ISMSの失敗事例:事務局独走
現象として分かり易い失敗事例は、数人の事務局で殆ど一切の作業をやっているケース。
資産の洗い出しから、資産価値評価、リスク分析評価まで事務局でやっている場合は、単にそのことだけで既に失敗と言える。資産は各部門で出して、その後は事務局とか、リスク分析評価だけ事務局と言う例も多いが、ことごとく失敗。
資産の所有者あるいは管理責任者が資産のリスクを理解しない状況では、リスクを理解する活動がスキップされてしまい、リスクを軽減する活動は適切に行えないことが殆どです。加えて、事務局が適切に価値評価・リスク分析評価を出来ることは先ず有り得ない。
ご都合で御造りのリスクアセスメントだけが出来上がりますが、全く意味がありません。
.*.
手間を掛けず簡単に出来るので、こういうやり方を勧めるコンサルも居ます。ベースライン方式?の一環で規格不適合ではないとのことです。知識習得に時間が掛かるので当初はベースライン方式でやって、徐々により適切なやり方に移行していくと説明します。
これは殆どの場合、大嘘です。一旦定着させたものを引き剥がしながら、徐々にやる方が遥かに大変だし、コンサルは手間ばかりで旨みが無いと思えばすっと消えていきます。付き合ってくれても、若いコンサルに引き継いでしまいます。
事務局も、新たな苦労は避けたいから、意味の無い御造りのままにしていずれ誰かにバトンタッチしていきます。後任の事務局はもう何が問題かすら理解することは有りません。結局、失敗の泥沼から抜け出ることは出来ません。
例外は、トップが裸の王様でない場合は、愚かな実態に気づいてやり直しの号令を掛けることで泥沼からの脱出が出来ます。
.*.