2011年07月22日
認証取得事業者数 審査機関による傾向
他社のコンサルファーム、審査機関と一緒になる場合は、あまり話題にしたくないことが、言ってみれば審査機関の営業成績。登録時業者数。
JIPDECという団体(天下り団体?)から、毎月、審査機関毎の登録数をホームページに発表している。審査機関の盛衰がある。
長年トップにあった審査機関は数年で二位転落が読み取れる。長年三位であった審査機関は最近四位に転落した。
.*.
各機関とも殆ど同時に始めた審査という事業でどうして此処まで差が付いたのか。その差が広がったり縮まったりする理由は何か。まさに、事業戦略の領域で興味は尽きないが、やはり話題になり難い。
でも何が戦略上のミスかは誰の目に明らかなようだ。
.*.
他社のコンサルファーム、審査機関と一緒になる場合は、あまり話題にしたくないことが、言ってみれば審査機関の営業成績。登録時業者数。
JIPDECという団体(天下り団体?)から、毎月、審査機関毎の登録数をホームページに発表している。審査機関の盛衰がある。
長年トップにあった審査機関は数年で二位転落が読み取れる。長年三位であった審査機関は最近四位に転落した。
.*.
各機関とも殆ど同時に始めた審査という事業でどうして此処まで差が付いたのか。その差が広がったり縮まったりする理由は何か。まさに、事業戦略の領域で興味は尽きないが、やはり話題になり難い。
でも何が戦略上のミスかは誰の目に明らかなようだ。
.*.
認証事業者数が頭打ち傾向です
ISOで最初に始まった品質マネジメント(QMS)の事業者数の頭打ちは既に数年前に現れているが、ISMSの認証取得事業者数も漸く此処に来て頭打ち傾向がはっきりしてきた。新規取得より解約・登録取り消しの数が多いということ。統合による減数もある。
際限なく増える訳でないから、一定の水準で頭打ちになるのは当然のことだが、ISMSに関わる仕事をしている人にとってはあまり冷静でも居られないかと思うとそうでもない。もう少し暇になりたいらしい。特に審査員はフォローの仕事が多いので頭打ちであっても尚相当な量の仕事を抱えることになる。コンサルは構築フェーズにうまみがあるので、フォローでも稼ぐコンサルを目指して工夫を重ねているようだ。というのは嘘。フォローのビジネスは規模が小さいので、もっとホットエリアを演出して経営陣へのアプローチを図ろうとしている。
.*.
実際のところ、コンサルや審査に関わる場末の連中の見る目は、もっともっと広がると見ている。今はISMS以外にプライバシー認定制度が来ていて、これは所謂、独立法人のビジネスで似て非なるものを作っての金儲けなんですが、相互の阻害要因になっている。
個人事業でもネットでつなげば国際標準から逃げられないから、時間の問題で、ISO準拠に移行せざるを得ない。
一部の審査機関は以降に向けたプログラムを準備し始めているようだ。
.*.
QMSは今、認証登録時業者数は1万を越えるだろうか。ISMSは性格的により普遍的特性を持つので、QMS並みの数字は達成しておかしくない。
ISMSの規格が付属書付きの形で、依然暫定的の印象が残る。もっと、コンパクトですっきりした規格に浄化・昇華される必要はありそうだ。
事業と言わずに一個人でも情報セキュリティは万全を期したいもの。適切な方法論があれば法人であれ個人であれ取り入れるものでしょう。
ISOで最初に始まった品質マネジメント(QMS)の事業者数の頭打ちは既に数年前に現れているが、ISMSの認証取得事業者数も漸く此処に来て頭打ち傾向がはっきりしてきた。新規取得より解約・登録取り消しの数が多いということ。統合による減数もある。
際限なく増える訳でないから、一定の水準で頭打ちになるのは当然のことだが、ISMSに関わる仕事をしている人にとってはあまり冷静でも居られないかと思うとそうでもない。もう少し暇になりたいらしい。特に審査員はフォローの仕事が多いので頭打ちであっても尚相当な量の仕事を抱えることになる。コンサルは構築フェーズにうまみがあるので、フォローでも稼ぐコンサルを目指して工夫を重ねているようだ。というのは嘘。フォローのビジネスは規模が小さいので、もっとホットエリアを演出して経営陣へのアプローチを図ろうとしている。
.*.
実際のところ、コンサルや審査に関わる場末の連中の見る目は、もっともっと広がると見ている。今はISMS以外にプライバシー認定制度が来ていて、これは所謂、独立法人のビジネスで似て非なるものを作っての金儲けなんですが、相互の阻害要因になっている。
個人事業でもネットでつなげば国際標準から逃げられないから、時間の問題で、ISO準拠に移行せざるを得ない。
一部の審査機関は以降に向けたプログラムを準備し始めているようだ。
.*.
QMSは今、認証登録時業者数は1万を越えるだろうか。ISMSは性格的により普遍的特性を持つので、QMS並みの数字は達成しておかしくない。
ISMSの規格が付属書付きの形で、依然暫定的の印象が残る。もっと、コンパクトですっきりした規格に浄化・昇華される必要はありそうだ。
事業と言わずに一個人でも情報セキュリティは万全を期したいもの。適切な方法論があれば法人であれ個人であれ取り入れるものでしょう。
避けて欲しかったコンサルの赤っ恥
個人でやっているコンサルは、所詮手作りに成らざるを得ない。あちこちに穴が開いている。いくら、審査員の研修を受けて、資格を持ったとしても、組織だった知識が積み重なるわけではないから、穴だらけは止むを得ない。
素人コンサルが、手ほどきしたところで、審査が行われると、ミスの指摘が入る。クライアントはコンサルに教わったとおりにやったのに、審査員から色々外堀内堀を埋めながら質問を受けると、最後はパニックになる。中には泣き出す女性もいる。まあ、ここまで追求する審査員も審査員だが。
問題は、個人の素人コンサル。目前で追及されるクライアントを助ける知恵も無いから、ヤクザに豹変する。クライアントを苛める審査員は敵だというスイッチが入ったのか、審査員を攻撃して矛先をかわす。ヤクザの常套手段。個人事業コンサルは居直りしか手段が無い。
もう少し大きいと、審査員の交替を要求する。
どちらも違法行為レベル。適正な審査を阻害するやり方だから、審査不成立で構わないわけだ。コンサルは赤っ恥をかく羽目になる。
.*.
どうしてコンサルは審査員または審査機関に対して強気なのか?
コンサルは半分は営業なのだ。コンサルは審査機関の営業の側面を持つ。審査の注文を取る換わりに、審査でコンサルに恥をかかせるんじゃないよとやる訳だ。
不適切な癒着の構造が出来上がっているのだが、それに構わず審査を進めると、個人コンサルはビジネスモデルの崩壊になる訳でどうしても普通は審査は止めようとかかってくる。それがヤクザコンサル。
これも固有名詞が飛び交う。
.*.
大変なのはクライアント。間違ったマネジメントシステムを構築し、意味の無い活動を続けている。コンサルは、間違いに気づいているならまだ救いはある。いずれ是正の可能性があるから。間違いとも思わず暴走しているだけの場合は救いようが無い。倫理的であることを捨てた審査員は最低。見てみぬ振りしてOKですとやるんだから。
赤っ恥をかかせた審査員の方がましだろう。
ところで、この不徳の審査員、不徳のコンサルは偏在している。
認証制度をビジネスに位置づけた場合は、ややもすると不徳の癒着がおきる。だからこそ、いっそう倫理的であることが求められる。
としたものの、分けの分からない内容だ。
.*.
個人でやっているコンサルは、所詮手作りに成らざるを得ない。あちこちに穴が開いている。いくら、審査員の研修を受けて、資格を持ったとしても、組織だった知識が積み重なるわけではないから、穴だらけは止むを得ない。
素人コンサルが、手ほどきしたところで、審査が行われると、ミスの指摘が入る。クライアントはコンサルに教わったとおりにやったのに、審査員から色々外堀内堀を埋めながら質問を受けると、最後はパニックになる。中には泣き出す女性もいる。まあ、ここまで追求する審査員も審査員だが。
問題は、個人の素人コンサル。目前で追及されるクライアントを助ける知恵も無いから、ヤクザに豹変する。クライアントを苛める審査員は敵だというスイッチが入ったのか、審査員を攻撃して矛先をかわす。ヤクザの常套手段。個人事業コンサルは居直りしか手段が無い。
もう少し大きいと、審査員の交替を要求する。
どちらも違法行為レベル。適正な審査を阻害するやり方だから、審査不成立で構わないわけだ。コンサルは赤っ恥をかく羽目になる。
.*.
どうしてコンサルは審査員または審査機関に対して強気なのか?
コンサルは半分は営業なのだ。コンサルは審査機関の営業の側面を持つ。審査の注文を取る換わりに、審査でコンサルに恥をかかせるんじゃないよとやる訳だ。
不適切な癒着の構造が出来上がっているのだが、それに構わず審査を進めると、個人コンサルはビジネスモデルの崩壊になる訳でどうしても普通は審査は止めようとかかってくる。それがヤクザコンサル。
これも固有名詞が飛び交う。
.*.
大変なのはクライアント。間違ったマネジメントシステムを構築し、意味の無い活動を続けている。コンサルは、間違いに気づいているならまだ救いはある。いずれ是正の可能性があるから。間違いとも思わず暴走しているだけの場合は救いようが無い。倫理的であることを捨てた審査員は最低。見てみぬ振りしてOKですとやるんだから。
赤っ恥をかかせた審査員の方がましだろう。
ところで、この不徳の審査員、不徳のコンサルは偏在している。
認証制度をビジネスに位置づけた場合は、ややもすると不徳の癒着がおきる。だからこそ、いっそう倫理的であることが求められる。
としたものの、分けの分からない内容だ。
.*.
2011年07月21日
見ていて嫌になる恫喝型・脅迫型の審査
「新たに設けた何処そこの部署は適用範囲から外します。それが嫌なら不適合だしますよ」。いきなりそんなことを言われて、事務局は黙ってしまった。社長は新部門と言っても旧部門から何名かずつ取り込んで作っただけなのに、と食い下がっていた。
守るも攻めるも凡ミスだね。
部門を再編して、新たな部門で文書記録が整っていなくても問題になるわけは無い。ISMSの存在が事業対応の阻害要因になる分けない。旧組織で1年放置なら(正しくは所定の期間を超えて放置なら)、それは問題でしょうが。
社長は不適合が怖くて、適用範囲を狭めるなんて本末転倒をやっている。大事なのは組織全体で取り組んでいること。不適合は是正するだけの話で問題にも何にもならない。だから、どうぞ不適合を出してくださいで済んだのに。知らないことは怖いことだ。
.*.
事故が起きたら誰がカメラの前で挨拶するの?とやる人。本気でやらないとそうなるよ。
部下任せで、説明責任は果たせるの?とやる人。足元すくわれるよ。
不適合出していいの?とやる人。上から睨まれるよ。
嫌な審査員だね。直ぐに帰ってもらえ!が正しいようだ。
.*.
「新たに設けた何処そこの部署は適用範囲から外します。それが嫌なら不適合だしますよ」。いきなりそんなことを言われて、事務局は黙ってしまった。社長は新部門と言っても旧部門から何名かずつ取り込んで作っただけなのに、と食い下がっていた。
守るも攻めるも凡ミスだね。
部門を再編して、新たな部門で文書記録が整っていなくても問題になるわけは無い。ISMSの存在が事業対応の阻害要因になる分けない。旧組織で1年放置なら(正しくは所定の期間を超えて放置なら)、それは問題でしょうが。
社長は不適合が怖くて、適用範囲を狭めるなんて本末転倒をやっている。大事なのは組織全体で取り組んでいること。不適合は是正するだけの話で問題にも何にもならない。だから、どうぞ不適合を出してくださいで済んだのに。知らないことは怖いことだ。
.*.
事故が起きたら誰がカメラの前で挨拶するの?とやる人。本気でやらないとそうなるよ。
部下任せで、説明責任は果たせるの?とやる人。足元すくわれるよ。
不適合出していいの?とやる人。上から睨まれるよ。
嫌な審査員だね。直ぐに帰ってもらえ!が正しいようだ。
.*.
「無くて七癖」ならぬ「無くて難癖」
無くて七癖(なくてななくせ)の代わりにあるのが、無くて難癖(なくてなんくせ)です。兎に角、苛めたいらしい。屁理屈をこねるのは得意だから、箸の上げ下ろしにも難癖をつける。標的は定年転職組み。自分と違うことは一切合切認めないとでも言いたげな難癖の連続。
若造の趣味・価値観にあう老人などいるものか。若造が転職に追い込まれた背景が理解できるというものだ。きっと難癖をつける管理職と言う名の老人が存在したのだろう。と言うことになった。最初の犠牲者はその件の若造だと。皆、妙に納得?
しかし、もし審査員なら、嫌、コンサルタントだって、倫理的行動を宣言している訳で、普通の苛めの連鎖に並べていいのか?となった。
結局、天罰は下そうと言うことらしい。此処に来ている多くは老人だから、老人も数が揃えば相当怖い存在になる。もともと、現役の時は、ひとかどの実績を上げて来ている訳だから、見識も意識も高い。黙ってイジメを見ている訳にも行かないようだ。
何処の誰が、一番酷いのか、再び個人名が飛び交う。怖いね。
.*.
無くて七癖(なくてななくせ)の代わりにあるのが、無くて難癖(なくてなんくせ)です。兎に角、苛めたいらしい。屁理屈をこねるのは得意だから、箸の上げ下ろしにも難癖をつける。標的は定年転職組み。自分と違うことは一切合切認めないとでも言いたげな難癖の連続。
若造の趣味・価値観にあう老人などいるものか。若造が転職に追い込まれた背景が理解できるというものだ。きっと難癖をつける管理職と言う名の老人が存在したのだろう。と言うことになった。最初の犠牲者はその件の若造だと。皆、妙に納得?
しかし、もし審査員なら、嫌、コンサルタントだって、倫理的行動を宣言している訳で、普通の苛めの連鎖に並べていいのか?となった。
結局、天罰は下そうと言うことらしい。此処に来ている多くは老人だから、老人も数が揃えば相当怖い存在になる。もともと、現役の時は、ひとかどの実績を上げて来ている訳だから、見識も意識も高い。黙ってイジメを見ている訳にも行かないようだ。
何処の誰が、一番酷いのか、再び個人名が飛び交う。怖いね。
.*.
定年転職新人に対するイジメ問題
コンサルとか審査員とかも、定年を契機に転職組みが多い職業の一つ。大企業でISOに関連する部署や役割についていた人が、なんか自分でもやれそうだと思ってチャレンジしてくる。
面白くないのが、本当に中途採用で転職した若手。転職リスクを背負って必至で新しい世界に飛び込んだのに対して、定年転職組みと来たら、お気楽な感覚で、しかもお客様気分でやって来る。必死の取り組みなんかありえない訳で、彼我のギャップに怒り狂う訳だ。
もっとも、人によります。苛める方も苛められる方も。
ところが、このイジメは何処のファームでも、どこの機関でもあるのかと思うとそうでも無いようだ。極めて特定されている。無理やり急成長させて人材バランスが壊れたところに限られる。
何かの説明をしてクライアントから質問が出たら、説明が悪いから質問されたのだとやって、何が何でも駄目だしを続けるらしい。
老人を苛める方法はいくらでもある。言った言わないを始める。否定するとそんなことすら覚えていないのかとやる訳だ。
他には形を変えた体罰。殴ったり蹴ったりは流石に出来ないが、仕事の話を理由に夜遅くまで拘束する。挙句、宿題まで出す。若い連中は3時間の睡眠でも持つが、老人は徹夜せざるを得ないように持って行く。
他にもいくつもあるが、どれか一つをやるのでなく全部セットでやって、定年老人の心身を潰してしまう腹なのだ。恐ろしいね。きっと天罰が下るでしょう。何処の誰か、固有名詞が飛び交っていたような。
コンサルとか審査員とかも、定年を契機に転職組みが多い職業の一つ。大企業でISOに関連する部署や役割についていた人が、なんか自分でもやれそうだと思ってチャレンジしてくる。
面白くないのが、本当に中途採用で転職した若手。転職リスクを背負って必至で新しい世界に飛び込んだのに対して、定年転職組みと来たら、お気楽な感覚で、しかもお客様気分でやって来る。必死の取り組みなんかありえない訳で、彼我のギャップに怒り狂う訳だ。
もっとも、人によります。苛める方も苛められる方も。
ところが、このイジメは何処のファームでも、どこの機関でもあるのかと思うとそうでも無いようだ。極めて特定されている。無理やり急成長させて人材バランスが壊れたところに限られる。
何かの説明をしてクライアントから質問が出たら、説明が悪いから質問されたのだとやって、何が何でも駄目だしを続けるらしい。
老人を苛める方法はいくらでもある。言った言わないを始める。否定するとそんなことすら覚えていないのかとやる訳だ。
他には形を変えた体罰。殴ったり蹴ったりは流石に出来ないが、仕事の話を理由に夜遅くまで拘束する。挙句、宿題まで出す。若い連中は3時間の睡眠でも持つが、老人は徹夜せざるを得ないように持って行く。
他にもいくつもあるが、どれか一つをやるのでなく全部セットでやって、定年老人の心身を潰してしまう腹なのだ。恐ろしいね。きっと天罰が下るでしょう。何処の誰か、固有名詞が飛び交っていたような。
嗚呼!勘違い? 更新審査 三年間のレビュー
コンサルの審査員に対する目線は概して厳しい。審査員の個人的な思い付きや思い込みが、クライアントに余計な負荷・プレッシャーを掛けることがあるからだ。良かれと思ってのコメントは本当に始末が悪い。悪意の審査なら斬ってしまえば済むが、善意の審査は斬るに斬れないからだ。コンサルはコンサルで真剣にクライアントのことを考えているのです。
ところで、
時に見かけるのは所見傾向を持ってレビューしている審査員。審査員が純粋無垢・公平無私な完全な存在なら所見レビューは組織評価に意味を持つが、実際はばらつき・偏りが同居する存在。組織の傾向×審査員の傾向がそこには現れている訳で、単純でない。加えて、規格そのものが持つ特性が入るから、真の組織課題を見出すのは容易でない。
無意味なレビューの場合も少なからず在りそうだ。というか、審査員のレビューに使っては如何ですか?
コンサルの審査員に対する目線は概して厳しい。審査員の個人的な思い付きや思い込みが、クライアントに余計な負荷・プレッシャーを掛けることがあるからだ。良かれと思ってのコメントは本当に始末が悪い。悪意の審査なら斬ってしまえば済むが、善意の審査は斬るに斬れないからだ。コンサルはコンサルで真剣にクライアントのことを考えているのです。
ところで、
時に見かけるのは所見傾向を持ってレビューしている審査員。審査員が純粋無垢・公平無私な完全な存在なら所見レビューは組織評価に意味を持つが、実際はばらつき・偏りが同居する存在。組織の傾向×審査員の傾向がそこには現れている訳で、単純でない。加えて、規格そのものが持つ特性が入るから、真の組織課題を見出すのは容易でない。
無意味なレビューの場合も少なからず在りそうだ。というか、審査員のレビューに使っては如何ですか?
更新審査 三年間のレビュー
継続審査と違って更新審査は「成長」について即ちPDCAの適切性について、審査員は見ているようです。
複数年度にまたがる是正・予防への取り組み。長期プランの有無。年度方針はレビューを踏まえて適切にドライブされているか。
でも、これは別に更新審査に限るべきことではありません。一方で、規格は何を持って継続的改善とするか決めている訳ではないので、まと外れな内容でも、いきなりNGとは行きません。一歩でも進歩、一万歩でも進歩であるし、一歩でも十分、一万歩でも不十分ということもある。経営者が決める事柄。事業上の要求、経営上の要求に対して十分かどうか。
だから審査員があるいはコンサルが余計なことを言わなくても、中期計画レビューのように経営者はレビューをするに決まっている。問題は、審査員あるいは審査機関が余計な枠組みでレビューを迫ること。任せておけば良い。結果を素直に聞けば良い。
有効性は毎年毎回確認する事項。継続的改善PDCAの適切性も毎年毎回確認する事項。
.*.
更新審査とは何か?
t達成して欲しいのは網羅性。途中の継続審査で見ることが出来なかったプロセス(業務、サイト)を確実に抑えること。
.*.
継続審査と違って更新審査は「成長」について即ちPDCAの適切性について、審査員は見ているようです。
複数年度にまたがる是正・予防への取り組み。長期プランの有無。年度方針はレビューを踏まえて適切にドライブされているか。
でも、これは別に更新審査に限るべきことではありません。一方で、規格は何を持って継続的改善とするか決めている訳ではないので、まと外れな内容でも、いきなりNGとは行きません。一歩でも進歩、一万歩でも進歩であるし、一歩でも十分、一万歩でも不十分ということもある。経営者が決める事柄。事業上の要求、経営上の要求に対して十分かどうか。
だから審査員があるいはコンサルが余計なことを言わなくても、中期計画レビューのように経営者はレビューをするに決まっている。問題は、審査員あるいは審査機関が余計な枠組みでレビューを迫ること。任せておけば良い。結果を素直に聞けば良い。
有効性は毎年毎回確認する事項。継続的改善PDCAの適切性も毎年毎回確認する事項。
.*.
更新審査とは何か?
t達成して欲しいのは網羅性。途中の継続審査で見ることが出来なかったプロセス(業務、サイト)を確実に抑えること。
.*.
リスクアセスメントツールの功罪
この話は、実は盛り上がらない。コンサルと審査員で意見が違うことが多い。コンサルはクライアントの負担を少なくして構築フェーズを達成するには必須のアイテムとする人がいたりする。
ラコンテとかいうツールは、結構使われているようで、機械的に処理していけば、リスク値が分かってやることが分かる、のかな。とても便利なツールで、これを使うだけで構築フェーズが一回りする。一丁あがりというわけだ。
ラコンテは人がやることをソフトでやるので手間要らず。でも審査対応はやらない。と審査員が笑う。
.*.
どこかに書いてあったかな。人に代わって映画番組を見てくれるロボットが居て、面白かったです。ストーリーはしかじかで結果こうなってとても面白かったです、とやってくれて問題なし。OKなんだろうか。
ツールに頼んでいいことと頼んではいけないこととあって、その基本を間違えると映画鑑賞ロボットが出現する。子供が宿題を面倒くさがると、子供に代わって宿題をやるロボットが現れるかもしれない。子供がスキップして良い部分とスキップしてはいけない部分が理解できていないと、賢いロボットと馬鹿な大人が出現する。
ラコンテを使って馬鹿になった大人に審査員は質問を浴びせ、大人はコンサルの顔を見る。コンサルが言うことを馬鹿な大人はそのまま繰り返す。やがて、コンサルが去っていくと、馬鹿の大人だけが残る。既に認証を与えたところで、発生する困ったちゃん達の正体。
仏は作っても魂は作れないことに気づくべきだ。
コンサルは、そんな面倒なことはやっていられない。仏さえ作れば金になるが、魂のところは手間隙かかって金にならない。
.*.
箱物行政・天下り行政・独立行政法人と似たような側面があるように思うね。なんて脱線でひとまず終了。
.*.
でも大きな問題。進めることも出来ず、戻る勇気もない、途方にくれた組織が、今でも相当数存在すること。何年も漂流したままの組織。コンサルの残した時限爆弾。また、自分を頼ってくる。再構築といって次の仏作りに着手する。
この話は、実は盛り上がらない。コンサルと審査員で意見が違うことが多い。コンサルはクライアントの負担を少なくして構築フェーズを達成するには必須のアイテムとする人がいたりする。
ラコンテとかいうツールは、結構使われているようで、機械的に処理していけば、リスク値が分かってやることが分かる、のかな。とても便利なツールで、これを使うだけで構築フェーズが一回りする。一丁あがりというわけだ。
ラコンテは人がやることをソフトでやるので手間要らず。でも審査対応はやらない。と審査員が笑う。
.*.
どこかに書いてあったかな。人に代わって映画番組を見てくれるロボットが居て、面白かったです。ストーリーはしかじかで結果こうなってとても面白かったです、とやってくれて問題なし。OKなんだろうか。
ツールに頼んでいいことと頼んではいけないこととあって、その基本を間違えると映画鑑賞ロボットが出現する。子供が宿題を面倒くさがると、子供に代わって宿題をやるロボットが現れるかもしれない。子供がスキップして良い部分とスキップしてはいけない部分が理解できていないと、賢いロボットと馬鹿な大人が出現する。
ラコンテを使って馬鹿になった大人に審査員は質問を浴びせ、大人はコンサルの顔を見る。コンサルが言うことを馬鹿な大人はそのまま繰り返す。やがて、コンサルが去っていくと、馬鹿の大人だけが残る。既に認証を与えたところで、発生する困ったちゃん達の正体。
仏は作っても魂は作れないことに気づくべきだ。
コンサルは、そんな面倒なことはやっていられない。仏さえ作れば金になるが、魂のところは手間隙かかって金にならない。
.*.
箱物行政・天下り行政・独立行政法人と似たような側面があるように思うね。なんて脱線でひとまず終了。
.*.
でも大きな問題。進めることも出来ず、戻る勇気もない、途方にくれた組織が、今でも相当数存在すること。何年も漂流したままの組織。コンサルの残した時限爆弾。また、自分を頼ってくる。再構築といって次の仏作りに着手する。
リスクアセスメントツールの功罪
この話は、実は盛り上がらない。コンサルと審査員で意見が違うことが多い。コンサルはクライアントの負担を少なくして構築フェーズを達成するには必須のアイテムとする人がいたりする。
ラコンテとかいうツールは、結構使われているようで、機械的に処理していけば、リスク値が分かってやることが分かる、のかな。とても便利なツールで、これを使うだけで構築フェーズが一回りする。一丁あがりというわけだ。
ラコンテは人がやることをソフトでやるので手間要らず。でも審査対応はやらない。と審査員が笑う。
.*.
どこかに書いてあったかな。人に代わって映画番組を見てくれるロボットが居て、面白かったです。ストーリーはしかじかで結果こうなってとても面白かったです、とやってくれて問題なし。OKなんだろうか。
ツールに頼んでいいことと頼んではいけないこととあって、その基本を間違えると映画鑑賞ロボットが出現する。子供が宿題を面倒くさがると、子供に代わって宿題をやるロボットが現れるかもしれない。子供がスキップして良い部分とスキップしてはいけない部分が理解できていないと、賢いロボットと馬鹿な大人が出現する。
ラコンテを使って馬鹿になった大人に審査員は質問を浴びせ、大人はコンサルの顔を見る。コンサルが言うことを馬鹿な大人はそのまま繰り返す。やがて、コンサルが去っていくと、馬鹿の大人だけが残る。既に認証を与えたところで、発生する困ったちゃん達の正体。
仏は作っても魂は作れないことに気づくべきだ。
コンサルは、そんな面倒なことはやっていられない。仏さえ作れば金になるが、魂のところは手間隙かかって金にならない。
.*.
箱物行政・天下り行政・独立行政法人と似たような側面があるように思うね。なんて脱線でひとまず終了。
.*.
でも大きな問題。進めることも出来ず、戻る勇気もない、途方にくれた組織が、今でも相当数存在すること。何年も漂流したままの組織。コンサルの残した時限爆弾。また、自分を頼ってくる。再構築といって次の仏作りに着手する。
この話は、実は盛り上がらない。コンサルと審査員で意見が違うことが多い。コンサルはクライアントの負担を少なくして構築フェーズを達成するには必須のアイテムとする人がいたりする。
ラコンテとかいうツールは、結構使われているようで、機械的に処理していけば、リスク値が分かってやることが分かる、のかな。とても便利なツールで、これを使うだけで構築フェーズが一回りする。一丁あがりというわけだ。
ラコンテは人がやることをソフトでやるので手間要らず。でも審査対応はやらない。と審査員が笑う。
.*.
どこかに書いてあったかな。人に代わって映画番組を見てくれるロボットが居て、面白かったです。ストーリーはしかじかで結果こうなってとても面白かったです、とやってくれて問題なし。OKなんだろうか。
ツールに頼んでいいことと頼んではいけないこととあって、その基本を間違えると映画鑑賞ロボットが出現する。子供が宿題を面倒くさがると、子供に代わって宿題をやるロボットが現れるかもしれない。子供がスキップして良い部分とスキップしてはいけない部分が理解できていないと、賢いロボットと馬鹿な大人が出現する。
ラコンテを使って馬鹿になった大人に審査員は質問を浴びせ、大人はコンサルの顔を見る。コンサルが言うことを馬鹿な大人はそのまま繰り返す。やがて、コンサルが去っていくと、馬鹿の大人だけが残る。既に認証を与えたところで、発生する困ったちゃん達の正体。
仏は作っても魂は作れないことに気づくべきだ。
コンサルは、そんな面倒なことはやっていられない。仏さえ作れば金になるが、魂のところは手間隙かかって金にならない。
.*.
箱物行政・天下り行政・独立行政法人と似たような側面があるように思うね。なんて脱線でひとまず終了。
.*.
でも大きな問題。進めることも出来ず、戻る勇気もない、途方にくれた組織が、今でも相当数存在すること。何年も漂流したままの組織。コンサルの残した時限爆弾。また、自分を頼ってくる。再構築といって次の仏作りに着手する。
2011年07月20日
油断ならないHTMLメールのセキュリティ
.*.
リッチメールとも言われているかもしれませんが、メールに図形やフォント装飾などを施してインパクトのあるメッセージを送ろうとしているもの。内容を、文字だけのものより分かりやすく伝えるので重宝している向きもある。
.*.
それだけに、HTMLメールは発信側も受信側もリスクについては油断できません。メールマガジンの登録時に、テキストメールかHTMLメールか選択する箇所がありますが、普通は端末の表示環境やパフォーマンスだけで是非を判断していますが、セキュリティリスクを思い浮かべる向きは迷わずテキストメールを選択します。必要であれば都度の判断で、そのサイトなりをチェックすれば済みますから。
.*.
HTMLメールは外部公開の前提情報に限定しないと危険。画像の格納先は一般にアクセスできる訳で、社内メールでHTMLメールを使って画像が社内LANの中にあれば問題ないが、外にある場合は全く危険な運用になる。社内メールの画像が公開されているわけだから。
HTMLメールを社内連絡のつもりで使って、機密情報を画像化してアップロードしていた場合、うっかり社外へも連絡したらどうしますか?
メールの削除依頼の前にアップロード画像の削除をやるべきでしょう。メールを削除しても、悪意のサイト監視人がいたらたちまち機密情報が捕捉されてしまいます。メールを削除しても控えなどが自動的に取られていると本当に削除は出来ない。元の画像が消去されたかどうか見てみるとずっとどこかの公開サーバーに残ったまま。これでは、ここのISMSは低レベルということがばればれです。
※
HTMLメールをもらった場合のリスクは良く知られている。画像などに潜ませたリンク先への誘導。もっと性質が悪ければ、画像そのものにも仕掛けが出来るかもしれない。HTMLメールの画像はデフォルトでは無効にするのが常識です。
ということです。
.*.、
.*.
リッチメールとも言われているかもしれませんが、メールに図形やフォント装飾などを施してインパクトのあるメッセージを送ろうとしているもの。内容を、文字だけのものより分かりやすく伝えるので重宝している向きもある。
.*.
それだけに、HTMLメールは発信側も受信側もリスクについては油断できません。メールマガジンの登録時に、テキストメールかHTMLメールか選択する箇所がありますが、普通は端末の表示環境やパフォーマンスだけで是非を判断していますが、セキュリティリスクを思い浮かべる向きは迷わずテキストメールを選択します。必要であれば都度の判断で、そのサイトなりをチェックすれば済みますから。
.*.
HTMLメールは外部公開の前提情報に限定しないと危険。画像の格納先は一般にアクセスできる訳で、社内メールでHTMLメールを使って画像が社内LANの中にあれば問題ないが、外にある場合は全く危険な運用になる。社内メールの画像が公開されているわけだから。
HTMLメールを社内連絡のつもりで使って、機密情報を画像化してアップロードしていた場合、うっかり社外へも連絡したらどうしますか?
メールの削除依頼の前にアップロード画像の削除をやるべきでしょう。メールを削除しても、悪意のサイト監視人がいたらたちまち機密情報が捕捉されてしまいます。メールを削除しても控えなどが自動的に取られていると本当に削除は出来ない。元の画像が消去されたかどうか見てみるとずっとどこかの公開サーバーに残ったまま。これでは、ここのISMSは低レベルということがばればれです。
※
HTMLメールをもらった場合のリスクは良く知られている。画像などに潜ませたリンク先への誘導。もっと性質が悪ければ、画像そのものにも仕掛けが出来るかもしれない。HTMLメールの画像はデフォルトでは無効にするのが常識です。
ということです。
.*.、
2011年07月15日
トーマツ方式って何が問題?
ご注意あれ。ここで勝手にトーマツ方式としているのはトーマツ社の方式という意味ではない。プロセスごとに情報資産を洗い出して、そのプロセス毎にリスク分析を行う非常にラフな方式をどう言う訳か、勝手なイメージでトーマツ方式と言っているに過ぎない。
問題:
プロセス自体、基幹プロセス〜支援プロセスが複層的に連なり、そう単純でない。単に部門に割り振ってプロセスチャートを書かせて済ませられるものではない。
プロセスごとに情報資産を括ること自体に無理がある。情報に対する管理特性は別次元。
個々の情報資産に対する具体的な管理策を導き出すには関連プロセス全体をカバーする必要があるため、返って膨大な作業量になってしまう。
結果的には、個々の情報資産とプロセスとの連関の追求は諦めることになり、相互に連関の無いプロセス情報リスクチャートと情報資産台帳が出来上がり、両方とも中途半端で使い物にならない。
コンサルも審査員もそういうのを顧客から見せられたら、取り敢えず「よく出来ていますね」と言うが、で後は黙って通り過ぎる。いったん出来ているものをやり直すのは誰も口に出来ない。
.*.
この方式でやってしまった会社はどうすればいいの?
素直にやり直す。プロセス→資産洗い出し→資産ベースのリスク分析
無視する。リスク対応はベースラインアプローチだけで済ませる。
.*.
ご注意あれ。ここで勝手にトーマツ方式としているのはトーマツ社の方式という意味ではない。プロセスごとに情報資産を洗い出して、そのプロセス毎にリスク分析を行う非常にラフな方式をどう言う訳か、勝手なイメージでトーマツ方式と言っているに過ぎない。
問題:
プロセス自体、基幹プロセス〜支援プロセスが複層的に連なり、そう単純でない。単に部門に割り振ってプロセスチャートを書かせて済ませられるものではない。
プロセスごとに情報資産を括ること自体に無理がある。情報に対する管理特性は別次元。
個々の情報資産に対する具体的な管理策を導き出すには関連プロセス全体をカバーする必要があるため、返って膨大な作業量になってしまう。
結果的には、個々の情報資産とプロセスとの連関の追求は諦めることになり、相互に連関の無いプロセス情報リスクチャートと情報資産台帳が出来上がり、両方とも中途半端で使い物にならない。
コンサルも審査員もそういうのを顧客から見せられたら、取り敢えず「よく出来ていますね」と言うが、で後は黙って通り過ぎる。いったん出来ているものをやり直すのは誰も口に出来ない。
.*.
この方式でやってしまった会社はどうすればいいの?
素直にやり直す。プロセス→資産洗い出し→資産ベースのリスク分析
無視する。リスク対応はベースラインアプローチだけで済ませる。
.*.
トーマツ方式って何ですか?
リスクアセスメントの話になったときに誰かがトーマツ方式はなかなか良くできていると発言したら、少し場の雰囲気が変わった。トーマツ方式?それってコンサルファームのトーマスですか。デロイトトーマツというのは良く聞く名前ですけど、それと関係有りますか。
よく出来ていると言っては見ても、何のことは無い。トーマツ方式が何か実際に知っている人はいないみたい。それぞれ顧客先で見たものを手がかりに勝手にイメージしているだけだ。
業務プロセスを書いて、其処から情報のインアウトを調べる。これは情報資産の洗い出しでは普通のこと。らしい。プロセスツリーを分かりやすく展開するには別の苦労があるみたいだ。
洗い出された情報資産の価値算定、リスク算定はどうやっているんだろう?
うろ覚えの人の話を聞く限りでは、プロセス情報として一括りで、CIAの観点は抜けてCだけで算定をやっているみたい。そんな馬鹿なことは無いはずですが。
プラス評価の一番は、リスクの所在をザックリと把握できること。
マイナス評価は、個別の具体的な施策との連関が取れないこと。
だから最初スタート時の全容把握にはトーマツ方式は重宝するが、構築運用時の具体的な施策に展開する時は、詳細リスク分析との連関が分かり難くなってコンサルなしでは手に負えなくなる。それがトーマツの狙いという訳ではないだろうが、「楽あれば苦あり」とは正にこのことかな?と。
.*.
ところで、これ、トーマスなの?トーマツなの?
.*.
リスクアセスメントの話になったときに誰かがトーマツ方式はなかなか良くできていると発言したら、少し場の雰囲気が変わった。トーマツ方式?それってコンサルファームのトーマスですか。デロイトトーマツというのは良く聞く名前ですけど、それと関係有りますか。
よく出来ていると言っては見ても、何のことは無い。トーマツ方式が何か実際に知っている人はいないみたい。それぞれ顧客先で見たものを手がかりに勝手にイメージしているだけだ。
業務プロセスを書いて、其処から情報のインアウトを調べる。これは情報資産の洗い出しでは普通のこと。らしい。プロセスツリーを分かりやすく展開するには別の苦労があるみたいだ。
洗い出された情報資産の価値算定、リスク算定はどうやっているんだろう?
うろ覚えの人の話を聞く限りでは、プロセス情報として一括りで、CIAの観点は抜けてCだけで算定をやっているみたい。そんな馬鹿なことは無いはずですが。
プラス評価の一番は、リスクの所在をザックリと把握できること。
マイナス評価は、個別の具体的な施策との連関が取れないこと。
だから最初スタート時の全容把握にはトーマツ方式は重宝するが、構築運用時の具体的な施策に展開する時は、詳細リスク分析との連関が分かり難くなってコンサルなしでは手に負えなくなる。それがトーマツの狙いという訳ではないだろうが、「楽あれば苦あり」とは正にこのことかな?と。
.*.
ところで、これ、トーマスなの?トーマツなの?
.*.
出かけましょう!歩きましょう!
パソコン、ゲーム、スマホで済ますスタイルは絶対にいけない。デジタル時代は放っておいても情報はやってくる。放っておいても管理されてしまう。むしろアナログ的に生きて人間性の生の部分を維持しましょう。
パソコン、ゲーム、スマホで済ますスタイルは絶対にいけない。デジタル時代は放っておいても情報はやってくる。放っておいても管理されてしまう。むしろアナログ的に生きて人間性の生の部分を維持しましょう。
Smart Magic Security
格好良い魔法のようなセキュリティ管理?
中身は?
成程ね。第三者認証制度の盲点を突いているな。確かに、第三者とは言っても何時の間にか第三者でなくなっている。只のサービス業じゃないか。ということね。
格好良い魔法のようなセキュリティ管理?
中身は?
成程ね。第三者認証制度の盲点を突いているな。確かに、第三者とは言っても何時の間にか第三者でなくなっている。只のサービス業じゃないか。ということね。
2011年07月11日
クールビズに逆行する審査員にはうんざり!
コンサルの中にも居ない訳ではないが、審査員に目立つのが、「クールビズ関係ない族」。夏の暑い時期にも上下を着てネクタイを締めて現れる。困ったものだ。社内の温度調整まで可笑しくなるし、こちらもあおりを食らって上下を着ていく。こいつらは能書きは達者でも机上だけだ。古い感覚のサラリーマン、昔はサラリーマンだった訳だから、クールビズとかドレスダウンとかの感覚についていけない。そういうのがぞろぞろ来るのは本当に迷惑。
でも、割と感覚の合う連中も居る。その差は人によるのか会社によるのかはわからない。お客様目線なんていうくせに、スーツの鎧を離そうとしない。自分に自身のない連中もスーツ姿なんだろうと。
面白いことに、風呂屋の隣に現れる連中も両方だ。こうなると会社仕分けか性格判断か。
.*.
育った環境の影響が大きい。トップブランド系・高偏差値系・技術系・外資系は自由の度合いが大きい。
.*.
コンサルの中にも居ない訳ではないが、審査員に目立つのが、「クールビズ関係ない族」。夏の暑い時期にも上下を着てネクタイを締めて現れる。困ったものだ。社内の温度調整まで可笑しくなるし、こちらもあおりを食らって上下を着ていく。こいつらは能書きは達者でも机上だけだ。古い感覚のサラリーマン、昔はサラリーマンだった訳だから、クールビズとかドレスダウンとかの感覚についていけない。そういうのがぞろぞろ来るのは本当に迷惑。
でも、割と感覚の合う連中も居る。その差は人によるのか会社によるのかはわからない。お客様目線なんていうくせに、スーツの鎧を離そうとしない。自分に自身のない連中もスーツ姿なんだろうと。
面白いことに、風呂屋の隣に現れる連中も両方だ。こうなると会社仕分けか性格判断か。
.*.
育った環境の影響が大きい。トップブランド系・高偏差値系・技術系・外資系は自由の度合いが大きい。
.*.
2011年07月08日
面白い。助言業の話は全員身を乗り出す感じ。理由は?。どうしてこういう風に歪んでしまったのだろうと思う場面が結構多いらしい。大事なことをさておいて、枝葉末節を一所懸命にやっている姿や、一部にしわ寄せが行って仕組みも実態も見せ掛けだけになって居たりとか。で、自分ならこんなことにはさせない。というようなもの。少々、義憤も混じるようだ。
コンサルも審査も、ある意味では安心したいし、楽もしたい、という本音がある。この審査機関のこの審査員なら、このレベルでも通る。あの審査機関のあの審査員は、ここまでやらないと通してくれない。まあ、そういう情報も欲しくて、風呂屋の隣には禿げ頭も集まるわけだ。言ってみれば、いい加減なコンサルでも、いい加減な審査でフォローしてもらえば通ってしまう。
クライアントのトップは真実を見る日は来ない。
年月が過ぎて、普通は3年で、審査員が交替する。余りの酷さに不適合が次から次に出される。と言うのはない話ではないが、かなり抑制されている。極端でなくても審査員が変わると不適合は出ることは多い。審査の流儀も違うので、前任者の見落としを発見してしまうからだ。
ところが、面白いことに、審査の連続性とか審査の継続性とかを旗印、従来の判断と極端に判断を変えないようにとお達しが出る。何処から出るの?。クライアントは審査員を信じてやっているので、言うことが変わるのは困る。と営業にクレームする。当然だと思う。伝家の宝刀、審査機関を変えるといえばそれまでだから営業はクレームを最優先で伝える。営業には全く非がない。
悪いのは最初にいい加減で済ませた審査員の方だ。じゃあ、これからは厳しくなんてやると、今度はお座敷がかからなくなる。毅然たる態度にも限界がある。
だから本当に悪いのは、手抜きコンサルで、クライアントを騙して認証取得を画策する二流のコンサル。ところが、ところが、二流のコンサルでもお客を連れて来るので審査機関は大歓迎している。
いつの間にか癒着が成立という訳だ。下手するとクライアントの事務局も一枚絡んでいることもある。組織内の統制能力が低いのに兎に角取得だとトップから指示が飛んでいる場合は、現場に手抜きさせても問題ないアプローチを図ろうとする。こんな程度でいいのかなと思いつつ認証にありつく訳で、本当の不幸を抱えたことには気づいていないかもしれない。
.*.
助言業は、ファイバースコープで組織に分け入り、問題の部位(患部)に光をあてる。そのままにするか切り取るかは経営者の判断。
経営者が、第三者認証制度は客観的で完璧などと勘違いしている場合は助言屋さんの出番は無い。一部の疑問を持ったときに、そっとダイアルするだけの感度感性をもった経営者が居れば、助言屋さんお出番になるが、そういう経営者の場合は、最初から、馬鹿なコンサル、馬鹿な審査、馬鹿な事務局では通らないから、電話するチャンスも出てこない。
経営者もそのスタッフも馬鹿だとずっと騙され続けるのかな。所謂「馬鹿につける薬は無い」のなんと真実なことか。
.*.
コンサルも審査も、ある意味では安心したいし、楽もしたい、という本音がある。この審査機関のこの審査員なら、このレベルでも通る。あの審査機関のあの審査員は、ここまでやらないと通してくれない。まあ、そういう情報も欲しくて、風呂屋の隣には禿げ頭も集まるわけだ。言ってみれば、いい加減なコンサルでも、いい加減な審査でフォローしてもらえば通ってしまう。
クライアントのトップは真実を見る日は来ない。
年月が過ぎて、普通は3年で、審査員が交替する。余りの酷さに不適合が次から次に出される。と言うのはない話ではないが、かなり抑制されている。極端でなくても審査員が変わると不適合は出ることは多い。審査の流儀も違うので、前任者の見落としを発見してしまうからだ。
ところが、面白いことに、審査の連続性とか審査の継続性とかを旗印、従来の判断と極端に判断を変えないようにとお達しが出る。何処から出るの?。クライアントは審査員を信じてやっているので、言うことが変わるのは困る。と営業にクレームする。当然だと思う。伝家の宝刀、審査機関を変えるといえばそれまでだから営業はクレームを最優先で伝える。営業には全く非がない。
悪いのは最初にいい加減で済ませた審査員の方だ。じゃあ、これからは厳しくなんてやると、今度はお座敷がかからなくなる。毅然たる態度にも限界がある。
だから本当に悪いのは、手抜きコンサルで、クライアントを騙して認証取得を画策する二流のコンサル。ところが、ところが、二流のコンサルでもお客を連れて来るので審査機関は大歓迎している。
いつの間にか癒着が成立という訳だ。下手するとクライアントの事務局も一枚絡んでいることもある。組織内の統制能力が低いのに兎に角取得だとトップから指示が飛んでいる場合は、現場に手抜きさせても問題ないアプローチを図ろうとする。こんな程度でいいのかなと思いつつ認証にありつく訳で、本当の不幸を抱えたことには気づいていないかもしれない。
.*.
助言業は、ファイバースコープで組織に分け入り、問題の部位(患部)に光をあてる。そのままにするか切り取るかは経営者の判断。
経営者が、第三者認証制度は客観的で完璧などと勘違いしている場合は助言屋さんの出番は無い。一部の疑問を持ったときに、そっとダイアルするだけの感度感性をもった経営者が居れば、助言屋さんお出番になるが、そういう経営者の場合は、最初から、馬鹿なコンサル、馬鹿な審査、馬鹿な事務局では通らないから、電話するチャンスも出てこない。
経営者もそのスタッフも馬鹿だとずっと騙され続けるのかな。所謂「馬鹿につける薬は無い」のなんと真実なことか。
.*.
審査vs.コンサルvs.助言
会社の仕組みを作って維持改善するにはいろいろな役割が入り込んでくる。コンサルは総合商社みたいなもの。顧客の求めに応じて、自由なスパンを設定して、兎に角、お役立ち。築き上げたノウハウの塊が売りだけど、人材の豊富さも売り。人材は社内に抱えるだけでなく、所謂、契約社員として抱えたり、若干紐付きに見えるが出向の受け入れもやる。結果的には多様な人材群を形成できる。一人ひとりの力量と相性で成果が決まることも多い。社内のスタッフか管理業務がどうしても主体になる人も出てくる。ビジネスとしてのうま味は構築フェーズ。運用フェーズはノウハウがクライアントに集積されると無用扱いにされてしまう。
審査は、認証という錦の御旗の仕事が中心は当然だが、どちらかといえば構築より運用で貢献する側面が強い。初回認証こそ構築の成果を見るが、あとは運用の成果を毎年定期的に見る。コンサルが付けた色から審査員の好む色に徐々に塗り変わる。
コンサルへの依存体質が抜けないところは運用に入っても審査対応はコンサル頼み。こういう会社のマネジメントのレベルは強くは経営者の資質に依存する。って?。コンサルを使いこなす高いレベルか丸投げのまま済ませる当事者意識の希薄な組織か。
助言は問題に応じてスポット的に活躍するが、適切な助言を期待できるところが何処の誰なのか先ず分からない。皮肉なものだ。コンサルは何処が良いか。審査は何処が良いか。マネジメントシステムの出来具合についてセカンドオピニオンを求めたりもする。何故か。コンサルも審査も長く付き合えば馴れや油断や癒着がでる。
コンサルと審査は見えない糸で手を結ぶ。阿吽の呼吸?。
助言はスポット契約で、後先の算段を忘れて割りと客観的に進言を得ることが出来る。
会社の仕組みを作って維持改善するにはいろいろな役割が入り込んでくる。コンサルは総合商社みたいなもの。顧客の求めに応じて、自由なスパンを設定して、兎に角、お役立ち。築き上げたノウハウの塊が売りだけど、人材の豊富さも売り。人材は社内に抱えるだけでなく、所謂、契約社員として抱えたり、若干紐付きに見えるが出向の受け入れもやる。結果的には多様な人材群を形成できる。一人ひとりの力量と相性で成果が決まることも多い。社内のスタッフか管理業務がどうしても主体になる人も出てくる。ビジネスとしてのうま味は構築フェーズ。運用フェーズはノウハウがクライアントに集積されると無用扱いにされてしまう。
審査は、認証という錦の御旗の仕事が中心は当然だが、どちらかといえば構築より運用で貢献する側面が強い。初回認証こそ構築の成果を見るが、あとは運用の成果を毎年定期的に見る。コンサルが付けた色から審査員の好む色に徐々に塗り変わる。
コンサルへの依存体質が抜けないところは運用に入っても審査対応はコンサル頼み。こういう会社のマネジメントのレベルは強くは経営者の資質に依存する。って?。コンサルを使いこなす高いレベルか丸投げのまま済ませる当事者意識の希薄な組織か。
助言は問題に応じてスポット的に活躍するが、適切な助言を期待できるところが何処の誰なのか先ず分からない。皮肉なものだ。コンサルは何処が良いか。審査は何処が良いか。マネジメントシステムの出来具合についてセカンドオピニオンを求めたりもする。何故か。コンサルも審査も長く付き合えば馴れや油断や癒着がでる。
コンサルと審査は見えない糸で手を結ぶ。阿吽の呼吸?。
助言はスポット契約で、後先の算段を忘れて割りと客観的に進言を得ることが出来る。
最近は何でもアンケート。食事をしても、ホテルに泊まっても、パソコンを買っても、保険に入っても、兎に角、お金を使ったら、嫌、お金を使わないケースでも、商品・サービスと一緒にアンケートがやって来る。
しかし、アンケートの結果が送られてくることは殆ど無い。個人情報は十分に適切に扱いますとは言うものの、結局自分の情報はどうなっているのかも分からない。他の人のアンケート結果も気になるが、アンケートに参加した人にフィードバックされることは先ずありません。
コンサル・審査の世界も同じ。アンケートで始まってアンケートで終わるようなもの。
アンケート結果は、友の会とか、ユーザー会とか、そういう集まりのときは統計的に処理された情報に触れることが出来る。残念ながら、その時は自分はどう回答したかは失念している。だから平均的なのか、2シグマの中なのか、3シグマの中なのかさえ理解できない。
もっとも、平均値なんか知ったところで意味がないと切り捨てる向きには、このフィードバックはあまり有難くない。
.*.
正しいアンケートは、口頭で適当に質問するのでなく、文書で、それも解説もしっかり付けたもので、十分時間をかけて答えてもらうようにすることが肝心。
しかし、アンケートの結果が送られてくることは殆ど無い。個人情報は十分に適切に扱いますとは言うものの、結局自分の情報はどうなっているのかも分からない。他の人のアンケート結果も気になるが、アンケートに参加した人にフィードバックされることは先ずありません。
コンサル・審査の世界も同じ。アンケートで始まってアンケートで終わるようなもの。
アンケート結果は、友の会とか、ユーザー会とか、そういう集まりのときは統計的に処理された情報に触れることが出来る。残念ながら、その時は自分はどう回答したかは失念している。だから平均的なのか、2シグマの中なのか、3シグマの中なのかさえ理解できない。
もっとも、平均値なんか知ったところで意味がないと切り捨てる向きには、このフィードバックはあまり有難くない。
.*.
正しいアンケートは、口頭で適当に質問するのでなく、文書で、それも解説もしっかり付けたもので、十分時間をかけて答えてもらうようにすることが肝心。
2011年07月07日
審査工数は組織に出向いて行う審査のほかに当然ながら準備の工数も発生する。準備工数が取れていない審査は適切な審査か疑わしい。そういうことだ。
ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のための工数を含むのか含まないのか。現地審査は全体の何割(6割?)以上を当てることと別のガイドも出されているようだ。であれば、10人日は準備を含むように見える。
もう一つ厄介なのが、移動のための時間をどのように見るか。移動はコンサルでも審査でもないから、移動時間を10人日に組み込んでは多分変な計算になる。
全体の20%まで移動時間を当ててよいとする人も居る。2日は移動で使うということか。その2日は現地審査に含まれるんだろうか。
全体で10人日として、移動で2人日、準備で3人日、現地で5人日ならガイドラインはクリアという訳だ。
しかし、別の牛乳瓶は全く違ったことを言い始めた。現地審査は正味10人日で、準備3人日、移動2人日は別に発生する。全体の工数は、だから、15人日になる。ガイドラインはミニマム条件を示しているのだから多い分には構わないということらしい。
もっとも、移動工数が2人日で計画される話と、実際の移動工数が2人日で収まるかは別問題だから、話はさらにややこしい。それに、クライアントの支払いに直結する話でもあるから、牛乳瓶が変わると半紙が変わって費用も変わるのは、審査というものの性格(公的?)を踏まえるとあまり適切と思えない。
コンサルは手持ちのノウハウをどれだけ提供するかで費用が変わっても良いが、審査は同じものでなければこの制度自身の公的な部分が失われそう。繰り返すと、何処の審査も、本来は同じ審査でなければおかしい。
車検と同じ?
ガイドライン(実際何処にガイドラインがあるか分からないから、そのうち確認する必要がありそうだ)で、例えば10人日とある場合、これは準備のための工数を含むのか含まないのか。現地審査は全体の何割(6割?)以上を当てることと別のガイドも出されているようだ。であれば、10人日は準備を含むように見える。
もう一つ厄介なのが、移動のための時間をどのように見るか。移動はコンサルでも審査でもないから、移動時間を10人日に組み込んでは多分変な計算になる。
全体の20%まで移動時間を当ててよいとする人も居る。2日は移動で使うということか。その2日は現地審査に含まれるんだろうか。
全体で10人日として、移動で2人日、準備で3人日、現地で5人日ならガイドラインはクリアという訳だ。
しかし、別の牛乳瓶は全く違ったことを言い始めた。現地審査は正味10人日で、準備3人日、移動2人日は別に発生する。全体の工数は、だから、15人日になる。ガイドラインはミニマム条件を示しているのだから多い分には構わないということらしい。
もっとも、移動工数が2人日で計画される話と、実際の移動工数が2人日で収まるかは別問題だから、話はさらにややこしい。それに、クライアントの支払いに直結する話でもあるから、牛乳瓶が変わると半紙が変わって費用も変わるのは、審査というものの性格(公的?)を踏まえるとあまり適切と思えない。
コンサルは手持ちのノウハウをどれだけ提供するかで費用が変わっても良いが、審査は同じものでなければこの制度自身の公的な部分が失われそう。繰り返すと、何処の審査も、本来は同じ審査でなければおかしい。
車検と同じ?
組織再編が頻繁に行われ、組織の統合・分割によって部署名(部門名)も部署数(部門数)も頻繁に変わる場合、「3年で1巡」も訳が分からなくなる。
審査員が苦労するときはコンサルも苦労する。
.*.
出来るだけ上位の部門名で計画する。下位の部門はサンプリングして代表させる。下位の部門は何時もくっ付いたり離れたりしているので、主要ないくつかをカバーさせるだけで十分とする。
って、これはノウハウ?。どこかのルール?。それともルール違反?。
審査員が苦労するときはコンサルも苦労する。
.*.
出来るだけ上位の部門名で計画する。下位の部門はサンプリングして代表させる。下位の部門は何時もくっ付いたり離れたりしているので、主要ないくつかをカバーさせるだけで十分とする。
って、これはノウハウ?。どこかのルール?。それともルール違反?。
2011年07月06日
三年で一巡?
複数の審査先(サイトと言う)があるときに、毎年全箇所回るのは大変だから、3年かけて全箇所回れば良しとする考え方?。
耳学問では直ぐに限界が来る。これはルールなのか努力目標なのか、分からない。
審査先の数がやたら多い時は、3年では無理でしょう。どうするの?。
.*.
毎年、適度に分散していて、それでも3年で1回は訪問するために、ロケーション審査計画・記録を作ることがある。審査先のサンプリングが妥当か、工数が妥当か、などをチェックする。でも、殆どの場合、更新審査では全箇所訪問するから、こんな計画はあまり意味が無い。
もう一つ、部署(部門?)のサンプリングも同様に、3年で網羅させたいようだが、同様に更新で全部見るので普通はあまり気にしない。
3分の2の縛りがあるため、更新で全部門が無理の場合は、継続でカバーしたところは更新ではずすなどの工夫が出来る。
[ロケーション×部門]審査計画記録は作ってもいいのかも知れない。
複数の審査先(サイトと言う)があるときに、毎年全箇所回るのは大変だから、3年かけて全箇所回れば良しとする考え方?。
耳学問では直ぐに限界が来る。これはルールなのか努力目標なのか、分からない。
審査先の数がやたら多い時は、3年では無理でしょう。どうするの?。
.*.
毎年、適度に分散していて、それでも3年で1回は訪問するために、ロケーション審査計画・記録を作ることがある。審査先のサンプリングが妥当か、工数が妥当か、などをチェックする。でも、殆どの場合、更新審査では全箇所訪問するから、こんな計画はあまり意味が無い。
もう一つ、部署(部門?)のサンプリングも同様に、3年で網羅させたいようだが、同様に更新で全部見るので普通はあまり気にしない。
3分の2の縛りがあるため、更新で全部門が無理の場合は、継続でカバーしたところは更新ではずすなどの工夫が出来る。
[ロケーション×部門]審査計画記録は作ってもいいのかも知れない。
クライアントへの電話コンタクトの是非
考えてみれば是非の理由もいくつかありそうだ。
電話はエビデンスが残らないから、言った言わないの話になって余計な混乱を生む。
電話結果をメモにして必ずメールすることで混乱を回避する人も居る。
電話とメールでは手間がかかる。
拙い文書のメールでは返って混乱し時間もかかる。
メールに返信が来ないから已む無く。
初対面なのに旧知の仲。
馴れ合って緊張感がない。
クライアント担当者の人間性を疑ったら何も始まらない。
自分の人間性に自信が無ければ何も始まらない。
さて、
「知らぬが仏」
というのもある。
.*.
考えてみれば是非の理由もいくつかありそうだ。
電話はエビデンスが残らないから、言った言わないの話になって余計な混乱を生む。
電話結果をメモにして必ずメールすることで混乱を回避する人も居る。
電話とメールでは手間がかかる。
拙い文書のメールでは返って混乱し時間もかかる。
メールに返信が来ないから已む無く。
初対面なのに旧知の仲。
馴れ合って緊張感がない。
クライアント担当者の人間性を疑ったら何も始まらない。
自分の人間性に自信が無ければ何も始まらない。
さて、
「知らぬが仏」
というのもある。
.*.
クライアントへの依頼・フォローアップのやり方
これはコンサルも審査員も似た話。普通の営業もある意味同じことだが、お客様にいろいろ情報をもらう必要はあるし、手続きを取ってもらう必要もある。こういう時に、失礼にならないように、しかし確実にフォローするのは結構疲れる?らしい。
必要であることを理解してもらう。
有用であることを理解してもらう。
結果をイメージできるように説明する。
全体の流れの中の位置づけを理解してもらう。
依頼事項はミニマムにとどめる。(必然性の無いものは依頼しない)
納期を明確にする。
最初の依頼は、理想的には納期の2ヶ月前を目指す。遅くとも1ヶ月前の依頼が常識的。逆に2ヶ月以上も先に依頼すると、緊張感が維持できない。
フォローは週1回。時間に余裕があるときはフォローしているように受け取られないように別の話題に混ぜて状況を確認するなどの工夫が必要。
あまり理詰めでも嫌がる人が居るから、クライアントからの返信の状況を見て、適宜対応を変える柔軟性は必要。
.*.
案外、意見が分かれるのが電話の利用。コンサルも審査員も同じ。消極派と積極派に分かれる。電話コンタクトの成功体験がある人が積極派。失敗体験のある人が消極派。
メールなら内容を読み返して失礼の無いように、記載漏れの無いように、事前にチェックできるが、電話は口から出たらそれまで。メモを見ながら電話すればいいかと思うがそうでもない。複雑系はメモを見ながらでは返って伝わらない。生の音声は人間性〜感情まで伝わる。
性善主義の人は電話します。新しい人と近づきになれて嬉しい。
性悪主義の人は先ず電話しません。無警戒な電話という場ではとても自分を晒すことは出来ない。性悪主義者の電話は、メールベースで話を全て終わらせて、最後の念押しを電話でするというもの。メールで雁字搦めにして身動きできなあい相手に、「如何ですか?よろしいですね!」とやる大変失礼な電話。
営業系も技術系も、この傾向は変わらない。本当?
.*.
これはコンサルも審査員も似た話。普通の営業もある意味同じことだが、お客様にいろいろ情報をもらう必要はあるし、手続きを取ってもらう必要もある。こういう時に、失礼にならないように、しかし確実にフォローするのは結構疲れる?らしい。
必要であることを理解してもらう。
有用であることを理解してもらう。
結果をイメージできるように説明する。
全体の流れの中の位置づけを理解してもらう。
依頼事項はミニマムにとどめる。(必然性の無いものは依頼しない)
納期を明確にする。
最初の依頼は、理想的には納期の2ヶ月前を目指す。遅くとも1ヶ月前の依頼が常識的。逆に2ヶ月以上も先に依頼すると、緊張感が維持できない。
フォローは週1回。時間に余裕があるときはフォローしているように受け取られないように別の話題に混ぜて状況を確認するなどの工夫が必要。
あまり理詰めでも嫌がる人が居るから、クライアントからの返信の状況を見て、適宜対応を変える柔軟性は必要。
.*.
案外、意見が分かれるのが電話の利用。コンサルも審査員も同じ。消極派と積極派に分かれる。電話コンタクトの成功体験がある人が積極派。失敗体験のある人が消極派。
メールなら内容を読み返して失礼の無いように、記載漏れの無いように、事前にチェックできるが、電話は口から出たらそれまで。メモを見ながら電話すればいいかと思うがそうでもない。複雑系はメモを見ながらでは返って伝わらない。生の音声は人間性〜感情まで伝わる。
性善主義の人は電話します。新しい人と近づきになれて嬉しい。
性悪主義の人は先ず電話しません。無警戒な電話という場ではとても自分を晒すことは出来ない。性悪主義者の電話は、メールベースで話を全て終わらせて、最後の念押しを電話でするというもの。メールで雁字搦めにして身動きできなあい相手に、「如何ですか?よろしいですね!」とやる大変失礼な電話。
営業系も技術系も、この傾向は変わらない。本当?
.*.
初回を1として、どうして継続は1/3、更新は2/3になるの?
またぞろ審査工数。最初の審査にかかった時間の3分の1が継続で、3分の2が更新。継続はサーベイランスとも言う。カタカナの方が格好が良いから?。兎に角も、何故、3分の1,3分の2になるのか。何か適当な数字のようにも思う。だけど、これが基準だから、いい加減に扱うことは出来ない。深刻だね。
しかし、何度話を聞いても工数の話は分からない。
.*.
場所が増えると計算が複雑になる!
ロケーション・セクションが単一のシンプルモデルの場合、人数が決まると工数が決まるガイドラインがどっかから出ている。で、次に、東京本社-大阪支社の2箇所だと、東京はガイドライン通りと理解できるが、大阪は共通部分は東京で済ませているので少なくていい筈。
共通というのは、所謂、経営者とか事務局とか。しかし、部門における運用の実態の部分は固有個別だからそれぞれ必要。パーセント、比率で決めるものではない。しかし、傾向として小規模なら共通部分の比率は大きく、大規模なら比率は小さい。
場所数が増えた場合の適正審査工数はどうして算出するの?ガイドがあるのかな?
.*.
またぞろ審査工数。最初の審査にかかった時間の3分の1が継続で、3分の2が更新。継続はサーベイランスとも言う。カタカナの方が格好が良いから?。兎に角も、何故、3分の1,3分の2になるのか。何か適当な数字のようにも思う。だけど、これが基準だから、いい加減に扱うことは出来ない。深刻だね。
しかし、何度話を聞いても工数の話は分からない。
.*.
場所が増えると計算が複雑になる!
ロケーション・セクションが単一のシンプルモデルの場合、人数が決まると工数が決まるガイドラインがどっかから出ている。で、次に、東京本社-大阪支社の2箇所だと、東京はガイドライン通りと理解できるが、大阪は共通部分は東京で済ませているので少なくていい筈。
共通というのは、所謂、経営者とか事務局とか。しかし、部門における運用の実態の部分は固有個別だからそれぞれ必要。パーセント、比率で決めるものではない。しかし、傾向として小規模なら共通部分の比率は大きく、大規模なら比率は小さい。
場所数が増えた場合の適正審査工数はどうして算出するの?ガイドがあるのかな?
.*.
是正処置の難しさは何処から来るか?
是正処置の話は既に何度も出ている。いい加減な是正処置でお茶を濁すケース。対策も表層的。一番多いのが周知とか教育とかコミュニケーションとか。相手が人間で、心とか意識とかに問題を求めるとどうしてもそうなる。
ただし、十分な検討の上で原因にたどり着いていればいいのだが、だから本質的な原因に至っていれば、わりと答え(対策)も素直に出てくるが、なかなかそこまで行かない。トヨタではゴナゼ(5何故)というらしいが、本質に突き当たるまで何故そうなったのかを5回繰り返せという訳だ。これはなかなか出来ない。せいぜい2,3回で先が詰まるもの。
また、本質に入るのは上位に行くのと同じことになることが多い。管理者自らの問題を人目にさらすわ明けで、トヨタみたいに品質担当役員でも上に座っていないと途中で適当に打ち切るのは世の常?。
経営者が自ら考える癖をつけていないと、せっかくのPDCAは空回りになりかねない。
.*.
是正処置の話は既に何度も出ている。いい加減な是正処置でお茶を濁すケース。対策も表層的。一番多いのが周知とか教育とかコミュニケーションとか。相手が人間で、心とか意識とかに問題を求めるとどうしてもそうなる。
ただし、十分な検討の上で原因にたどり着いていればいいのだが、だから本質的な原因に至っていれば、わりと答え(対策)も素直に出てくるが、なかなかそこまで行かない。トヨタではゴナゼ(5何故)というらしいが、本質に突き当たるまで何故そうなったのかを5回繰り返せという訳だ。これはなかなか出来ない。せいぜい2,3回で先が詰まるもの。
また、本質に入るのは上位に行くのと同じことになることが多い。管理者自らの問題を人目にさらすわ明けで、トヨタみたいに品質担当役員でも上に座っていないと途中で適当に打ち切るのは世の常?。
経営者が自ら考える癖をつけていないと、せっかくのPDCAは空回りになりかねない。
.*.
2011年07月05日
ISO20000:2011
従来のITSMS規格が更新された。記載内容が詳細化したらしい。でもこんな派生的な規格にはあまり誰も関心が無いみたい。
ISO20000を取得したらISO27001も取得したことになる訳でなし、20000にこだわって取得する意味が良く分からない。
長居は無用、といった感じで白ける前に別の話題へ。
.*.
従来のITSMS規格が更新された。記載内容が詳細化したらしい。でもこんな派生的な規格にはあまり誰も関心が無いみたい。
ISO20000を取得したらISO27001も取得したことになる訳でなし、20000にこだわって取得する意味が良く分からない。
長居は無用、といった感じで白ける前に別の話題へ。
.*.
部門システム・部門サーバーがある場合は要注意
自分たちで使うシステムの調達とか開発とかは、情報システム管理部門が担うのが普通だが、普通でないことも多い。ITガバナンスがまだ発揮できていない初期の会社では部門の力が強くて従来の部門業務に合わせて作りこんだシステムを利用する。
老舗の会社も、情報システム部門は自分たちで出来ることの限界が分かって、それ以上の対応は部門に任せるようになっている。部門に任せないで自分たちも出来なければ、新たな事業対応そのものが出来なくなる。
さまざまな理由で部門システム・部門サーバーは残る。残っていない会社は変化球を投げられたら空振りするしか出来ない危うい会社とも言える。変化の時代のITガバナンスはもっと柔軟な構造を持っているはずだ。
コンサルにとっても審査員にとっても部門システムの存在は要注意。
システム開発におけるセキュリティ確保ための膨大な要求、外部委託におけるセキュリティ、事業継続管理の側面、全社のルールとの整合性の側面。などなど。色々な問題が待ち構えている。
.*.
自分たちで使うシステムの調達とか開発とかは、情報システム管理部門が担うのが普通だが、普通でないことも多い。ITガバナンスがまだ発揮できていない初期の会社では部門の力が強くて従来の部門業務に合わせて作りこんだシステムを利用する。
老舗の会社も、情報システム部門は自分たちで出来ることの限界が分かって、それ以上の対応は部門に任せるようになっている。部門に任せないで自分たちも出来なければ、新たな事業対応そのものが出来なくなる。
さまざまな理由で部門システム・部門サーバーは残る。残っていない会社は変化球を投げられたら空振りするしか出来ない危うい会社とも言える。変化の時代のITガバナンスはもっと柔軟な構造を持っているはずだ。
コンサルにとっても審査員にとっても部門システムの存在は要注意。
システム開発におけるセキュリティ確保ための膨大な要求、外部委託におけるセキュリティ、事業継続管理の側面、全社のルールとの整合性の側面。などなど。色々な問題が待ち構えている。
.*.
2011年07月04日
審査が成立しない?
審査員連中がよく口にする言葉。審査が成立するとか、しないとか。不適切な審査だったら、審査不成立。とどうなるの?。ひどい場合は審査は無効となって、改めてやり直さないといけない。部門にお願いして日程から何からやり直す訳で、大変なこと。認証の有効期限が切れるかもしれない。コンサルだっていい迷惑ということになる。
技術専門性
審査工数
サンプリング数
規格要求項目カバーレージ
利害関係者
こういうものが不足していると不成立になる可能性がある。特に、ぎりぎりで日程を組むところでは工数は問題になることが多い。初日にいきなり人数が増えているとアウトになってもしようがない。
.*.
審査員連中がよく口にする言葉。審査が成立するとか、しないとか。不適切な審査だったら、審査不成立。とどうなるの?。ひどい場合は審査は無効となって、改めてやり直さないといけない。部門にお願いして日程から何からやり直す訳で、大変なこと。認証の有効期限が切れるかもしれない。コンサルだっていい迷惑ということになる。
技術専門性
審査工数
サンプリング数
規格要求項目カバーレージ
利害関係者
こういうものが不足していると不成立になる可能性がある。特に、ぎりぎりで日程を組むところでは工数は問題になることが多い。初日にいきなり人数が増えているとアウトになってもしようがない。
.*.
