Что на самом деле надо знать про PDCA?

Что на самом деле надо знать про PDCA?
На мой взгляд, цикл непрерывного совершенствования PDCA должен понимать, а лучше еще и применять каждый специалист по ИБ. Он кажется простым и понятным, но, на самом деле, идеи заложенная в нем наделены глубоким смыслом. Одним прочтением ISO 27001 для понимания модели не обойтись... Кстати, в версии 2013 года цикл PDCA не упоминается, авторы стандарта предлагают использовать любую модель непрерывного совершенствования, например, мою любимую из COBIT5 (про это писал тут и тут ). Но еще лучше для понимания модели PDCA изучить книги Деминга ( вот тут я делал небольшой обзор основных идей ) и прочитать рекомендации по внедрению СУИБ в ISO 27003.

Но недавно нашел еще один полезный текст по теме PDCA в книге " BPM CBOK 3.0. Свод знаний по управлению бизнес-процессами ". Привожу его практически полностью ниже.
Организации, обладающие зрелыми способностями к управлению процессами, управляют ими по замкнутому циклу с обратной связью, включающему планирование, проектирование, внедрение, исполнение, измерение, контроль и непрерывное совершенствование.
Литература изобилует жизненными циклами бизнес-процессов, описывающими управление с обратной связью. Независимо от числа фаз цикла и присвоенных им названий подавляющее большинство можно свести к циклу «Планирование - Действие - Проверка - Корректировка» (PDCA), популяризированного доктором Эдвардом Демингом в 1950е годы.
Plan

Назначение стадии «Планирования» цикла PDCA - убедится, что как контекст бизнес-процесса, так и внутреннее устройство процесса соответствуют стратегическим целям организации. 

Описание бизнес-контекста - это способ достичь глубокого понимания связи между процессом и его внешним окружением ( еще посмотрите эту мою заметку про контекст в ИБ ). Этот критически важный шаг в понимании целей процесса завершен тогда, когда получена как минимум следующая информация:
  • Потребитель процесса.
  • Выход процесса и ясное понимание того, почему он представляет ценность для потребителя.
  • Как процесс и его выход соответствуют миссии организации и работают на его стратегические цели (то есть как с точки зрения контекста процесс встраивается в вышестоящую процессу архитектуру).
  • Вход(ы) процесса и событие(-я), запускающие исполнение процесса, и каналы, по которым этот запуск может происходить.
  • Регулирующие положения - внешние или внутренние политики и правила, накладывающие ограничения на проектирование и исполнение процесса.
  • Исходные значения показателей результативности и эффективности (если речь идет о существующем бизнес-процессе).
  • Целевые показатели результативности и эффективности  будущей версии процесса.
После того как бизнес-контекст зафиксирован, можно приступить к проектированию внутреннего устройства процесса. Если он хорошо спроектирован, то в результате мы получим как минимум следующие четко сформулированные пункты:
  • Действия, составляющие процесс.
  • Осязаемые результаты и артефакты, создаваемые в ходе процесса, и состояния, через которые они проходят.
  • Информационные системы, задействованные в выполнении процесса.
  • Места выполняемых действий и места хранения относящихся к процессу материальных результатов и артефактов.
  • Специфические события, ограничивающие исполнение процесса.
  • Метрики и точки измерения показателей производительности процесса.
В дополнение к этому в хорошо спроектированном процессе расписаны связи между перечисленными выше компонентами процесса. Например, такие:
  • Какие роли отвечают за исполнение каких действий.
  • Какие действия производят какие результаты.
  • какие события какие действия запускают.
  • Какие действия выполняются на каких местах.
  • Какие результаты хранятся в каких местах.
  • Какие информационные системы обеспечивают какие действия.

В организации, которым недостает способности правильно организовать планирование, разработка процесса опирается на предположения и интуицию. Такие организации часто страдают от разнонаправленности усилий, политической борьбы, операционных конфликтов, разрывов цепочки создания ценности на функциональные анклавы, чувства оторванности от менеджмента, которое испытывают работники, и от неспособности добиться прогресса.
Do

Назначение стадии «Действие» цикла PDCA - внедрить процесс в соответствии со спецификацией, разработанной на стадии «Планирование», и приступить к его эксплуатации.

Внедрение процесса не ограничено каким-то определенным форматом, но, как правило, оно включает следующие действия:
  • Создание новых ролей и полномочий или модификация существующих.
  • Проектирование или реструктуризация функциональных подразделений.
  • Разработка или доработка информационных систем, включая функциональные приложения и автоматизацию процессов и потоков работ.
  • Разработка и внедрение вспомогательных средств, таких как стандарты на операционные процедуры, инструкции и руководства.
  • Открытие новых каналов и точек взаимодействия с клиентами.
  • Создание и внедрение мониторинг показателей эффективности процесса, панелей показателей для контроля производительности, а также механизмов эскалации.
Стадия «Действие» цикла PDCA включает в себя также исполнение процесса с момента внедрения его в эксплуатацию. Другими словами:
  • процесс запускается инициирующими событиями;
  • процесс получает входы;
  • выполняются действия;
  • производятся промежуточные результаты;
  • конечные результаты процесса производятся и передаются по назначению.
Check

Назначение стадии «Проверка» цикла PDCA - измерить показатели эффективности процесса и сравнить их с ожидаемой эффективностью. 

Секрет полезности метрик на стадии «Планирование» - правильная архитектура процесса на стадии «Планирование». Показатели эффективности процесса определяются ожиданиями потребителя. 

Стадия «Проверка» цикла PDCA служит механизмом измерения и сопоставления показателей с целевыми значениями.

Традиционные категории показателей эффективности:
  • Временные: пропускная способность, время цикла, доставка в срок.
  • Качество продукции: отсутствие дефектов, объем переделок, надежность продукции.
  • Качество услуги: гибкость, добросовестность, надежность.
  • Стоимость: трудозатраты, материальные затраты накладные затраты, стоимость переделок.
  • Удовлетворенность потребителя: соответствие восприятия продукции ли услуги ожиданиям.
Act

Назначение стадии «Корректировка» цикла PDCA - проанализировать и отреагировать в соответствии с собранными на стадии «Проверка» данными по эффективности процесса. Эта стадия обеспечивает качественное функционирование процесса, несмотря на изменения окружающей сред, и в ходе таких измерений гарантирует, что процесс можно непрерывно совершенствовать, добиваясь соответствия целевым показателям эффективности, которые тоже меняются во времени.

Могут выполнятся корректировки двух видов:
  • Действия с отдельными экземплярами процессов (вмешательство в реальном или близком к реальному времени).
  • Выявление и планирование изменений в описании и реализации процесса (то есть измерение того, как экземпляры процесса должны исполняться в будущей версии).
Стадия «Корректировка» включает в себя следующие действия:
  • Сбор и агрегирование данных и наблюдений, собранных на стадии «Проверка».
  • Анализ этих данных и составление списка критичных замечаний из списка (то есть требования к проекту будущей версии процесса).
  • Ранжирование и приоретизацию всех требований к будущей версии внутреннего устройства процесса, которые должны быть реализованы на следующей стадии «Планирование» цикла PDCA.
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире