資産の洗い出しは単純な作業なだけに、直ぐに手抜きを考えてしまう。だからと言って馬鹿丁寧に洗い出し作業をやって、資産数が10万件を超えたりするのも考え物だ。
業務プロセスに基づいて、各プロセスが参照あるいは出力する情報を洗い出すやりかたは、考え方は分かりやすいので、皆さん飛びつくが、業務プロセスを網羅的に洗い出す方法論の裏づけが無いので、結果は惨憺たるもの。
不定期プロセス、例外処理、低頻度プロセスなどは、通常プロセスの10倍も20倍もあると覚悟したほうがいい。コンサルが提示する超シンプルなフロー図で仕事が終わると思ったら、事務局は勤まらない。会社の仕事を全く理解していない証拠。無理です。?
メイン・プロセス、サブ・プロセス、階層構造、ICOM。業務プロセスをどのように表現していくか、それ自体が結構なテーマになってしまいます。
プロセスベースのフロー型の洗い出し手順に加えて、スペースベースのストック型の洗い出し手順は依然として重要。相互チェックの役割を果たすことも出来る。スペースベース洗い出しで難しいのは、住居の住人が特定されているもののほかに、住居の住人が不特定のものがあること。所謂、一時預かりの類です。
フローとストックを考慮した資産の洗い出しは、両方を付き合わせることで精度を高めることが出来ます。片方だけで済ませている洗い出しでは抜け漏れが多く、結局、リスクアセスメントの有効性を維持できません。特にフロー型(プロセスベース)は洗い出された資産が重複するため、識別は慎重を要する。
.*.
情報資産の洗い出しにもフロー&ストックの発想(方法論)が必要ということです。
.*.