+421 2 20 838 400
[email protected]
Kontaktujte nás
Vybrať región
sk
  • SK
  • CZ
  • EN
Vytlačiť

Infoware, str.24 / Ako správne navrhnúť bezpečnostné procesy?

Ako správne navrhnúť proces
Správne nastaviť bezpečnostný proces tak, aby bol v praxi používaný, je obyčajne veľká výzva. Odborné útvary často vnímajú bezpečnosť ako prekážku v produktivite práce. Navyše nie vždy rozumejú jej prínosom alebo interným normám, ktoré bezpečnostný proces opisujú.
Keď to prirovnáme k účtovníctvu, bežného zamestnanca zaujíma, aký formulár musí vyplniť a kam ho má poslať, ak chce vyúčtovať služobnú cestu. Vôbec ho už nezaujíma, akým spôsobom sa toto vyúčtovanie realizuje v účtovníctve.
Rovnako by to malo byť aj v bezpečnosti. Bežní zamestnanci by sa v norme mali dozvedieť, čo sa od nich očakáva, ale bez teórie, ktorá je za tým. Ak totiž dáte do normy príliš odborné informácie, môže to dokonca odradiť zamestnancov od toho, aby si ju vôbec prečítali.
Návrh procesu, ktorý by manažment akceptoval a bol v praxi použiteľný, by sa dal charakterizovať nasledujúcimi fázami: n Analýza súčasného stavu - ako sme už spomenuli, každá organizácia už zvyčajne vykonáva bezpečnostné procesy v nejakej forme. Naj -účinnejšie sú také úpravy existujúcich procesov, ktoré majú najmenší dosah na činnosti zamestnancov. Každý zamestnanec lepšie znáša (a robí menej chýb), keď sú úpravy jeho činností minimálne. V rámci analýzy súčasného stavu sa ďalej zisťuje očakávaný tvar výstupov v súvisiacich procesoch (napr. plánovanie rozpočtu, riadenie obchodných rizík).
n Prezentácia zámeru - manažment obyčajne nemá predstavu o tom, ako bude proces vo výsledku vyzerať. Aby sa ušetril čas potrebný na dodatočné úpravy, odporúčame vytvoriť zámer procesu s príkladmi výstupov a opisom očakávanej interakcie jednotlivých zamestnancov. V zložitejších procesoch navrhujeme realizovať "proof of concept", ktorý poskytne lepšiu predstavu o očakávaných výsledkoch. V tejto fáze obvykle prebiehajú rozsiahle diskusie so zamestnancami, ktorí sa budú na výkone procesu podieľať, čo umožní upraviť proces ešte pred tým, ako sa realizuje záverečný návrh. Zároveň sa tým zabezpečí, že zákazník je s výsledným procesom spokojný, pretože bude lepšie zodpovedať praxi v organizácii. Komunikácia s odborným manažmentom (nielen z oblasti bezpečnosti) je v tejto fáze návrhu procesu kľúčová pre zaistenie jeho podpory a úspešné nasadenie procesu do prevádzky.
n Opísanie procesu - na základe spripomienkovaného zámeru sa vytvorí finálny opis procesu - interná norma.
n Vzdelávanie zamestnancov - zanedbanie vzdelávania zamestnancov o vykonávaní činností v súlade s navrhnutým procesom môže spôsobiť problémy pri implementácii procesov, prípadne povedie k nekonzistentným výsledkom. n Meranie účinnosti procesu - pri každom procese je nevyhnutná kontrola konzistentnosti jeho výstupov. Na základe jej výsledkov možno urobiť adekvátne opatrenia (buď upraviť proces, aby lepšie vyhovoval organizácii, prípadne vyškoliť zamestnancov).

Použitie nástrojov
Veľmi často som sa stretol s tým, že organizácia sa snažila vyriešiť problém s nastavením interných procesov kúpou nástroja. Často si však neuvedomili, že kúpou nástroja sa "fixuje" existujúci stav procesov - či už existujúce procesy, alebo procesy, ktoré poskytla metodika nástroja. Ak neskôr zistíte, že vám procesy úplne nevyhovujú, môže byť ich úprava náročnejšia (z hľadiska času aj zdrojov). Výber nástroja by som preto vždy odporúčal robiť až vtedy, keď sú procesy zavedené a firma je s nimi spokojná. Ide najmä o procesy riadenia prístupových práv, plánovania kontinuity prevádzky, riadenia bezpečnostných incidentov, riadenia rizík a pod.
Existuje množstvo nástrojov, o ktorých sa tvrdí, že sú v súlade s najlepšou praxou a bezpečnostnými štandardmi. To však neznamená, že takýto nástroj je vhodný pre každú organizáciu. Stretol som sa napríklad s tým, že jeden nástroj na analýzu rizík vygeneroval pre jeden systém niekoľko tisíc opatrení v cene státisícov eur. O takýchto rozsiahlych výsledkoch analýzy rizík manažment spoločnosti odmietol aj rokovať, nieto ešte na základe nich o niečom rozhodovať. Navyše dodávateľ očakával, že takúto analýzu bude môcť pre klienta urobiť pre úplne každý z desiatky dôležitých systémov. Aby sme podobným prípadom predchádzali, je najlepšie nástroj vyskúšať na testovacej vzorke a tým zistiť, aké výstupy (čo sa týka typu, ale aj rozsahu) nástroj poskytuje. Takto získané výstupy treba prerokovať s jednotlivými zamestnancami, ktorí budú s nimi ďalej pracovať. Zistíte tak limity daného nástroja a môžete sa rozhodnúť, či je pre vás práve tento nástroj optimálny.

Záver
Celý článok by som rád zakončil zásadou, ktorou sa snažím riadiť pri návrhu 

Vytlačiť