„Skutki” ochrony danych

Jeden z sobotnich poranków, sprawdzam prywatną pocztę i wśród wiadomości znajduję zatytułowaną w następujący sposób: „Komunikat ws. naruszenia ochrony danych osobowych” (więcej o takich komunikatach można znaleźć w sieci Internet) . W pierwszym momencie zrobiło mi się gorąco, bo tego się nie spodziewałem i może to być problem, w zależności od tego, który podmiot wysłał taką wiadomość (w domyśle jakimi danymi dysponował). Spojrzałem na nadawcę i trochę się uspokoiłem. Pierwsze pytanie, które sobie zadałem: „Kiedy korzystałem z tego serwisu?”. Na pewno dawno (po sprawdzeniu okazało się, że kilka lat temu), więc czytam już spokojnie całą wiadomość. Wiadomość można streścić w 5 punktach (więcej o takim zawiadomieniu można znaleźć na stronie UODO):

1. co się stało? czyli opis sytuacji;
2. co to może oznaczać? czyli konsekwencje. Przy tym punkcie postanowiłem, że sprawdzę jakie moje dane mają, zmienię hasło dostępu oraz wyślę prośbę o usunięcie konta.
3. co zrobili i co planują zrobić? To, co przeczytałem wzbudziło mój niepokój ale mnie nie zaskoczyło, bo te elementy znam już z artykułów związanych z RODO (o kilku kwestiach pisałem też na blogu).
4. co mogę zrobić po swojej stornie? Informacje odnosiły się bardziej do sugerowanych reakcji, gdy jednostka/osoba, która weszła w posiadanie moich danych, zaczęła je wykorzystywać. Utwierdziłem się w przekonaniu co do akcji, które chciałem podjąć. Dodatkowo zdecydowałem się na zarejestrowanie się w BIK, co wskazywał jeden z punktów.
5. dodatkowe informacje. Można powiedzieć, że przyjąłem do wiadomości.

Wykonałem akcje:

• [grupa A na diagramie:] sprawdziłem jakie dane podałem – na szczęście nie podałem PESEL, serii dowodu osobistego oraz innych specyficznych danych. Dane były bardzo ograniczone (uff!) i błędnie sformatowane ze względu na wprowadzone zmiany w systemie.
• [grupa A na diagramie:] zmieniłem hasło. Nigdy nie zaszkodzi.
• [grupa A na diagramie:] wysłałem prośbę o usunięcie konta w serwisie ze wszystkimi danymi powiązanymi (bo takiej opcji nie ma w samym serwisie) – nie jest mi potrzebny dostęp do tego serwisu i nie mam żadnych aktywnych usług/transakcji/opcji. Konto zostało usunięte.
• [grupa B na diagramie:] zapoznałem się z informacjami na stronie BIK, a następnie zarejestrowałem się w serwisie.

Powyższy diagram prezentuje wykonane ścieżki postępowania. Rozpoczyna się od zdarzenia inicjującego opartego o komunikat (message event). Następnie przybliża ścieżkę weryfikacji danych, zmiany hasła, prośby o usunięcie konta, a następnie rejestracji w BIK.    

Wskazany proces rejestracji w BIK (link znalazłem po przygotowaniu powyższego diagramu) jak widać ma dużo elementów mających na uwadze bezpieczeństwo danych oraz jednoznaczne potwierdzenie tożsamości. Samo potwierdzenie rejestracji jest wieloetapowe – trzeba zrobić przelew weryfikacyjny (na przykład korzystając z płatności online), dane przelewu muszą się zgadzać z wprowadzonymi danymi, trzeba wykonać kroki z wiadomości wysłanej na wskazany e-mail, po drodze dostajesz specjalny kod na wskazany numer telefonu i go podajesz podczas ustalania hasła, a potem trzeba zalogować się dodatkowo podając PESEL w formie maskowanej. Czułem, że podmiotowi zależy na ochronie moich danych przy równoczesnym zabezpieczeniu się przed nieuprawnionym dostępem do nich.

Po otrzymaniu takiej wiadomości, mamy jakieś opcje, aby upewnić się czy nasze dane nie zostały wykorzystane lub jak poznać, że zostały wykorzystane lub też co możemy zrobić, aby się ustrzec przed takim ryzykiem w przyszłości (wiadomość wskazywała takie opcje, można też znaleźć takie informacje w dedykowanych artykułach). Wiele zależy od rodzaju danych, które wpadły w niepowołane ręce. Im ich więcej lub/i bardziej detaliczne, to można powiedzieć, że ryzyko jakiś niechcianych zdarzeń, z perspektywy ich właściciela, rośnie.

Dobrze zawsze się zastanowić czy udostępniane dane (wprowadzane podczas rejestracji lub przy innej okazji) pasują do działań/operacji możliwych do wykonania w serwisie lub w danej funkcjonalności/procesie. Jeżeli na przykład w serwisie będzie tylko korzystać z publikacji wewnątrz serwisu, podawanie numeru PESEL czy dowodu osobistego nie wydaje się uzasadnione. Z kolei, gdy zamierzamy podejmować zobowiązania wymagające jednoznacznego potwierdzenia tożsamości, brak podania takich danych może uniemożliwić skorzystanie z takich usług online czy nawet stacjonarnie. O przykładzie nadmiarowych danych podczas zgłoszenia reklamacji pisałem w innym wpisie.

Reklama

Obowiązek dla właściciela procesu?

„…może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO.” oraz „...podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji…” – są to dwa fragmenty artykułu ze strony Urzędu Ochrony Danych Osobowych mówiące o dokumentacji przetwarzania danych osobowych zgodnie z RODO.

Czytając ten artykuł zacząłem się zastanawiać czy przypadkiem z powodu obowiązywania rozporządzenia RODO nie pojawiają się dodatkowe obowiązki dla właściciela procesu. Samo sformułowanie właściciela procesu nie pojawia się w ustawie (o ile dobrze zweryfikowałem). Występują sformułowania odnoszące się do administratora danych, do jednostki przetwarzającej dane oraz rejestru czynności przetwarzania.

Temat wpływu RODO na procesy biznesowe już opisywałem w innym wpisie, niedługo po wejściu ustawy w życie, a był to okres kiedy podmioty funkcjonujące na rynku wysyłały do swoich klientów stosowne klauzule informacyjne. Wskazałem tam takie aspekty jak zebranie danych, zapisanie danych oraz wykorzystanie danych (co zasygnalizowałem również na poniższym diagramie). Są to elementy procesów, np. zamawiania w internecie lub innych, których kształt oraz rozwój określa właściciel procesu wraz z interesowanymi stronami. Przypomnę, że jednym z punktów było odpowiada za zgodność procesu z oczekiwaniami biznesowymi, co wydaje się oczywiste.

Działanie różnych procesów biznesowych, opartych o dane Klientów w nich uczestniczących, jest uzależnione także od innych aspektów – takich jak bezpieczeństwo procesu (w sklepie, z którego korzystam, regulamin to precyzuje), ryzyko procesu czy zgodność procesu z regulacjami obowiązującymi dany podmiot (regulamin sklepu, z którego skorzystam, ma takie zapisy, precyzujące z jakimi ustawami jest zgodny). W zależności od ustaleń i zasad stosowanych w danym podmiocie, można powiedzieć, że na jednostce rozwijającej, utrzymującej lub opiekującej się procesem, leży obowiązek spełnienia tych wymogów. Można uogólnić, że to właściciel procesu powinien odpowiadać za zgodność procesu z wymogami regulacyjnymi, w tym z RODO.  Wskazanie właściciela procesu wydaje się tutaj uzasadnione.

Dlaczego? To właściciel procesu ma (powinien mieć?) najlepszą wiedzę o tym jakie są kroki procesu oraz jakie elementy w procesie są pozyskiwane od Klienta (zasygnalizowane na diagramie). W momencie konieczności zebrania dodatkowych poświadczeń lub danych od Klienta, to właściciel procesu inicjuje samodzielnie lub wspólnie z zainteresowanymi jednostkami odpowiednią zmianę techniczną, zmierzającą do osiągnięcia postawionego celu.

Wracając do cytatu, to właściciel procesu  moim zdaniem wspiera administratora danych w określeniu odpowiednich zapisów w rejestrze czynności przetwarzania oraz wyjaśnia elementy składające się na taką pozycję jak na przykład (co próbowałem także zasygnalizować na diagramie):

• „…
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione…;
• …”

Ankieta oceny realizacji zamówienia

Dzisiejszy tytuł wpisu nie jest przypadkowy. Jest to dokładnie tytuł wiadomości e-mail jaką otrzymałem od sklepu internetowego następnego dnia po odebraniu zamówienia w wybranym punkcie. Czasami uruchamiam te ankiety a czasami usuwam takie wiadomości. Tym razem postanowiłem, że przyjrzę się bliżej takiej ankiecie.

Proces realizacji zamówienia rozpoczął się „tradycyjnie” w serwisie internetowym – po przejrzeniu oferty, wybrałem produkty, które chciałem zamówić. Następnie określiłem sposób dostawcy i wskazałem punkt odbioru. Po otrzymaniu wiadomości SMS udałem się po odbiór zamówienia. Proces ten jest przedstawiony na poniższym diagramie. Na diagramie znalazł się również krok: Oceń proces, ponieważ przeważnie występuje on w procesie realizacji zamówienia inicjowanego w sklepie internetowym.

Wykonując krok Oceń proces musiałem skorzystać z ankiety wskazanej poprzez link w otrzymanej wiadomości. Link kierował do dedykowanego serwisu. W ankiecie były pytania wskazane poniżej. Dla potrzeby wpisu trochę je uogólniłem, aby nie wskazywały wprost jaki sklep internetowy dokładnie wysyła taką ankietę. Jest to zestaw pytań, które potencjalnie pasują do różnych sklepów.

Pytania są następujące:

 

Oznaczenie	Pytanie	Oceniany krok
A1	Pytanie o szerokość oferty	Przejrzyj ofertę, Wybierz produkty
A2	Pytanie o podział oferty na kategorie	Przejrzyj ofertę
A3	Pytanie o wyszukiwarkę	Przejrzyj ofertę
A4	Pytanie o ceny	Przejrzyj ofertę, Wybierz produkty
B1	Pytanie o formy dostawy	Złóż zamówienie
B2	Pytanie o formy płatności	Złóż zamówienie
C	Pytania o lokalizację punktu odbioru	Odbierz zamówienie
D	Pytania o obsługę w punkcie odbioru	Odbierz zamówienie
E	Pytanie o zadowolenie z obsługi w punkcie odbioru	Odbierz zamówienie
F	Pytanie o problemy w trakcie realizacji lub odbioru	Odbierz zamówienie
G	Pytanie o polecenie sklepu innym	cały proces

Pytania na diagramie zostały przyporządkowane do poszczególnych części procesu, zgodnie z powyższą tabelką. Patrząc na pytania w ramach poszczególnych grup można spróbować zinterpretować wyniki:

• jeżeli spadają oceny w zakresie pytań z grupy A, może to sugerować, że w ofercie brakuje części poszukiwanych produktów przez Klientów i zamawiają te, które znaleźli lub też ceny produktów Klienci są w stanie zaakceptować ale mogłyby być niższe. Jeżeli oceny rosną lub utrzymują się na wysokim poziomie, oznaczać to może, że oferta spełnia oczekiwania Klientów lub jeżeli ktoś już złożył zamówienie, to ocenia w taki sam sposób sklep, nie wnikając w szczegóły. Kwestię dostosowania produktów i ich cech do oczekiwań Klientów opisywałem we wpisie „Promocyjny proces”
• jeżeli spadają oceny w zakresie pytań z grupy B, to oznacza, że Klienci sobie radzą ale oczekują jednak określonych zmian w procesie zamówienia, np. nowej formy dostawy, formy płatności lub inne sklepy stosują rozwiązania, które bardziej odpowiadają Klientom. Jeżeli oceny rosną lub utrzymują się na tym samym wysokim poziomie, oznacza to, że serwis działa zgodnie z oczekiwaniami bądź też korzystają z niego te same grupy Klientów. Dostępność usług analizowałem kiedyś we wpisie „Punkty przełamania dla usługi”.
• oceny z pytań z grupy C są uzależnione od tego jak gęsta jest sieć punktów odbioru oraz od odległości punktu odbioru od miejsca przebywania, pracy czy zamieszkania Klienta. Zakładając, że Klient wybiera dostawę do danego punktu odbioru świadomie, negatywne oceny mogą świadczyć, że tych punktów jest za mało. Inna sprawa, że niektóre sklepy dostarczają tylko do punktów odbioru i wtedy Klient nie ma wyjścia, jeżeli korzysta z danego sklepu i może to wtedy wpłynąć na oceny. Może też być jeden punkt odbioru w danym mieście.
• oceny pytań z grup D-E są silnie uzależnione od interakcji międzyludzkich, od czasu i okoliczności, kolejek w punkcie odbioru, doświadczenia osób w nim pracujących, oczekiwań Klientów, rodzaju i jakości produktów, infrastruktury oraz problemów niezależnych od punktu odbioru (np. przerwy w działaniu kart czy brak prądu). O ryzykach, które powodują, że zakupy się nie udają pisałem w innym wpisie.
• oceny z ostatnich grup F-G, to ocena całego procesu zamówienia i jego odbioru. Im lepsze oceny tym większa szansa, że obecny Klient może przyciągnąć kolejnych Klientów do danego sklepu. Przeważnie są to pytania o chęć polecenia sklepu innym lub powrotu do sklepu kolejny raz. W tej części są także pytania o problemy oraz sugestie Klienta odnośnie procesu. Dzięki odpowiedziom w tej sekcji możemy się dowiedzieć co konkretnie można poprawić. Ocena jakości procesu czy usługi wymaga zbudowania wskaźników.
• co ciekawe żadne z pytań nie dotyka wprost kwestii związanej z czasem realizacji zamówienia, dlatego też element oczekiwania na możliwość odbioru zamówienia nie został przypisany do żadnej z grup, a został uwzględniony jako elementy oceny całości procesu. Na czas procesu można spojrzeć w różny sposób.

Odpowiednio skonstruowana ankieta i jej analiza pozwalają odpowiedzieć na pytania, które już kiedyś analizowałem we wpisie „Dlaczego taki proces?” oraz „A gdzie wartość dodana procesu?” oraz we wpisach powiązanych. Zakładając, że wypełnione ankiety zawierają „prawdziwe” dane i to, że Klienci chcą nam coś przekazać, abyśmy poprawili proces oraz podejmują taki wysiłek w większości przypadków, gdy mają uwagi, to wnioski takiej ankiety mogą być przydatne podczas poprawy procesu oraz dostosowania go do oczekiwań Klientów.

Myślę, że warto wypełniać jednak takie ankiety po zrealizowanym zamówieniu a także wtedy, gdy takie zamówienie nie dochodzi do skutku (jeżeli jest taka możliwość). Korzyścią jest to, że w przyszłości będziemy mogli potencjalnie skorzystać z lepszego procesu lub też ułatwimy innym korzystanie ze sklepu. Warto też wskazywać konkretne słabości lub braki.

Gdy zakupy się nie udają

W samoobsługowym procesie, o którym pisałem w poprzednim wpisie, wiele elementów może pójść nie tak. Z jednej strony proces może się zakończyć w nieakceptowalnym czasie (ryzyko terminu), może nie spełnić oczekiwań Klienta (kolejne ryzyko), a także mogą wystapić inne zdarzenia będące materializacją różnych ryzyk, określanych mianem ryzyk operacyjnych dla procesu biznesowego.

Wśród takich ryzyk operacyjnych możemy na przykład wyróżnić (istnieją także ryzyka):

• ryzyko błędów ludzkich (np. pracownik sklepu internetowego umieszcza w paczce nieodpowiedni produkt lub w niewłaściwej ilości)
• ryzyko związane z uszkodzeniem mechanicznym sprzętu (np. brak reakcji ekranu na dotyk)
• ryzyko związane z infrastrukturą (np. brak możliwości połączenia z serwisem on-line ze względu na obciążenie sieci lub/i słaby zasięg; brak miejsca na urządzeniu w celu zapisania wymaganych informacji; brak zgodności wersji przy przenoszeniu listy itp.)

W szczególności to ostatnie ryzyko może silnie wpłynąć na podany proces biznesowy – na każdym przejściu między krokami może wystąpić jakieś zdarzenie, którego nie zakładamy. Próbowałem to przedstawić na powyższym diagramie za pomocą strzałek “dwukierukowych”. Dodałem także elementy wpływające bezpośrednio na wykonanie danego kroku w procesie biznesowym – jak np. braku możliwości zapisu listy produktów lub jej aktualizacji.

Samo działanie sklepów internetowych jest oparte na przechowywaniu w sesji pewnej liczby informacji – wyobraźmy sobie, gdyby przy każdym kliknięciu pewne informacje byłyby nadpisywane, np. był czyszczony koszyk. Doświadczyłem takiego błędu w jednym z serwisów, gdy po zalogowaniu, kolejne kliknięcie w jakąś opcję, powodowało powrót do ekranu logowania. Było to bardzo denerwujące. Pewnie szybciej zignorujemy sytuacje, gdy oznaczenie ulubionej zakładki znika niż konieczność powtarzania kroków w procesie.

(Nie)oczekiwany efekt procesu

Po ostatnim tygodniu, mam taką refleksję. Gdy dwie grupy są zaangażowane wspólnie w przygotowanie jakiegoś produktu, a wynik pracy jednej grupy staje się podstawą pracy drugiej, to końcowy efekt jest obarczony ryzykiem, że nie będzie oczekiwany z tym na początku. Dlaczego tak może być?

Wyobraźmy sobie, że dwie jednostki dowolnej firmy przygotowują raport. Pierwsza jednostka przygotowuje wsad, a druga uzupełnia go o resztę informacji – taki proces jest zaprezentowany na poniższym diagramie. Na końcu procesu raport może przyjąć dwa stany: „Oczekiwana prezentacja raportu”, „Niepoprawna prezentacja raportu”. Stany te są skutkiem różnych działań. Oczekiwanym działaniem jest zachowanie formatu danych. Łatwo powiedzieć, ale często trudniej wykonać. Przykładów nie trzeba szukać daleko – zapis dat może być różny – jedni oczekują formatu dd-mm-rrrr, inni rrrr-mm-dd, a często mamy daty jako dd-mm-rr lub rr-mm-dd. Jak dorzucimy do tego jeszcze znaki oddzielające i stosowanie tzw. timestampa, czyli formatu data+godzina to już się robi zamieszanie.

Odpowiadając na pytanie „Dlaczego?” można powiedzieć, że:

• informacja przy przekazaniu raportu była niewystarczająca,
• nie doprecyzowano założeń i formatu raportu,
• obydwie jednostki korzystały z różnych narzędzi/konfiguracji,
• prawdopodobnie zastosowano różne formaty dla tego samego charakteru danych w poszczególnych częściach raportu,
• druga jednostka niepoprawnie zinterpretowała zawartość przekazanego wsadu,

 

Wystąpienie takich problemów powoduje, że proces się wydłuża, ze względu na konieczność poprawy raportu. Wymają także działań zapobiegających na przyszłość, jeżeli raport ma być przygotowywany cyklicznie. Jest to związane z rodzajami ryzyka w procesie biznesowym i zarządzania nimi, a także z rozwiązywaniem problemów (krótko i długoterminowym).

Drzewko decyzyjne klienta a ryzyko wyboru

Na jednym z blogów, we wpisie pojawiło się ostatnio pytanie „Dlaczego nasz Odbiorca (Klient) nie zaopatruje się bezpośrednio u naszego dostawcy, co takiego wnosi nasza firma, że warto przyjść do nas za to zapłacić?” (wpis „Model biznesowy czyli po co mi te procesy przed wdrożeniem ERP czy CRM…”  na http://it-consulting.pl/blog). W odpowiedzi w komentarzu stwierdziłem, że „w zależności od tego jak się na nie spojrzy, odpowiedź (na to pytanie) może być różna. Od strony kosztowej, obsługowej, relacyjnej, pokrycia rynku itp. Każdy z tych elementów można rozpatrzyć zarówno od strony dostawcy, jak i od strony Klienta. A jeżeli się jeszcze na to nałoży kanał dystrybucji w postaci Internetu, to pytanie staje się jeszcze ciekawsze…”. Zacząłem się zastanawiać, że różne kryteria, powody wyboru określonego dostawcy mogą zostać ułożone w drzewko decyzyjne.

Efekt przejścia przez takie drzewko z perspektywy klienta wiąże się z ryzykiem nieprawidłowego wyboru, braku zadowolenia z otrzymanego produktu/usługi czy po prostu braku zaspokojenia potrzeb. Warto podkreślić, że wyzwaniem przy konstrukcji drzewka będzie nadanie priorytetów poszczególnym kryteriom. Będą to węzły drzewa. Możemy wybierać z kryteriów: cena/jakość/koszt zakupu, bliskość, opinie innych, dostępność, warunki dostawy, szerokość oferty, oferta powiązana, wygoda itp.

Na diagramie zaprezentowano przykładowe drzewko decyzyjne przy założeniu, że pierwszym kryterium jest lokalizacja dostawcy. Zakładając, że od tego zależy przedział cenowy mamy na następnym etapie zastosowane inne kryteria. W zależności od nich tworzą się różne konfiguracje między czasem potrzebnym na zakup, ceną, sposobem dostawy, opinią, jakością itp. W każdym z punktów wyboru T1, O1, O2, O3, I1, I2 punkt ciężkości przenosi się na inne kryterium.

Na przykład porównując I1 lub I2 może się okazać, że gorsze warunki dostawy mogą dać niższą cenę produktu, dodatkowe produkty powiązane lub utworzenie relacji na przyszłość skutkującej np. Zniżkami. Z kolei, porównanie O1, O2, O3 niesie za sobą ryzyko, że możemy nie zdobyć produktu spełniającego nasze oczekiwania, ponieważ może on być w danym momencie niedostępny (większy popyt ze względu na opinię). Przechodząc przez kolejne poziomy dojdziemy do pewnej konfiguracji elementów wskazanych powyżej.

Dlatego warto też odpowiedzieć na pytanie: co jest dla nas najważniejsze i jakie ryzyka jesteśmy w stanie zaakceptować: brak pełnego zaspokojenia potrzeb, nie pozyskania produktu w akceptowalnym czasie, nieterminowa dostawa itp. Wybór niewłaściwego miejsca zakupu może oznaczać nawrót na najwyższy poziom drzewa i konieczność poświęcenia dodatkowego czasu.

Podsumowując można zadać pytania:

• czego szukamy?
• jaki jest nasz apetyt na ryzyko i jakich kwestii dotyczy?
• co jest najważniejsze (cena, jakość, koszt pozyskania itp.)?
• jakie są potencjalne skutki dla dalszej relacji?
• jaka jest opinia dostawcy?
• jak wygląda proces zamówienia i realizacji dostawy?

Rozwiązywanie problemów metodą 8D

Reklamacja w sieci kablowej, sklepie? Zakupiony sprzęt nie działa? Nie można wykorzystać funkcjonalności serwisu internetowego? Zablokowane konto? Aplikacja zachowuje się w niespodziewany sposób? W życiu prywatnym, czy w pracy, natrafiamy na różnego rodzaju problemy. Każda ze stron, zgłaszający, jak i obsługujący, radzą sobie z tym w odpowiedni sposób, mniej lub bardziej uporządkowany. Niektóre firmy mają proceduralnie ustalony sposób postępowania, a inne się dopiero uczą tego odpowiedniego, reagując na każde zgłoszenie indywidualnie. Jednym ze sposobów rozwiązywania problemów jest metoda 8D.

W jednym z poprzednich wpisów, skupiłem się na materializacji ryzyka określonego jako błędne wykorzystanie aplikacji. W oczach danego użytkownika, jest to problem, dla którego oczekuje rozwiązania. W procesie wskazałem rozwiązanie „docelowe”, nie podając co ma nastąpić w danym momencie, jaka informacja zwrotna powinna trafić do użytkownika. I to całościowe spojrzenie jest charakterystyczne dla metody 8D (ang. methodology 8D).

Diagram (w BPMN)  przedstawia kroki tej metody z nałożonymi krokami wcześniej określonymi. Widać, że proces rozwiązania problemu nie jest kompletny. Nastąpiło przekazanie do właściciela biznesowego, ale niestety nie wiadomo, czy sugestia zmian zostanie wykonana. Istotne jest wspólne rozwiązania jaka powinna być informacja zwrotna w danym momencie. Powinien również zostać ustalony sposób weryfikacji zaproponowanego rozwiązania. Ostatni krok – „Docenianie pracy zespołu” – ma istotne znaczenie dla dalszej współpracy i dla świadomości, że wspólna praca była potrzebna i została zauważona.

Ryzyko „wąskich gardeł” w procesie

W poprzednim wpisie, wskazywałem na powiązanie procesu i struktury organizacyjnej w danym przedsiębiorstwie. Chciałbym jeszcze nawiązać do tego tematu. Załóżmy, że mamy proces biznesowy odbywający się w danej jednostce. Proces wykonywany jest przez 3 role, z których każda ma przydzielone określone zadania i jest powiązana z odpowiednim stanowiskiem organizacyjnym. Dodatkowo są to zadania specjalistyczne.

Poszczególne role zostały przydzielone odpowiedniej liczbie pracowników. Każde z zadań trwa określoną ilość czasu, co wskazuje powyższy diagram w BPMN. Rolę „1” ma dwóch pracowników, Rolę „2” ma 3 pracowników, a Rolę „3” ma 1 pracownik. Proces jest sprawny i efektywny. W określonym czasie jest obsługiwanych N spraw. Każda sprawa musi przejść przez wszystkie kroki, trwające 9 dni.

Co się stanie, gdy jeden z pracowników odejdzie do innej jednostki? Spadnie sprawność procesu, dla pewnej grupy spraw czas realizacji się wydłuży i będą się nawarstwiać. Pojawi się wąskie gardło – będzie zbyt mała liczba osób do realizacji spraw. Jest to wyzwanie dla przedsiębiorstwa – musi przeorganizować pracę, zatrudnić ludzi, poszerzyć/zmodyfikować kwalifikacje. Jeżeli nie wykona tych akcji z odpowiednim wyprzedzeniem naraża się na straty, wzrost kosztów lub inne konsekwencje.

Ryzyka w procesie biznesowym

Załóżmy, że otrzymaliśmy zamówienie klienta i jako firma/dostawca próbujemy je zrealizować. W czasie procesu, którego efektem będzie realizacja zamówienia klienta, można powiedzieć, że rośnie jego poziom ryzyka. Spróbuję rozłożyć ryzyko na osi czasu odpowiadającej czasowi realizacji procesu. Poniższy diagram prezentuje, że w trakcie realizacji można zidentyfikować kolejne ryzyka, dla których należy przygotować odpowiednią strategię postępowania – zgodnie z procesem zarządzania ryzykiem.
W szczególnych przypadkach pewne zdarzenia mogą spowodować, że konieczna jest realizacja dedykowanego procesu – o czym więcej we wcześniejszym wpisie o materializacji ryzyka.Diagram prezentuje tylko przykładowe ryzyka występujące w procesie biznesowym. Można zauważyć, że:

• pierwszym ryzykiem pojawiającym się w trakcie realizacji procesu jest Ryzyko niespełnienia oczekiwań klienta, które istnieje na do zakończenia procesu. Można sobie z nim poradzić przez dyskusję z klientem i poznanie jego potrzeb, ankiety, badania itp.
• po przyjęciu zamówienia, proces jest wspierany przez narzędzia informatyczne, które mogą być niedostępne, nie działać poprawnie lub zbyt wolno. Jest to tzw. Ryzyko operacyjne. Materializacja tego ryzyka może wymagać zainicjowania osobnego procesu, oznaczonego jako „RO” na diagramie.
• na pewnym etapie procesu, pracownik firmy może napotkać wątpliwości w wykorzystaniu systemu wspierającego lub w zakresie działań do wykonania, może źle zinterpretować zapisy procesu bądź podręcznika użytkownika. Podobnie może źle rozpoznać informację pozyskaną od klienta – Ryzyko błędnej interpretacji na diagramie. Istotny jest tu element odpowiedniej komunikacji wewnętrznej.
• jeżeli czas realizacji procesu się wydłuża i może się pojawić zapytanie klienta, co się dzieje z zamówieniem, może być konieczne zainicjowanie dedykowanego procesu – oznaczonego przez „RT”. Takim procesem może być np. proces powiadomienia klienta, a może być wynikiem materializacji Ryzyka terminu.

Materializacja ryzyka jako „inicjator” procesu

Załóżmy, że został wdrożony system informatyczny wspierający główne procesy biznesowe. W trakcie realizacji projektu, w ramach Rejestru Ryzyk, który jest jednym z elementów zarządzania ryzykiem, umieszczono ryzyko „błędne wykorzystanie aplikacji”. Ryzyko to zostało wskazano jak możliwe do wystąpienia po wdrożeniu systemu. Odpowiedzialność za to ryzyko ponosi właściciel systemu/danego procesu biznesowego.

W trakcie realizacji procesu biznesowego, użytkownik napotkał na problem i zgłosił go – nastąpiło wejście (w rozumieniu diagramu SIPOC) do procesu obsługi błędów. Problemem zajął się użytkownik i okazało się, że problem nie wynika z błędu systemu a z błędnego wykorzystania systemu przez użytkownika. Błędne wykorzystanie systemu – materializacja ryzyka – mogła nastąpić z niewiedzy, niekompletnych lub niezrozumiałych materiałów, braku wykorzystania dostępnych procedur itp.

Można powiedzieć, że materializacja ryzyka zainicjowała nowy proces – zaprezentowany na poniższym przykładowym diagramie BPMN.

Wejściem do procesu jest zgłoszenie błędnego wykorzystanie systemu, które powinno zostać wyjaśnione przez właściciela biznesowego procesu głównego, na przykład poprzez rozszerzenie materiałów pomocniczych, procedur lub dedykowaną komunikację.

We wskazanej sytuacji przygotowanie odpowiednich materiałów jest działaniem zmniejszającym wpływ tego ryzyka. Jednakże rzeczywistość biznesowa jest zawsze bardziej zróżnicowana niż przypadku opisane w materiałach czy procedurach. Często konieczna jest ich modyfikacja po jakimś czasie w wyniku zgłoszeń użytkowników końcowych czy obserwacji pierwszych linii wsparcia. Czasami następuje to również w wyniku materializacji ryzyka.