Procesní přístup v řízení bezpečnosti Aplikace principů procesního řízení v řízení bezpečnosti, vazba mezi procesním řízením a řízením jakosti, verifikace bezpečnosti a ověřování kvality služby. Případová studie aplikace procesního řízení ve službách bezpečnosti.
Martin Helebrant, 7. 10. 2015 na konferenci Bezpečnost pro úřad, občana, firmu
Proces Proces je sled činností, jejichž prováděním se přeměňují vstupy na výstupy, typicky při současném spotřebovávání zdrojů. Je dobré mít proces dokumentovaný (popsaný), protože: • lidi zapomínají nebo neznají. Nebo prostě lžou a jsou líní. • jen popsaný proces lze efektivně plánovat • popsaný proces lze lépe měřit a řídit (pokud to chceme) Na větších územních celcích nelze bez popisu procesů služby bezpečnosti sjednotit.
Co je to vlastně procesní řízení? Co je to kvalita? PROCESNÍ ŘÍZENÍ
KVALITA
• buzzword • marketingové heslo • dobrá otázka
• zbytné hygienikum • drahá sranda • nutná, nikoliv ovšem postačující podmínka pro přežití firmy v dnešním prostředí.
Situace, kdy firma zná svoje procesy, má je identifikované, popsané, zná vazby, vstupy a nároky jednotlivých procesů a cílevědomě je řídí tak, aby dosáhla požadovaných výsledků.
Systematické plnění potřeb zákazníka.
Vazba mezi KVALITOU a PROCESY • Kvalita je možná pouze jako výstup procesu. • Kvalita je přesně definovaný výstup procesu, který je určen přáním zákazníka. • Problém kvality v bezpečnosti: KVALITA JE VĚTŠINOU VYTVOŘENA I DODÁNA V JEDNOM A TOM SAMÉM OKAMŽIKU. Opravy nejsou možné, druhý pokus není. KVALITA BEZPEČNOSTI JE STEJNÁ JAKO BALENÍ PADÁKU. Dobře (kvalitně) zabalený padák se otevře. Ale mohu to ověřit jenom tak, že s ním vyskočím a pokusím se ho otevřít. Jenže když ho otevřu, už není zabalený (vůbec, natož pak kvalitně).
Potřeba definovat výstup jako parametr poskytované služby • Pokud není jasně definovaný výstup, pak nelze: – službu měřit a tedy ani kontrolovat. – seriózně diskutovat o bezpečnostní úrovni subjektu, nelze skutečně sledovat výkonnost. – nelze službu optimalizovat (nákladově ani výkonově) – zodpovědně si říci o peníze (ať již o náklady na službu nebo na prémie). Diskuse o ceně bezpečnosti bude jen handrkování jako na jarmarku.
Procesní řízení jako způsob vedení firmy (poskytování služby) • Je jen jeden z mnoha možných způsobů. • Aby bylo účinné, musí být prosazováno od shora dolů. Prosazování zdola nahoru je komplikované – riziko ztráty cíle a problematická koordinace. • Úsilí vynaložené při zavádění se vrací až po určitém čase. • Dobrý systém procesního řízení se vrací v podobě lepší řiditelnosti a předvídatelnosti výstupů. Procesní řízení je jako víra. Pokud jí věříte, je asi nejmocnějším pomocníkem. Pokud víru jen předstíráte, zbytečně maříte energii a čas.
Rizika procesního řízení • Formálnost – máte perfektní popisy a analýzy, ale všichni si jedou po svém. Nebo je popis příliš obecný či naopak podrobný, než aby byl aplikovatelný v praxi. • Nepružnost – popis je dogma a brání přizpůsobení měnícím se podmínkám. Popis brání rozvoji firmy. • Rozpad systému dokumentace. • Zapomíná se měřit. Nebo se změřená data neanalyzují a nepřijímají se na jejich základě opatření.
Normalizace jako východisko ke sjednocení služby DEFINIČNÍ NORMY (co?) • Technické normy (stavební prvky, …) • Normy řady ISO 27000 – základ informační bezpečnosti • Normy pro budování a provoz PCO ČSN EN 50518 • Normy řady EN 50600 – provoz a budování datových center
PROCESNÍ NORMY (jak) • ISO 9000 – procesní řízení • ISO 14 000 životní prostředí • ISO 1808 BOZP a PO • Chybí norma na fyzickou bezpečnost, zkoušky odborné způsobilosti ji nahrazují jen částečně
Certifikace podle norem • Certifikát není nic jiného než svědectví • Svědectví je jenom tak důvěryhodné, jako je důvěryhodný svědek. • Kdo platí za certifikát?
Certifikát není nic víc než výpalné – dokud ho po vás nikdo nechce, jsou peníze za certifikaci vyhozené oknem. Plnit požadavky normy lze i bez certifikátu. POKUD CHCETE MÍT JISTOTU, MUSÍTE OVĚŘOVAT VLASTNÍMI AUDITORY, EXPERTY NEBO 3. STRANOU VE VLASTNÍM ŽOLDU
Procesní řízení v České spořitelně případová studie, díl 1 Data pro tuto studii pocházejí z diplomové práce Z. Macháček: Využití SBS v bankovním sektoru, CEMI, 2015; dat Českého statistického úřadu a dat České bankovní asociace.
Hlavní cíle transformace bezpečnosti v ČS 1) Dostat náklady pod kontrolu 2) Sjednotit bezpečnostní úroveň služby na celém území ČR. 3) Optimalizovat službu – racionalizace přechodem na technologické zabezpečení objektů, minimalizace klasických ostrah
Procesní řízení v České spořitelně případová studie, díl 2 • 2003 – potřeba změnit systém poskytování bezpečnosti, zejména fyzické • 2004 – princip integrované, plně outsourcované bezpečnosti – jednotný napříč celou ČS. ČS si ve svých řadách ponechá pouze metodickou a kontrolní činnost, přímé zapojení pouze ve vybraných případech hodných zvláštního zřetele. • 2005 – inventura předávaných služeb (popis procesů) a přechod na nový režim. • 2006-9 – ladění • 2010-15 – sklizeň
Procesní řízení v České spořitelně případová studie, díl 3 130,0
Náklady na fyzickou bezpečnost – poměr k roku 2005 120,0
110,0
100,0
90,0 2005
2006
2007
2008
2009
náklady na Fyz bezpečnost (%)
2010
2011
2012
2013
2014
prostá inflace
Data: index spotřebitelské inflace ČSÚ, dipl. práce Z. Macháček:, CEMI, 2014/15
0 X.2015
VII.2015
IV.2015
I.2015
X.2104
VII.2014
IV.2104
I.2014
průměrná doba reakce
X.2013
VII.2013
IV.2013
I. 2013
X.2012
VII.2012
IV.2012
I.2012
X.2011
VII.2011
IV.2011
I.2011
požadavků
X.2010
VII.2010
IV.2010
I.2010
X.2009
VII.2009
IV.2009
I.2009
X.2008
VII.2008
IV.2008
I.2008
X.2007
VII.…
IV.2007
I.2007
X. 2006
VII.…
Procesní řízení v České spořitelně případová studie, díl 4 Log. (požadavků)
1200 2,00
1,80
1000 1,60
800 1,40
1,20
600 1,00
0,80
400 0,60
200 0,40
0,20
0,00
Procesní řízení v České spořitelně případová studie, díl 5 Cena za splnění jednoho požadavku v poměru k ceně roku 2007 (%) 120
100
80
60
40
20
0 2007
2008
2009
2010
2011
2012
2013
2014
2015
Data: dipl. práce Z. Macháček:, CEMI, 2014/15
Procesní řízení v České spořitelně případová studie, díl 6 0:25:55
0:23:02
0:20:10
0:17:17
0:14:24
průměr medián
0:11:31
80% má lepší čas než
0:08:38
0:05:46
DOJEZDOVÉ ČASY (společně s reálu i z auditů)
0:02:53
0:00:00 2010
2011
2012
2103
2014
Procesní řízení v České spořitelně případová studie, díl 7
Procesní řízení v České spořitelně případová studie, díl 8 Počet LP v jednotlivých bankách KB
ČS
GEMB
RB
ČSOB
39
33 31
32
31
25 23
22
22
15 13 11 9 5 3 2 2009
2010
7
7
4
4
10 9
8
5 3
4 3 2
1 2011
2012
2013
2014
zdroj dat: Česká bankovní asociace
Procesní řízení v České spořitelně případová studie, díl 9 poboček
uloupeno průměrná
celkem LP
na
celkem
kořist z LP
Banka
za 2009-14
1 LP
(tis. Kč)
(tis. Kč)
Komerční Banka
127
3,02
17 163
135,14
Česká spořitelna
144
4,56
14 356
99,69
GE Money Bank
60
4,17
6 120
102,00
ČSOB
32
9,40
13 074
408,56
Raifeissen Banka
24
5,04
2 589
107,88
zdroj dat: Česká bankovní asociace
