Обеспечение информационной безопасности бизнеса - В. Андрианов
Шрифт:
Интервал:
Закладка:
Модель Деминга фактически приводит нас к мысли о необходимости не только регулярного контроля, но и использования знаний, накопленных на предшествующих этапах модели или полных циклах, в совершенствовании своей деятельности. Используя подобную модель и рассматривая процессы (виды деятельности организации), управляемые согласно им во временной ретроспективе, мы получаем возможность спрогнозировать будущие результаты этих процессов. В связи с этим существуют интересные оценки возможностей системы управления (менеджмента) организации. Не более 15 % всех проблем (или возможностей улучшения) в организациях связано с возможной вариацией в реализации производственных процессов, которые могут быть в поле зрения рядовых работников. Тогда как на долю менеджеров приходится как минимум 85 % от всех потенциальных возможностей улучшений системы, в которой работают их служащие. После проверки этих чисел на протяжении многих лет д-р Деминг пересмотрел их и в 1985 г. дал новую оценку, соответственно 6 и 94 % [6].
Модель Деминга — Шухарта получила широкое применение не только в стандартах качества ГОСТ Р ИСО 9000 и экологии ГОСТ Р ИСО 14000, но и в стандартах иных видов деятельности организаций — не только отраслевых, таких как автомобилестроение и цепочки поставок и безопасность продуктов питания, но таких специфичных, как информатизация и безопасность. Везде, где объектом рассмотрения может быть деятельность и применим процессный подход, развивается и внедряется модель менеджмента, основывающаяся на циклической модели Деминга — Шухарта.
Со временем модель Деминга — Шухарта получила свое практическое применение на всех уровнях деятельности организации, связанной с безопасностью, и на всех направлениях обеспечения безопасности (экономической, информационной, физической и пр.). Фактически это является отражением того, что любая деятельность независимо от области применения должна изначально (по возможности тщательно) планироваться, а ее реализация наряду с поддержкой — контролироваться (проверяться) и при необходимости совершенствоваться, обеспечивая адаптацию к изменениям как в среде рассматриваемой системы, так и в ней самой.
2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации
В практической деятельности при работе над внедрением в различных организациях систем менеджмента информационной безопасности, систем менеджмента информационными активами организации, систем менеджмента рисками информационной безопасности и прочих систем менеджмента в области информационной безопасности нередко приходится слышать применительно к модели Деминга — Шухарта фразу «волшебный цикл». По большому счету это не преувеличение, а лишь отражение того, что теория системного и процессного подходов попала в цель и практика многократно подтвердила эту теорию.
Рис. 14 иллюстрирует эталонную модель Деминга — Шухарта (модель Деминга), как это представляется экспертами технических комитетов ИСО, использующих данную модель в основе международных управленческих стандартов [8]. Эта методология в равной степени применима к высокоуровневым стратегическим процессам и простой операционной деятельности.
Основные фазы модели следующие:
— «планирование»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политиками организации;
— «выполнение» («реализация»): реализация запланированных процессов и решений;
— «проверка»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;
— «действие» («совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.
В основе практики реализации модели Деминга лежит процессный подход. При этом само практическое наполнение понятия «процесс» не предполагает жесточайшей регламентации. В процессном подходе любая деятельность, которая выполняется или для управления которой используются ресурсы организации, считается процессом, преобразующим входы в выходы. Это методология (подход), идентифицирующая процессы в организации так, чтобы их взаимосвязи могли быть поняты, видимы и измеримы, а итоговая совокупность процессов понималась бы как единая система реализации целей деятельности организации (см. рис. 15).
Процессный подход вводит горизонтальный менеджмент, пересекающий барьеры между различными функциональными единицами и консолидирующий их внимание на основных целях деятельности организации. Это не всегда берется в расчет и учитывается при принятии решения в организации о переходе на процессные технологии.
Как правило, структура организаций представляет собой иерархию функциональных единиц. Менеджмент организаций обычно осуществляется вертикально с разделением ответственности за намеченные результаты работ организации между функциональными единицами. Конечный потребитель или другая заинтересованная сторона не всегда отчетливо представляются всеми вовлеченными в работу сторонами (см. рис. 16). В результате проблемы, возникающие на границах сопряжения, часто считаются менее приоритетными, чем краткосрочные цели функциональных единиц (подразделений организации). Это ведет к незначительному совершенствованию для заинтересованных сторон или к полному отсутствию совершенствования, так как действия обычно сосредотачиваются на функциях, а не на общей пользе для организации и результатах ее деятельности.
Оптимизация производственной инфраструктуры неизбежна при использовании процессного подхода, например перевода той или иной деятельности организации на стандарты процессного подхода. При этом и функционирование организации может быть усовершенствовано посредством использования процессного подхода. Осуществление менеджмента процессов в этих условиях такое же, как системы, — путем создания и осмысления сети процессов и их взаимодействий с идентификацией необходимых атрибутов процессной методологии (роли и ответственные, включая владение процессом, входы/выходы, работы процесса, показатели достижения целей и т. д.).
Выходы одного процесса могут быть входами для других процессов и могут быть связаны в общую сеть или систему процессов (см. общие примеры, приведенные на рис. 17 и 18).
На практике качество решения задачи проектирования оптимальной и эффективной для данной организации сети или системы процессов предопределяет залог успеха всей компании использования процессной методологии. Здесь существует масса «подводных рифов», о которые может разбиться «корабль» реинжиниринга деятельности компании. Организационный аспект, отмеченный выше, есть один из них, который может застопорить все работы. Некоторые другие будут рассмотрены далее.