Jacek Rembikowski, Poznań 2010 W systemach zarządzania, ich istotą nie jest forma opracowanej dokumentacji, lecz jej użyteczności oraz zawartość merytoryczna - aktualna, zatwierdzona i dostępna w dowolnym momencie. Istotą samego systemu jest sprawnie działający mechanizm, potrafiący obronić się przed wpływem negatywnych czynników, dającym jednoznaczne odpowiedzi, dotyczące celu zakresu i formy działań. Sama dokumentacja to jedynie zapis, gwarantujący trwałość przyjętych rozwiązań, stanowiący podstawę do ich późniejszej weryfikacji. U podstaw systemu zarządzania, tak bezpieczeństwem informacji, jak i jakością leżą przede wszystkim: • świadomość - dzięki której dokładnie wiemy, co i dlaczego realizujemy; • cel - czyli to, do czego dążymy i wbrew ogólnie przyjętemu pojmowaniu tego elementu, nie oznacza to jedynie celu o jakościowej formule – celem, poprzez który będzie gwarantowana jakość usług może z powodzeniem być cel biznesowy, o czym często zapominamy; cel też powinien, a wręcz musi być konkretny i mierzalny aby możliwa była rzeczywista weryfikacja i ocena działań zbliżających nas do niego; • narzędzia – zarówno materialne, jak i niematerialne (np. zasada PDCA), które dotyczą zarówno działań w sferze bezpieczeństwa informacji, jak i jakości. Z praktycznych obserwacji wynika, iż często funkcjonujące zalążki SZBI, to tak naprawdę wierzchołek góry lodowej u podnóża, której znajdują się: • brak świadomości tego, czym jest bezpieczeństwo informacji i co należy chronić • realizacji funkcji SZBI o charakterze sloganowym – zapisy z wielu raportów wskazują na powielanie sformułowań z uwagi na ich wymagalność, a nie z powodu zaistnienia konieczności ich wprowadzenia • brak rzeczywistej wewnętrznej samokontroli o charakterze auditu wewnętrznego • w dużej mierze kojarzenie bezpieczeństwa informacji jedynie z funkcją pełnioną przez informatyka z pominięciem wielu zagadnień dotyczących dokumentacji tradycyjnej, jak też naszych zachowań • brak zidentyfikowanych zasobów i związanych z nimi zagrożeń, co zdecydowanie utrudnia bieżące działania • brak nadzoru nad zmiennością środowiska, tak fizycznego, technologicznego oraz prawnego Główne problemy warunkujące wdrożenie SZBI • Problemy z ochroną danych nakładaną na podmioty przez Ustawę o Ochronie Danych Osobowych • Zabezpieczenie majątku organizacji, stanowiącego podstawę prowadzonej działalności • Utrzymanie ciągłości prowadzonych działań i zapobieganie zdarzeniom mogącym zagrozić stabilności procesów biznesowych • Problemy z ochroną informacji wrażliwej, od której zależy konkurencyjność organizacji • Nadzór nad dostępem do wydzielonych stref • Kompleksowe zarządzanie uwzględniające reguły bezpieczeństwa w taki sposób aby stanowiły one naturalny i niezakłócający działań proces, który dzięki doskonaleniu zwiększa gwarancję zachowania poufności, dostępności i integralność informacji Konsekwencje z jakimi należy się liczyć w przypadku wystąpienie problemów • Narażenie Klientów/Pracowników na rozpowszechnienie informacji chronionej, a co za tym idzie konsekwencje prawne oraz finansowe, wynikające z: - Ustawy o Ochronie Danych Osobowych zwłaszcza w zakresie informacji o wyjątkowym znaczeniu (stanu zdrowia, wyznania, karalności, orientacji seksualnej…) - Odszkodowań z tytułu utraconych przez Klientów/Pracowników korzyści lub szkód wynikających z utraty poufności lub zagubienia przetwarzanych (w tym przechowywanych) danych • Utrata mienia poprzez brak rzeczywistego nadzoru lub zabezpieczenia, co w konsekwencji znajduje swoje odzwierciedlenie w kosztach działalności organizacji • Utrata możliwości świadczenia usług, w tym także brak możliwości realizacji działań zgodnie z zapisami umów, co może w konsekwencji oznaczać narażenie organizacji na koszty bezpośrednie w postaci utraty Klientów/Pracowników oraz pośrednie w postaci kar umownych wpływających negatywnie na rentowność prowadzonych działań • Szkody związane z informacją wrażliwą (poufną) to przede wszystkim konsekwencje związane z rozpowszechnieniem planów organizacji wśród konkurencji, „podpowiedź” w zakresie składanych ofert, a więc możliwość przegrania przetargu, odszkodowania od stron trzecich lub ze strony Klientów/Pracowników, wynikające z rozpowszechnienie informacji, która stanowiła ich tajemnicę (np. lista kontrahentów, stan konta, projekty biznesowe…) • Brak udokumentowanego, systemowego działania w zakresie PBI to m.in. brak możliwości dochodzenia odszkodowania od osób naruszających zasady bezpieczeństwa informacji z uwagi na możliwość podważenia reguł; wynika to z zasady, która mówi, że jeżeli ktoś sam nie pilnuje majątku, informacji itp. to mają one dla niego niewielkie znaczenie; natomiast sam brak rzeczywistego zarządzania bezpieczeństwem powoduje, że nie tylko sami tracimy pewność co do tego jak chronimy nasz majątek ale przede wszystkim podważamy nasz wizerunek jako organizacji, której można zaufać i powierzyć jakąkolwiek wartościową rzecz. Przykładów bezpośrednio z życia wskazujących na fakt naturalnego chronienia naszego środowiska jest całkiem sporo. Inna jednak sprawa chronić samemu swój majątek, a inna chronić go w układzie zespołowym, tak aby każdy z członków zespołu mógł spać spokojnie. Jeżeli ktoś się zastanawia dlaczego zagadnienia PBI są tak ważne, to wystarczy wyobrazić sobie kilka bardzo prostych sytuacji: • Czy zaufałbym bankowi, z którego wypłynęły dane o karalności pracowników? • Czy chciałbym pracować w organizacji, która nie dba o ochronę danych pracowników, nie mówiąc już o danych Klientów? • Czy w swoim domu pozostawię na wierzchu okablowanie, tak aby dzieci mogły się nim bawić? • Dlaczego mimo to, że ubezpieczam mieszkanie zamykam je wychodząc? Co więcej upewniam się, że drzwi zamknąłem • Dlaczego na parkingu w mieście nie zostawiam otwartego samochodu z kluczykami i dokumentami na desce rozdzielczej? • A może stać mnie na to aby w kawiarence internetowej zalogować się do swojego konta bankowego i wyjść, pozostawiają kartę kodów jednorazowych przy klawiaturze? • Dlaczego tak niechętnie oddałbym komuś kartę kredytową, dowód osobisty, tracąc te dokumenty z oczu? • I dlaczego nie mówimy nic sąsiadowi, którego podejrzewamy o plotkowanie? • Możemy też wyobrazić sobie, że wszelkie rachunki, gwarancje itp. nie dość, że trzymamy w nieładzie, to najlepiej jeszcze w zawilgoconej i sukcesywnie zalewanej piwnicy… Jeżeli zostawimy samochód z dowodem i kluczykami nikt nam żadnego odszkodowania nie zapłaci. Jeżeli wygadamy się przed sąsiadem z jakiejś naszej tajemnicy to też nie możemy być zdziwieni, jak dotrze do nas, że wie o tym całe miasto. Nikt też nie chce się dowiedzieć, że ktoś posłużył się jego danymi, a teraz on musi spłacać kredyt, nie mówiąc już o tym, że chyba nikomu nie zależy na tym, aby będąc niewinnym spotkać się z prokuratorem tylko dlatego, że przez nieuwagę przyczyniliśmy się do popełnienia przestępstwa. Dlatego też tyle się mówi o tym aby nie podawać danych wrażliwych w serwisach www. Rodzice uczą dzieci aby te nie rozmawiały z nieznajomymi, a już pod żadnym pozorem nie wpuszczały ich do domu. Dlatego trzymamy zapałki poza zasięgiem maluchów aby ich nie kusiło. Ale to wszystko robimy we własnym zakresie, dla ochrony swojego majątku, swoich bliskich. A co z organizacją? Każda organizacja, nawet ta najmniejsze to organizm złożony, a jak wiadomo aby ten organizm funkcjonował poprawnie, konieczne jest właściwe działanie poszczególnych elementów, a o jego sile stanowi najsłabszy element. Nie jest niczym nowym fakt, tracenia przez firmy korzyści wynikających bądź z wycieku informacji np. przegrane przetargi, obrażeni Klienci, czy też konsekwencje finansowo-prawne tytułem odszkodowań bo komuś się coś powiedziało, bo ktoś coś wyniósł, zgubił bądź np. ważne dane/dokumenty zostały zniszczone przez pożar, zalanie, kradzież czy atak hakerów lub wirusów. Co jest źródłem tych kłopotów? W większości przypadków niestety człowiek, bo to on odpowiada za nadzór nad zasobami, bo to jemu często brakuje świadomości i darzy wszystkich zbytnim zaufaniem, bo zbyt często zdarzało się nie zamknąć drzwi albo zwyczajnie miał dostęp do zbyt dużej ilości informacji, nieadekwatnej do potrzeb biznesowych lub też pozostawił sprzęt czy też ważne dokumenty bez nadzoru. Bywa też, że powodem jest brak znajomości prawa, które nakłada na nas ochronę pewnych obszarów lub zwyczajnie nie zastosowano zabezpieczeń, adekwatnych do zagrożeń, a to ostatnie z różnych powodów. Czasem jest to wynik braku właściwej wiedzy na temat tego, co może się wydarzyć lub jak się bronić, czasem z powodu tego, że wydaliśmy sporo pieniędzy na zabezpieczenia niekoniecznie potrzebne ale za to modne, no i zabrakło nam na te, których potrzebowaliśmy najbardziej… Jak się bronić? Generalnie dla wielu systemów zarządzania dość ogólną ale trafną definicją, a zarazem odpowiedzią na pytanie wydaje się być słowo: porządek. O ile jednak jest to oczywiste dla każdego z nas, o tyle w grupie okazuje się, że te indywidualne definicje są prawie takie same i niestety tylko prawie. Dlatego też powstało coś, co ma umożliwić jednoznaczne zdefiniowanie pewnych obszarów w taki sposób aby stały się czymś, co jest powtarzalne na tyle aby móc to kontrolować i doskonalić, a jednocześnie aby nie stanowiło to problemu w realizacji działań. Zasady te określają normy, a w zakresie PBI norma ISO27001, która opierając się na regułach zawartych w ISO9001 definiuje obszary, które organizacja powinna poddać szczególnemu nadzorowi aby móc mówić o tym, że panuje nad aktywami w miarę swoich możliwości dążąc to zapewnienie jak najwyższego poziomu bezpieczeństwa. Wszystko to jest oparte na procesowym podejściu do działań i definiowane jako System Zarządzania Bezpieczeństwem Informacji. Podobnie, jak norma ISO9001, tak i 27001 w głównej mierze opera się o: • Podstawę jaką jest odpowiedzialność kierownictwa, które odpowiada za całokształt polityki bezpieczeństwa, zagwarantowanie jej realizacji i doskonalenia • Nadzór nad dokumentami i zapisami przez które należy rozumieć zarówno działania w trybie tradycyjnym, jak i elektronicznym • Nadzór nad zasobami w tym nad zasobami ludzkimi i związanym z tym procesem szkoleń, uprawnień i przywilejów • Weryfikację poprawności działania systemu poprzez mechanizmy auditów i przeglądów oraz nadzór nad niezgodnościami wskazującymi słabe punkty systemu • Współpracę z dostawcami, która pozwala na rozłożenie zagrożeń, a co za tym idzie kosztów związanych z zabezpieczeniami • A wszystko to w oparciu o działania zaplanowane i realizowane w ramach wyznaczonych celów, wynikających z oceny stanu bieżącego. Podobnie jak norma ISO9001 tak i 27001 nie narzuca jednoznacznych rozwiązań czy mechanizmów, pozostawiając swego rodzaju dowolność w zakresie organizacji bezpieczeństwa. Tu bowiem tak jak w przypadku SZJ wszelkie elementy muszą być dopasowane do struktury organizacji, profilu działania oraz możliwości realizacyjnych. „27001” nie zwalnia nas ze stosowania zdrowego rozsądku, jednak wymaga podejmowania decyzji na podstawie faktów i zgromadzonych danych. Tym, co odróżnia normę ISO27001 od ISO9001 to konieczność odrębnego podejścia do każdej z lokalizacji tak pod względem funkcjonowania systemu, jak i pod względem certyfikacji – tu certyfikat nie jest przyznawany na organizację, a na każdą lokalizację poddaną auditowi, co powoduje, że system ten wymaga zdecydowanie większego uporządkowania i nadzoru niż standardowa norma ISO9001.
Jacek Rembikowski, Poznań 2009 Incydent jest to zdarzenie, które chcemy aby drugi raz nie wystąpiło, a które ma wpływ na ciągłość prowadzonych działań biznesowych, dla których zagrożeniem mogą być konsekwencje, wynikające z przestoju, kar lub utraty aktywów czy też właściwej komunikacji, czyli jak to określa norma z utraty dostępności, poufności i integralności. O ile same incydenty generalnie dzielimy z punktu widzenia wagi konsekwencji, jakie mogą z nich wynikać, o tyle w ramach działań naprawczych wg ogólnie przyjętych definicji rozróżniamy generalnie trzy typy: Korekcję – czyli działania, mające na celu usunięcie bezpośredniego skutku wystąpienia incydentu. Działania korygujące – czyli działania, pozwalające na usunięcie przyczyny wystąpienia incydentu. Działania zapobiegawcze – czyli działania, pozwalające usunięcie potencjalnej przyczyny, a więc czegoś co przewidujemy, że kiedyś może stanowić źródło incydentu. Niestety nie zawsze wprost i nie zawsze łatwym zadaniem jest prawidłowe zdefiniowanie i zakwalifikowanie zdarzeń, z którymi mamy do czynienia. Jednak bardzo często okazuje się, że działając zgodnie z logiką postępujemy właściwie. Po co zatem definiować coś co w i tak przebiega prawidłowo? Powody są generalnie dwa – dla porządku rzeczy, dzięki czemu łatwiej nam będzie przeprowadzać analizy np. ryzyka oraz dla potrzeb świadomego poruszania się po zagadnieniach związanych z bezpieczeństwem, dla których czy nam się to podoba czy nie ktoś ustalił reguły gry i zapisał je w stosownych dokumentach prawnych lub para prawnych. Aby lepiej zobrazować pojęcie incydentu i sposobu postępowania posłużmy się przykładem rzeczywistego zdarzenia, które aby nie wskazywać rzeczywistego miejsca wystąpienia ubrane zostało w trochę inne „szaty”. Na terenie przedsiębiorstwa aby w pewien sposób ułatwić życie pracownikom wydzielono teren z pomieszczeniami, w którym pracownicy mogli przechowywać swoje rzeczy, w tym m.in. rowery, skutery zwłaszcza w porze zimowej i jesiennej, kiedy jak wiadomo aura nie sprzyja pozostawianiu tego typu sprzętu na wolnym powietrzu. Całość znajdowała się na terenie przyległym do biurowca, z możliwością wejścia od strony ulicy. Klucze do bramy posiadali jedynie pracownicy korzystający z tego terenu i pomieszczeń. Pewnego dnia jedna z osób, niemająca nic wspólnego z przechowywanymi tam przedmiotami, stwierdziła obecność na tym terenie osób postronnych. Postanowiła niezwłocznie zgłosić ten fakt przełożonym. Pech chciał, że nikogo z nich nie było akurat w firmie, więc po otrzymaniu zgłoszenie, zawiadomili niezwłocznie firmę ochroniarską oraz policję. Ten o dziwo pojawiły się dość sprawnie pod wskazanym adresem, rozpoczynając dochodzenie. W międzyczasie do działań dołączyło kierownictwo, wracające ze spotkania, a całemu zajściu przyglądało się dodatkowo jeszcze kilku pracowników, bo śledczych jak wiadomo nigdy za wiele. W wyniku dochodzenia okazało się, że widziane na terenie firmy osoby postronne to nikt inny, jak po prostu członkowie rodzinny jednego z pracowników. Co więcej wcale się nie włamywali, tylko zwyczajnie korzystając z klucza i bramy weszli na ów wydzielony skrawek firmowego terenu. W czym zatem problem skoro z jednej strony mamy przecież do czynienia z mieniem pracowników, z drugiej z osobami posiadającymi prawo do tego mienia? A no problem leży w komunikacji i wynikającym z jej braku incydencie przebywania bądź, co bądź osób trzecich na terenie zamkniętym, należącym do firmy. Cały problem leżał w tym, że osoba, która przekazała klucze do bramy, nie poinformowała o tym nikogo. Osoba, która natomiast zgłosiła problem, postąpiła właściwie, nie próbując udawać bohatera i samemu dochodząc przyczyny obecności osób postronnych na terenie firmy. Prawidłowo też zachowały się osoby z kierownictwa, zgłaszając sprawę do właściwych organów. Efektem całego zdarzenia było natomiast wstrzymanie prac niejednej osoby z powodu sytuacji, której można by uniknąć. Dodatkowo incydent ten spowodował narażenie firmy na koszty, związane z interwencją, niemającą nic wspólnego z działaniem szkodliwym. Co było złe? Po pierwsze przekazanie uprawnień osobom trzecim, czyli umożliwienie samodzielnego poruszania się po terenie firmy osób postronnych. Po drugie, niepoinformowanie nikogo z firmy o tym, że ktoś z rodziny odbierze rower, co w tej sytuacji najprawdopodobniej by wystarczyło. Patrząc na przywołaną sytuację wprost mamy incydent z zakresu naruszenie bezpieczeństwa fizycznego, a więc udzielenie praw dostępu bez wiedzy przełożonych. Skutki to całkiem niepotrzebne nerwy po stronie wszystkich uczestników, także i tych domniemanych włamywaczy oraz koszty wynikające z interwencji, których być nie powinno. Co zatem uczyniono w ramach naprawy sytuacji? Zgodnie z logiką, bo do niej norma nie jest potrzebna przeprowadzono działania korekcyjne, poprzez odebranie kluczy oraz przeprowadzono działania korygujące czyli przeprowadzono, że tak ją nazwijmy pogadankę edukacyjną z osobą, która była winna całej tej sytuacji. To, czy powinno się pójść o krok dalej i przyjąć działania na przyszłość w postaci ustalenia czy w innych obszarach działania firmy taka sytuacja nie może mieć miejsca i opracowania w związku z tym stosownych procedur, to oczywiście należałoby rozważyć odpowiednio do warunków otoczenia ale gdyby takową procedurą kazano się komuś zająć, zahaczylibyśmy o działania zapobiegawcze. Oczywiście warto też dodać na konie, że osoba, która zgłosiła fakt przebywania obcych na terenie firmy została nagrodzona przez szefostwo w postaci okolicznościowej premii, ale to już nie wynik działania wg normy tylko kultura zarządzania i to wysoka. Jak widać można zadziałać zgodnie z tym co jest napisane w normach, czy rekomendacjach bo generalnie nie ma w nich nic bezsensownego. Inna kwestia to znaleźć klucz, który pozwoli nam się w tych zagadnieniach prawidłowo poruszać, co pozwoli nam na rzetelną i pewną odpowiedź na coś, co w ramach PBI zaczyna się od słów: Kierownictwo powinno upewnić się, że…
Jacek Rembikowski, Poznań 2005 Wdrażanie SZJ w kategorii 100% szablonu to jedna najprostszych dróg do katastrofy. I wcale nie dlatego, że oparto wdrożenie na szablonowych elementach, bo główne założenia dla wielu Organizacji są praktycznie takie same. Szablonowe potraktowanie systemu jak „przeszczepu”, to szereg nikomu niepotrzebnych działań o charakterze pseudo systemu, nad którego funkcjonowaniem trzeba sprawować stały nadzór, wymagający wielu dodatkowych zabiegów, zupełnie niepotrzebnych w przypadku czegoś, co zostało w pełni przyjęte i zaakceptowane. Metodologii wdrażania SZJ jest kilka i każda z nich może zostać uznana za właściwą, o ile jej wynikiem końcowym będzie działający system, a nie jedynie certyfikat. Jak się okazuje najtrudniej jest zauważyć, coś co już istnieje. W wielu Organizacjach od zawsze prowadzi się analizy działających procesów, wystarczy na etapie wdrożenia je dostrzec aby móc efektywnie wykorzystać coś co od lat jest wszystkim znane. W pełni świadomie wdrożony system nie powinien być praktycznie zauważalny dla pracowników. Dlaczego? Otóż, czy pracownicy zastanawiają się nad tym dlaczego należy wypełnić wniosek o urlop? Dowód RW? Czy formularz zamówienia? Nie, gdyż są to działania naturalne, do których wszyscy zdążyli przywyknąć, uznając je za normę. Podobnie rzecz wygląda w przypadku wszelkich zapisów. Odnotowujemy terminy spotkań, cel, numery telefonów. Tworzymy podręczne listy kontaktów, czy też zapisujemy informacje dotyczące zgłoszenia problemu lub zapotrzebowania. Często jednak zapisy te mają charakter nieformalny lub po ich wykorzystaniu zostają zniszczone. Podobnie rzecz ma się z wyznaczeniem celów, często niestety przypominających hasła z minionej epoki i o ile, jak najbardziej stanowią one podstawę czy też motywację do działania, o tyle często nie wnoszą nic poza uśmiechem na twarzy, szczególnie niezadowolonych Klientów, a w końcu każdy z nas podświadomie wie do czego zmierza i jak ocenić efekt pracy. Podobnie jak z zapisami, tak i z wyznaczeniem mierzalnych celów jakości często można napotkać wiele problemów natury merytorycznej. Częstym powodem jest brak spójnej wiedzy na temat Organizacji oraz świadomości czemu tak naprawdę ma to służyć. Posługując się przykładem, postaram się zobrazować cały proces, który w naturalny sposób uwypukla wszelkie elementy, niezbędne zarówno do wyznaczenia celów, jak i mierników, pozwalających na określenie stopnia ich realizacji. W przykładowej firmie „A”, na polecenie prezesa opracowano analizy dotyczące: poziomu sprzedaży, poziomu reklamacji, działań serwisu oraz stopnia zadowolenia klientów. Kolejne opracowania zawierały wszelkie niezbędne informacje, z których na pierwszy plan wysunęło się kilka bardzo istotnych: 1. Na sto pozytywnych, możliwych odpowiedzi, zarejestrowano w ankiecie zadowolenia Klientów 732. Na każde 250 sprzedane urządzenia o łącznej wartości 1.000.000PLN reklamowano: - jako całkowicie wymagające wymiany – 4 szt. - jako wadliwie działające, wymagające naprawy – 25 szt. 3. Poziom zysku z łącznej sprzedaży osiągnął 90% zakładanego planu4. Dodatkowo, w wyniku analizy okazało się, że za zgłaszane usterki odpowiada wadliwa część, dostarczana od jednego z dostawców. Dane tego typu zbierane są w wielu przedsiębiorstwach, chociażby z racji tego, iż ich kierownictwo potrzebuje tych informacji dla potrzeb oceny bieżącej działalności. Jednak co nam dają wyniki powyższej analizy z punktu widzenia SZJ? Między innymi otrzymujemy informację, że stopień zadowolenia klientów osiągną aż lub tylko 73%. Zakwalifikowanie wartości zależy oczywiście od charakteru sprzedaży, jednak z całą pewnością, do doskonałości pozostało 27% niezadowolonych klientów. Jeżeli weźmiemy pod uwagę, fakt iż konkurencja także dąży do zadowolenia jak najszerszej liczby klientów, wyłania nam się jeden z pierwszych, w pełni mierzalnych celów jakościowych: >> Zwiększenie liczby zadowolonych klientów o ..... % << Dlaczego nie podaję wartości? Otóż wskaźnik ten powinien być ustalony indywidualnie przez daną organizację, stosownie do możliwości, zarówno z punktu widzenia charakteru produktu oraz rynku, jak i z punktu widzenia warunków ekonomicznych. Dalsza analiza pozwala na określenie powodów niezadowolenia, co umożliwi wyznaczenie zdań szczegółowych, mających bezpośredni wpływ na realizację założeń wyznaczonego celu. Innym przykładowym celem może być: >> Obniżenie poziomu zwrotu wadliwych towarów o ..... szt./kwartał<< Analiza reklamacji wykazała, że na każde 250 wyrobów, do firmy wraca 25 szt., zatem aż 10%. Jak wiadomo każda reklamacja pociąga za sobą określone koszty, a co za tym idzie, ma bezpośredni wpływ na zysk organizacji. Obniżenie awaryjności dostarczanego wyrobu, zaowocuje m.in.: wzrostem rentowności sprzedaży wzrostem zadowolenia klientów, a zatem poprawą wizerunku organizacji na rynku Dodatkowo, ten niewielki zakres informacji dostarcza nam wiedzę: która umożliwi świadomą zmianę lub negocjacje z dotychczasowym dostawcą wadliwych podzespołów na temat funkcjonowania wewnętrznej komórki kontroli jakości, a więc koniecznością przeprowadzenia sprawdzenia funkcjonowania procesu odbioru zamówionych podzespołów. Nawet tak prosta analiza, prowadzona w oparciu o bardzo szczątkowe dane, daje nam pewien obraz funkcjonowania nie tylko jednego, lecz kilku procesów. Dlatego też tak ważnym elementem systemu, jest prowadzenie ciągłego nadzoru oraz analiz tych wszystkich procesów, które zachodzą w organizacji, a które na etapie wdrożenia zostały wskazane, jako mające wpływ na jakość wyrobów. To co uzyskaliśmy z przykładowej analizy, to jednak nie wszystko. Z tych bowiem prostych informacji nie wynika, ani dlaczego klienci są niezadowoleni, ani dlaczego zyski osiągnęły mniejszy poziom niż zakładano itd. Zatem pojawiają się dalsze potrzeby poszerzenia m.in. zakresu prowadzenia badań zadowolenia klientów, co oznacza dokładnie tyle, co dalszy rozwój i doskonalenie funkcjonującego systemu zarządzania jakością. Proces ten bowiem towarzyszy praktycznie wszystkim elementom działalności organizacji. Oczywiście jedynie wtedy, gdy SZJ staje się naturalnym narzędziem zarządzania. Ktoś może jednak stwierdzić, że podany przykład jest banalny i dotyczy jedynie wybranych elementów i niekoniecznie występuje w każdej organizacji. I oczywiście, będzie miał rację. Przykład ten ma jedynie zaprezentować proces wyznaczania celów, wyciągania wniosków oraz pozyskiwania informacji na temat funkcjonowania procesu. Każda organizacja na etapie wdrażania systemu, czy też w ramach doskonalenia, powinna określić własne procesy, mające wpływ na jakość oraz własne cele i wynikające z nich zadania. Dla każdej organizacji oraz zależnie od charakteru prowadzonej działalności procesy i cele mogą być mnie lub bardziej zbliżone do siebie. Innym zagadnieniem jest analiza sensowności osiągania danego celu. Bardzo wymownym przykładem jest z całą pewnością sytuacja spotykana w obszarze marketingu. Chcemy dotrzeć do jak największej liczby potencjalnych odbiorców – możemy przeczytać w niejednej księdze jakości. Działy planują budżety, określają plany, a wszystko to w dość prosty sposób weryfikuje jedno pytanie – ile warta jest złotówka marketingowa, czyli ile złotówek pozyskaliśmy lub przynajmniej ile nie straciliśmy dlatego, że na marketing wydaliśmy tą, a nie inną kwotę z naszego budżetu?
Jacek Rembikowski, Poznań 2005, fragment z podręcznika System Zarządzania Jakością, często postrzegany jest jako zbędna biurokracja, z którą wiążą się jedynie problemy i nawał dodatkowej pracy. Głównym powodem z pewnością jest sztuczne funkcjonowanie systemu w danej Organizacji, bądź też, niewłaściwe przeprowadzenie wdrożenia, według zasady - "Tak ma być". Zasada ta, jest jedną z najgorszych jaką można się kierować, przy wdrożeniu systemu. Zdecydowanie bardziej godne polecenia zwroty, wpływające na świadomość użytkowników systemu, to: Czy dany element (produkt, dostawca, działanie) ma wpływ na jakość oferowanych wyrobów i usług? Czy samemu zaufałbyś organizacji na podstawie tak funkcjonującego systemu? Pytanie te można praktycznie zastosować do każdego z elementów, które opisujemy w ramach wdrażania Systemu Zarządzania Jakością, zatem warto sobie zadać je w aspekcie poszczególnych wymagań normy (...) Próba odpowiedzi na powyższe pytania zdecydowanie bardziej pomaga w zrozumieniu istoty wdrożenia i zarządzania SZJ. Szukając odpowiedzi, intuicyjnie zaczynamy bowiem szukać podstaw oraz danych, która będą o tym fakcie decydowały lub go potwierdzały. Umiejętność zadania, tego typu pytań oraz udzielenia na nie rzetelnych odpowiedzi nie jest zadaniem prostym, lecz w pełni wykonalnym i prawdę mówiąc, koniecznym. Norma sama w sobie nie jest dokumentem dedykowanym dla określonej branży, czy rodzaju Organizacji. Może więc być z powodzeniem zastosowana w dowolnej gałęzi przemysły, czy też administracji. (...) Norma wiele elementów określa za pomocą ogólnych wymagań, czy ogólnych definicji, a dopiero pełna świadomość znaczenia słów „jakość” i „zadowolenie Klienta”, pozwalają na właściwe rozumienie i wdrożenie systemu. (...) Przeprowadzając pełną analizę przedsiębiorstwa pod kątem wymagań, jakie stawia nam norma, otrzymujemy analizę SWOT, obrazującą dobre i złe strony Organizacji oraz wynikające z nich możliwości i zagrożenia, a na koniec cele jakie należy sobie wyznaczyć, aby wynik następnego przeglądu wypadł lepiej, a zawsze może wypaść lepiej. (...) * * * Odwróćmy jednak naszą sytuację i spójrzmy na SZJ z jeszcze innego punktu widzenia. Przyglądając się historii zmian, poszczególnym wydaniom normy oraz filozofii związanej z jakością trudno nie odnieść wrażenia, że bez względu na sposób podejścia, głównym celem jest dostarczanie wysokiej jakości produktów i usług. W końcu kto chciałby nabywać produkty wadliwe, czy korzystać z usług, które niczego nie wnoszą? (...) Jako pacjentów, petentów, czy jako klientów przede wszystkim interesuje nas jakość nabywanych wyrobów i za każdym razem naszej ocenie podlega finalny produkt. Bez znaczenia czy jest to produkt w postaci materialnej, czy forma obsługi w ramach usług. O tą właśnie jakość, tak naprawdę chodzi, zarówno wytwórcy, jak i odbiorcy. Jakość jednak nie może funkcjonować w oderwaniu od rzeczywistości, a z każdym wyrobem mamy do czynienia z innym otoczeniem. Niezmienne jest jednak kilka elementów, które na jakość mają bezpośredni wpływ. Opierając się cały czas na naszym przykładzie (szerzej opisanym w podręczniku), możemy wyróżnić kilka z nich: zarządzanie zasobami, zarówno ludzkimi jaki i produkcyjnymi (materiały i narzędzia) planowanie i organizacja pracy zarządzanie kwalifikacjami personelu (...) Z całą pewnością, zarówno sytuacja podana w przykładzie wyglądałaby inaczej, gdyby: dobrze planowano rozwój kadr, w tym także prowadzono analizy zadowolenia klientów, (...) monitorowano potrzeby Klientów, co pomogłoby (...) w ocenie sytuacji, zanim zaczęto tracić pierwszych Klientów zarządzano personelem, dzięki czemu sytuacja po odejściu pracownika nie stałaby się tragiczna lub nie doszłoby do nadmiernego 'odchudzenia' kadr, co znalazło swój koniec w ograniczeniu możliwości świadczenia usług prowadzono właściwą politykę edukacyjną personelu w celu rozwijania umiejętności i kompetencji nadzorowano rozwój technologii, umożliwiając tym samym utrzymanie usług na właściwym poziomie (...) Każda Organizacja bowiem, dążąc do jednego z głównych celów, a więc dostarczania wyrób i usług o najwyższej jakości, musi zdawać sobie sprawę, z faktu, iż każdemu procesowi produkcyjnemu towarzyszą procesy, bez których zapewnienie jakości nie jest możliwe. Cały proces nadzorowania i planowania wszystkich procesów, to jest właśnie System Zarządzania Jakością. A jakich dokładnie elementów będzie on dotyczył, które z nich powinny podlegać szczególnemu nadzorowi, o tym właśnie mówi zarówno norma, określając sześć głównych wymagań oraz zdrowy rozsądek i świadome zarządzanie Organizacją. Zarządzanie poprzez pryzmat jakości oferowanych produktów lub świadczonych usług. Artykuły oraz materiały dostępne są także w formie Podręcznika Pełnomocnika (format pdf, wielkość pliku 1,3Mb)