ガバナンス」タグアーカイブ

”伴走支援もどき” と中毒症

投稿日時: 投稿者:

近年の DX や AI にまつわるニーズを受けて、国内でのビジネスコンサルティング事業は活況なようです。業界はここ数年 2桁パーセントの右肩上がりで成長を続けているといいます。そんな業界環境なせいか、新興のコンサルティング会社を多く見かけるようになりました。

そして新興か老舗かに限らず、コンサルティング会社はどこも挙って「伴走支援」を掲げているようで、一種のブームのような様相です。つまり、精緻な分析や海外のベストプラクティスを基に「あなたがたはこうあるべき」などと御託を授ける教授スタイルではなく、顧客企業の側に立って共に歩み、顧客が自走できるようになるよう能力開発を助ける支援を目指す、としています。

本当の意味でそのような支援が実行されているなら良い傾向といえますが、わたし個人が実態として知る限りにおいては、多くのコンサルタントはいまだに従来同様「業務代行」していると思って見ています。

それも実は、無理からぬ話です。巷でよく聞かれる顧客企業の要望というのは、典型的には次のようなものだからです。「○○業界の企業の責任者への人脈を紹介してほしい」「アドバイスではなく実務に対応してほしい」「エンジニアがいないのでプロジェクトを現場でリードしてほしい」

顧客企業のオフィスに常駐し、机を並べて「伴走支援」しているコンサルタントの多くは、実態として顧客の代わりに、資料作成、データ抽出や整理、情報分析、会議の取り纏め、などの実務の肩代わりを行っています。しかしこれは、少なくともわたしが定義するところの「伴走支援」ではありません。顧客が主体的に担うべき業務の「代行」です。

当社では、代行任務はすべてお断りしております。顧客のためにならないからです。

率直に言えば、コンサルティング会社の経営者として事業拡大を企図するなら、代行を請けたほうがビジネスとしては有益です。なぜなら顧客の困りごとの多くは、前記のとおり「代行してほしい」なのですから。

それをわかっていながら、代行の依頼はすべてお断りしています。なぜか。当社のミッションである「お客さまのビジネスシステムを強くする」を踏まえた行動を遂行するにあたり、顧客任務の代行は、顧客のビジネスを強くするどころか、結果的には弱くすることになるからです。

これは、人間社会に存在する構造的問題の典型のひとつです。ある問題を是正しようとしたときに、即効性があるように見える短期的な方策を解決策に採用するけれど、そういうお手軽な方策を選択するほどに、より根本的な問題を見て見ぬ振りするようになり、時間がかかる根本的解決策に手を付けなくなる。実は根本的解決策を打たなければ、その問題を根絶することはできない。それに気づいていてもいなくても、お手軽な策に一度味を占めると、次にまた問題が出ても、手近で安易な対症療法にばかり手を出すようになる。

そういう状態にある組織に根本的解決策を唱えると、それは「正論」だと位置づけて忌み嫌い、避けようとします。正論を振りかざす、というフレーズにはネガティブな響きがあり共感を呼びそうです。しかしこの状況においては単に、本質的な問題から逃げようとしているだけのことです。

このような問題構造に一度嵌ってしまうと、最終的には、根本的な解決策を自らの手で打つ能力さえも失ってしまいます。要するに「中毒症状」と同じ構造なのです。アルコール中毒、麻薬、ギャンブルなどの依存症の問題構造を想像してみてください。

コンサルティング会社にとっては、顧客企業が自社に「依存」してくれる構造が生み出せますから、ビジネスが安定し大変に有益です。しかし、顧客の側からすればそれは中毒症状であって、コンサルティング会社がいなければ業務が破たんする状態、コンサルティング会社がいなければ戦略も計画もまともに立てられない状態、になっていくわけです。わたしはこれを指して「顧客のためにはならない」と言っています。

「コンサルティング会社が代行してくれてうまくやってくれるのを、うちの社員が端から見て学ぶのだ」というようなことをおっしゃる向きもあるのは承知しています。少なくともわたしはそのようにして、本当に学んで自走し始めた会社をまだ知りません。思うに、ふつうの人間なら、非常にうまく仕事を捌いてくれる人たちを見て、彼らなしに自分たちだけで問題に対処する方法は学びません。彼らに任せておけばよい、と考えるのがフツウです。パソコンメーカーが効率よくパソコンを製造して供給してくれるのを見て、「パソコンを自作しよう」と思う人がどれだけ多いか、想像してみてください。

わたしは、本来コンサルタントというのは医者と同じだと考えています。医者は、患者の病気が治れば任務完了になります。完治した患者にいつまでも医療行為を継続することはありません。顧客のステージが上がった結果として新たなレベルの課題が生じたというなら別のコンサルティングになるので良いですが、そうではないのなら、課題を解決すればそのコンサルティングは完了なのです。同じ依頼で何年も顧客企業に常駐しているということは、自分が関与しても問題がいつまでも解決していないことを意味することになります。

任務代行を施せば、顧客は課題を根本的に解決できるリソースもケイパビリティも身につけられないどころか、身につける機会も学習能力も奪われると、わたしは考えています。課題の根本はいつまでも解決されず、顧客は半永久的に、その課題のモグラたたきを続けることになるわけです。しかも大抵、モグラは年々増殖し、土壌をむしばんでいきます。最後にどうなるかは、想像が難しいことではないはずです。

当社としてはそういう信念で事業をしているのですが、なかなかこうしたことを理解しない企業や人が存在することも事実です。それはそれで仕方がないことではあります。

「職務経歴」だけで、人材を判断していないか

投稿日時: 投稿者:

先月のコラムでは、幹部社員をどう育成していくことができるかについて論じてみましたが、今回はその続きです。

会社のコアになるようなハイレベルの人材については、専門的なスキルを持つ人材を社外から入れたがる経営者もよくいます。

ただ、外部から人材を採用するなら、事業運営の仕組み化までができていることが前提だと思います。仕組みが未熟な状態で外部のハイスキルな人材を採用すれば、わたしの知る限りではおよそ失敗に終わります。

まずそもそもの話として、採用しようとする人材に、組織として要求する専門的スキルが十分にあるのかどうかを見抜く力が経営者や経営幹部にあるのか、という問題があります。その専門性のレベル感や価値が理解できるためには、先月のコラムのとおり、経営者や経営幹部がまずその業務を(自分の会社の範囲内でも)自分で手掛けて、考えてみたことがあるのが不可欠です。

そうでないのなら、その分野における本質的な能力を兼ね備えているのかを見抜く術は、まず持ち合わせていないでしょう。料理をしたことがない人が、料理人の腕や底力を見抜くことができないというのと、同じことです。

また、組織が要求する能力を発揮するということは、実は専門能力があれば十分なのではありません。「専門能力」というのは、その人材の能力を見る切り口のひとつでしかないという事実に気付く必要があります。その人材が職務で発揮する「能力」というのは複雑で、専門能力だけでなく、対人スキル、コミュニケーション能力、問題解決能力など、その他の様々な能力(コンピテンシーとも呼ばれます)の相互作用によって形成されるのが現実です。

ですから、個々の専門性だけを見ていても、それらは断片的なので実は評価しづらいのです。本当のところは、業務の仕組みが確立された職務環境で、実際に仕事をしてもらわなければわかりません。例えば、社交性が高いのに営業はできない人材も実際にいますし、営業成績は抜群だけどあまり協調性がない人材もまた存在します。

同様のことが、職務経歴に関しても言えます。

履歴書を見て、立派な経歴、レベルの高い資格の数々、豊富で幅の広い経験、積み重ねてきたキャリアのすばらしさに目を引かれた経験がある経営者の方も多いだろうと思いますが、仕事をさせてみたらまったくの期待外れだったケースがこれまでなかったでしょうか?何を隠そう、わたしもそれで痛い目に遭ったことが何度かあります。

よくよく考えてみれば、ビジネスパーソンが「経験」や「経歴」を獲得するのは、実はそれほど難易度が高くありません。業務が行われている現場に関与していさえすれば「経験」したことになりますし、成果はどうであったとしても「経歴」と称することはできます。実際、そのようにしている人は多いと見受けられます。

本質的な能力というのは決して簡単に見につくものではありませんが、一方で、職務経歴書の書面で本質的な能力の有無を見抜くことはまず無理です。そのため、職務経験にだけ力点を置いた人選をすれば、なぜか凡庸な人材が集まる結果になるのです。

ある時点で、外部人材を採用して「専門スキルを買う」ことが必要になるときは来るでしょう。ただしそのときは、社内の人材を育てる以上に慎重に評価することが必要ですし、採用前の面談や試験だけで判断しきらないことも意識する必要があります。採用した後でしかわからないことも、かなりあるものです。そこまで念頭に置いた採用プロセスを構築したうえで、外部人材を取り込むことを考えるのが無難です。

良くも悪くも、人材の能力を見抜くというのは、本当に難しいことです。

「一生懸命に働く」のは、美徳ではない

投稿日時: 投稿者:

「身を粉にして働く」「艱難辛苦を耐え抜き成功する」「懸命に取り組む」。少なくともかつての日本の職場では、こうした精神は美徳として扱われていたようなところがありました。現代ではどうなのかはっきりしませんが、いろいろな職場を見てきた個人的な経験から申し上げて、いまでもそんな精神が少なからず残っている傾向はあると感じています。

一意専心で打ち込み、様々な難題を克服して目標を成就する姿は、美しいものです。アスリートや職人などを見ているとそう感じます。しかし、こと企業の組織においては、「一生懸命に働く」ことは美徳ではないと思います。

誤解を恐れずに言えば、優れたパフォーマンスを出せる組織とは、同じ成果を他の組織よりもラクして生み出せる組織のことだと、わたしは思います。そういう状態のことは、一般には「生産性が高い」と呼ばれます。

努力を重ねることが無駄であると言うつもりなのではありません。努力の方向性を問題にしようとしています。一生懸命に頑張るのなら、「いかにラクをして、いまと同じ、さらにはいまよりも高い成果を生み出せるか」を考えることに力を注ぐべきなのであって、そうではない方向に注力すべきではない、ということです。仮に成果が挙がっていたとしても、ラクではないやり方で実現されているのなら、それは何かがおかしいのです。

ところが、ありがちな傾向として、一生懸命に頑張っている人に対して「その内容は問わず」ポジティブに評価する、ということがよく見られます。個人の評価がそれでよくても、組織のパフォーマンスという観点では、「一生懸命頑張る個人にその仕事をさせていていいのか」という評価をしなければならないのですが、問題を直視せずに満足している組織が少なくありません。

例えば、ある事業や業務において、組織にいる特定の人物の能力が著しく高いおかげで成果が生み出されていることが、小さい組織ではよくあります。そうした「スーパーエース」(時に経営者自身だったりします)を組織は称え、周囲は尊敬のまなざしを送るわけです。しかしそうしたスーパーエースは、組織にとっては “SPOF”、 つまり「単一障害点」です。属人化は、組織を脆弱にします。スーパーエースが活躍するような企業やチームは、わたしに言わせればシゴトを仕組み化する努力をしていません。努力を正しい方向で実行していないツケは、スーパーエースが何らかの理由で稼働しなくなった時(会社を辞める、病気で仕事できなくなる、家庭の都合に身体を取られる、職場を異動する、等)に顕在化することになります。

毎日押し寄せる問題を、次々さばくのに一生懸命になっている組織もよくあります。こういう組織は往々にして、計画を立てる能力が弱いことが要因でそのような状態になっています。毎日一生懸命に仕事していますから、周囲はポジティブに捉えます。しかしそのような仕事は、まるで RPG のように、出会った敵を順番に次々やっつけているだけのことです。果てしなくモグラたたきを続けるよりも、そもそもモグラが出ないようにするにはどうしたらよいのかを考えるべきなのですが、「没入」してしまっているとそういう発想はできないものです。

業務効率化のつもりで IT ツールを導入していても、ラクに仕事をしていないケースはたくさん見受けられます。例えば、会社や部署に「エクセルマスター」のような人物がいることがよくあります。この人物は確かに、スプレッドシートの取扱いに長けている達人です。しかし、取り組んでいる実作業はというと、大量のデータの打ち込み、転写転載、比較、正常性確認、流し込み、ファイルの送受信、といったものだったりします。コマンドや関数を駆使して作業そのものは高度であっても、つまるところ「デジタルツールを使ってマニュアルワーク」しているわけです。「そもそもその作業をやめられないのか」というようなことを考えるべきなのですが、達人は往々にして、その道具を使うこと自体をやめるという発想ができません。

なにか突発的な問題が勃発した時に、すぐに人海戦術で突破を図ろうとする組織も、よく見かけます。人が頑張って取り組むのが一番近道である、という考えです。確かに、稼働する人を増やして解決するほうがよいこともあるでしょう。しかしそれは、対象となっている業務の仕組みが的確に設計されていて、新しい人が入ってきたとしても短時間で業務をマスターし処理を担えるように完成されていることが前提です。イレギュラー対応だらけ、例外処理だらけ、の業務では、新しい人たちの頑張りは希薄化されてしまいます。そして、そういう現場ほどマニュアルも整備されていません。仕組みが弱い組織の業務に単に人を増やしただけでは、内部が混乱し、指示が滞り、下手をするとコントロールできなくなってチーム管理が崩壊します。人を増やせば増えた分だけ工数は掛け算で増やせる、というのは幻想です。

繰り返しますが、一生懸命に仕事を頑張るのは、個人のレベルでは美しい努力ですが、組織のレベルでは美徳ではありません。生物であるヒトの進化を原始人の時代から振り返れば、それはつまるところ、「どうしたらもっとラクに生きられるか」を一生懸命に考えて取組み、解決をしてきた歴史なのです。極端な例えですが、従業員の1日の勤務時間を4時間にしてもなお他社以上に収益を挙げるにはどうしたらいいか、ということを一生懸命考えるのが、生産性を高める方向に向かう正しい努力なのではないでしょうか。

「企業理念」と「ミッション」と「パーパス」は、どう違うのか

投稿日時: 投稿者:

わたしは、3つとも同じことを言っているのだと思っています。ですから、企業理念を持っていた会社がわざわざミッションを定義する必要はないと思いますし、ミッションを定義していた会社がわざわざパーパスを定義する必要もないと、思います。

ただし、それが会社にとってどういう意味をもつものなのか、どういう目的で定めるものなのか、その定義は明確にしておくべきでしょう。

私見ですが、そうした定義があいまいなままに「流行しているから決めておこう」とそれっぽい言葉を置くことが目的になって定められてしまったような、魂のこもっていない「企業理念」が横行したから、次々と新しい用語が登場してきたのではないでしょうか。元から的確な決定と運用がされているのなら、別の言葉は生まれてこなかったはずだと考えています。

企業理念が的確に定められているなと感じるとき、その言葉からは、その会社が顧客、ひいては社会に対して、どのような価値を提供しようとしているのかが、端的にイメージできるものです。法人の存在意義は、その法人が社会に提案する価値が人々から支持されることで、表されるのだと思います。人々から支持されていることの証しは、結果として売上と利益によって量られるわけで、その意味で企業理念は、その会社の商売の根幹をなすものです。企業理念はビジネスの成果に直結するものであり、そこに並ぶ言葉が単なる絵空事であれば、それは世間に見抜かれてしまいます。

その意味でわたしは、利益を出すこと自体に苦労している小さな企業であっても、企業理念を明確にし、社会に対して何を成したいと思っているのか表明することには、意味があると思います。

理念を何も示さない会社は、「売れれば何でもよい」「ビジネスが大きくなればそれでよい」と思っている会社、と見られても仕方ありません。もちろん、利益があがらない会社は、立派な理念があろうとも淘汰されるまでです。そんな綺麗事は売れてから考える、という事業家も実際にいますが、後から人がついてくるリーダーとしては相応しいだろうかと、個人的には思います。

また企業理念が的確に定められている会社では、社員がそれを誇りにし、その言葉に啓発されています。自分の仕事に対するモチベーションや業務上のポリシーとして深く根付いています。

採用の時点で企業理念が示され、それに共感してくれる人材が採用されるので、当然といえば当然ではあります。ただ、そもそも採用の時点で企業理念が示されることがない会社、もしくは企業理念に根付いた価値観の共有が具体的に確認されないで人材の選考が進む会社のほうが、圧倒的に多い印象があります。そうしないのは、企業理念が会社の提供価値を示すという意識がないからなのでしょう。

企業理念が浸透している会社は、日常から企業理念を意識するような取り組みが実施されています。経営者から幹部へ、幹部から現場のリーダーへ、現場のリーダーから従業員へ、または経営者から直接従業員へ、様々なパスが実際に運用されて、理念が伝わり、日常の業務遂行へと結びついています。そうした機会を通して、社員が様々な場面で、企業理念に謳われている内容について深く考える機会があります。そうした個人レベルの学びが蓄積されることで、一貫した行動が生まれます。

そして企業理念が明確な会社ほど、会社の中で実行される仕組みが、その理念に基づいています。企業理念がその会社が顧客に提供する価値を謳っているのであれば、それを具体的にどう創出するのかが、ビジネスの仕組みの設計です。結果として、企業理念を具体化したものが、ビジネスの仕組みと言えます。ビジネスの仕組みによって、企業理念が絵空事でなくなるわけです。

このようにしてすべてが企業理念を軸につながっていれば、その言葉は企業理念として魂を持つと思います。そういう企業理念が存在しているのなら、ミッションも、パーパスも、必要はありません。

同様な話として、「ビジョン」という言葉の位置づけもよく議論になります。会社によっては、ミッションとビジョンの位置取りを互い違いに解釈して定義している向きも見受けられますが、どちらでもよいと個人的には思っています。ただし、企業理念と同様に、会社がビジョンをもつ意味、ビジョンを定める目的、その定義を明確にして、言葉を選ぶべきでしょう。そして、定めたからには、ビジョンを具体的な行動によって実現していくことが経営者に求められることも、忘れないでいただきたいと思います。

DXを語る前に、まず「ITの運用」ができるか

投稿日時: 投稿者:

2022年10月末に、大阪急性期・総合医療センターという病院でシステム障害が発生し、通常診療が全面停止する事態になりました。

その原因となったのは、ランサムウェアによる攻撃でした。電子カルテシステムを含む院内のデータが暗号化されて利用できなくなり、緊急手術以外の外来診療の一時停止を余儀なくされたのです。同病院は、攻撃者から脅迫を受けながらも、全システムを再構築により完全復旧させる方針を決断し、それに3カ月程度かけることにしました。

聞くところでは、この規模の大病院になると、医療機関としての総合的な運営コストは、1日当たり1億円程度になるのだそうです。通常診療ができないということであれば、そのコストがただ毎日出ていくだけの日々を、約3カ月の間過ごすという決定を下したことになります。それでもシステムの全面再構築の道を選んだわけですから、容易な判断ではなかったでしょう。

その攻撃被害の原因や再発防止策を検討した調査報告書が、2023年3月末に公表されました。

報告書では今回の攻撃を許した原因を整理して指摘しており、部外者の我々も対策を考えるうえで参考になる内容になっています。その中でわたしが注目したことのひとつに、攻撃者の侵入のきっかけになったとされている、外部の給食事業者の存在があります。

攻撃者は、同病院の入院患者向けの給食提供を業務委託で行っていたこの事業者が所有するファイアウォールを破って侵入し、その会社の業務サーバーを乗っ取りました。そこで、同病院のサーバーへの認証情報を得て、同病院が管理する給食サーバーへ横展開していったということです。

このファイアウォールは、給食事業者のシステム構築を担当したベンダーがリモート保守で用いるために、外部からのアクセスを可能にするように認証設定されていました。ところが、ファイアウォールの装置自体がもつ脆弱性が放置されていた状態でした。その脆弱性を突かれたため、アクセスのためのIDとパスワードが窃取されたといいます。

わたしがなぜこの給食事業者に注目したかと言えば、この事業者は侵入のきっかけを作ったそのファイアウォールについて、「存在を知らなかった」と答えているというからです。

このような話、つまり、自分たちがどのような装置や機器を使っているのかを全く把握していない(特に中小)企業というのは、典型的な「あるある話」です。厳に改めるべきことなのです。

そもそも、ITを導入する企業が十分認識すべきことがあります。それは、何らかのITを導入する時点で、その企業には「運用業務」が発生するということです。

運用業務とはつまり、自社が管理すべきIT関連の資産をすべて把握し、それらの資産の適切な取り扱い方法や設定を定めて、適切な動作を継続するように業務を設計して遂行する、というようなことを指します。このとき、自社の管轄ではないが自社のシステムへの影響が避けられない外部の装置やシステムについても、管理責任は軽減されはするものの、自社管理とほぼ同等のケアが必要です。

問題になったファイアウォールが、この給食事業者の資産だったのであれば、管理責任は給食事業者にあります。「存在を知らなかった」では済まされません。

もしベンダーの所有だったとしても、給食事業者がその装置の存在を知らなかったということは、由々しき事態です。ベンダーから説明を聞いていたにもかかわらず忘れていたのだとしたら、給食事業者の責任は免れません。そもそもファイアウォールのような装置では、外部からリモート接続させるなら必要な時だけに限定すべきであり、保守作業の必要がないときでも外部から内部へつながることを許容していたことが問題だと思います。

そうではなく、もし保守ベンダーが給食事業者に許可を得ずに黙って設置していたのだとしたら、ベンダーに対する損害賠償責任が問われかねないようなことに思えますが、装置は会社の管轄区域内に設置されていたのですから、自社内に置いてあるものに何も関心を示さないというのもまた問題です。犯罪者が無断で置いた盗聴器や盗撮カメラに、何の関心も示さず放置するのと同じことです。

ベンダーの説明責任などの問題は多かれ少なかれあると考えられる一方で、装置の運用に対するユーザー企業の認識の甘さ、管理責任の欠如、利用者としての管理努力不足といった道義的な責任は、免れるものではないと、わたしは考えます。仮に、導入したシステムの運用を全面的にベンダーに委託したとしても、最低限の運用管理業務は必ずユーザー企業側に残り、それを負わなければなりません。運用を完全放棄することは、いずれにしてもできないのです。

そういう自覚がないままITを導入する企業が、特に中小レベルでは多すぎるように、個人的には感じています。

ここで経営者の方々に申し上げたいのは、このランサムウェア攻撃被害における給食事業者の責任問題のことではありません。ITを利用する企業はいずれも、ITを会社として利用する時点で、それがいかなるハードウェアやソフトウェア、またはクラウドサービスやツールであったとしても、社内には必ずなんらかの「運用業務」が発生すること、そのために何らかの体制面での措置が必ず要求されること、です。

その対応には、ITを用いたシステムの構成や設定などについて、ユーザー企業自身が少なからず勉強し理解する必要が出てきます。

それがどうしても出来ない、やりたくない、のであれば、会社でITを使ってはいけません。気安く使えば、いつか然るべき時に、この事件の給食事業者のようなことになるでしょう。

いま一度、「企業におけるIT利用は、電気屋で家電を買ってきて使うのとは違うのだ」と認識いただきたい。切に願う次第です。

会社のレベルと、問題の感度

投稿日時: 投稿者:

様々な会社を訪問していると、業種業態にかかわらず、ある特徴から会社の状態を推し量ることができることに気づきます。

例えば、社内の問題に対する「感度」です。成長性が高く勢いを感じる会社ほど、社内に内在する問題に対する感度が高いようです。様々な改善点に日頃から気づき、それらに対処しようと考える。こうした流れが常にあります。問題があるのはある意味フツウのこと、問題がないなんてありえない、早く発見して早く対処すべし。そういう考え方をしています。そのためか、社内の雰囲気は明るいけれど、常によい緊張感がある。そんな印象です。

逆に、勢いがない会社ほど、問題に対する感度が低いように感じられます。社内には多くの問題が存在し、それは第三者の視点ではかなり目立つものであることも多いのですが、それとなく水を向ける程度だと「特に問題とは思っていない」という回答が返ってきたりします。そのためか、社内にはどこかのんびりした空気が流れている。そんな印象です。

問題山積の会社ほど目が回るほどに忙殺されているかと思いきや、そういう会社ほどのんびりした雰囲気に包まれている、というのは、ずいぶん皮肉なものだと思います。

そうなってしまうのは、会社において「何を問題とみなすのか」という基準の厳しさに差があるからでしょう。厳しさに差がある、とはつまり、その会社が達成したいクオリティやレベルの違いです。ひいては、その会社のミッションやビジョンの位置づけの違いということになります。問題の感度が低い会社には、そもそも明確なミッションやビジョンが定義されていないことも多いものです。

言葉を変えれば、その会社にとっての「当たり前」が何なのか、それをいかに社内で固く共有しているか、この差であるとも言えるでしょう。世間で凄い会社と言われるところは大抵、現場の業務を個別に観察するとおよそ「やって当然」の仕事をこなしているように見えて、その当たり前の仕事をこなす「レベル」が普通ではないのです。

よく言われることではありますが、問題を解決するスキルは重要だけれど、もっと重要なのは、問題を設定するスキルです。間違った事柄を問題として捉えれば、どれほど正しく問題を解いたとしても、出てくる答えはやはり間違いです。データ分析の世界には、”Garbage in, garbage out.” という戒めの言葉があります。厳しい言い方ですが、「ごみを入力したら、出力はごみ」という意味です。

このようなことから、問題に気づき設定する役割にあるマネジメント層の能力というのは、非常に重要だと感じます。

コンサルが「正しい」助言をしにくいとき

投稿日時: 投稿者:

先日、同業のある知人から、こんな話を聞きました。

ある中小企業の社長から、DX推進に関してどうしたらよいか支援してほしいと打診を受けて、事情をヒアリングしに行ったのだそうです。会社を訪問すると、社長からその場で経営計画からDX推進の体制案まで、いろいろな文書を見せてもらったと言います。すでにその計画は社内に展開され、社長自ら社員向けに説明も行っているということでした。

訪問先の社長はかなり勉強熱心な方だったようで、計画は自分で立案したがコンサルタントを入れたことはこれまで一度もない、と言っていたそうです。

随分と完璧に見えますが、提示された文書を知人がつぶさに見通すと、その計画は相当に未熟なものに映ったと言います。ミッション、ビジョン、行動指針といった企業理念の3点セットは高らかに謳われているのはいいけれど、それを実現するロジックがまるで考えられていない。

現場の社員たちには、社長が掲げる経営計画に従って自部門の目標をブレークダウンさせたそうですが、その内容を見ると、部門視点の発想から生まれるようなお決まりの目標しかない。それは無理もないことで、スローガンだけ掲げられて経営シナリオが提示されないから、社員から見ると全体の構図がなにもイメージできないわけです。そのため結果的に、過去の経緯と自部門の課題意識の範疇でしか発想ができない。

ヒアリングの席では、進め方に対する社員からの反発はすごいという話だったそうです。それは当然そうなるだろうと、わたしは思います。

それを受けてこの知人はどういう提案を考えたか。結局、その社長の経営計画に沿ってDXを推進する支援企画を考えたのだそうです。

本来ならば、経営計画のレベルからやり直すのが正論です。経営計画が納得感をもって現場まで降りていないそもそもの要因は、社長が立案した経営計画が未熟だからです。漠然としたビジョンを具体的なシナリオにしない限り、起こっている問題は根本的には解決しません。しかし、そうはしない。なぜかといえば、すでにその計画は社内に展開され、社長が自ら説明してしまっているからです。

もし正論を通せば、その経営計画を全否定するように聞こえる。社長自身のモチベーションも低下するし、プライドも傷つくかもしれない。社内も、突如として方針転換がなされたように見えて混乱する可能性もある。支援を推進して成功裏に完了させるには、未熟な計画なことは承知で、それとなく促して良い方向になるように仕向ける支援をし、うまく立ち回ることを選択する。こういう判断です。

この判断は、まったく妥当だと思います。しかし一方で、この社長は損をしたなと、わたしは思います。勉強熱心なのはよいことですが、社長業をしていれば専門家ほどに究めることはほぼ無理です。勉強不足により我流に陥りすぎる結果に嵌るが、自身はそれに気づかない。そのまま他人に相談せずに、計画を実行してしまいました。計画を展開する前に識者に相談していれば、おそらく適切な助言がもらえ、実効性の高い計画立案ができ、それを良い形で社内に展開して円滑に浸透させられていたのではないでしょうか。

専門家であっても外部の人間がアドバイスしにくい状態になっている場合がある。それによって、本来なら得られていた助言が得られなくなる。そういうことがありえると、経営者のみなさんには頭の片隅に置いておいていただきたいと思います。

アフターコロナでは「ジョブ型雇用」なのか

投稿日時: 投稿者:

アフターコロナにおける企業のスタイルとして、ジョブ型雇用も話題になっているようです。複数の大手企業が本格的にジョブ型雇用を実践すると宣言したといいます。

ジョブ型雇用というのは、職務記述書(ジョブディスクリプション)によって職務内容や期待する業務成果を規定し、それに基づいて社員が業務を遂行するという雇用形態で、欧米では一般的なスタイルとされています。そのジョブディスクリプションに基づいて、報酬も決定されます。

労働時間よりも成果によって評価を行おうとする流れにおいて、ジョブ型雇用というのはそれにフィットするように感じられるかもしれません。しかし、6月のコラムで論じた通り、成果主義に基づく制度にするなら的確な業務分解と設計が必要であり、同様のことがジョブ型雇用にも当てはまります。

加えて、ジョブ型雇用には、従来の日本型雇用スタイルでは考えもしなかった負の側面があることも念頭に置いて、その是非を議論すべきです。

例えば、あるITエンジニアをシステム開発要員として採用したとします。この人材をジョブ型雇用で採用した場合、ジョブディスクリプションには、従事してほしい開発分野や職務レベルに関して詳細な記述が盛り込まれ、会社と当人の間で合意が取られます。一種の契約です。

ご承知のとおり、ITの分野はシステム開発以外にも、システム企画・システム運用・技術調査・研究等々と幅広いものがあります。開発の分野だけでも、専門により細かい分解が可能です。

将来は社内のITリーダーになってもらおうと考えた時、日本の会社の管理職層のほとんどは候補の社員に対し、俯瞰できるだけの幅の広い経験を有することを重視するでしょう。会社によっては、技術だけでなく営業も経験してほしい、という意向を持つことも珍しくありません。

日本型の雇用スタイルなら、このような人事異動はなんら問題ありません。ところが、ジョブ型では問題になります。採用した人材は、ジョブディスクリプションの記述に基づいて職務を遂行しますが、それは裏を返せば、規定外の職務には一切対応しないということでもあります。先述のとおり、ジョブディスクリプションは契約です。その人材は、ジョブディスクリプションを盾に、異動を断ることができるのです。外国人社員ですと、実際にそうします。

ジョブ型雇用は、実力と経験を一定以上兼ね備えた、いわばプロ向けの制度です。プロは、成果で評価されます。プロは、成績が悪ければ報酬も減額になりますし、戦力外通告もありえます。その意味では、管理職やビジネスリーダークラスの人材、または特化した専門性を有する職種に対してであれば、機能する制度であるといえます。

一方で、まだ育成段階で安定した成果を企業にもたらすのは困難である若年層の社員に向いている制度ではありません。もし無理やり適用すれば、狭い領域の仕事しか知らない人材しか育成されないうえ、社内ではジョブローテーションがまるで成立しない状態になるでしょう。それはつまり、仕事が人に紐づく属人化の進行を意味します。属人化が進行した業務は、その担当者がいなくなることが経営リスクになります。

また、有能な人材を採用するならジョブ型雇用だ、というような論調も一部で見受けられますが、そういう考えもまた短絡的だと、わたしは思います。

ジョブ型雇用とはひとつの方法論であり、本来は、国籍も経歴も関係なく、社員が実績と努力次第で自ら望むポジションを得られる公平な人事制度を構築することが大きな目的になっています。有能な人材が興味を示してくれるかどうかは、本来その会社の事業や仕事が魅力的かどうかなわけで、ジョブ型雇用であることは2番目以降の理由にしかならないはずです。ましてや、報酬に惹かれて採用を決めるような人材は、数年もすれば報酬をネタにして他の会社に転職していくでしょう。

いかなる場合でも、先立つものは「どうあるべきか」「どうありたいか」という具体的な意志であって、ジョブ型か否かといった方法論やソリューションではありません。方法論など、自らの意志に従って好きなように使い分ければよいことです。

人材は、ビジネスのしくみをドライブする存在です。どれだけ素晴らしいしくみをデザインできても、それをドライブできなければ、仕組みは無用の長物と化します。マスコミに振り回されることなく、まずは人材に対する自らの考えを見える化するところから始めることをお勧めしたいと思います。そのうえでフィットするなら、ジョブ型はあり、ということになるでしょう。

蛇足ですが、去る6月24日に、ファーストリテイリングの柳井正会長兼社長が、京都大学における医学研究に個人として総額100億円を寄付すると発表しました。欧米では、大物の事業家や経済人が何億ドルという自己資産を新型コロナ対策に寄付する動きが多くあります。こうしたことなら、素直に欧米のマネをしてほしいと思う次第です。

こんなときこそBCP(事業継続計画)

投稿日時: 投稿者:

新型コロナウイルスによる影響が広がり、収まる気配がまだありません。先が見えない中で、社会全体が活動を縮小する流れになっています。

各企業は、当面この事態が続く、またはさらに悪くなることを念頭に、事業活動を考えていかなければならない状況でしょう。ひとまずは目先のことに考えが行ってしまうのは避けられないかもしれませんが、ここで考えたいのが「事業継続計画(BCP)」のことです。

BCPは、天変地異など不測の事態が発生した場合に、事業をどのような体制にシフトして継続を図るかをまとめた計画です。東日本大震災の直後には相当にクローズアップされましたし、昨年までに頻発した水害の際にも注目されました。災害のたびにBCPの重要性が問われています。

少なくとも日本企業の間では、BCPというと、地震や台風への備えというイメージで捉えている向きが多いのではないかと、個人的には感じています。しかしながら、BCPの想定には元から、パンデミックも含まれています。直近のパンデミックとして思い出されるSARSの蔓延の際は、日本国内では今回ほどの大騒ぎにまではならなかったと記憶していますが、そのせいもあるのか、多くの人々にはあまり実感が持てないケースだったかもしれません。

実は今回の騒動が発生するより前に、関係するある場でBCPが話題になったことがありました。その際にわたしがパンデミックのことを指摘すると、実感がわかない様子でポカンとしている関係者が多かったのを思い出します。なかには「ひねくれた指摘を」と思った人もいたかもしれません。

パンデミックが他の災害と異なることのひとつは、局所性が小さい、つまり場所を問わないという特性でしょう。地震や台風は、直接の被害地域とそうでない地域に分かれますが、パンデミックではそれがほとんど期待できません。つまり、東と西で「冗長」を取っていれば対策できるというものではありません。すべての人が万遍なく影響を受けてしまいます。そのことは、今回の経験を通して多くの人々の記憶に残るでしょう。

BCPを考慮するうえで大事になることは、「問答無用ですべて止まるとしたとき、どうするか」を考えることだと言われます。今回、人の動き、モノの動き、関係各所の動き、経済の動き、あらゆる事業活動の動きがそれこそ問答無用で縮小しました。一方では、それによる新たなニーズも発生しました。そうした経験を通して、改めて自社のBCPを考え直し、明確な計画がないのなら検討し、自社のビジネスシステムのあり方を問い直してはいかがでしょうか。

ところで、世間では今回の騒動をきっかけにテレワークが話題になっていますが、「BCP=テレワーク」では必ずしもありません。この緊急事態下においては選択の余地はほぼないのは間違いありません。ただし、ソリューションありきの考え方は、平時・有事に関わらず、いかなる状況でもやめるべきです。社内に混乱を招きます。先に考えるべきなのは、自社のビジネスシステムのあり方でしょう。

テレワークに関して言えば、本来なら技術の導入と同時に、勤務体系や現場での仕事の管理、メンバー間での情報のやり取りや責任者の承認、勤務評価の仕方、発生する費用の負担の考え方など、多くの面で業務の仕組みを大幅に見直す必要が出てきます。従業員の負担やパフォーマンスも、在宅時の環境によっては大きく変わります。

オフィス勤務では想定しないような仕組みに組み立てなおして、自社のビジネスシステムがより機能性や柔軟性、成果創出能力などが向上するということなのか。そうした判断をするというのが、テレワークを考えるうえでの本来の筋だと考えます。今回、問題なくテレワークに移行できている企業は、平時からその準備ができていた企業です。

もちろん、有事であっても仕事を止めないためにテレワークが必要だ、という判断はあり得ます。そうであるなら、上記のように業務の仕組みをテレワークが馴染む形で的確に組みなおし、平時から常に運用するという覚悟を含めて判断すべきところです。

今回得られている教訓、またこれまでの自然災害から得られた教訓を振り返りながら、目先だけでなくあるべき姿も含めて、自社のビジネスの仕組みを考え直す契機にされることをお勧めしたいと思います。安心したいなら、他社より早く自らで考え備えることで勝ち取ってください。

情報セキュリティの責任を負うのは、誰か

投稿日時: 投稿者:

最近も、防衛産業を担う複数の大手企業で、情報漏えいの可能性がある不正アクセスがあったことが公表されました。それらの企業のなかには、防衛産業を担うと同時に、情報セキュリティに関連したソリューションも販売しているところがあります。いわば、情報セキュリティ対策の面ではトップクラスの組織であったはずです。そうした企業でも不正アクセスにもろさがあるという現実を、再び突き付けられたと感じます。

つまり、「攻撃されれば成功されてしまう確率は高い」という前提で、モノを考える必要があります。

そんな中で、気になる記事を見かけました。米国と英国での調査だということですが、企業のCISO(最高情報セキュリティ責任者)は強いストレスにさらされ、休日でも気持ちが休まらず、結果として健康を害する人も少なくなく、平均在任期間は26カ月だった、という内容です。

記事では、CISOの仕事の現実を、次のように表現しています。

(記事からの引用)
現在のCISOの仕事は、低予算で、労働時間は長く、経営陣に対する発言力も小さく、雇用できる訓練された専門家は減る一方で、しかもサイバー攻撃に対抗できるインフラを十分に整えられないストレスに恒常的に晒され、常に新たな脅威のプレッシャーを受けている。そして、よい仕事をしても褒められることがない一方で、何かが起これば全責任を負わされるという過酷なものだ。

日本の中堅中小企業で、CISOを置いているところは、ほとんどないだろうと推察します。ということは、上記のような役割を担うのは社長自身であると言えます。その場合、平時は上記のような窮屈さもストレスもプレッシャーも感じないでしょうが、いざ情報セキュリティに関する問題が明るみに出れば、途端に「全責任を負わされる」という状況になるでしょう。

だからといって、「では責任を負ってもらえる専門人材を雇えばよい」という発想もまた、問題があるわけです。情報セキュリティの問題を、特定の責任者が全責任を負う問題に帰結させるべきではありません。わたしは2014年に、ベネッセコーポレーションで大規模な個人情報漏えい事件が発覚した際に、この点について当コラムで指摘をしました。同社でもこの事件の際、当時のCIOが責任を取って辞任しています。

先に申しあげたとおり、「攻撃されれば成功されてしまう確率は高い、という前提で、モノを考える必要がある」のです。どんなに実績がある優秀な情報セキュリティ人材を採用しようが、これは同じです。

情報セキュリティ対策を整備するなら、その体制や各種の具体策は、社長以下「組織」の総意で立案し合意するように検討を推進するべきだろうと思います。

具体的な対策を立案するにあたって、それをリードする専門人材は必要でしょう。ただし、立案する対策に責任を持つのはあくまで組織であって特定の責任者に帰属させない、例えば委員会組織をつくってそこで議論と承認を行い、責任は委員会組織で持つようにする、という体制にするべきです。そしてそれを明確に社内に示し、関係者には無用なストレスを感じることなく従事してもらいます。

一方で、「攻撃されれば成功されてしまう確率は高い、という前提で、モノを考える」とすれば、どのレベルまで対策を高度に整備すれば必要十分なのか、も課題になりやすいかもしれません。

この点についてわたしは、その会社なりに徹底的に考えたことが対外的に説明できるならそれで十分、と考えます。何らかの攻撃をされ、何らかのリスクが現実のものとなり、対外的に公表や謝罪をする必要が発生した時、会社は説明責任を求められます。このときに対策の努力を認めてもらえるだけの説明ができるかどうか、という判断基準です。

事故が起こった以上は、批判は免れないでしょう。しかしその際に、「無策で穴だらけだった」と思われるか、「できることはすべてやっていたが不十分な点があった」と思われるかでは、雲泥の差があります。また、考え抜かれた対策がすでにあるのなら、その問題点を認識して補う行動もしやすいものです。逆に、たいして考え抜かれていないなら、有事の際に素早い対応はできず、傷口はさらに広がります。

大事故になればなるほど、社会的な影響が大きな事故であるほど、CISOがいようがいまいが、説明責任は社長自身が果たさなければなりません。それは、過去の大企業での情報セキュリティ事故における、記者会見の報道などを見てもわかることでしょう。そのとき、言いよどむことのない説明を行うことができるのか。経営者の方々には、このような視点で自社の情報セキュリティの体制と対策を、見つめていただければと思います。