BzBook.ru

Обеспечение информационной безопасности бизнеса

2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации

В практической деятельности при работе над внедрением в различных организациях систем менеджмента информационной безопасности, систем менеджмента информационными активами организации, систем менеджмента рисками информационной безопасности и прочих систем менеджмента в области информационной безопасности нередко приходится слышать применительно к модели Деминга — Шухарта фразу «волшебный цикл». По большому счету это не преувеличение, а лишь отражение того, что теория системного и процессного подходов попала в цель и практика многократно подтвердила эту теорию.

Рис. 14 иллюстрирует эталонную модель Деминга — Шухарта (модель Деминга), как это представляется экспертами технических комитетов ИСО, использующих данную модель в основе международных управленческих стандартов [8]. Эта методология в равной степени применима к высокоуровневым стратегическим процессам и простой операционной деятельности.

Основные фазы модели следующие:

— «планирование»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политиками организации;

— «выполнение» («реализация»): реализация запланированных процессов и решений;

— «проверка»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;

— «действие» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.

Обеспечение информационной безопасности бизнеса 2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации.

В основе практики реализации модели Деминга лежит процессный подход. При этом само практическое наполнение понятия «процесс» не предполагает жесточайшей регламентации. В процессном подходе любая деятельность, которая выполняется или для управления которой используются ресурсы организации, считается процессом, преобразующим входы в выходы. Это методология (подход), идентифицирующая процессы в организации так, чтобы их взаимосвязи могли быть поняты, видимы и измеримы, а итоговая совокупность процессов понималась бы как единая система реализации целей деятельности организации (см. рис. 15).

Обеспечение информационной безопасности бизнеса 2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации.

Процессный подход вводит горизонтальный менеджмент, пересекающий барьеры между различными функциональными единицами и консолидирующий их внимание на основных целях деятельности организации. Это не всегда берется в расчет и учитывается при принятии решения в организации о переходе на процессные технологии.

Как правило, структура организаций представляет собой иерархию функциональных единиц. Менеджмент организаций обычно осуществляется вертикально с разделением ответственности за намеченные результаты работ организации между функциональными единицами. Конечный потребитель или другая заинтересованная сторона не всегда отчетливо представляются всеми вовлеченными в работу сторонами (см. рис. 16). В результате проблемы, возникающие на границах сопряжения, часто считаются менее приоритетными, чем краткосрочные цели функциональных единиц (подразделений организации). Это ведет к незначительному совершенствованию для заинтересованных сторон или к полному отсутствию совершенствования, так как действия обычно сосредотачиваются на функциях, а не на общей пользе для организации и результатах ее деятельности.

Обеспечение информационной безопасности бизнеса 2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации.

Оптимизация производственной инфраструктуры неизбежна при использовании процессного подхода, например перевода той или иной деятельности организации на стандарты процессного подхода. При этом и функционирование организации может быть усовершенствовано посредством использования процессного подхода. Осуществление менеджмента процессов в этих условиях такое же, как системы, — путем создания и осмысления сети процессов и их взаимодействий с идентификацией необходимых атрибутов процессной методологии (роли и ответственные, включая владение процессом, входы/выходы, работы процесса, показатели достижения целей и т. д.).

Выходы одного процесса могут быть входами для других процессов и могут быть связаны в общую сеть или систему процессов (см. общие примеры, приведенные на рис. 17 и 18).

Обеспечение информационной безопасности бизнеса 2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации.

На практике качество решения задачи проектирования оптимальной и эффективной для данной организации сети или системы процессов предопределяет залог успеха всей компании использования процессной методологии. Здесь существует масса «подводных рифов», о которые может разбиться «корабль» реинжиниринга деятельности компании. Организационный аспект, отмеченный выше, есть один из них, который может застопорить все работы. Некоторые другие будут рассмотрены далее.

На уровне организации, как правило, выделяются следующие виды процессов (см. рис. 18):

— менеджмента организации — включают процессы, относящиеся к стратегическому планированию, установлению политик, постановке целей, обеспечению коммуникации, обеспечению доступности необходимых ресурсов и проверкам, проводимым руководством;

— менеджмента ресурсов — включают все процессы обеспечения ресурсов, которые необходимы для процессов менеджмента организации, реализационных процессов и процессов измерения;

— реализационные — включают все процессы, обеспечивающие намеченный выход для организации;

— измерения, анализа и совершенствования — включают процессы, необходимые для измерения и сбора данных для анализа функционирования и совершенствования эффективности и продуктивности, процессы измерения, мониторинга и аудита, корректирующие и превентивные меры и являются интегральной частью процессов менеджмента, менеджмента ресурсов и реализационных процессов.

Обеспечение информационной безопасности бизнеса 2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации.

Пример процессной последовательности и ее взаимодействий на уровне организации, представленный на рис. 18, иллюстрирует некую упрощенную эталонную модель, нуждающуюся в серьезной адаптации под операционную и управленческую инфраструктуру организации. Наиболее сложным в этой задаче, как правило, является вопрос регламентации действий (деятельности работников любого уровня), являющихся следствием внезапных или неожиданных событий (стохастическая составляющая в деятельности организации). В зависимости от рода деятельности организации, качества компонентов операционной среды и подготовки персонала стохастическая составляющая в деятельности организации может варьироваться от 20 до 80 %. Наиболее сложны в этом плане процессы менеджмента (управленческие процессы), связанные с принятием решений. Отдельные проблемы данной категории процессов, сопряженные с рисками принятия решений, затрагивались в предыдущей главе.

Эталонная реализация процессного подхода в рамках модели Деминга предполагает следующие пять основных процедурных шагов:

— идентификация процессов организации;

— планирование/проектирование процессов (для каждого реализуемого процесса);

— реализация процессов и измерения;

— анализ процессов;

— корректирующие действия и совершенствование процессов.


В связи с тем, что модель Деминга явно требует реализации контрольных процедур, основывающихся на объективных свидетельствах, отдельной проработки требует вопрос документирования, чтобы на практике заработал процесс «совершенствование» модели Деминга. Это включает то, что необходимо выполнить (требования и спецификации), и требования к документированию выполненной деятельности. При этом затруднительно организовать и еще сложнее поддержать в актуальном состоянии полный список документированных процессов организации и единый реестр требований к свидетельствам выполненной деятельности. В то же время для целей измерений, контроля и аудита должны приниматься требования по документированию соответствующих результатов деятельности. Когда такие решения принимаются спонтанно и не согласованы с конечными производственными результатами, то вместо роста эффективности мы можем получить обратный результат, вплоть до деградации объекта рассмотрения.

Далеко за примерами ходить не надо. Известны результаты акций по внедрению систем менеджмента качества (СМК) в большинстве российских компаний, когда основной целью были «шашечки», а «ехать» никто никуда не собирался. Но это одна ситуация. Более печально, когда руководство организации на самом деле желает поднять качество деятельности (продукции), но в силу слабой компетенции сотрудников получает обратный результат… Даже для европейского менталитета и гораздо более высокой исполнительской дисциплины персонала западных компаний такая ситуации не редкость.

Журнал European Quality, издаваемый Европейской организацией по качеству, опубликовал в статье «10 аргументов против применения стандартов ИСО серии 9000» изложение фрагмента книги Дж. Седдона «В поисках качества. Дело против ИСО 9000» [9]. Автор считает, что существуют более надежные способы повышения эффективности предприятий, удовлетворения потребителей, обеспечения реального качества и увеличения прибылей, чем работа в соответствии с предписаниями стандартов ИСО серии 9000, даже в версии 2000 г. Дж. Седдон полагает, что внедрение стандартов ИСО серии 9000 нанесло ущерб конкурентоспособности сотен тысяч организаций. Он приводит мнение одного из британских специалистов, который был тесно связан с внедрением британского стандарта BS 5750, послужившего основой для разработки международных стандартов ИСО серии 9000: «Внедрение BS 5750/ISO 9000 в британской промышленности стало крупнейшим обманом». Автор отмечает, что главной ошибкой была излишняя уверенность организаций в том, что внедрение стандартов качества решит все проблемы (наивные британцы!). При этом обращается внимание на то, что процедура сертификации по ИСО 9000 не позволила организациям разглядеть реальные возможности для повышения своих показателей, которые они обязательно заметили бы в ином случае: процедура регистрации на соответствие стандартам ИСО 9000 заслонила собой эти возможности.

Среди аргументов против применения стандартов ИСО серии 9000 Дж. Седдон приводит и абсолютно ожидаемый, касающийся требований документирования СМК. Он отмечает, что из-за обилия отчетных регистрационных форм персонал компаний неявно подменяет ими содержание своего труда, так как контроль идет по формализованным свидетельствам о выполненной деятельности на том или ином участке работ. Ту же ситуацию мы видим и в российских компаниях, внедряющих подобные стандарты, когда их применение не ориентировано на совершенствование продукта/результата деятельности, когда решения о применении стандартов менеджмента не сопровождаются обсуждением и закреплением о том, что и как планируется улучшить в деятельности организации, относительно имеющейся в настоящее время ситуации.