Page: 1/2   >>
スポンサーサイト
0

    一定期間更新がないため広告を表示しています

    | スポンサードリンク | | - | - | - | - |
    ゆらゆらガラス玉−リスク管理の基本
    1
     三菱重工の防衛関連施設でのウィルス感染発覚後、
     「防衛産業全体が標的になっていた可能性あり」
    というニュース。

    参考: 毎日新聞:サイバー攻撃:IHI、川重にも 防衛産業全体が標的か

    ニュースを読みつつ、5,6年前に読んだ絵本を思い出しました。

    おとなのためのリスクマネジメントの絵本 「ゆらゆらガラス玉」

    この絵本は、可愛く綺麗なイラストで綴られていて、
     「リスクに気がついたときに、影響度を考え、すぐに対処する」
    という単純なことを、実際の行動に移す難しさを、改めて認識することができる
    内容になっています。

    今回のニュースでも、防衛産業にかかわる企業、1つ1つが防衛省に報告を
    上げていたら、防衛産業全体が標的になっていることにもっと早く気がつき、
    対処ができたのかもしれません。

    ただ、ウィルスが添付されたメールは、スパムメールと共にほぼ毎日のように
    受け取っている企業も多く、防衛産業特定のリスクとしては、考えられなかった
    可能性もあります。

    リスクがあることに気がついても、すでに対処済みのリスクとの「違い」を見つけることが
    できなければ、新たなリスク対策を行なうことはできません。

    今までのリスクとの「違い」を発見するためには、どうするべきなのでしょうか?

    ★組織でのポイント★
    リスクに気がついているのに、放置していることがないかを、改めて組織で
    見直してみては、いかがでしょうか?

     ・リスクがあることが、平常の状態となってしまい、リスクが放置されていませんか?
     ・対策済みのリスクを違う角度から見たときに「新たなリスク」がありませんか?
     ・自社の事業にとってのリスクとしては、どのようなものがあるか、把握していますか?
     ・「ちょっと変だな」「いつもと違うな」と思うことを、組織で共有できていますか?
     
     例)
       「ウィルスチェック対策は実施している=ウィルス対策は見直す必要がない。」
       と思っていませんか?
     
       「ウィルスが添付されたメールは、info@会社ドメインのメールアドレスだけ
       だったのに、最近、会社支給の個人のメールアドレスにも届くようになった」
       というような変化は、ありませんか?
       
       最近ウィルスが増えたように感じた、あなたは、どうしますか?
       ウィルス添付のメールは、特定部門、特定のPJメンバに限定されていませんか?
       ウィルス添付のメールは、会社役員だけに限定されていませんか?
       ウィルス添付のメールの送信元は、いつも同じではありませんか?

    もしくは、日常の簡単なリスクを題材として、各個人がどうするかを意見交換してみては
    いかがでしょうか?

     題材1:
      「駅のホームで、あまり話ししたことのない同僚が自分の前にたっている。
       その人のかばんから、携帯電話が落ちそうになっている。
       ひょっとしたら、線路に落ちたり、紛失したりするかもしれない。」

     題材2:
      「会社の出入り口にあるマットの角がめくれて、引っかかりやすい状態に。
       ひょっとしたら、ノートパソコンを持った社員が引っかかって転んでしまうかも。」
     
     題材3:
      「会社の忘年会で、食べたお刺身。食べたときに少し味、匂い、色に違和感を感じた。
       ひょっとしたら、社員全員、食中毒になってしまうかも。」
    | コンサルタント | 17:20 | comments(0) | trackbacks(0) | - | - |
    ISOの取り組みを公開して信頼性UP
    1
    ISOマネジメントシステムの認証取得した組織において、自社のISOの取り組み
    状況を公開することができるようになりました。

    参考: 認証組織情報自主公開プログラム

    経済産業省が行なっているマネジメントシステム認証制度信頼性確保の一環です。

    自社の取り組み状況を公開することで、
     「あの会社、ISOの認証を取得しているけど、実態はどうなん?」
    という疑問を拭い去ることができるのではないでしょうか?

    情報公開ガイドラインによると、以下の情報を公開することとなっています。

    <情報公開項目> 認証組織の情報公開ガイドラインより抜粋
    1.企業方針
    2.目標
    3.認証の対象となっている製品・サービス、活動
    4.製品・サービスに係る法規制順守状況
    5.ステークフォルダーとのコミュニケーション状況
    6.内部監査の状況
    7.マネジメントレビューの状況

    どの項目もISOマネジメントシステムを経営ツールとして活かしていれば、
    明確にできることばかりです。

    ★組織でのポイント★
    情報公開項目からもわかるように、経営層がマネジメントシステムに
    関与することがISOを上手く活用するためのポイントです。

    自社の取り組み状況を、公開することで、顧客への透明性UP、
    信頼性UPができるのではないでしょうか?





    | コンサルタント | 16:22 | comments(0) | trackbacks(0) | - | - |
    プロセスを意識して、業務改善!?
    2
    プロセスとは、あるインプットをアウトプットに変換する活動のことです。
    ISOのマネジメントシステムは、プロセスアプローチを採用しています。

    プロセスアプローチは、ISOのマネジメントシステムだけでなく、業務改善のためにも
    有効な手段です。

    <プロセスアプローチとは?>
    プロセスアプローチとは、なんでしょう?

    ISO27001:2005 0.2.2 プロセスアプローチを要約すると
     1.組織の多くの活動(プロセス)を明確にする。
     2.活動(プロセス)を相互作用させる。
     3.プロセスをシステムとして組織に適用し、運営管理する。
    となります。

    うーむ。なんだか、よくわかりません。

    単純な活動に置き換えて、もう少し具体的にしてみます。

    1.組織の多くの活動(プロセス)を明確にする。
     組織の活動ではなく、「晩御飯をつくる」という活動で考えて見ましょう。
     「晩御飯をつくる」という活動は、以下のような多くの活動に関連しています。
      a)食材を手配するための収入を得る活動
      b)食材を手配する活動
      c)メニューを決めるための情報収集活動
      d)晩御飯のメニューを決定する活動
      e)晩御飯を食べる活動

    2.活動(プロセス)を相互作用させる。
     1.で抽出した「晩御飯をつくる」活動に関連する活動のインプットと
     アウトプットを整理してみると、、
      a)のアウトプット = お金 = b)のインプット
      b)のアウトプット = 食材 = d)のインプット
      c)のアウトプット = 家族のお昼ごはん、体調 = d)のインプット
      d)のアウトプット = 晩御飯のメニュー = e)のインプット
      e)のアウトプット = 次の日も元気に働く力 = a)のインプット
     というように、それぞれの活動がつながっていることがわかります。

     インプット、アウトプットを意識していない間にプロセスを相互作用させていることが
     わかります。

    3.プロセスをシステムとして組織に適用し、運営管理する。
     「晩御飯をつくる」という活動を支えるために、多くの活動が必要です。
     また、すべての活動を自分一人で進めていくことは、ほぼ不可能です。

     例えば、b)食材を手配する活動には、自分の管理外の活動「食材を販売する」が
     なければ成り立ちません。

     多くの活動を支えるために、それぞれに必要な人材、技術、設備、情報、環境が必要です。

     「晩御飯をつくる」活動に置き換えてみると
      人材:料理をつくれる人
      技術:メニューを実現するスキル
      設備:調理器具、コンロ、電子レンジ、キッチン、食器
      情報:メニューを実現する手順
      環境:料理をつくるためのスペース、時間(納期)
     というようになります。

     また、別の活動のアウトプットであり、「晩御飯をつくる」活動のインプットである
     「晩御飯のメニュー」が、今、用意できる人材や設備や環境では実現できない
     メニューであっては困ります。

     活動それぞれで、インプット、アウトプットは異なっていますが、前提となる人材や
     設備、最終的な目的は、同じです。
     それぞれの活動のアウトプットが、組織全体の目的にあったものでなければ、
     それぞれの活動の相互作用も崩れてしまい、組織全体の目的からずれてしまいます。

     全体の目的に向かうために、どのような活動が必要か、活動のアウトプットは
     どういうものが必要か、活動のインプットとして何が必要か、を管理していく
     必要があります。
     また、各活動が組織の目的にあった方向に相互作用しているか、活動の役割はあっているか、
     資源をどう活用するかということを、定期的に見直していくことで仕組み(システム)が
     できあがります。

     この仕組みが「プロセスアプローチ」となります。

    <プロセスアプローチがなぜ業務改善につながるのか?>

     簡単にまとめると
      組織の活動(プロセス)を明確にする
           ↓
      各活動(プロセス)の目的、インプット、アウトプットがわかる = 活動の役割がわかる
           ↓
      他の活動との相互作用がわかる
      (1つの活動のアウトプットの品質が、別の活動の品質に影響する)
        例:晩御飯のメニューを決めるアウトプット = そうめんと焼きなす
          晩御飯をつくるアウトプット = そうめんと焼きなす
          晩御飯を食べるアウトプット = 少しもの足りない、働く力がでない
           ↓
      活動の相互作用を整理していくことで、組織全体の活動がわかる
        例:晩御飯のメニューがもの足りない→働く力がでない→長期的な収入に影響
           ↓
      全体の活動を運営管理していくことができる(将来の予測も含めた検討ができる)
        例:今の段階では、収入は十分あるはずなのに、なぜなのか?
          このままで行くと、食材の偏りで健康に影響してしまう。
           ↓
      重複している活動や、不足している活動、人手不足の活動が見えてくる。
        例:晩御飯のメニューが物足りない原因を追究
          →食材を手配するの時間不足であることが判明
           ↓
      改善すべき活動がわかる
        例:食材を毎日ではなく、時間のある週末にまとめ買いに変更。
          →結果晩御飯のメニューも改善
     という流れです。

     「晩御飯をつくるのように、そんな簡単にはいかないっ」と思われるかもしれませんが、
     組織の活動に当てはめて、一度考えてみては、いかがでしょうか?

    ★組織でのポイント★
     いきなり、組織全体の活動を明確にして、インプットとアウトプットを明確にして、
     それぞれの関係を明確にして・・・となると、
     「めんどくさいなぁ」というのが正直なところではないでしょうか?

     まずは、日報や週報などの報告活動に対して、どのような活動が関係するのか、
     報告結果はどのような活動につながるのかを、チーム単位で検討してみては
     いかがでしょうか?

     もしくは、日報や週報などの活動報告に、各活動のインプットと、アウトプットを
     書き出してみて、チームで共有してみては、いかがでしょうか?

     書き出した内容を類似した作業をしている人と共有したり、関連する活動をしている人と
     共有したりすることで、業務の改善点の発見につながります。

     小さな単位の活動から、徐々に組織全体の活動を明確にしていくことで、無理なく、
     プロセスアプローチの実現に近づくことができます。

    | コンサルタント | 14:21 | comments(0) | trackbacks(0) | - | - |
    ビジネスアナリシスとISO(引き出し)
    2
     ビジネスアナリシス知識体系ガイド(BABOKガイド)に「引き出し」という
    知識エリアがあります。
    この「引き出し」という知識エリアをISOマネジメントシステムの見直しに
    活用してはいかがでしょうか?

    <そもそも「引き出し」とはなんでしょう?>
    BABOKでは、「引き出し(elicit)」を以下のように定義しています。
     [引用元:IIBA ビジネスアナリシス知識体系ガイド Version2.0]
     1.(隠れているものまたは潜在するものを)「誘い出す」(drawn forth)
       または「外に出す」(bring out)。
     2.(情報または応答として)「呼び起こす」(call forth)
       または「抜き出す」(draw out)。

    <ISOのマネジメントシステムと、どのように関係するのか?>
     ISOのマネジメントシステムの目的の一つである
      「顧客からの潜在的な要求に応えるため」
     に、「組織の中の潜在的な資産や基準」を「呼び起こす」「抜き出す」ことが
     必要となります。

     ISMS(情報セキュリティマネジメントシステム)に当てはめると、
     リスク分析により、「組織に潜むリスク」を「引き出し」ています。

    <「引き出し」をどのように活用するのか?>
     「引き出し」の1つ目の活動として、「3.1 引き出しを準備する」とあります。
     「引き出しを準備する」活動は、簡単にいうと、「計画するための準備活動」です。

     何のために「引き出す」必要があるのかが明確になっていなければ、
     どこから、だれが、なにを、いつ、どうやって、引き出すのかが分かりません。
     何のために「引き出す」のかが明確にした後で、「引き出し」を準備します。

     たとえば、ISMSのリスク分析に当てはめると、
     「事業上のリスクと、その影響度を明確にしましょう」←(これが、何のためにです。)
     だけでは、どうしたらよいか、どういう視点で、誰からみたリスクなのか、などが
     明確でないため、人によりバラつきがでたり、潜在的なものを抜き出すことができません。
     そのため、
       ・リスクを明確にするためにどのような視点が必要なのか?
       ・それぞれの視点のリスクを洗い出すためには、どうしたらよいのか?
       ・リスクの基準はなんなのか?
       ・だれが、どのようにして、リスク分析をするのか?
       ・どう役割分担するのか?
       ・どのくらい時間をかけるのか?
     などなど、細かな点を決めていく必要があります。
     この活動が「引き出しを準備する」活動です。

     もう一つの例として、2年目のISMS活動計画を検討する場合を考えてみます。

     2年目のISMSの活動目的を
     「シンプルで経営に役立つ活動に変えていく」←(これが、何のためにです。)
     に設定します。
     「シンプルで経営に役立つ活動に変えていく」ためには、複雑で経営に役に立たない
     部分を「引き出す」必要があります。

     「複雑で経営に役に立たない部分」は、どうやって見つけるかを準備します。
     
     「どうやって」は、BABOKの「引き出しを準備する」テクニックのうち、たとえば、
     以下4つが活用できるのでないでしょうか?
      「文書分析」:作成した文書を読み合わせすることによって、問題点を探る
      「インタビュー」:従業員何人かに質問することによって、問題点を探る
      「観察」:主要なプロセスを観察することによって、無理がないか見てみる
      「調査とアンケート」:従業員に匿名でアンケートを行なうことによって、問題点を探る

     どうやって見つけるかの方法がわかれば、次はそれぞれをだれが、いつ、
     どのようにやるのかと具体的な方法を検討することができます。

    ★組織でのポイント★
     BABOKの「引き出し」は、要求を引き出すために用いる知識エリアですが、
     要求だけでなく、潜在的な問題点を引き出すためにも活用できます。

     ISOマネジメントシステムの活動を、どういう目的でやっているのかを
     改めて見直して、潜在的な問題点を引き出すことが、ISOをより実践的で
     役に立つものに変えていくことができるのでは、ないでしょうか?
    | コンサルタント | 15:12 | comments(0) | trackbacks(0) | - | - |
    定期的な契約内容確認の必要性
    1
     総務省より、平成22年度の電気通信サービスの苦情・相談の概要が
    公開されました。

     参考: 平成22年度における電気通信サービスの苦情・相談の概要

    電気通信サービス業者ではないから、自分の会社には関係ないと
    思われるかもしれませんが、視点を変えてみると、第三者との契約について
    参考になることが書かれています。

    苦情相談の概要によると、5,197件のうち、1,032件が契約・提供条件に
    関するものとなっています。

    <契約・提供条件に関しての苦情が多いのはなぜでしょうか?>
     苦情の具体的な内容を見ると、
      「・・・という説明は受けていない」
      「・・・ということは知らなかった」
      「強制的に・・・させられた」
     というものがほとんどです。
     
     原因として考えられることとしては、
      ・業者側の契約内容の説明不足による認識の食い違い
      ・利用者側の契約内容の理解不足による認識の食い違い
      ・サービスの内容が複雑すぎることによる認識の食い違い
     など、いろいろと考えられます。

     そもそも、契約時に契約書の隅々まで読んでいる人は、どのくらい
     いるのでしょう?
     契約書もやたらと細かい文字で書かれているし・・・。

     契約する側、契約される側、各々が
      「当然このくらいの内容は契約書に書かれているはず」
      「利用者にとって、不利なことは説明してくれるはず」
      「当然このくらいのサービスは受けることができるはず」
     と思い込んでいることから、苦情につながるのではないでしょうか?
     
     総務省の資料は、個人対事業者ですが、事業者対事業者の場合は
     どうでしょうか? 

    <委託業者との契約内容を把握していますか?>
     事業者対事業者の契約についても、個人対事業者の契約と同じように
     食い違いが発生し、苦情やトラブルにつながる可能性があるのでは
     ないでしょうか?

     特に中小企業の場合、昔からのつながりで契約書の締結もなく、
     なんとなくお願いしていて、お互いの責任範囲が不明瞭ということも
     多いのでは、ないでしょうか?

     事業環境は、当然のことながら、変化しています。
     それに合わせて、法律や顧客からの要望も、変化して当然です。
     そんな中、なじみのところとの契約は、昔のまま、曖昧なままで
     大丈夫でしょうか?

     なじみの取引先が世代交代したり、担当者が退職した途端、
     融通が利かなくなって、困ってしまうということはありませんか?

    ★組織でのポイント★
     第三者との契約は、事業継続や機密性保持の観点からも重要なことです。
     重要な取引先や委託業者との契約に関して、一度契約内容を見直して
     みてはいかがでしょうか?

     <見直しのポイント>
      ・契約の目的、内容は明確になっていますか?
      ・契約書の内容は、理解できる内容ですか?
      ・契約書の内容に、自社で重視している項目は含まれていますか?
       (保証範囲やサービス品質など)
      ・トラブル発生時の責任範囲・連絡先などは明確になっていますか?
      ・違約金や損害賠償について書かれていますか?
      ・契約の有効期間は明確になっていますか?
      ・解約について書かれていますか?

     ※見直しポイントは、一般的なものを抽出しています。
      契約書の目的によって、見直しポイントは異なります。
      自社で判断できない場合は、弁護士などの専門家を利用してください。

     一度契約したから大丈夫ではなく、定期的にもしくは、事業内容が変化した
     タイミングで、内容を見直し、必要に応じて、再締結されることをお奨めします。
    | コンサルタント | 15:10 | comments(0) | trackbacks(0) | - | - |
    内部関係者の不正行為に対して、どうする?
    0
      ソフトバンクモバイルは、5月25日に関西で発生した通信障害の原因が、
      業務委託先元社員の不正行為だったことを公表しています。

      参照:ソフトバンクモバイル 委託先の元社員の逮捕について

      <ソフトバンクモバイル 事件概要>
          2011年3月8日から3月9日
          ソフトバンクモバイルの関西ネットワークセンターで、委託先の社員が
          ATM伝送装置の回線設定データを改ざんし、5月25日に不正プログラムが
          動作するように設定
        2011年3月15日
          体調不良を理由に当該委託先社員が、業務委託先を退職
        2011年5月25日午前3時58分〜5月26日午前10時15分
          関西地域で通信障害が発生、約7万2700人の利用者に影響
        2011年5月26日
         外部からの不正アクセスの痕跡がないことから内部犯行の可能性ありと判断し、
         大阪府警に相談
        2011年6月06日
          ソフトバンクモバイルより、大阪府警に被害届けを提出
          2011年7月08日
          元従業員の逮捕を受けて、事件の経緯を公表
        
      <障害発生の原因>
       障害の直接的な原因は、委託先元社員が不正プログラムを入力し、数ヶ月後に
       動くように設定していたことです。

        根本的な原因は、委託先元社員の気持ちに隠されているのではないでしょうか?
       どんな理由で元社員が不正プログラムを入力するということを実行しようと思ったかが
       わからない限り、原因の解明はできないかもしれません。

      <ソフトバンクモバイルの再発防止対策>
       ソフトバンクモバイルは、今回の事件の再発防止対策として、
        「監視カメラの増設(物理的対策)」
        「操作履歴の取得範囲拡大(技術的対策)」
       という方法を選択したようです。

       物理的な対策、技術的な対策により、以下のことは実現できるかもしれません。
         ・不正行為の範囲を狭めること
         ・監視されている、操作履歴がチェックされているという点からの
          「悪いことをしても見つかってしまう」という気持ちによる抑制

       公表はされていないことですが、委託先選定条件の見直しや契約内容の
       見直しも行なっているかもしれません。

       いくつかの対策により、不正行為の可能性を減らすことはできたかも
       しれませんが、不正行為の可能性を「0」にすることは、不可能です。

      <では、どうするべきか?>
       不正行為の可能性を「0」にすることができないのであれば、組織でできること
       としては、以下の3つ。
        1.不正行為ができる可能性を減らす
        2.不正行為が発覚したときのために、証跡を確保する
        3.障害が発生したときの組織の体制、組織の対応方法を決めておく

       ソフトバンクモバイルの場合、3の体制がすでに出来上がっているからこそ、
       障害発生の翌日に警察に相談するという、迅速な対応ができたと考えられます。

       警察に相談するためには、「内部関係者の不正行為かもしれない」ということを
       裏付けるだけの証拠があったからこそできたこと。

       障害復旧に必死になり、原因解明のための証拠を削除してしまうという事態に
       陥らないためにも、事前に体制と証跡を整備しておきましょう。
       また、「内部関係者の不正行為かもしれない」と疑ったが、実は外部からの
       攻撃だったということになれば、組織内のお互いの信頼関係に傷ができるかも
       しれません。

      ★組織でのポイント★
       今回の事件は、委託先のたった一人の社員が起こした行為が原因でしたが、
       顧客から見ると、「サービスが利用できなかった」ということには変わりありません。

       委託先社員であろうと、自社の社員であろうと、内部関係者です。

       「内部関係者の不正行為かもしれない」という疑いを持って、調査することや
       警察に被害届けを出すというのは、組織としても勇気のいること。

       今回の事件をきっかけとして、以下の点を、再確認してはいかがでしょうか?
        1.自社のサービス障害や製品の不具合が発生したときに原因解明のための
          証拠として、何が必要か?
        2.従業員や委託先などの内部関係者が原因と見極めるためには、
          何が必要か?何があれば、見極めることができるか?
        3.警察に届けるべき事態か、どうかはどのように判断するか?
         4.障害発生時の証拠保全の手順は、明確になっているか?
        5.内部関係者が原因だとわかった場合に、同様の業務に携わる社員に
          どのように伝え、調査協力を得ることができるのか?

       また、不正行為予防のために、
         ・従業員(委託先社員も含む)に不平不満が溜まっていないか
         ・内部関係者どうしで悪巧みが簡単にできる環境になっていないか
       などの従業員の気持ちに対する再チェックも必要かも知れません。
       

      | コンサルタント | 15:31 | comments(0) | trackbacks(0) | - | - |
      ビジネスアナリシスとISO(トレーサビリティ)
      0
        ISOのマネジメントシステムは、経営ツールの一つでです。

        ISOマネジメントシステムが、「経営ツール」の一つであるためには、
        成果物とビジネスの目的、目標の「つながり」が明確になることが大切です。

        BABOK2.0にも、類似した視点が含まれています。
         「2.5 要求マネジメントプロセスを計画する −2.5.4 要素 .2 トレーサビリティ」
         「4.2 要求のトレーサビリティをマネジメントする」

        <なぜ、「つながり」が明確になることが大切なのか?>
        ISOマネジメントシステムを構築したことにより、
         ・業務手順が手馴れた手順ではなくなって不便になった。
         ・やたらと報告書が増えた。
         ・やたらと事務作業が増えて、ISOのために仕事しているような気がしてくる。
        というような、現場では、マイナスの方向にとらえられがちです。

        組織の目的を実現するために、ISOを活用できているのであれば、
        「報告書」と「ビジネスの目的と目標」がつながっているはず。

         例)
          ビジネスの目的と目標: 顧客からの要望を製品に反映することで売り上げUP
          
          営業報告書に、顧客の購入数、製品に対する意見、利用方法を書く
          →営業報告書を蓄積していく
          →顧客の業種、顧客の購入数、意見の傾向、利用方法などにより分類する
          →意見の傾向から、製品の新しい利用方法を見出す
          →顧客へ新しい利用方法を提案する
          →顧客の製品購入数が増加
          →売り上げUP

        現実は、例のように「風が吹くと桶屋がもうかる」式に単純にはいきませんが、
        このつながりを従業員が理解することで、報告書の質の向上にもなります。

        BABOKにも以下のように書かれています。
        −ビジネスアナリシス知識体系ガイド v2.0 より引用−
        『トレーサビリティを使用すると、ソリューションが要求を順守しやすくなり、
        スコープと変更のマネジメント、リスクマネジメント、タイムマネジメント、
        コストマネジメント、コミュニケーションマネジメントなどに役立つ。』

        ★組織でのポイント★
        認証取得を目的にして、作ったマネジメントシステムになっていませんか?
        マネジメントシステムの成果物は、経営のヒントや業務改善、製品改善、
        リスクの管理などに役立てることができていますか?

        マネジメントシステムの運用を事務局に任せきりにするのではなく、
        経営者も一緒に、ビジネスとのつながりを考えてみては、いかがでしょうか?

        参考: 「ビジネスアナリシスとISO」 BLOG記事
        <PLAN>
        コンサルタントBLOG 2011年5月25日
         ビジネスアナリシスとISO(セキュリティとビジネスの目的、目標)

        <PLAN>
        コンサルタントBLOG 2011年6月8日
         ビジネスアナリシスとISO(ビジネスニーズを定義する)

        <PLAN>
        コンサルタントBLOG 2011年6月16日
         ビジネスアナリシスとISO(ギャップ分析)

        <PLAN>
        コンサルタントBLOG 2011年5月19日
         ビジネスアナリシスとISO(要求分析とリスク分析)

        <PDCA全体>
        コンサルタントBLOG 2011年5月13日
         ビジネスアナリシスとISO(パフォーマンスと有効性測定)
        | コンサルタント | 12:09 | comments(0) | trackbacks(0) | - | - |
        ISOは何のため?
        0
          ISOというと、
          「めんどくさい」「役に立たない」「細かいことばっかり」
          というイメージを強くもたれている経営者が多いのではないでしょうか?
          なぜでしょう・・・?

          <ISOとは、そもそもなんでしょう?>

          ISOは、国際標準化機構のことです。
          国際標準化機構が作った国際規格のうち、組織の取り組みに関するものとして、
          ISO 9001、ISO 14001、ISO 27001などがあります。
           ISO 9001   :品質に関する組織の取り組みの枠組み、構造
           ISO 14001 :環境に関する組織の取り組みの枠組み、構造
           ISO 27001 :情報セキュリティに関する組織の取り組みの枠組み、構造

          単純にいうと、ISO9001であれば、
           「品質を保持するために、こんな組織活動にしたらどう?」
          という国際的な標準であり、最も効率的な方法(ベストプラクティス集)です。

          品質管理をするためのノウハウや人材の不足している悩ましい事業者に向けて、
          最も効果的な方法を組織で取り入れるために必要な材料(枠組み、構造)が、
          まとめられているだけです。

          例えて言うなら、「ISOのマネジメントシステム=家の見取り図」です。

          家の見取り図だけでは、何も生まれません。
          物理的に家も必要ですし、住む人も必要です。その上で、どの部屋をどのように
          使うのか、どこに何をおくのかは、どう装飾するのかは、使う人(家主)によって変化します。

          ISOも骨組みがあるだけなので、ISOだけでは何も生まれません。
          実際の組織があり、枠組みをどのような方法で組織に当てはめるのか、
          どのように肉付けしていくのかは、組織の目的、状況、規模に合わせて
          作りあげるものです。

          ISO認証取得は、
           「ISOの要素、枠組みを活かした自律的な活動をしている組織だということを、
           第三者によって証明されること」
          です。

          「うちの会社は、品質維持活動をしているため、製品の品質はすばらしいです。」
          だけでは、他社から見ると
          「具体的にどういうように?、手前味噌では?」
          とならないように、
          「ISO 9001という国際規格の要素、枠組みに則って活動しています」
          という宣言をするためのものです。

          <では、なぜ「めんどくさい」「役に立たない」と思うのでしょうか?>

          それは、せっかくのISOという道具を使いこなせていないからです。
          まさに、「ハサミとISOは使いよう」です。

          どんなものでも、使い方によっては、役に立ちます。
          また、どんなものでも、使うための目的があるはずです。

          ハサミは、紙を切るために使うもの。
          ハサミを缶切り代わりに使おうと思えば、使えるかもしれませんが
          とても時間がかかるし、役に立たないと思ってしまいます。
          また、常に使うか、研がないと錆びてしまいます。
          手に合った磨かれたハサミは素晴らしい仕事をします。

          ISOも同じことになっていませんか?
          目的を見誤っていませんか?
          要素、枠組みを自分たちのものとして使いこなせていますか?

          <では、ISOは、なんのため?>

          ISOの目的が、ISOの認証取得になっていませんか?

          顧客満足向上のためとか、製品の品質を安定させるためとか、
          「組織をレベルUPするための目的」=「ISOの目的」にすることで
          ISOを役に立つものに、変えることができます。

          ISOマネジメントシステムの基本の基本は、PDCAサイクルです。
          PDCAサイクルは、普段から業務のなかで行なっていることのはず。

          自組織で、「計画して」「やってみて」「チェックして」「見直しして」という
          PDCAサイクルに沿って、実施できていることは、何があるでしょうか?
          P、D、C、Aのそれぞれの役割や目的、目標は、はっきりしていますか?

          ISOの認証取得している組織は、普段当たり前のように実施している
          PDCAサイクルと、ISOのPDCAサイクルを合わせてみることで、
          自分たちの仕組みとして、よりISOを有効活用できるのではないでしょうか?

          | コンサルタント | 13:05 | comments(0) | trackbacks(0) | - | - |
          点検、見直し、2次被害想定の大切さ
          0
            先週、月曜日(2011年6月21日)に京都 洛西ニュータウン(京都市西京区)で
            水道管が破損し、その影響で都市ガスの供給が数日間、止まるという生活インフラの
            障害が発生しました。[詳細は、京都市水道局]

            起因した現象は、
             「水道管の腐食による破損」
            ですが、そのことに連鎖して、
             「ガス管の破損」
            という現象が発生。

            「腐食による破損」という現象に対しての根本的な原因は、定期的な点検や見直し、
            対策が不十分だったことのように思えます。
            定期的な点検や見直しをしていても、技術的なことや、金銭的なことなど
            様々な理由があり、対策が十分できなかったのかもしれません。

            それにしても、突然腐食して破損することは、まず考えられないことです。
            その上、ガス管にまで、影響を及ぼすとは。

            数ヶ月前から、少しずつ、腐食が進んでいて、破損の兆候は見つけることが
            できる状態にあったはずです。
            兆候を見つけることができていれば、併設されたガス管への影響も、ある程度
            想定できたのではないでしょうか?

            水道局、大阪ガスの双方で、事前に以下のような対策を実施することができれば、
            今回の障害を防ぐことができたのではないでしょうか?

             水道局  : 兆候を見逃さず、腐食への対策を実施
             大阪ガス : 水道管が破裂したときの影響を考慮した配管

            組織においても、同じことが言えます。

            定期的に適切な点検をしていて、見直しを行なって、対策を検討していたら、
            組織の周辺で発生しそうな影響の大きい障害をあらかじめ想定していたら、
            ・・・こんなことには、ならなかったのに・・・
            となる前に、点検、見直し、事業に影響を及ぼす事象を想定することが
            重要です。

            各々企業や自治体、個人、それぞれがサービスを利用する側であり、サービスを
            提供する側であるという積み重ねの上で、快適に業務を続けることができ、
            生活することができています。

            自社で起きた単純な事故や機器の故障が原因で他社の事業や個人の生活を
            脅かしてしまうという可能性は、どんな組織、個人にもありえることです。

            些細な事故(水道管の破損は、些細とはいえませんが・・)が起因となり、
            多額の損害賠償を請求され、事業の存続が危うくなる。。。という結果は
            どの組織も避けたいことです。

            点検、見直し、影響度(連鎖被害)の想定による「予防」を実施しましょう。

            ★組織でのポイント★
             −点検のポイント−
              1.点検対象はなにか?
                業務を支える「あって当然」、「動いて当然」と思っているものはなにか?
                (お客様に提供しているサービス、製品も含む)

              2.点検対象はどのように変化するものか?
                業務を支える「当然」のものは、どのように状態が変化するものか?
                →情報も、製品も、サーバ装置も、電源設備も、人も、変化します。
                 時間経過により弱くなる部分を把握しましょう。

              3.点検の実施状況は?
                業務を支える「当然」のものは、定期的に点検しているか?

              4.点検結果を分析し、「兆候」を発見しているか?
               →分析というと大げさかもしれません。
                なにかがいつもと違うと感じる部分に「兆候」が隠れている可能性が
                あります。

             −見直しのポイント−
              1.点検の内容は、変化に合わせて見直しているか?
               →導入直後、使い方に馴染んできた頃、数年経過した後では、
                使い方も変化し、重要度も変化、装置の劣化具合も変化します。
                点検の内容を見直さないことで、兆候を見逃す原因になりえます。

              2.「兆候」から、見直し箇所、対策を検討し、優先順位を決定しているか?

              3.対策状況を見直しているか?

             −影響度想定のポイント−
              1.他社の障害が、自社の障害原因になるようなことは、どんなことがあるのか?
             
              2.自社の障害が、他社の障害原因になるようなことは、どんなことがあるのか?

              →2つとも、「想定するときりがない」ことなのですが、身近な環境で発生した
               事故や過去の事例などを参考に検討してみましょう。
              例)
               ・自社ビルの前にある電柱にトラックが激突し電線を切断したため、ビル全体が
                停電し、システム停止。
               ・テナントビルの上のフロアが、マンションになっていて、マンションの
                ベランダの配管が落ち葉で詰まり、水が溢れ、天井への水漏れが
                起こり、自社のサーバ室が水浸しに。


             「自分のところは、ちゃんとやってる」
             「自社の規模では、どんなことが起きても、他社に大きな影響はない」
            と思われるかもしれませんが、事故がおきてから、
             「○△していたら、・・・」
             「□○していれば、・・・」
            と、「たら」「れば」を連発することにならないように、事前に対策しておきましょう。

            | コンサルタント | 15:53 | comments(0) | trackbacks(0) | - | - |
            クラウドサービス導入前に事前チェックはなぜ必要?
            0
              IPAが「クラウドサービスの安全利用のすすめ」の中に、
              クラウドサービス導入時の事前チェックリストがあります。

              IPAの中小企業に向けた内容で、クラウドサービスを活用し、IT環境を
              改善するためのポイントがまとめられています。

              クラウドサービス導入時の事前チェックリスト項目として、14項目。
              チェック項目は、以下の3つの領域に分けられています。
               [A]クラウドサービスの利用範囲についての確認項目
               [B]クラウドサービスの利用準備についての確認項目
               [C]クラウドサービスの提供条件などについての確認項目

              <なぜ導入前の事前チェックが必要なのでしょうか?>

              クラウドサービスの利点は、
                「低価格」「導入が簡単」「資産を所有する必要がない」
               と聞くと、
                「難しいこと考えずに、とりあえず申し込んで使ってみて、
                 あかんかったら止めたら、ええんちゃうの?」
               と思われる経営者の方も、多いのではないでしょうか?

               たとえば、以下のようなことがありえるかも知れません。

              -- 例)--- ある企業がクラウドサービスを導入、どんどん便利に・・・・ -----------------

               凡例 クサ:クラウドサービス提供事業者
                   利:サービス利用企業

               − 導入時 −
                クサ:「1ヶ月試用期間は無料です。2ヶ月目から月××円(低価格)有料となります。」
                クサ:「稼働率99.9%なので、業務でどんどん活用してくださいっ」
                 利:「交通費精算、営業報告は魅力的やな。今はエクセルファイルで管理やから。」
                 利:「稼働率99.9%か、すばらしい。」
                 利:「使ってみないと便利かどうかわからんし、1ヶ月無料ならとりあえず使おう。」
                    契約内容の詳細を確認しないまま、利用することを決定。
                クサ:「試用の申し込み、ありがとうございますっ」

               − 利用サービス −
                スケジュール管理、交通費精算、勤怠管理、業務・営業報告ができるグループウェア。

               − 試用開始から2週間 −
                ● 従業員(営業)の評価
                  とても便利。インターネット経由で交通費精算や営業報告ができるから
                  業務効率UP。ずっとこのまま使い続けたい。
                ● 経営者の評価
                  業務報告、営業報告が以前よりもきちんと報告されるようになって
                  よかった。もっと早く使えばよかった。

               − 導入から1ヶ月 −
                クサ:「試用していかがでしたか?」
                 利:「すごく便利になったよ、このまま継続して使いたいよ。(契約締結)」
                クサ:「契約、ありがとうございます。」
                クサ:「有料契約になると、業務・営業報告の検索分析機能が利用できます。」
                 利:「どんどん営業報告が蓄積されていってるし、このまま蓄積できると
                    今までできなかった分析ができてさらに便利になるな。」

               − 導入から6ヶ月 −
                突然、クラウドサービスに接続できない状況に。

                 利:「システム障害なの?」
                  とサービス提供者に問い合わせすると、

                クサ:「調査中です。」
                  と、なんだか煮え切らない返答。
                  1時間後くらいに、再度アクセスするとサービスが利用できたが、、、

                 利:「ん?過去のデータが見れない。」
                  再度、サービス提供者に連絡すると、

                クサ:「障害発生時のデータの復旧は保証範囲外です。」
                  契約書を再確認すると、稼働率と障害時の連絡については記載があるが
                  データの保証については、なにも記載が無かった。

                  利:「困った。半年分の進捗状況や、顧客とのやりとり、営業ノウハウが・・・」

              -------------------------------------------------------------------------------------
              例は、少し極端な状況かもしれません。
              例のようなことにならないために、事前によく考えて導入を検討する必要があります。

              ★組織でのポイント★
              クラウドサービスは、手軽に導入しやすい分、安易に導入してしまいがちです。
              自社の社内システムとして、自社の所有物のように活用できますが、
              その半面、契約範囲内でしか、対応してもらうことができず、大切な情報資産を
              失ってしまう可能性も秘めています。

              クラウドサービスでも、検討すべきことは、ITシステム導入時と同じです。

              クラウドサービスの5W1Hを検討した上で、サービスを選択肢、導入を決断しましょう。
              ・クラウドサービスを、なぜ使うのか?(WHY)
              ・クラウドサービスで、何をしたいのか?何ができるのか?(WHAT)
              ・クラウドサービスは、誰が、いつ、どこで使うのか?(WHO、WHEN、WHERE)
              ・クラウドサービスが使えないときどうなるのか?影響範囲は?(HOW)



               

              | コンサルタント | 18:13 | comments(0) | trackbacks(0) | - | - |