反省(1)「雛形通りに作るのは10年早い」

ITベンチャーがISOやプライバシーマークを取得、運用していく上で、
注意しなければいけない点＝新米事務局の失敗をお話したいと思います。

反省(1)「雛形通りに作るのは10年早い」

「さぁ、マネジメントの仕組みを作るぞ！」と意気込んで、
（※まったく、今思うと恥ずかしい意気込みです）
参考書を開くと、帳票例がいっぱい出てきます。
帳票例の押印欄が、5つ、6つ設けられていて戸惑うわけです。
「え！私の上には部長と社長の2人しかいないのに！？」と。

間違いなく、参考書はある程度の規模の会社を想定しています。
この通りに作成すると、担当者は紙の管理だけで1日業務が終わってしまいます。
世の中には、ISO事務局のアウトソーシングなんてビジネスもあるそうです。

業務を再設計する際は、
今ある業務と、あるべき姿を照らし合わせて、ない部分をどう実現するかを考えます。
自分は要求事項をもとに、付け足す作業をしたわけですが、
そのない部分を付け足す際に、雛形をそのまま採用しそうになりました。
すると雛形だけで何十という書式を、新たに管理する事態に・・・

雛形は一旦横において、斜めから眺めながら、
「もっとカンタンな方法はないかな？コンパクトにならないかな？」
と一捻りさせなければ、と心得ました。

コンパクトにすると統制のレベルが下がるのでは、と心配される向きもあると思うのですが、
ISO27001の関係者の方が、以前こんなことを仰っていました。

「御社は紙の文化ですか？印鑑が好きなのですか？（笑）
　ITの会社なんだから、電子データで管理したらどうですか？
　電子印鑑がない？では、共有ドライブに適切に担当者と責任者を分けて権限管理をすることで、
　責任者が承認した、とみなすこともできるのではないですか」

この方がおっしゃっていたのは、こんな感じです。

手順「責任者は『承認前申請書フォルダ』の申請書を確認したら、
　　『承認後申請書フォルダ』に申請書を移す」
┌────┐　　　　　　　┌────┐
│承認前　│　　　　　　　│承認後　│
│申請書　│──────→│申請書　│
│フォルダ│　　　　　　　│フォルダ│
└────┘　　　　　　　└────┘
担当者：作成・更新可　　　　担当者：作成・更新不可
責任者：作成・更新可　　　　責任者：作成・更新可

※等幅フォント以外でご覧の方は崩れて見えます。ごめんなさい。

客観的に「責任者が見ている」ということがわかればいいわけです。
「紙、いらないんだ！」これは目からウロコでした。

組織のマネジメントシステムですから、要求事項は一緒でも、
業種・業態・規模によって、それをどう実現するかは、千差万別になるはずです。
あくまで雛形は、ITベンチャーにとって10年以上先のあるべき姿と心得て、
次の更新審査（3年先）のあるべき姿を追うくらいが、
ちょうどよいのかなぁ、と思う今日この頃です。

(2)以降はまた次回お話します。