組織の成熟度を上げる事例
〜KPIを定めPDCAを評価〜
B社では、組織の成熟度を上げるためPDCAサイクルを実施しています。セキュリティチームでは、事業年度の初めに計画として目標や評価指標を定めます。これをKPIとして置いています。B社では、セキュリティを「自社の事業運営を安全に円滑に行うために実施する」と定義し、それを実現する要因の一つとして成熟度を大切にしています。この成熟度はさらに2つの要素に分割されます。一つは会社全体の成熟です。適用範囲を会社の全環境、全従業員としています。もう一つは、セキュリティチームの成熟です。セキュリティを取り組むにあたって、担当チームが成熟していくことは重要な要素だと考えています。
B社の目標事例
| 目標 | KGI | KSF | KPI |
|---|---|---|---|
| 安定した事業運営を行うため、組織がセキュリティの取り組みを理解し、実践している状態を維持する。 | 従業員のセキュリティの理解度90%以上の維持 | 従業員向けの取り組み |
|
| セキュリティチーム向けの取り組み |
|
この目標を達成して行くことは、組織の成熟度を上げることにつながっているとB社では考え、PDCAを意識しています。セキュリティ担当チームではこの目標を実行するためにKSFで定めた「従業員向けの取り組み」と「セキュリティチーム向けの取り組み」のバランスを意識し取り組みを行っています。KGI達成のためには「従業員向けの取り組み」のみをしていれば良いようにも思われます。それだけでなく、従業員向けの取り組みを主導して行く立場にあるセキュリティチームが成長できる施策を行うことも、目標達成のためには重要な要素であるとB社では考えています。
Plan
1年間の目標・KGI・KSF・KPIを設計し、アクションプランの検討を行う
Do
実行スケジュールをたてアクションプランを実行する
Check
KPIの達成状況を確認し、KSF・KGIの達成状況の確認と進捗について評価する
Action
評価の結果を受けてアクションプランの見直し・検討を行う。必要に応じて目標の変更を行う場合もある。
KPIと連動した取り組みとなっているため、セキュリティチームも日々の業務の中で実施する意義が分かりやすく、モチベーションが高く維持されています。また、B社の特徴として、事業貢献も意識しており、セキュリティだけ行っていればいいというわけではないという点が挙げられます。
PDCAの評価において、事業貢献が無い、事業部門からの評判が悪いといった場合、改善をする必要があります。セキュリティの目的が明確になっており、事業との連携を意識しつつも、セキュリティチームが成熟し、評価される仕組みが整えられています。