マネジメントレビュー(代表者による見直し)はマネジメントシステムにおいて最も重要な運用プロセスだと当社は考えます。
ところが非常に難しいプロセスでもあります。下図はマネジメントシステムが有効に機能していない状態を表しています。経営層はマネジメントレビューという「無駄な儀式」への参加を強いられ、プライバシーマークやISMSにますます無関心になります。次第に認証は経営に邪魔だとさえ考え始めます。
個人情報保護にしろ、情報セキュリティにしろ、適切に実行するには、「ヒト・モノ・カネ」が必要となります。これらのリソースを適切に配備するには経営層の協力が必要なのです。経営層をマネジメントシステムに巻き込むには、マネジメントレビューを通じた腹落ちするインプットや提案が必要となります。
ある会社から、自社の状況を客観的に評価した結果を経営層に届けたいという依頼がありました。監査報告は適切におこなっているものの、細かい話に終始してしまうため、それを聞いている経営層はどうも眠くなってしまうようです。そこで、自社の強みや弱点をビジュアルに示した資料を提示することにしました。ISMS、PMSともにリスクマネジメントの仕組みが形骸化していること、セキュリティ面においては、事業部管理に情報システムがアキレス腱になっていること、が経営層にダイレクトに伝わりました。
その上で、短期的に実行すべきことと、中長期的に実行すべきことを仕分けして、レポートしました。この会社のPDCAはここをスタート地点として、円滑に回り始めました。
各社個別の状況もあるため、こうすれば正解、というものはありませんが、マネジメントレビューをアリバイ作りのための儀式として終わらせるのではなく、最も重要なマネジメントプロセスとして有効に活用することにチャレンジしてみてはどうでしょうか。