Инвентаризация (бизнес-*) процессов через актуализацию должностных инструкций в интересах информационной безопасности

Привет, Хабражитель!


Предлагаю вниманию статью, объединяющую вещи, на первый взгляд, не имеющих между собой ничего общего: должностные обязанности работников, инвентаризация (бизнес-*)процессов и информационной безопасности.


Будут рассмотрены следующие темы:


  1. Вместо вступления
  2. Про должностные инструкции
  3. Про процессы и подходы
  4. Про информационную безопасность
  5. Про всё вместе
  6. Пример автоматизации
  7. Пути развития идей, отраженных в статье
  8. Вместо заключения


Добро пожаловать под кат!


Привет еще раз под катом :)


Перед тем, как продолжить чтение, автор хотел бы указать на некоторые особенности повествования и специальные блоки, в которых им помещены важные, на его взгляд, сведения и / или уточнения, которые помогут читающему правильнее понять ту мысль, которой он хотел поделиться:


Важно!
Важный текст

ИЛИ


Важно!
Важный текст


Что же скрывается за символом * в заголовке?

Если же обратиться к англоязычным источникам, никакого бизнес-процесса мы не встретим, там есть только «business process» — что правильно было бы перевести как «деловой процесс».
Слово «business» используется только для того, чтобы отделить процессы, имеющие прямое отношение к созданию экономической ценности, от всех прочих процессов: химических, физических, математических и т.д.


Спойлер

В данной статье будет представлено видение каким образом подразделение информационной безопасности, выполняя свою работу, помогает Отделу кадров актуализировать / сформировать набор документов — должностные инструкции / описание семейств должностей, а бизнесу — составить каталог компетенций и инвентаризировать процессы в Компании. С примерами.


Цели активности:


  • Формирование должностных инструкций;
  • Выявление компетенций;
  • Определение должностных обязанностей;
  • Описание функций;
  • Объединение функций в процессы;
  • Формирование сервисов;
  • Поддержание основных процессов, приносящих прибыль Компании.


Начнем с формирования общего понятийного ряда.


Термины и определения

Информация — сведения (сообщения, данные) независимо от формы их представления (149-ФЗ);
Информационная безопасность — сохранение конфиденциальности, целостности и возможности применения (доступности) информации. Нередко относят к информационной безопасности обеспечение других свойств, таких как подлинности, контролируемости, неопровержимости авторства и надежности.
(ISO/IEC 27000:2014);
Компетентность — наличие знаний и опыта, необходимых для эффективной деятельности в заданной предметной области;
Деятельность — активное взаимодействие субъекта с миром, во время которого субъект удовлетворяет какие-либо свои потребности;
Процесс — целенаправленная, управляемая, устойчивая совокупность взаимосвязанных видов деятельности, осуществляемых ресурсами, которая по определенной технологии преобразует входы в выходы, представляющие ценность для потребителя;
Бизнес-процесс — процесс, в котором созданная ценность (удовлетворенная потребность) оплачивается (прямо или косвенно) потребителем, внешним по отношению к Компании;
Функция — совокупность действий (или одно действие), которая направлена на выполнение указаний по созданию продукта;
Проект — целенаправленная, временная деятельность, предназначенная для создания уникальных продуктов>, услуг или результатов (управляемая деятельность, направленная на уникальное изменение определенной системы и проводимая ресурсами в условиях ограничений);
Управление — действия определенного субъекта, направленные на изменение и манипуляцию объектами и субъектами для достижения заранее определенных целей.


Не научные, но близкие автору

В связи с направленностью статьи на широкие массы читателей, в основном не связанных с информационными технологиями и информационной безопасностью, автор хотел бы предложить «упрощенные» понятия.


Данные — первоначальный, еще не обработанный набор свидетельств или фактов, собранных в результате наблюдения или исследования;
Сведения — результат обработка данных с целью упорядочивания;
Информация — результат (итог) применения компетенции (технологии) исполнителя (системы) к сведениям.


Пример, включающие все 3
Q. Why do mathematicians confuse Halloween and Christmas?
A. Because 31 Oct = 25 Dec.

Важно!
личная прихоть автора называть работников частных Компаний работниками, а не сотрудниками. На смысл утверждений никак не влияет.


Вместо вступления


Сегодня большинство Компаний остаются построенными функциональным образом и представляют собой механизм, обладающим набором функций. Эти функции распределяются среди подразделений, где их исполняют работники-исполнители. Выполняя свои узкоспециализированные задачи, работники перестают видеть конечные результаты труда всего предприятия и осознавать свое место в общей цепочке. Они перестают быть ориентированы на целевые задачи Компании, так как их видение происходящего чаще всего не выходит за рамки собственных подразделений, в которых они работают. Монопольное положение каждой службы внутри Компании приводит к тому, что работники этих служб считают себя незаменимыми, из-за чего взаимодействие между функциональными отделами и службами нередко приобретает разрушительный для характер. По большому счету это положение дел не хорошее, но и не плохо; оно — никакое.


Про должностные инструкции


Важно!
К сожалению, в современном мире (особенно в РФ) к должностным инструкциям относятся вовсе не как к мощному инструменту, способствующему положительно влиять на повышение эффективности деятельности работников. Ситуация патовая изначально: законом нигде не закреплено требование о наличие должностной инструкции, HR-специалистам писать их нет времени / сил / желания (выбрать 2 из 3), линейные руководители откладывают «на потом», подчиненные вовсе не заинтересованы в них, т.к. суды в большинстве случаев принимают решения в пользу работника если их нет (опираясь на судебную практику г. Москвы).

Отношение к вопросу наличия или отсутствия должностных инструкций в целом можно выразить в 4 группах:


  1. Инструкции должны быть. Такой подход встречается редко, но некоторые руководители и работники HR-служб убеждены, что Компании необходимы инструкции, разработанные для каждой должности, т.к. без них крайне сложно организовать эффективную работу персонала. При этом многие до конца не понимают, что может дать их наличие, но стремятся сделать их максимально качественными. До 15% Компаний.
  2. Инструкции не нужны. Гораздо больше людей, которые считают, что инструкции не играют никакой роли в управлении человеческими ресурсами. Поэтому в таких Компаниях должностных инструкций нет, тем более что закон этого не требует. Такой подход можно встретить примерно у 30% Компаний.
  3. Инструкции нужны, но их качество неважно. При таком подходе должностная инструкция не имеет ничего общего с реальной деятельностью работников Компании. Смело можно отдать более 50% от общего количества.
  4. Инструкции — это инструмент управления — самый эффективный подход, но его применяет лишь очень небольшое количество Компаний, до 5% от общего количества. Он заключается в том, что актуальные инструкции не только создаются, но и регулярно пересматриваются и обновляются, а также активно применяются на практике.


В целом можно говорить о двух подходах к созданию должностных инструкций: западному и российскому. Западный подход заключается в составлении очень коротких инструкций, где описание функционала занимает буквально несколько строк. При этом для каждой из функций создается отдельный регламент, где она описывается более детально.
Российский подход выражается в том, что инструкция максимально полно описывает функционал, без дополнительных ссылок на регламенты.


Вне зависимости от подхода к созданию, цели должностных инструкций можно сформулировать следующим образом:


  1. Четкая регламентация обязательств сторон трудового договора (прозрачность трудовых отношений), как на этапе подбора персонала, так и в процессе трудовой деятельности.
  2. Определение конкретных трудовых функций сотрудника, детализация порядка его действий, ограничение зоны его ответственности и пределы полномочий.
  3. Быть руководством к действию, а также основой для разрешения споров в случае возникновения разногласий (между работником и работодателем, между работниками внутри структурного подразделения, между структурными подразделениями, в суде).
  4. Стать инструментом оценки персонала и, в конечно счете, корпоративного управления бизнес-процессами.


Должностные инструкции — необходимый и действенный инструмент повышения эффективности бизнеса. Их наличие позволяет:


  • создать систему управления, которая делает бизнес более прозрачным и управляемым;
  • четко регламентировать основные обязательства, которые принимают работодатель и сотрудник, устраивающийся на работу, что значительно упрощает отношения обеих сторон;
  • упорядочить работу каждого структурного подразделения в частности и всего предприятия в целом;
  • сформулировать трудовые функции сотрудников, их зоны ответственности, полномочия и ограничения в принятии решений, квалификационные требования к должности, функциональные обязанности лица, занимающего ее, алгоритм действий в стандартных ситуациях;
  • избежать дублирования функций при выполнении определенных видов работ и неравномерного распределения нагрузки;
  • обеспечить эффективное взаимодействие сотрудников, занимающих разные должности, при решении производственных и управленческих задач;
  • подобрать качественный персонал: специалист по подбору, ознакомившись с инструкцией, сможет грамотно организовать работу с кандидатами, а соискатель получит возможность заранее узнать, что от него потребуется на данной должности;
  • создать комфортные условия для адаптации нового сотрудника: если в инструкции четко закреплено, что должен делать новичок и в каких пределах, а также кто его непосредственный руководитель, это облегчает ему первые дни работы;
  • привлечь нерадивых сотрудников к дисциплинарной ответственности за невыполнение возложенных на них трудовых обязанностей.


Как и любой другой инструментарий, должностная инструкция при правильном формировании и поддержании может быть:


Инструментом повышения эффективности бизнеса


Формальный подход к разработке должностных инструкций, когда они составляются по шаблонам, не соответствуют задачам бизнеса, не отражают основные задачи сотрудника на данной должности, не направлены на достижение главной цели Компании, приводит к тому, что на выходе получаются бесполезные, неработающие документы. В данном вопросе большую роль играет отношение к должностным инструкциям работодателя. Если он рассматривает их как эффективный инструмент управления персоналом, скорее всего, так и будет. Но если инструкции разрабатывают сотрудники, далекие от понимания реального функционала специалистов, их творение никому не принесет пользы.


Многие Компании, разработав должностные инструкции один раз, более не корректируют их, хотя бизнес-процессы периодически претерпевают определенные изменения, что должно находить отражение в инструкциях. В условиях жестких требований современного бизнеса нет смысла пользоваться должностными инструкциями, не раскрывающими специфику Компании и не содержащими строго закрепленные задачи, функциональные обязанности персонала, описание желаемого результата работы и перечисление ответственных за ее эффективность.


Инструмент управления мотивацией


В условиях жесткой конкуренции все больше руководителей стали понимать, что основным ресурсом, позволяющим достичь стратегических целей, является персонал, которому необходимо уделять должное внимание, прежде всего стимулировать, как материально, так и нематериально. Одним из эффективнейших HR-инструментов, способных помочь Компании решить эти задачи, является система грейдов / бэндов, при разработке которых важную роль играют выверенная и прозрачная организационная структура и грамотно описанные должностные инструкции / компетенции, которые позволяют избежать многих проблем и сокращают затраты на данную процедуру.


Инструмент оценки деятельности сотрудников


На любом этапе развития Компании возможны ошибки и отклонения от запланированных бизнес-результатов. Чтобы минимизировать подобные риски, необходимы четкое планирование и контроль. Наличие в Компании такого действенного средства управления, выполняющего организационную, регламентирующую и регулирующую роль, как должностная инструкция, упрощает контроль над результатами работы сотрудников.


Осуществляемый с помощью должностных инструкций контроль над деятельностью является частью системы управления персоналом. Содержащиеся в должностных инструкциях данные позволяют быстро оценить, что необходимо сделать сотруднику для достижения поставленных целей, какие меры следует предпринять для повышения эффективности его деятельности. Подробные должностные инструкции задают стандарты и технологии выполнения поставленных задач, на которые может опираться как сам сотрудник, так и его руководитель. С их помощью можно оценить, насколько сотрудник соответствует занимаемой должности, и применить к нему определенные меры воздействия.


Инструмент оценки потребности в обучении


Инструкции — это прекрасный инструмент для планирования карьеры, если они включают пункт о требуемых знаниях и квалификации. Используя информацию из этого пункта, очень просто понять, какие навыки необходимы тому или иному сотруднику, чтобы занять ту или иную должность.


Про процессы и подходы


Благодарность за раздел
Автор хочет поблагодарить Сироту В.Е. за помощь в подготовке раздела

Автор не стремится к навязыванию Процессного подхода, как единственно верного. Однако, хочет напомнить, что каждое функциональное подразделение Компании оптимизирует деятельность в области своей ответственности, что, в конечном счете, может привести к подмене стратегической цели Компании целевыми функциями отдельного подразделения, что, в свою очередь, приводит к торможению развития как отдельного подразделения, так и Компании.

Прежде чем продолжить следует классифицировать процессы. Вообще классифицировать что-либо имеет смысл только тогда, когда выделяемые при классификации группы в дальнейшем будут использованы, а их наличие «упростит» жизнь. При том всегда необходимо помнить, что любые объекты могут быть классифицированы разными способами, но всегда сохраняют свои общие характеристики.


Под Классификацией будем понимать группировку объектов исследования в соответствии с их общими признаками, называемыми основанием классификации.


36cdvlmwq7smwubuommkyhg8h10.png


Основания для классификации процессов:


По оплате результата (бизнес и сервисный)
  • Бизнес — процесс, в котором созданная ценность (удовлетворенная потребность) оплачивается (прямо или косвенно) потребителем, внешним по отношению к Компании.
  • Сервисный — процесс, который осуществляется в интересах потребителя, внутреннего по отношению к Компании.


По уровню иерархии (надпроцесс и подпроцесс)
  • Надпроцесс — устойчивая, целенаправленная система процессов более низкого уровня (подпроцессов по отношению к текущему), в целом отвечающая всем требованиям к процессу.
  • Подпроцесс — элемент деятельности, отвечающий всем требованиям к процессу, и являющийся частью процесса более высокого уровня (надпроцесса по отношению к текущему).


По уровню абстракции (мета-процесс и прецедент процесса)
  • Мета-процесс — класс процессов определенного вида, полученный в результате абстрагирования от объекта, над которым производится действие и направленный на удовлетворение группы потребностей.
  • Прецедент процесса — экземпляр процесса.


По границам исполнения (локальный и сквозной (кросс-функциональный))
  • Локальный процесс — процесс, который целиком существует в рамках того подразделения, в интересах которого он осуществляется, т.е. все участники процесса — работники одного подразделения.
  • Сквозной (кросс-функциональный) процесс — процесс, который осуществляется в рамках нескольких подразделений, т.е. часть его задач (функций, подпроцессов) решаются в рамках одного подразделения, а часть в рамках другого.


Итого, исходя из описанной классификации определим процесс обеспечения информационной безопасности можно определить как:
Непрерывный процесс, который осуществляется в интересах внутреннего потребителя, затрагивающий все подразделения, действующий в интересах конкретных лиц, в конкретный момент времени по отношению к конкретному объекту, и являющийся частью процесса более высокого уровня.


Приведем сравнение характеристик Функции / Процесса / Проекта:


Характеристика Функция Процесс Проект
Зачем осуществляется? Произвести результат Удовлетворить потребность потребителя Достичь целей участников проекта
Как выполняется? По стандартному алгоритму По определенной технологии Каждый раз по-разному
Кто выполняет? Один и тот же исполнитель Группа одних и тех же исполнителей Команда уникальных специалистов
Что в результате? Один и тот же продукт, соответствующий определенным характеристикам Неуникальный продукт, удовлетворяющий потребность потребителя Уникальный продукт, позволяющий достичь целей проекта
Где управляется? Извне Изнутри Изнутри
Часто ли повторяется? Часто Часто Редко или никогда


Управление — действия определенного субъекта, направленные на изменение и манипуляцию объектами и субъектами для достижения заранее определенных целей.


  • Функциональное управление — установление (определение) параметров выполнения функций, в т.ч. установление плана выполнения, требований к входу и выходу (результату), определение алгоритма преобразования входа в выход и требований к ресурсам, выполняющим функцию.
  • Процессное управление — технология, основывающаяся на признании и применении того факта, что восприятие и управление видами деятельности Компании, как взаимосвязанными процессами, способствует повышении ее (Компании) результативности и эффективности.
  • Проектное управление — применение знаний, навыков, средств и технологий у проектной деятельности с целью удовлетворения требований и достижения ожиданий участников проекта.


Пример:


Подход Пример
Функциональный Менеджер, ответственный за функцию:»Уборка тротуаров: тротуары должны быть чистыми» — валите снег на дорогу; Менеджер, ответственный за функцию:»Уборки дороги: дороги должны быть чистыми» — валите снег на тротуары;
Процессный Менеджер, ответственный за процесс:»Уборка улиц города: от момента выпадения снега, до момента очистки улиц» — собираем снег и утилизируем его.
Проектный Менеджер, ответственный за проект:»Обеспечение доезда: из сугроба до конца улицы» — первого очищаем того, кто заплатит.


Наблюдение автора

Если на своем предприятии Вы слышите фразы: «мяч на их стороне», то никакого процессного подхода у Вас нет. Скорее всего у Вас проблема в выполнении функции и участники пытаются выбрать виновного, потому что результат еще не был предъявлен.


Особенности

Функциональный подход отвечает на вопрос «Что делать?».


Функциональная модель основана на универсальном принципе разделения труда между службами, отделами, цехами, бригадами с закреплением за ними определенных функций (операций).


Основные особенности Функции:


  • Независимость от контекста. Входы (выходы) являются частью функции и их состав и характеристики непосредственно не зависят от их источника (приемника), а устанавливаются управлением.
  • Внешнее управление. Управление функцией осуществляется «извне», путем установления правил и планов работы ресурсов и предъявления требований к результату (выходу). Решения по каждому прецеденту принимается лицом, осуществляющим управление.

Поведенческие паттерны:
Менеджмент:
• «Я дал инструкции — пусть выполняют»;
• «Если что-то пойдет не так — сошлюсь на соседнее подразделение»;
• «Пока важно, чтобы мы делали свою работу — мы будем делать максимально много своей работы»;

Исполнители:
• «Мне все равно — делаю, что говорят»;
• «Мой начальник — мой потребитель: он доволен — есть зарплата»;
• «Решения? Это вопрос не по моей зарплате!»;


Процессный подход отвечает на вопрос «Как делать?».


Процессный подход по своей сути подводит к переходу на так называемое «тощее производство» или «тощую» ресурсосберегающую организационную структуру (Lean production). Основными чертами такой организационной структуры являются:


широкое делегирование полномочий и ответственности исполнителям;


  • сокращение количества уровней принятия решения;
  • сочетание принципа целевого управления с групповой организацией труда;
  • повышенное внимание к вопросам обеспечения качества продукции или услуг, а также работы предприятия в целом.

Основные особенности Процесса:


  • Целенаправленность. Цель деятельности — удовлетворить потребность потребителя, и существуют четкие критерии, позволяющие оценить достижение цели (результативность) и затраты на это (эффективность).
  • Постоянность потребности и технологичность. Удовлетворяемая потребность не является ни разовой, ни уникальной, поэтому процесс осуществляется путем выполнения определенных шагов (технологии).
  • Потребность может измениться только после попытки ее удовлетворения, а не во время.
  • Целостность деятельности и ответственности. Процесс осуществляется от момента выявления потребности потребителя до момента ее удовлетворения, а тот, кто принимает решение, отвечает за деятельность «от и до».
  • Управляемость «изнутри». Поскольку существует ответственность за результативность и эффективность, то процесс подразумевает (требует) принятия управленческих решений самими участниками процесса. При этом все участники процесса мотивированы на его результативность и эффективность.

Поведенческие паттерны:
• Нет цели — нет ресурсов!
• Как похлопал — так и полопал!


Проектный подход применяется для проектно-ориентированных Компаний, например, научно-исследовательских, консалтинговых, строительных и т.д. Он может применяться и для любой Компании при создании инновационных продуктов в рамках этих проектов.


Основные особенности Проекта:


  • Ограниченность по времени. Ограниченность деятельности по времени означает, что у любого проекта есть четкое начало и четкое завершение. Завершение наступает, когда достигнуты цели проекта; или осознано, что цели проекта не будут или не могут быть достигнуты; или исчезла необходимость в проекте, и он прекращается.
  • Уникальность продукта. Уникальность означает, что создаваемые продукты или услуги существенно отличаются от других аналогичных продуктов и услуг, что обуславливает необходимость последовательного уточнения их характеристик по мере развития проекта.

Поведенческие паттерны:
Менеджмент:
• Я Мы должны напрячься!
• Надо спросить у подчиненных, это их шанс проявить себя!
• Надо сделать еще вот это мимо ТЗ.

Исполнители:
• Мы никогда этого не делали!
• Надо спросить у начальства, оно за это деньги получает;
• Без ТЗ — результат ХЗ!


Про информационную безопасность


В самом начале статьи автор приводил список терминов и определений, в котором давалось определение информационной безопасности. Приведем его еще раз:


Информационная безопасность — сохранение конфиденциальности, целостности и возможности применения (доступности) информации.

Нередко относят к информационной безопасности обеспечение других свойств, таких как подлинности, контролируемости, неопровержимости авторства и надежности.
ISO/IEC 27000:2014

Работник, следую своим должностным обязанностям, закрепленных в должностных инструкциях, выполняет Функции, ведущие либо к реализации Проекта, либо входящие в состав Процессов, использует в своей деятельности информацию, хранящуюся в разных информационных системах и ресурсах.


Автор считает правильным и целесообразным формировать ролевую модель доступа к информации в информационнных системах и информационных ресурсах сопоставляя уровни доступа с ролями в процессах, без оглядки на должность, но на выполняемый функционал.


На рисунке ниже представлена классификация информации по видам доступа.


pyzyvqi5fx36nz8jrzuiktj1oe8.png


Принимая во внимание, что обеспечение безопасности (любого ее вида) — непрерывный процесс, то в Компаниях с функциональным подходом к управлению, интеграция мер обеспечения безопасности связана с преодолением противодействия со стороны владельцев функций, что либо приводит к созданию «собственных» подразделений обеспечения безопасности (в частности — информационной) в функциональной вертикали (в Департаменте / БЕ), либо «местечковое» внедрение мер (очень сильно зависит от отношений лица, отвечающего за информационную безопасность и владельца данной конкретной функции).
Также в своей практике автором были замечены следующие варианты подчинения служб информационной безопасности:


  • директор по информационным технологиям — в обычном случае информационная безопасность становится «надстройкой», которой в случае секвестра можно просто пренебречь, в лучшем — создание центра компетенций для привлечения экспертизы в проекты;
  • служба безопасности — в любом случае подразделение информационной безопасности становится одной из функций.
  • «первое» лицо / лицо, принимающее решение — крайне редкое явление, в том числе, потому что таких специалистов на рынке — единицы.


Как правило, выделяют 5 мотивирующих факторов построению системы управления (менеджмента) информационной безопасности:


  • Предыдущий опыт — управление Компанией на котором функционировала СМИБ;
  • Соответствие требованиям законодательства — локального и/или международного -в области обеспечения информационной безопасности предприятия. (даже в случае небольших организация вопрос актуален, хотя бы по причине необходимости обеспечения безопасности персональных данных клиентов и иных заинтересованных лиц);
  • Соблюдение минимального набора требований сертификационных систем — например, при обслуживании платежных карт — минимальное соблюдение требований стандарта PCI DSS;
  • Избежание убытков (потерь/непредвиденных расходов) в случае наступления инцидентов информационной безопасности;
  • Субъективные факторы, такие как лучшие практики и опыт других организаций (в том числе конкурирующих/материнских/дочерних/поглощаемых).


Для построения эффективной системы, Компании придется пройти через 3 этапа:


  1. Удовлетворение требований законодательства — защита персональных данных, охрана видов тайн, обеспечение лицензируемых видов деятельности и прочее — той работы, о которой бизнес-подразделения могут и не знать.
    Применительно к данному этапу — анализу требований законодательства и последующему удовлетворению — степень риска является недопустимой, т.к. невыполнение требований законодательства может привести к приостановке деятельности организации, что может лишить Компанию возможности вести эффективную коммерческую деятельность.
  2. Удовлетворение потребности бизнеса в информационной безопасности — мер, требуемых поставщиками или Клиентами для поддержки непрерывной деловой активности, путем повышения уровня информационной безопасности. В большинстве случаев они формируют конкурентное преимущество. Бизнес-требования могут содержаться в договорных требованиях партнера, системах добровольной сертификации, отраслевых стандартах и т.д.
    Уровень риска — оправданный, несет в себе потерю доли рынка; способ реализации зависит
    от исполнения предлагаемого решения, например, в случае облачного сервиса, провайдер
    этого сервиса должен предоставить исчерпывающие доказательства своего соответствия.
  3. Внедрение наилучших практических мер по обеспечению информационной безопасности.
    Уровень риска — приемлемый.


живой и печальный пример

Однажды, в одном банке ТОП-30, директору Департамента банковских карт пришла в голову (на его взгляд) удачная идея: отображать на сайте банка на карте размещения банкоматов банка информации об остатке наличности в хранилищах банкоматов с погрешность до 100 рублей; обосновывал он свою идею вероятностью возникновения у Клиента потребности снять крупную сумму через банкомат, а графическое обозначение с его позиции было не информативным и не давало представления о возможности банкомата в удовлетворении потребности Клиента в наличности.


Про всё вместе


У читателя к этому моменту может сложиться естественный вопрос: «что хочет сказать автор?». «Зачем он пытается состыковать несостыкуемое?». «Кому нужна вся эта инкапсуляция ёжика в ужика?» и как наконец-то понять тему «инвентаризация бизнес-процессов через актуализацию должностных инструкций в интересах информационной безопасности»?


Уважаемый, Хабражитель, все просто!


Почему именно информационная безопасность может быть мерилом бизнес-процессов?
Информационная безопасность — это процесс. Непрерывный во времени.


При функциональном подходе к управлению перед каждой структурной единицей (сотрудник, отдел, управление) закреплен ряд функций, описана область ответственности, сформулированы критерии успешной и неуспешной деятельности. Как правило, горизонтальные связи между структурными единицами слабы, а вертикальные связи по линии «начальник-подчиненный» — сильны. Подчиненный отвечает только за порученные ему функции и, возможно, за деятельность своего подразделения в целом. Функции и результаты работы параллельных структурных единиц его не очень интересуют.


При процессном подходе к управлению каждая структурная единица обеспечивает выполнение конкретных процессов, в которых она участвует. Обязанности, область ответственности, критерии успешной деятельности для каждой структурной единицы сформулированы и имеют смысл лишь в контексте конкретного процесса. Горизонтальные связи между структурными единицами при таком подходе значительно сильнее, чем в случае функционального подхода. Вертикальные связи между структурными единицами и по линии «начальник-подчиненный» несколько слабее.


Недостаточно в должностной инструкции исполнителя написать «обязуется соблюдать требования информационной безопасности».


Информация (точнее данные и сведения) с одной стороны являются базисной составляющей для процесса, с другой стороны — итогом (результатом) применения компетенции (технологии) исполнителей (работников).

Реализация процессного подхода выводит управление Компанией на качественно новый уровень. Руководство Компании ясно видит функции исполнителей, движение ресурсов (в том числе информационных), распределение ответственности в организационной структуре (ролям и их месту в процессах), имеет возможность четко фиксировать места возникновения проблем и принимать своевременные меры по их устранению.


6e8uqpfoewiipz-q133umzkwwlm.png


Читать схему следует сверху вниз и слева направо.


Идентификация стратегии


Процессы Компании направлены на создание продуктов и услуг для Клиентов. Для обеспечения удовлетворенности Клиентов эту деятельность следует структурировать.


Чтобы определить, какими должны быть процессы важно понять:


  • Кто наши Клиенты и кого мы считаем таковыми?
  • В чем потребности наших Клиентов?
  • Есть ли у нас конкуренты и в чем мы их превосходим?


Эти вопросы относятся к стратегии действий Компании на рынке. Не имея на них ответов, невозможно определить тре

© Habrahabr.ru