ファンクショナル・アプローチとプロセス・アプローチ

以前の投稿でファンクショナル・アプローチについて述べたが、いわゆる◯◯◯アプローチと言われるものにはいろいろある。ファンクショナル・アプローチと180度逆のアプローチというものは未だに何と呼ぶのかよくわからないが、この◯◯◯アプローチというものは、マネジメント・サイエンスのおける「フレーム」の一種に過ぎないので恐らくいろいろな◯◯◯アプローチというものがこの世に存在するだろう。物事というものは、その切り口、つまり、縦に切るのか、横に切るのか、斜めに切るのか、などの断面によって見え方が異なってくる。ファンクショナル・アプローチは、物や組織やルールなどをその「機能」という断面で切った時にどのように見えるのかというひとつの見方に過ぎず、その他にも時間という軸を持ち込んだり、お金という軸を持ち込んだり、強み・弱みという軸を持ち込んだりと恐らく無限の切り口が存在するはずである。

そのような中でもISOのマネジメントシステムでは最近は「プロセス・アプローチ」というものが重視されている(⇒「ISO9000 Support Package」「日本語版はこちら」参照)。「プロセス」とは、

インプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動(set of interrelated or interacting activities, which transforms inputs into outputs )(ISO22301 paragraph 3.40など)

と定義されており、企業などの一連のビジネス・プロセス(例えば、仕入れ⇒製造⇒販売)をまず定義し、それに必要な仕組み、言い換えれば人や物などの資源配分を考えていきましょう、という考え方である。つまり、「時間軸」を重視している。このビジネス・プロセスは、ビジネスの種類や内容などによって異なるので、個々の企業や組織によって当然異なるだろう。ISO22301(事業継続マネジメントシステム(BCMS))というマネジメント規格が数年前に制定されているが、これも、まず、自分の会社の一連のビジネス・プロセスを明確にして、一連のビジネス・プロセスの中でどのプロセス(「Activity(活動)」という表現が使われているが同じものであるような気がする。)が災害などで被害を受けると影響が大きいのか、どのプロセスがその復旧に時間がかかるのか、などということをまず明確にして、それらのプロセスを保護するためのあらゆる手段(Mitigation, Preparedness, Response, Recovery)を考えておいて、それを文書化するとともにちゃんと実施して下さいね、と要求している。これは、プロセス・アプローチによるオールハザード・アプローチとも言える。つまり、どうやってプロセスを保護するのかということに視点を当てているので、ハザードの種類には依存しない、ということである。

一方、この22300シリーズの中にはISO22320(インシデント対応に関する要件)という規格もある。こちらは、Mitigation, Preparedness, Response, Recoveryといった一連の危機管理サイクルの中の「Response(対応)」の部分にのみ焦点をあてて、あらゆるインシデントに対応するためにはどのような仕組みを作るべきか、という要件が書かれている。つまり、インシデントが発生してしまった後のことについてのみ書かれているので、BCMSのような時間軸の長いビジネス・プロセスについては何も要求されていない。他方、インシデントが発生してしまった後の時間軸の短いプロセスについてはこれを「指揮統制プロセス(Command and Control process)」と称して、「observation」⇒「information gathering, processing and sharin」⇒「assessment of the situation, including forecast」⇒「planning」⇒「decision-making and the communication of the decitions taken」⇒「implementation of decisions」⇒「feedback gathering and control measures」というプロセスを必ず設けて下さいね、と書いてある(ISO22320 paragraph 4.2.5)。つまり、ビジネス・プロセスのように各企業によって異なるというものではなく、ユニバーサルプロセスとして標準化したのだろう。そして、このような各プロセス毎にファンクション(機能)を定義した上で資源配分をインシデントの種類や規模に応じて柔軟に決めて下さいね、と決められている。どのようなファンクションがよいかはいくつか例示されてはいるものの決められてはいないので、この規格を採用しようとする組織や企業の自由である。その意味ではISO22320という規格は、プロセス・アプローチとファンクショナル・アプローチの両方の側面があると言えるのかもしれない。

ところで、そもそも、プロセスとファンクションとは厳密に分かれるのだろうか。逆にいうと分けなければならないのだろうか。プロセスとファンクションが同じになることだってあるだろうし、同じであってはいけないとも言えないだろう。アメリカのICSでは、PlanningとOperationというファンクションが定義されているが、これはよく考えてみるとプロセスでもある。Plan⇒DoのDoのことをOperationと呼んでいるだけである。アメリカは意図的にこの部分は一致させたのかもしれない。

なお、ISO22301とISO22320は別に相反する規格ではないので両立する。ISO22301では、インシデントが発生した後のプロセスやファンクションには言及していないので、両方満足するようなマネジメントシステムを作るのがよいと思われる。

ISO22320ではファンクションについては固定していないと書いたが、アメリカのICSはこれを国家レベルで固定、言い換えれば標準化している。標準化する場合には、このように何をどこまで固定するのか、また、固定できるかを慎重に考えていく必要がある。

 

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中