GYOMUハックのKPIとしての、ビジネス部門の業務成熟度評価

こんにちは。freee の土佐です。

これは [GYOMUハック/業務ハック Advent Calendar 2019](https://adventar.org/calendars/4192) の 23日目の記事です。

この記事では、[GYOMU Hackers Night vol.15 業務改善の社内価値の計測方法](https://gyomu-hackers-guild.connpass.com/event/152757/) で LT した内容をそのまま紹介したいと思います。

GYOMUハックとは

そもそも GYOMUハックとはどういう仕事なんでしょうか。

私はGYOMUハックは、要はフルクラウド時代の社内システム開発の仕事だと思っています。

下図の左半分のように、オンプレミス時代の社内システム開発は、その多くがオーダーメイドの開発が必要なものであり、業務要件に合わせてシステムを作り上げていくのが仕事でした。もちろん一定程度の業務知識は必要ですが、メインはエンジニアリングノウハウが求められる仕事でした。

一方で、フルクラウド時代の社内システム開発は、下図の右半分のように、業務要件とSaaSを擦り合わせていくような仕事になっています。SaaS は どの製品であってもなるべくカスタマイズを少なく、そのまま使うことが推奨されており、時として業務をSaaSに合わせることが必要になります。このため業務知識をより一層求められるようになりましたし、当然 SaaSへの深い理解、そしてSaaSの仕様を支える、ビジネスの業界標準の考え方についても理解を求められるようになりました。

GYOMUハックとは、社内システム開発の新しい形といえばそれまでだけれども、これまでとは求められるものが大きく異なる新しい仕事のスタイルだと思っています。

f:id:teppei-studio:20191222225714p:plain
GYOMUハックとこれまでの社内システム開発の違い

新しい仕事は評価のされ方が難しい

このように新しい仕事のスタイルなわけですが、そうすると評価のされ方も色々難しさがあります。

この図に記載のように、いろんなこと言われて来ました。
GYOMUハックチームのマネージャーとしては、こうした声からチームメンバーを護り、正当な評価をしてあげることが使命です。

f:id:teppei-studio:20191222233121p:plain
色々言われる

ところで、私は freee のセキュリティの責任者も担っているんですが、セキュリティでも似たようなことを言われたことがあります。

f:id:teppei-studio:20191222233452j:plain
tosaのことは信頼しているが セキュリティの領域は専門性が 高すぎて良くわからない 可能な限り透明性を高めてほしい

まぁ、おっしゃる通りですよね。

セキュリティはとてもコストがかかるものですが、効果はわかりづらいものです。そのくせ、重要性は大きく、その重要性を盾に効果の分かりづらいコストばかり要求するようでは信頼が得られません。

そこで、NISTが出す Cyber Security Framework を活用した、成熟度評価を行いました。

f:id:teppei-studio:20191222234043p:plain
Cyber Security Framework

このフレームワークでは「検知」「識別」「防御」「復旧」「対応」のカテゴリごとに、百以上の評価項目が設定されています。これを、自社でいうとどういう評価観点になるだろうかを整理し、評価を実施し、5つのカテゴリごとに平均値を算出し、レーダーチャートで表現しました。そこに期ごとの目標もプロットし、経営向けに「今はここにいます、次はここに行きます。ここを優先して伸ばしていきます。なぜなら ... 」という説明をするようにしました。

やってみて、肌感がちゃんとチャートに現れていて、表現手段としていいなと思いましたし、分かりやすい進捗状況の表現手段として経営陣にも好評でした。

GYOMUハックでも業務成熟度評価をやってみよう

このように、定性的にしか評価できないものを分解して積み上げることで定量化させる手段として、結構有効な手段だということが分かりました。

GYOMUハックの仕事も、その最終成果はもちろん売上の向上だったりするわけですが、直接的成果はビジネス部門の業務プロセスの進化です。これはどうしても定性的な評価しかできないわけですが、これと同じやり方をすれば、GYOMUハックの仕事の評価をうまく表現できると考えました。

ところが、セキュリティであればNISTが策定した評価項目があるわけですが、GYOMUハックはそういうものがなく、評価項目から1から作らないといけません。

以下のスライドで、評価に当たって決めないといけないことをまとめました。

f:id:teppei-studio:20191223001657p:plain
評価にあたって決めないといけないこと

そして、それぞれ、以下のように決めました。

f:id:teppei-studio:20191223001910p:plain
評価にあたって決めたこと

評価やってみた

で、評価やってみたのがこちらです。

f:id:teppei-studio:20191223002101p:plain
評価やってみたイメージ

これはあくまでもイメージですが、これを例に以下のように今後の方針などを表現することができます。

f:id:teppei-studio:20191223001815p:plain
評価結果を元に方針を示す

やってみて、今の所、フォーカスする課題を選択していく上で、経営、biz、GYOMUハックで共通言語が得られたのは大きいといった声や、この評価結果で課題があるところと、現場の課題感がマッチしていることを確認しつつ、施策を進められると良さそう(今のところ、マッチしているように見える)といった声をもらえています。

評価して、実際に進捗させるのが難しいので、これから頑張っていきます。