「マネジメントシステム」の正体 <4>

前回は、マネジメントシステムの階層構造を明らかにするため、
成長と発展という、企業の至高の目的からスタートし、
現場レベルまで辿って行きましたが、今回はその逆を行きます。
基本的には<3>の内容を、視点を変えて言い換えただけのものです。
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
【核】 (現場業務)
現場は、定められた「業務の手順」に従って日々の仕事をこなし、
個別業務の方針(目的)、すなわち「この案件においてお客様を満足させること」などの
実現を目指します。
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
【現場業務体系】 (核に対するマネジメント)
現場が手順にしたがって仕事をし、かつ、その手順が適正なものであったら、
個別業務の方針を実現出来、その度合いは目標を達成するはずです。
もし、個別の現場業務が目標に未達であれば、
原因は手順通りにやっていないか、手順に欠陥があるかのどちらかです。
改善が必要です。
そういったチェックと改善を「現場監督」とし、
そのマネジメントシステム全体を「現場業務体系」とします。
<3>の相応箇所
>>業務の手順の有効性は、業務方針をどれだけ実現できたかによって測られます。
現場の業務は日常的に行われているものですので、
それに対する現場監督も日常的でなければいけません。
それを担うのは課長クラスの「現場の管理職」です。
現場業務体系は、日々の個別業務(の遂行と改善)を繰り返すことで、
中期的に事業方針を実現することを目指します。
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
【事業体系】(現場業務体系に対するマネジメント)
現場業務体系がちゃんと機能し、個別の現場業務が円滑に遂行・改善されているのであれば、
その成果として、中期的に見た事業方針も実現でき、その度合いは目標を達成するはずです。
もし、目標に未達であれば、原因は現場業務体系の機能不全です。
現場の管理職がちゃんと現場を監督していないか、監督のし方が間違っているか、
あるいは個別業務の方針や目標の立て方、測定のし方が間違っていたのかもしれません。
改善が必要です。
そういったチェックと改善を「業務監査」とし、
そのマネジメントシステム全体を「事業体系」とします。
事業体系は、長期的に経営理念を実現することを目指します。
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
【経営体系】(事業体系に対するマネジメント)
事業体系がちゃんと機能し、現場業務体系が継続的に改善されているのであれば、
その成果として、長期的に見た経営方針も実現でき、その度合いは目標を達成するはずです。
ここでいう経営方針は、その企業にとっての至高の目的、すなわち存在意義のようなものとします。
そしてその目標は、売上高やリピーター率など、
「市場からの支持」を表す絶対的指標を用いるのがよいでしょう。
理由は、2009/11/8投稿の『「マネジメントシステム」の正体 <2>』で述べたとおり、
マネジメントシステムの「拠り所」を築くためです。
もし、目標に未達であれば、原因は事業体系の機能不全です。
業務監査がちゃんと行われていないか、やり方が間違っているか、
あるいは事業方針や目的の立て方、測定のし方が間違っていたのかもしれません。
改善が必要です。
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
以上が、私の考える「1核+3層」です。
(企業規模や業種業態によっては、
 事業体系と現場業務体系を同一視してもいいのかもしれません。)
3つのマネジメントシステムが出てきましたが、
それぞれの中で「チェックと改善」が行われなければいけません。
規格の要求事項としては「内部監査」、「マネジメントレビュー」という言葉で括られているため、
社内の年間行事として1~数回行う場合が多いと思いますが、
本来、それぞれの層において、それぞれの適切なサイクルで、
それぞれ意味合いの全く異なる監査とレビューをやらなければ意味がないと思います。
私の解釈が一般的なISOの解説と違うのは、
売上高やリピーター率といった概念を取り入れていることです。
このブログ内で度々書いていますが、本来、企業にとっては
「ISO認証を導入するかどうか」も一つの経営判断でしか無く、
社内をうまくマネジメントするためのイチ手段でしかありません。
それが本当に有効であれば企業は儲かるはずですし、
儲けるために役に立たないシステムなら、さっさと止めるのが経営判断というものです。
もちろん、儲けることだけが企業の存在意義ではありませんけど。
審査員は経営コンサルタントではありません。
たとえ売り上げが激減していても、規格と照らし合わせて
必要な文書や記録がありさえすれば(必要な活動が確認できれば)、
とりあえず認証してくれます。
いわば減点法の審査です。
しかし、企業活動という生産的活動の評価を、減点法で行うことには限界があります。
(2009/10/3投稿 『文書の意味を見直そう <3> 「品質目標」』参照)
顧客からクレームを付けられない営業マンが良い営業マンでしょうか。
違います。
しっかり売上ノルマを達成しつつ、
無理な営業でクレームを起こすことのない営業マンが良い営業マンなのです。

セキュリティを上げないISMS導入は可能か。【検証①】

前々回、2009年11月14日投稿の 「セキュリティを上げないISMS導入は可能か。【着想】」 に
鋭いコメントをいただきましたので、その視点で検証をしてみたいと思います。
※この「セキュリティを上げないISMS~」シリーズは、
 「楽に認証を受けること」を主題としたものではありません。
 セキュリティのレベルを上げることだけを考えて
 現場の業務において無駄な苦労を産んでしまうことを避けることが主題です。
【教育】
QMSについても言えることですが、「必要な力量」を決定するって、結構難しいことですね。
おそらく、「どの程度まで具体的に定めればよいのか?」と頭を抱えている企業も多いことでしょう。
が、それはまた別の機会に論じたいと思います。
ただ、「組織全体での教育」という活動自体、
品質はともかくセキュリティについて、ISMS導入前にすでにやっている企業は少ないと思います。
たとえ現場の可用性を重視し、(導入前より)ルールを厳しくしないISMSであっても、
情報資産の棚卸同様、イチから始めなくてはいけない活動です。
マネジメントする側にとっては「新たな負担」です。
ですが、「必要な力量」を、現場の実情から乖離しないように設定すれば、
「必要な力量が持てるように施す訓練」も過剰にならないでしょうから、
現場への負担を最小限に抑えることが出来ます。
【内部監査・マネジメントレビュー】
どちらかというと現場ではなく「マネジメントする側」の問題なので、
前々回は特に取り上げませんでした。
ただ、内部監査は嫌が応にも現場が関わることになりますので、
それを最小限に抑える手法を考えてみます。
規格は、内部監査で現場を監査することを要求してはいません。
そこで、内部監査の主たる対象を、現場ではなく現場の管理職に絞ってみてはどうでしょう。
マネジメントシステムは文字通り、マネジメントのためのシステムなのですから、
現場をちゃんとマネジメントしているか、出来ているか、それで成果が上がっているかは、
現場をマネジメントしている管理職を対象に監査するのが筋のはずです。
現場を対象に内部監査を実施し、現場がルールを守っているかを監査する企業もあるようですが、
(それがいけないとは言いませんが、)
本来それは現場の管理職が日常的にやっていなければいけないことですので、
内部監査でやらなくてもいいはずです。
もっとも、全く現場を見ない内部監査と言うのもどうかと思うので、
現場の管理職への監査を補足する形で、少しだけ現場に協力していただく必要はあります。
早い話が、審査機関による認証審査、定期審査と同じスタイルを採用するということです。
<次回予告>
 【133の管理策】 【管理策の有効性の測定】 を扱います。

事業仕分けをこう考えてみえてはどうでしょう。

連日マスコミをにぎわしている「事業仕分け」ですが、
このブログをご覧のみなさんも、言いたいことの一つや二つはあることと思います。
せっかくなので、世間のニュースなどであまり目にしない観点で批評してみます。
一連の報道を見ていると、
「官のやってることなんて、どうせ形式的で無駄なことばかりだろう」とばかりに
非難するだけのようです。
(おおむね当たっているとは思いますが。)
国家戦略室とやらがその名の通りの仕事をしているなら、
当然、この事業仕分けにおいても前もって「指針」を
定めているのだろうと思っていましたが、どうも違うようです。
ただでさえ、仕分け人も各分野の専門家ではありませんので、
前提となる「指針」無しに場当たり的な会議を重ねても
各個人の主観(思いこみ)で無駄だ無駄だと騒ぎ立てるだけになってしまいます。
ある意味必然的な結果です。
スパコンの件などはそれを象徴しています。
まともに反論出来ない方も、情けない限りですが。
あらゆるアウトプットはプロセスの産物でしかないので、
無駄を生んだプロセスをどうにかしないことには
無駄というアウトプットは今後も産み出されることでしょう。
本来、政治家の仕事とは、無駄を産まないような「プロセス」を作ることではないでしょうか。
個別の事業に口を出すより、もっと大局的な見地から仕事をしてもらいたいものです。
財務省のつくったリスト(447件)などに囚われず、
全案件(3000以上あるそうです)を対象に、明確なビジョンを持って
つぶさに議論してくれるのならまだいいのですが。
いま行われている仕分けは、所詮モグラたたきです。
それも、叩いているのは財務省のお膳立てで選ばれた「生贄」のモグラばかり。
こういうやり方をずっと続けるつもりなのでしょうか?
生活スタイルを改善せず、体重が増えるたびに脂肪除去手術を受けるようなものです。
それも、鏡に映る部分だけ。。。

セキュリティを上げないISMS導入は可能か。【補足】

前回記事の補足です。まずはこちらからご覧ください。
もともと、セキュリティに「絶対」なんて無いんです。
どこまで厳重なセキュリティ体制を布くかは、相対的な問題でしかありません。
ISMSが求めているのは、「今より厳しく、もっと厳しく、さらに厳しく」ではありません。
そんなこと、要求事項のどこにも書いてありません。
それどころか、「可用性の喪失も考慮しなきゃ駄目よ。」と明記されています。
すでに厳しすぎるISMSを構築してしまった企業においても、
現場からの「やりにくくなった」という声を反映し、大幅にルールを緩和することは可能のはずです。
審査員から何か言われたら、
「これまでは可用性を軽視し過ぎていた。だからそこを改善した。これがISMSの継続的改善だ。」
と主張してみてはいかがでしょうか。
審査員によっては、
こんなにセキュリティの甘い受審企業は初めて見た。」みたいな文句を付けてくるかもしれません。
その場合は、規格を盾に抵抗しましょう。
審査員だって人間ですから、多少の思い込みはあります。
でも、審査は規格に基づいて行われなくてはいけません。
「審査員様がこうおっしゃっている!仰せの通りにしなくては!」
みたいに受け止める必要は、皆無です。
(事務局が自社の現場も規格の意図もよく理解していと、往々にしてそうなります。
特に、事務局が総務事務部門の片手間として運営されている場合は、陥りやすいと思います。)
管理責任者も事務局も、会社からお給料をもらっているんであって、
審査機関のために働いているのではありませんからね。
そもそも、「ISMS認証を取得するか否か」という判断だって、
企業にとっては経営上の選択肢でしかありません。
審査員の顔色をうかがうことはせず、自社のための仕事をしようじゃないですか!
(ちょっとストレス発散)

セキュリティを上げないISMS導入は可能か。【着想】

ISMSは、ある意味QMSより大変だと思います。 おなじISO規格なのに。
比較的早い段階で、「情報資産の棚卸」という大仕事があるからです。
大雑把にグルーピングすれば楽なのでしょうが、
あまり安易にそっちに走っちゃうと、無意味な活動になります。
情報資産の種類も絶対量も多い大企業では、本当に大変だと思います。
業態がシンプルであれば、量は多くても種類は少ないのかもしれませんが・・・
なんとか棚卸と評価を終え、そこに「これでセキュリティは万全だ!」というような
練りに練ったルールを適用しても、まだまだ苦労は絶えません。
「仕事がやりにくくなった!」という現場の声です。
これは精神的にきますね。
これがある意味最大の難所かも・・・  それに、ISMSを続ける限り終わることがありません。
そこでちょっと考えてみました。
現場の可用性を重視し、たいしてセキュリティが向上しなくても、
ISMSの認証を受けることは可能か?と。
つまり、ISMSを導入したからと言って、導入前の現場の実態を何も変えないのです。
「これは施錠管理しなさい」、「パスワードは×文字以上に変えなさい」みたいなことを、一切言わないのです。
ISO27001の4.2.1の、c)~g)において、リスクの評価も管理策の適用も、
基本的に「今やっていることを許容」するようにします。
そのように基準を設けても、やはり基準を超えるものはポロポロ出てくるでしょう。
それらは全部、残留リスクとして経営者が承認します。
そうすれば、現場はほとんどISMSの導入を意識することは無くなります。
最初の段階で情報資産の棚卸に協力しなくてはいけないぐらいで、
あとはほぼ関係ありません。
そんなISMSでは、セキュリティのレベルは全く向上しません。
その点は批判があるかもしれません。
しかし、確実に向上したと堂々と主張出来るものが、一つだけあります。
それは「マネジメントのレベル」です。
情報資産の棚卸や、何らかの基準による評価が行われていなかった頃は、
どこにどんなリスクがあるかも分からなかったはずです。
それが明らかになったということは、マネジメント上の大きな進歩のはずです。
(それらのリスクに「どう対処するか」は、別の問題です。)
今すぐに対処出来なくとも、「さすがにこれは、いずれはどげんかせんといかん。」
というモノも見えてくるはずです。
また、基準がが無かった頃は、部署ごとに(というか上司ごとに)
バラバラの指導が行われていたはずです。
ISMS導入により、それを統一することが出来ます。
そのため、厳密に言えば、現場の部署によっては
「今までより厳しくなった」とか、逆に「今までより甘くなった」という声が上がると思われます。
そのことへの不満は避けようがありませんが、
ダブルスタンダード状態が解消されたことを以って良しとしましょう。
現場の運用は何も変わらずとも、組織にとってはそのようなメリットがあるはずです。
それがISMSの本質であり、そこさえクリアしていれば認証は受けられるのではないか?
と、最近考えるようになりました。
はたして本当に可能かどうか、今後も検証していきます。

「マネジメントシステム」の正体 <3>

企業には「成長と発展」という至高の目的があり、企業内のシステムは全て、
つまるところその実現のための手段です。
(もちろん、最上位クラスの目的を他にも定めている企業は多い事と思います。
 「社会に資する」、「○○文化の創造」etc... )
これはつまり、その企業の存在意義と同義であり、
いわゆる「経営理念」としてWebサイトなどに掲げられているものです。
次に、経営理念実現手段としての「事業」があります。
具体的にどんな事業を営むことで会社を成長させるのか?ということです。
それが事業方針です。
事業の有効性は、経営理念をどれだけ実現できたかによって測られます。
当然その次には、事業方針実現手段としての「業務」があります。
具体的にどんな業務をどのように行うことで事業方針を実現するのか?ということです。
それが業務方針です。
日常的に行われる現場の業務の方針です。
業務の有効性は、事業方針をどれだけ実現できたかによって測られます。
そして、業務方針の実現手段としての「業務の手順」があります。
これが「(コア)」に当たります。
具体的にどのように現場の仕事を行うことで業務方針を実現するのか?ということです。
日常的に行われる現場業務の仕組みです。
業務の手順の有効性は、業務方針をどれだけ実現できたかによって測られます。
以上が、私の考える「1核+3層」です。
さて、まだちょっと分かりにくいかと思います。
(書いている自分でもそう思います。すみません。)
今回はトップから下りてきましたが、次回は逆に現場業務から経営理念まで上がっていきたいと思います。
→to be continued.

「マネジメントシステム」の正体 <2>

前回の続きで、マネジメントシステムの「下層」と「上層」にあるマネジメントシステムについて、
もう少し詳しく解説します。
まず、企業が目的αを実現するために、その実現手段としてのシステムをa導入したとします。
システムaが有効かどうかを判断するには、
「システムaを導入した結果、目的αがどれだけ果たせたか」を調べる以外にありません。
それ以外のことを調べても無意味です。
これは別にISOが標榜するマネジメントシステムに限ったことではなく、一般論として通用するはずです。
もし目的を十分に果たせていなかったら、それはシステムaのどこかに不備があったということなので、
それを探し当てて改善しないといけません。
そういった取り組みは、システムa自身より上位の枠組みです。
これをシステムAと呼ぶことにします。
目的αをより高度に実現するために、システムaを継続的に改善するシステム。
それがシステムAです。
そして、システムAより上位の概念もまた、存在します。
「そもそも、目的αを実現しなくていけないのは、何のためなのか?」ということです。
システムAもまた、より上位の目的を実現するための実現手段としてのシステムなのです。
さて、このままだと無限に「より上位の目的」が積み上がってしまいそうですが、
そういうわけではありません。
企業には「成長と発展」という"至高の目的"があるはずだからです。
もしかしたら異論もあるかもしれませんが、
一企業としては、それ以上の目的を持たないものとします。
そして、その実現度合いは、
「売上高」、「リピーター率」、「従業員の数」、「従業員満足度」などの指標に現れます。
(もちろん、他にもあるでしょう。)
最上位の目的の実現度合いを測る指標は、"絶対的"なモノである必要があると思います。
なぜなら、それがあらゆる下位システムの"拠り所"となるからです。
これがもし、「顧客満足度アンケートの結果」のような相対的なものだとすると、
社内のあらゆるシステムが相対化してしまいます。
「顧客満足度のアンケートの結果」が、
顧客の満足度を本当に表しているのかどうかを担保するものが無くなってしまうからです。
「売上高」や「リピーター率」のような客観的かつ絶対的なものであれば、拠り所とするに十分です。
もしアンケート結果が良くてもそれらの数字が落ちていれば、
それはアンケートの手法が間違っていることの証明になり、改善のきっかけとなりますから。
寝酒が回ってきたのでこの辺で・・・    →to be continued.