某日・某社CIOのつぶやき。
「私はね、他社で起こったセキュリティのインシデントの記事を目にしたとき、すぐに当社のセキュリティ担当者に『ウチは大丈夫なのか?』と問い合わせしている。すると、『調べますので少々お待ちください』といって持ち帰り、1週間後くらい経ってやっと報告があった。その後も、やはり持ち帰って何日か経ってから報告…ということが繰り返された。それでも『ウチは大丈夫か?』と聞き続けている」 なぜか!
- こっちが聞かなくても、自発的に報告してくるように意識付けしてるんだよ
- すぐに報告できるということは、日頃からモニタリングができているということだよね。モニタリングの必要性に気づいて、仕組みを上申してくるのを待っているんだけどね…
まさに〝答え〟を現場に考えさせる姿勢、さらに人材の成長を後押しする大切な取り組みと感じた。
そんな中、サッカー元日本代表監督・岡田武史さんがある講演でお話しされていたことを思い出した。
「〝自立〟した選手と、〝自律〟したチームをつくる」と。
なるほど会社組織でも全く同じ! 個人のスキルを磨き、一人ひとりが高い意識で行動すると(自立すると)、おのずと組織のリテラシが向上し、自ら考えながらチームとして最適な行動をとることができ(自律的に)、その結果、組織力(ガバナンス)は強化される…ということなんだね。
そこで提案したいのが「成熟度モデル」。
私はリスクアセスメントを行うときに〝成熟度〟の考え方を取り入れている。往々にして内部監査・自己点検、外部監査では、〝できている/できていない〟という[◯×評価]=現時点でのスナップショットになりがち。しかしそれでは、組織の真のレベルが測れないし、×→○にしたからといって目指すべき姿かどうかわからない。そもそも全ての×を◯にする必要があるのか?
重要なのは、リスクアセスメントを通してこれまでの取り組みを振り返り、将来を見据えた成長を計ることで、組織そのものを評価すべきと考えているから。
- 【5.0:最適化】=最適化活動が習慣化している
- 【4.0:管理】=遵守状況が、例外措置を含めて管理・把握できている
- 【3.0:定義】=ルール、計画、管理プロセスが定義され周知できている
- 【2.0:再現性】=個人依存、暗黙ルールなど再現性はあるが直感的な対応
- 【1.0:初期】=初期状態、その場対応
- 【0.0:不在】=問題の認識がない、必要性を感じていない
ーーーーー
成熟度モデルを取り入れることによって組織のベースラインは3.0で、J-SOXや会社法の内部統制では限りなく4.0を求められていることが理解できる。
評価しやすくするために、成熟度モデルをテーマ毎にアレンジしてみるとわかりやすいよ。例えば「社内規程」にアレンジするとこんな感じ。
ーーーーー
《社内規程:成熟度モデル》
- 【5.0:最適化】=常にレビューが行われ、ビジネスニーズやコンプライアンスに基づき内容が改善されている
- 【4.0:管理】=社内規程の遵守状況が、例外も含めて管理・把握できている
- 【3.0:定義】=ルールや管理プロセスがオーソライズされ、社内規程として全社に周知できている
- 【2.0:再現性】=暗黙的なルールで運用。または属人的に文書化されており網羅性が確認できていない
- 【1.0:初期】=ルールは局所的で明文化されていない
- 【0.0:不在】=ルールの必要性を感じていない
ーーーーー
単に社内規程があるか…という[〇✕評価]なら、1.0でも2.0でも〝あれば[〇]〟。しかし4.0を目指そうとするなら3.0が前提になるし、今が2.0では一足飛びに4.0は難しい。今が2.0ならまず3.0を目指すべき。これまでの取り組みを振り返ることができるし、これから先何をすべきかが示唆できる。つまり段階的にレベルアップしていくことで、成熟度が高い組織は、おのずとガバナンス強化に拍車がかかるというわけ。
アレンジは是非ご自身で…がおすすめ。おかげで私はより成熟度やガバナンスというものの理解が深まりましたよ。
ITガバナンスフレームワーク=COBIT2019も参考まで。
ただね…成熟度という考え方が多くの組織の中に浸透してはいないのも事実。
「経営に理解してもらうのが難しい」と言われたり、「3.0から4.0にするためにはどうすればいい」と先に答えを求められたり。それらを自分自身で〝考えること〟こそ大切な取り組みと思うのに…残念でならない!
(おまけ)
前に読んだ「People CMM」には評価指標とともに、以下のような方針(抜粋です)が謳われている。
- 成熟した組織で、人的組織の真の実力が直接事業の成果に結びついている。
- 人的組織の真の実力は、組織の戦略的事業目標に結びつけて定義されなければならない。
- 知的集約型の仕事では、単なる仕事の要素から人的組織のコンピテンシに重点が移っている。
- 組織は、事業の核となるコアコンピテンシを決定する人的組織のコンピテンシの真の力を改善することに投資しなければならない。
古い本だが、今でも通用する…いや、今だからこそ必要な教えのように感じる。成果だけで人事評価するのではなく、人の成長を計るためにも。人の成長は組織の成長の礎なんだから。
(ま)