COBIT、ISMS、ITIL、PMBOK等等,有很多的标准或规范正在盛行。在这里,把它们称之为“管理标准”。
定律之18:
只有IT部门才会关心这些 管理标准
IT部门在每次有管理标准新出台的时候,都要折腾一番:学习新标准,或是取得新的认证。 这些标准要求,首先应该是在老板的管理之下全公司所进行的活动,其次是利用PDCA来持续地加强成熟度。本来,应该是包括老板在内的所有的相关人等都应该关心和理解才对。
COBIT是关联到公司层的标准,所以本来老板也应该是其管理对象才对。但是,看过COBIT并且能够理解的老板如同凤毛麟角。下次再改版的时候,真希望把“熟读本书并能够理解”作为测试成熟度的一个指标。
比如,在一个叫做销售系统开发的项目中,销售部门经理是项目经理。尽管如此,销售部门却连PMBOK这个词都不知道。
定律之19:
创造新的商业机会是管理标准的效果之一
指定管理标准的目的,可以认为是让更多的企业通过理解并实施这些标准,从而提高企业的成熟度。一般来说有以下这样的战略。
“我们制定了某某标准。这个标准除了参加本协会主持的进修班以外不对外公布。我们严格保护知识产权,严禁本协会以外的相关人等擅自发布与本标准有关的内容”
“我们设置了某某标准的认证制度。为了要赢得客户的信赖就必须取得该标准的认证才行”
“我们设置了某某认证制度的审查员资格考试。想要得到考试资格,就必须参加高额学费的进修班。为了维持审查员的知识和能力,每年都必须要支付当年所定的进修班费用和资格更新费用。但是,就算拥有审查员资格,但是也不能对非本协会认可的团体,实施认证审查”
这些要是由协会独自执行毕竟有限度。所以,把某某标准变成ISO规范,从而形成一种半强制的制度。
就这样变身成为认证行业,其目的是通过增加认证人数量,获得收入。其中已经扩大到徽章、手册、名片等等相关商品的制造行业。
定律之20:
资格制度会产生教条主义
这些认证考试,当然要求其标准里面记述的内容能过一字不差的默写出来才行。
在实际的安全对策或者是项目管理上,盲目的认为,不能使用标准里面所提到的方法以外的手段(反正本来也不知道),标准里所提到的文档必须全部准备齐全才行。对这样所产生的项目延迟等现象则漠不关心。
定律之21:
关心的只是管理标准的资格认证和更新 而已
取得某某认证的理由是为了给客户展示,而不是 为了改善实际的业务管理方式。结果,取得了ISO9001认证的工厂隐藏次品、取得了HACCP(ISO22000)的食品厂商使用了过期的原料等等类似的事件持续出现,但是,却没有受到审查认定机构取消其认证资格的处分。这已经说明了一切。
由于上述理由,相关部门对于管理标准而已,所关心的只是取得认证和资格更新。而能否完整的准备文档则成为最大的工作。而这个与IT的活用有直接关系。结果,对管理标准抱有兴趣的 就只有IT部门了。
定律之22:
中小企业才更要重视规范和标准
个人信息保护法或者日本版SOX法,并非针对 中小企业。但是这些中小企业的客户的大公司却是针对对象,这些大公司有监督的义务。根据这些客户的要求,取得ISO9001或者PMark认证的中小企业也有很多。
但是,大公司却要求中小企业达到比自己的级别还要严格的级别。与由审查人员来执行的第三者认证有所不同,由客户来执行的第二者认证由于要求项目以及认证标准可以任意的制定,从而使要求更加严格。
管理标准的泛滥,对中小企业是一种威胁。
译注:
PMark(privacy mark),是日本的一种保护个人信息的制度。我经历过的一次审查过程就是,审查人员来到公司,到会议室里和老板谈了一会,然后出来,认证就通过了。相信这个认证有效的恐怕只是无知的最终客户了吧。
ISMS(Information Security Management System),同上。换了名字比较酷,个人理解。我也经历过ISMS的审查,就算有不合格的项目,就给你一个改正期间,也能马上通过。改正期间到了还不改呢?就再给你一个期间。反正要的是你付的年费而已。
原文链接: http://www.atmarkit.co.jp/im/cits/serial/murphy/04/01.html
版权归原作者所有,转载请包含原文链接
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/378235/viewspace-700609/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/378235/viewspace-700609/