Обеспечение информационной безопасности бизнеса
Шрифт:
Со временем модель Деминга — Шухарта получила свое практическое применение на всех уровнях деятельности организации, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность независимо от области применения должна изначально (по возможности тщательно) планироваться, а ее реализация наряду с поддержкой — контролироваться (проверяться) и при необходимости совершенствоваться, обеспечивая адаптацию к изменениям как в среде рассматриваемой системы, так и в ней самой.
2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации
В практической деятельности при работе над внедрением в различных организациях систем менеджмента
Рис. 14 иллюстрирует эталонную модель Деминга — Шухарта (модель Деминга), как это представляется экспертами технических комитетов ИСО, использующих данную модель в основе международных управленческих стандартов [8]. Эта методология в равной степени применима к высокоуровневым стратегическим процессам и простой операционной деятельности.
Основные фазы модели следующие:
— «планирование»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политиками организации;
— «выполнение» («реализация»): реализация запланированных процессов и решений;
— «проверка»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;
— «действие» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.
В основе практики реализации модели Деминга лежит процессный подход. При этом само практическое наполнение понятия «процесс» не предполагает жесточайшей регламентации. В процессном подходе любая деятельность, которая выполняется или для управления которой используются ресурсы организации, считается процессом, преобразующим входы в выходы. Это методология (подход), идентифицирующая процессы в организации так, чтобы их взаимосвязи могли быть поняты, видимы и измеримы, а итоговая совокупность процессов понималась бы как единая система реализации целей деятельности организации (см. рис. 15).
Процессный подход вводит горизонтальный менеджмент, пересекающий барьеры между различными функциональными единицами и консолидирующий их внимание на основных целях деятельности организации. Это не всегда берется в расчет и учитывается при принятии решения в организации о переходе на процессные технологии.
Как правило, структура организаций представляет собой иерархию функциональных единиц. Менеджмент организаций обычно осуществляется вертикально с разделением ответственности за намеченные результаты работ организации между функциональными единицами. Конечный потребитель или другая заинтересованная сторона не всегда отчетливо представляются всеми вовлеченными в работу сторонами (см. рис. 16). В результате проблемы, возникающие на границах сопряжения, часто считаются менее приоритетными, чем краткосрочные цели функциональных единиц (подразделений организации). Это ведет к незначительному совершенствованию для заинтересованных сторон или к полному отсутствию совершенствования, так как действия обычно сосредотачиваются на функциях, а не на общей пользе для организации и результатах ее деятельности.
Оптимизация производственной инфраструктуры неизбежна при использовании процессного подхода, например перевода той или иной деятельности организации на стандарты процессного подхода. При этом и функционирование организации может быть усовершенствовано посредством использования процессного подхода. Осуществление менеджмента процессов в этих условиях такое же, как системы, — путем создания и осмысления сети процессов и их взаимодействий с идентификацией необходимых атрибутов процессной методологии (роли и ответственные, включая владение процессом, входы/выходы, работы процесса, показатели достижения целей и т. д.).
Выходы одного процесса могут быть входами для других процессов и могут быть связаны в общую сеть или систему процессов (см. общие примеры, приведенные на рис. 17 и 18).
На практике качество решения задачи проектирования оптимальной и эффективной для данной организации сети или системы процессов предопределяет залог успеха всей компании использования процессной методологии. Здесь существует масса «подводных рифов», о которые может разбиться «корабль» реинжиниринга деятельности компании. Организационный аспект, отмеченный выше, есть один из них, который может застопорить все работы. Некоторые другие будут рассмотрены далее.
На уровне организации, как правило, выделяются следующие виды процессов (см. рис. 18):
— менеджмента организации — включают процессы, относящиеся к стратегическому планированию, установлению политик, постановке целей, обеспечению коммуникации, обеспечению доступности необходимых ресурсов и проверкам, проводимым руководством;
— менеджмента ресурсов — включают все процессы обеспечения ресурсов, которые необходимы для процессов менеджмента организации, реализационных процессов и процессов измерения;
— реализационные — включают все процессы, обеспечивающие намеченный выход для организации;
— измерения, анализа и совершенствования — включают процессы, необходимые для измерения и сбора данных для анализа функционирования и совершенствования эффективности и продуктивности, процессы измерения, мониторинга и аудита, корректирующие и превентивные меры и являются интегральной частью процессов менеджмента, менеджмента ресурсов и реализационных процессов.
Пример процессной последовательности и ее взаимодействий на уровне организации, представленный на рис. 18, иллюстрирует некую упрощенную эталонную модель, нуждающуюся в серьезной адаптации под операционную и управленческую инфраструктуру организации. Наиболее сложным в этой задаче, как правило, является вопрос регламентации действий (деятельности работников любого уровня), являющихся следствием внезапных или неожиданных событий (стохастическая составляющая в деятельности организации). В зависимости от рода деятельности организации, качества компонентов операционной среды и подготовки персонала стохастическая составляющая в деятельности организации может варьироваться от 20 до 80 %. Наиболее сложны в этом плане процессы менеджмента (управленческие процессы), связанные с принятием решений. Отдельные проблемы данной категории процессов, сопряженные с рисками принятия решений, затрагивались в предыдущей главе.
Эталонная реализация процессного подхода в рамках модели Деминга предполагает следующие пять основных процедурных шагов:
— идентификация процессов организации;
— планирование/проектирование процессов (для каждого реализуемого процесса);
— реализация процессов и измерения;
— анализ процессов;
— корректирующие действия и совершенствование процессов.
В связи с тем, что модель Деминга явно требует реализации контрольных процедур, основывающихся на объективных свидетельствах, отдельной проработки требует вопрос документирования, чтобы на практике заработал процесс «совершенствование» модели Деминга. Это включает то, что необходимо выполнить (требования и спецификации), и требования к документированию выполненной деятельности. При этом затруднительно организовать и еще сложнее поддержать в актуальном состоянии полный список документированных процессов организации и единый реестр требований к свидетельствам выполненной деятельности. В то же время для целей измерений, контроля и аудита должны приниматься требования по документированию соответствующих результатов деятельности. Когда такие решения принимаются спонтанно и не согласованы с конечными производственными результатами, то вместо роста эффективности мы можем получить обратный результат, вплоть до деградации объекта рассмотрения.