コンサルが審査プログラムを直接作ることは普通は無い。出てきた計画に対して何を準備すべきかを立案する。文書記録の整備。不要物の廃棄・倉庫送り。教育・周知事項の整理。
審査は普通、大事な部門から実施していく。時間も長めに取る。何か問題が出ても審査期間中に対処できるようにするため。組織人数も少なく、外部との接点も無い、重要な資産を持たないような部署は後ろに持っていく。時間は短め。
経営者、IS管理責任者、事務局は別格として、やはり情報システム部門が最重要。ITガバナンス全体を把握する。
事務局は審査プログラムが出てくる前に、審査日程を関連部門に案内しておくのは当然。プログラム案が出てきたら黙って枠決めを通知するだけ。審査側の都合に委ねる。
ところが、事務局に力が無い場合、全くのやっつけ調整になるから、審査員の案ではまとまらない。経営者に思いが無い場合は、経営者インタビューの時間まで変更される。そもそも審査日程を決めるときに経営者の都合を反映させているのに、である。みんなが勝手を言い始めると事務局は調整不能。
結果、プログラムはぐちゃぐちゃ。
誰が悪いのっですか?
(1)経営者 業務プライオリティを下げてしまった。
(2)コンサル ISMSの有効性を可視化できなかった。
(3)審査員 迎合的な態度をとった。
.*.