その逆が”機会”。

 

6項でいうのは、ある作業、ある業務、ある製品、そういった個別に対するリスクと機会で、4項はそれらを含めた大きな括りでのリスクと機会、というわけです。

 

以下に4項と6項との関連をあらわす表をつくってみました。

 

f:id:murachan2feb:20161018222924j:plain

 

これについては、別途くわしく説明したいと思います。

 

CSV ERM ISO-MS を統合したトータルリスク管理システムについて

財務報告の適切性を維持することからスタートしたCOSOのERMエンタープライズ・リスク・マネジメント)は、リスクマネジメントとしては合理的でわかりやすいと思います。

 

一方、ISO9001や14001などに代表されるISOマネジメントシステム規格の考え方も、合理的なのはもちろん、緻密で隙がありません。

これらリスクマネジメント手法をうまく使えば、あらゆるリスクを高いレベルで未然に防止することは可能かもしれません。

もし、うまく予防できないとすれば、それはこれらの仕組みに問題があるのではなく、それを使う組織側に問題があると思います。(想定外のリスクにはどんな方法をもってしても限界はありますが)

 

 

ERMは概念だけを示しています。

IPPFの基準を用いてERMを構築し運用するにしても、IPPFには具体的な方法が示されているわけではないので、運用の自由度が高い代わり仕組みを作る人や運用する人のスキルによって完成度にばらつきがでるのではないでしょうか。

一方、ISOマネジメントシステム(以下、ISOーMS)は要求事項が多く、「そこまで必要?」といったところはありますが、その反面、仕組みの完成度はおのずと高くなります。

しかも、ERMやIPPFについては認証がありません。ですから、システムの完成度を証明するものはありません。(あるとしたら、CIAライセンスホルダーがいる場合は、彼らによって内部監査が行われているという事実によってある程度は担保できると思います)

 

ただ、ERM、ISO-MS、いずれも考え方の基本は同じで、優先度の高いリスクから対応するということです。

 

企業の存在意義は、外部(社会)と内部(組織内)の状況を考慮に入れながら自社の経営戦略を立て、社会ルールを守って経営目標を達成していくことで企業価値を高めていこうというもので、これら二つは、その際のリスク管理について述べているものです。

ですから、出自は違いますが融合することは可能です。

また、これら二つを同時に運用している組織も実際には存在します。

融合することで大幅な事務工数は削減と完成度の高いリスク管理システムができると思います。

 

ドラッカー風にいうと、企業は社会の中に存在するひとつの生態です。

社会のために存在するわけで、適性や志をもった人が集まって社会発展のために活動する機能であり組織ともいえます。

 

その基本的な考え方に立ち返るかのごとく最近よくいわれるのがCSV(Creating shared Value:共通価値の創造)という概念で、社会貢献、経済発展、環境保全これら三つのバランスをうまく取りながら価値創造していくことをいいます。

 

 

 

この考え方を踏まえて先のリスクマネジメントシステムを考えるとこうなります。(以下)

f:id:murachan2feb:20161015134753j:plain

  • 統制環境

統制環境とは、社会情勢や自社の特性や経営理念などで、組織の外部および内部の状況のことです。(4.1)

また、利害関係者からの期待やニーズ、それに適用する法令なども含みます。(4.2)

自社の敷地や立地といった物理的なエリアについても、この「統制環境」です。(4.3)

会社のしくみそのものも「統制環境」でしょう。(5.1)(5.3)

※括弧内の数字は、ISO14001:2015の要求事項番号

 

  • 目的設定

目的設定は、これから自社が進むべき方向の設定です。

その際にCSVの考え方が必要になってきます。

自社の社会的役割を認識し、社会状況や自社のコア・コンピタンスをもとに決定します。

その際には、ファイブ・フォース分析やSWOT分析といった方法が使えると思います。

 (5.2)

 

  • リスク評価

設定した目的を達成するうえでのリスク(または機会)を洗い出し、その影響度を評価します。

影響度が高いものを管理対象として取り上げ、それぞれの原因(作業や業務)について明確にします。(ISO14001における環境側面の抽出と著しい環境側面の決定)

(6.1.1)(6.1.2)

 

  • リスク対応

決定したリスクの原因に対する対応計画の策定です。

改善可能なものは改善計画を立て、その中で目標を設定します。

また、改善が難しいものについては、現状を悪化させないためにも監視対象として適切な対応策を考えます。

(6.1.4)(6.2)

 

・プロセス設定

リスク原因(作業や業務)には、それを構成する要素があります。

ここでは、それを”プロセス”と定義します。

プロセスは、「インプット」「(人的)スキル」「ハードウェア」「手順」「評価指標」によって構成されています。

これら5つがプロセスです。

それぞれのプロセスについて、適切なアウトプット(リスクまたは影響)を出すために必要なプロセスを設定します。

(7.1)(7.2)(7.3)(7.5)

 

  • 運用管理

設定したプロセスを運用します。

(8.1)(8.2)

 

  • 情報とコミュニケーション

運用に必要な内部および外部とのコミュニケーションです。

(7.4)

 

  • 監視活動

上記についてのモニタリングです。

目的の達成度、プロセスの状況、パフォーマンスの状況、それらを含めた運用全体、これらのチェックです。

もちろん、問題があればその是正もしなくてはなりません。

そして、それら運用に関する結果は、トップマネジメントへ報告します。

そして、その監視結果をもとに更なる改善の指示をトップマネジメントが出します。

(9.1)(9.2)(9.3)(10.1)(10.2)(10.3)

 

上の箇条で書いたことを、環境保全」「社会貢献」「経済発展(企業の発展)」のバランスをとりながら、また、組織の各階層で計画を作って取り組むわけです。

 

 

以上が私が考えたトータルリスク管理システムです。

どうでしょうか?

内部監査について その2 ERM エンタープライズ・リスク・マネジメント

その1 →ログイン - はてな では、監査の世界でもISOと同じような基準が存在するという話をしました。

今回は、リスクマネジメントの基準について説明します。

 

まず、代表的なものとして、「COSOのフレームワーク」というものがあります。

COSOとは、トレッドウェイ委員会組織委員会(Comittee of Sponsoring Organizations of Treadway Commission;COSO)のことで、1980年代に米国で相次いだ不正財務報告を減少させるために設立した組織です。

そのCOSOが1992年に公表した内部統制に関する報告書がCOSOレポートであり、その中で示された事実上の世界標準となる内部統制に関するしくみを「COSOのフレームワーク」といいます。

 

さらに、2004年に、COSOのフレームワークを大手監査法人PwCによって昇華させたものにエンタープライズ・リスク・マネジメントフレームワーク(ERMフレームワーク)があります。

今回は、そのERMフレームワークについて紹介します。

 

エンタープライズ・リスク・マネジメントは、組織体の取締役会、経営者、その他の組織内のすべての者によって遂行され、組織体の戦略策定に適用され、組織体全体にわたって適用され、事業目的の達成に関する合理的な保証を与えるために、組織体に影響を及ぼす発生可能な事象を識別し、組織体のリスク選好に応じてリスクの管理が実施できるように設計された、一つのプロセスである。

f:id:murachan2feb:20161013224654g:plain

「Enterprise Risk Management - Integrated Framework Executive Summary」より

 

フレームワークでは、4つの事業目的の達成に焦点をあてています。

 

1.戦略:事業上のミッション

2.業務活動:経営資源の有効で効率的な活動

3.財務報告:信頼性のある財務報告

4.コンプライアンス :法令およびその他の守るべきルールの順守

 

 つまり、戦略を達成しようとした場合に考えられるリスクを「内部環境」「目的設定」・・・「監視活動」といった側面から検証しようというものです。

 

同じく、業務活動や財務報告、コンプライアンスについても同じ要領で検証します。

しかも、それらを組織階層別にみていきます。

財務報告の信頼性を担保するために、事業体、部署、事業構造、関連子会社(全社、事業部、部、課、関連子会社)、それぞれの単位で検証するイメージです。

 

では次に、組織内の4つの事業目的を達成するための8つの要素について説明します。

 

1.内部環境

2.目的設定

3.事業認識

4.リスク評価

5.リスク対応

6.統制活動

7.情報とコミュニケーション

8.監査活動

 

・内部環境(Internal Environment)

内部環境とは、組織の性質とか価値観といったものです。

リスクに対する考え方、リスク選好、誠実性、倫理観といったことが含まれます。

 

・目的に設定(Objective Setting)

組織のミッションと整合した”セクションごとの目的”のことをいいます。

もちろん、リスク選好とも整合している必要があります。

 

・事業認識(Event Identification)

組織の外部および内部の状況についての認識です。

外部および内部で起こっていることにどういったリスクまたは機会が潜むのかを、あらかじめ、できる範囲で想定しなければなりません。

 

・リスク評価(Risk Assessment)

リスクと機会の評価です。

発生可能性×影響度 で評価される場合が多いです。

また、固有ベースと同時に残余ベースの評価も必要です。

 

・リスク対応(Risk Response)

リスクへの対応です。

一般的には、「回避」「受容」「低減」「共有」といった方法があります。

 

・統制活動(Control Activities)

リスク対応のための運用手順とその実行と思ってください。

 

・情報と伝達(Information and Communication)

組織内および組織外のコミュニケーションです。

 

・監視活動(Monitering)

1から7の項目についての監視と評価です。

 

 

このERMを管理することで、リスク管理を体系的に行うことができるわけです。

私が内部監査に携わっていたのはちょうど1年ほど前までですが、ネットや関連書籍などでもERMの活用について述べられたものが多くありました。

また、ここ最近の会社法の改正やガバナンスコードの発行など、グローバル経営に向けた経営の透明化促進の流れからしても、今後はこのERMなど体系的なリスク管理手法がさらに普及していくでしょう。

 

ISO14001:2015 6.1.2 環境側面

6.1.2 環境側面

 

組織は、環境マネジメントシステムの定められた適用範囲の中で、ライフサイクルの視点を考慮し、組織の活動、製品及びサービスについて、組織が管理できる環境側面及び組織が影響を及ぼすことができる環境側面、並びにそれらに伴う環境影響を決定しなければならない。

 

最初の段落です。 

まず、環境側面を評価する方法そのものは2004年度版と変わりません。

ただ、ライフサイクルの視点での評価について言及したのは今回からです。

つまり、素材の調達から廃棄もしくはリサイクルに至る一連の系(下図)で評価する必要があります。

2004年度版にも「管理できる環境側面」「影響を及ぼすことができる環境側面」とあるので、解釈のしかたしだいではライフサイクルの視点も従来から入っているのですが、あえて表現することで強調しているわけです。

ただし、これは「考慮し」ですからマストではありません。

”できる範囲で”ということになります。

 

f:id:murachan2feb:20161012091747j:plain

 

また、ここでは、活動、製品、サービスによる環境影響を把握し、その原因(環境側面)との因果関係を明確にすることを求めています。

つまり、

われわれが排出する△△△(環境影響)の原因は■■■(環境側面)だ

の”■■■”を導き出すことが、ここでの要求です。

その際には、環境側面を基準にする方法と、環境影響を基準にする方法の二通りがあると思います。

 

f:id:murachan2feb:20161012092638j:plain

 

f:id:murachan2feb:20161011151604j:plain

f:id:murachan2feb:20161012092654j:plain

 

 先の項でも述べたように、ISO14001は、環境に関するリスクと機会をプロセスによって管理するためのツールです。

ですから、環境影響の大きなもの(優先順位の高いもの)から管理していくことになります。

そういった意味では、影響基準での評価をおすすめします。

※影響基準で評価したほうが、その後の著しい環境側面の決定がしやすい。

 

環境側面を決定するとき、組織は、次の事項を決定しなければならない。

a) 変更。これには、計画した又は新規の開発、並びに新規の又は変更された活動、製品及びサービスを含む。

b) 非通常の状況及び合理的に予見できる緊急事態

 

この段落は、最初の段落についての補足です。

適用範囲内での、設備、手順、人員、計画、サービス、生産機種、委託業者、これらの新設(新規採用)や変更があれば、それらに対応しなければいけません。

また、b)では、あらゆる状況を想定することを言っています。

この段落は2004年度版と変わりません。

 

組織は、設定した基準を用いて、著しい環境影響を与える又は与える可能性のある側面(すなわち、著しい環境側面)を決定しなければならない。

 

著しい環境側面の決定です。 

これまでは「手順を構築して」でしたが、今回は「基準を用いて」となっています。

いずれも、評価基準を設定し、その基準にもとづいて決定することに違いはありません。

 

ここで、業務フロー図を作成し、それぞれの工程についてのインプット・アウトプットを洗い出し、そのインプットとアウトプットに数量データを記入して、その数量とあらかじめ定めた著しい環境側面の”基準”に従い点数評価することで著しい環境側面を決定する、といった手順でやられている企業は多いようです。

この方法は、ISOが普及した当初に書籍や研修機関で紹介されていた方法です。

しかし、この方法をすべてに適用しようとすると、あらゆることについて点数基準を設定する必要があります。

それは現実的に不可能です。

それを承知でムリにやろうとすると、環境負荷が大きいもを小さく評価してしまったり、逆に環境負荷が小さいものを大きく評価することになります。

さもなくは、点数基準を無視して感覚で評価するケースもあります。

 

 そこで、これに代わる方法として推奨されるのが、話し合いによる決定です。

「話し合いで決めていいの?」

と思うかもしれませんが、複数の人で、しかも実情をよくわかった人たちが話し合って決めるほうが、ムリな点数評価よりもより現実的です。

実際、私の所属する審査請負会社(認証機関のパートナー会社)でもこの方法を推奨しています。

ただ、一人でやるのは問題です。

一人では客観性が担保できないからです。(その人の主観で判断することになるから)

 

ちなみに、ここで要求されている「基準」(著しい環境側面を決定する際の基準)は、”話し合い”ということになるので、環境マニュアルでは

 

著しい環境側面は、『○○○』(環境影響と環境側面の因果関係を表したシートなど)の内容について、それぞれの項目の関係者らが集まり、話し合いによって決定する。

 

といった文章になります。

 

 

組織は、必要に応じて、組織の種々の階層及び機能において、著しい環境側面を伝達しなければならない。

ここで言いたいのは、関係者が、自らに関係する著しい環境側面を知っている必要がある、ということです。

 

組織は、次に関する文書化した情報を維持しなければならない。

 

 -環境側面及びそれに伴う環境影響

 -著しい環境側面を決定するために用いた基準

 -著しい環境側面

 

注記 著しい環境側面は、有害な環境影響(脅威)又は有益な環境影響(機会)に関連するリスクをもたらし得る。

 

 ここは、文書(手順)の維持についてです。

まず、環境影響と環境側面の因果関係をしましたものが必要です。

それに、その中で特に影響度が大きいものを示す”著しい環境側面”について、それを記載した文書。

さらには、環境側面の中から著しい環境側面を決定したときの”基準”、つまり、点数評価で決定する場合はその”評点の基準”。

また、話し合いで行う場合でもなんらかの基準を設定したほうがいいでしょう。

 

ここで思い出してほしいのが、2015年度版は本来業務を主柱に据えているというところ。

経営目標から割り振られた部門(または個人)の業務に関して想定される環境リスク、これらを管理していくためのEMSです。

ですから、評価すべきは、業務、製品、サービス、設備、これらの経営上の重要度と、それぞれの環境リスクです。

 

f:id:murachan2feb:20161012141246j:plain

 

注記では、有害な影響だけでなく、有益な影響についても評価対象であることを述べています。