Czy RODO wpływa na BPR?

Dwanaście lat temu, dokładnie 9 lutego 2008, we wpisie na moim blogu, wymieniłem kroki składające się na proces reengineeringu (tj. reinżynierii procesów biznesowych, w skrócie BPR). W powiązanych wpisach opisałem, wykorzystując również dostępne publikacje w tym temacie, z czego składają się wybrane kroki tego działania. Natomiast część kroków pozostawiłem bez rozbudowanych wyjaśnień. Wspomniany proces reengineeringu ma na celu przebudowę/zmianę procesu, która odbywa się w oderwaniu od obecnego przebiegu procesu. Takie podejście ma na celu stworzenie procesu, który spełnia oczekiwania jego odbiorców, realizuje potrzeby podmiotu oraz adresuje w odpowiedni sposób kwestie, które dotychczas nie zostały wzięte pod uwagę. Przypomnijmy jakie kroki zawiera to działanie – przedstawione w postaci procesu na diagramie poniżej.

Podczas przygotowania odpowiedzi na pytanie postawione w tytule, trafiłem na ciekawy artykuł, który idealnie podsumowuje kroki, które należy wykonać, aby przejść przez proces dostosowania organizacji do RODO. W artykule jest informacja że „te wymagania dotyczące zgodności [mój dopisek: chodzi o RODO] mogą stymulować inicjatywy związane z przeprojektowaniem procesów biznesowych”, czyli wspomnianym reengineeringiem.
Autor artykułu wymienia 6 kroków, które powinny podjąć organizacje, podmioty czy przedsiębiorstwa w momencie, gdy dostosowują się do wymogów RODO (GDPR).

rodo_bpr_550px

Autor artykułu zwraca uwagę zarówno na aspekt budowy świadomości, zmiany kultury, zarządzania, jak i na kwestie samego procesu dostosowania. Sam proces dostosowania jest rozbity, trochę to upraszczając, na identyfikację danych, identyfikację przepływów oraz na zmianę kluczowych polityk i procesów. Właśnie tym 3 krokom składającym się na proces dostosowania chciałbym się bliżej przyjrzeć w kontekście reengineeringu. Dlaczego? Ponieważ efekty identyfikacji danych i przepływów mogą wpłynąć na decyzję o tym, jaki proces wybierzemy do reengineeringu a potem na dalsze kroki realizowane w ramach tego działania. Przyjrzę się teraz bliżej tym 3 krokom wskazanym w artykule i spróbuję (mam nadzieję, że w poprawny sposób) je odnieść do kroków reengineeringu – podsumowanie takiego odniesienia (w poniższych wyjaśnieniach takie elementy są podkreślone) znajduje się również na diagramie:

  • Identyfikacja danych/Zestawienie danych w przedsiębiorstwie (odpowiednik „Catalogue data across the enterprise z artykułu”) – sprowadzając to do kroków reengineeringu, możemy podczas wyboru procesu zdecydować się na ten, w którym przetwarza się najwięcej danych osobowych lub/i który został oceniony jako (najbardziej) problematyczny pod względem zgodności z RODO (co się wpasowuje moim zdaniem w punkt „dotyczący skali problemów powodowanych przez proceswymieniony w książce, o której piszę w jednym z wcześniejszych wpisów). Podczas analizy procesu możemy zwrócić uwagę na to jakie rodzaje danych występują lub nawet mogą być nadmiarowe w określonych krokach lub czy same czynności przetwarzania nie są zbyt rozbudowane a może dane są za długo przechowywane. Warto też przyjrzeć się uczestnikom procesu i ich potrzebom w zakresie danych. Odnosząc się do regulacji RODO, można jeszcze postawić wiele innych pytań. Myślę jednak, że już te wskazane pytania dają podstawy do głębszej analizy procesu. Celem działania jest określenie potrzeb i oczekiwań odnośnie docelowego procesu.
  • Identyfikacja przepływów/Zweryfikuj przepływy danych w ramach przedsiębiorstwa (odpowiednik „Audit data flow across the enterprise” z artykułu) – podczas analizy procesu możemy spojrzeć na proces z perspektywy danych, które przepływają między jednostkami przedsiębiorstwa. Wyobraźmy sobie, że proces jest oparty o system i uczestniczą w nim co najmniej 2 jednostki biznesowe. Wykonują one różne zadania, ale mają dostęp do tych samych danych. Wg RODO w danym momencie użytkownik powinien mieć dostęp do danych, które są mu rzeczywiście potrzebne. W zależności od sytuacji, trzeba pogłębić temat lub odnotować ten fakt w wynikach analizy/rekomendacjach. Angażując różne jednostki kontrolne, regulacyjne, wspierając się specjalistami ochrony danych (na przykład włączając ich do zespołu), przedsiębiorstwo może wybrać określoną strategię postępowania w samym procesie i określić jakie dodatkowe działania należy podjąć, aby uniknąć problemów w przyszłości. Opiekun czy właściciel procesu może tutaj odegrać ważną rolę, ponieważ z założenia zna oczekiwania odnośnie procesu i jego dotychczasowy przebieg, a także związane z nim regulacje.
  • Utwórz lub popraw kluczowe polityki i procesy (odpowiednik „Create or improve key policies and processes” z artykułu) – w ramach reengineeringu budujemy nowy proces. Jest to szansa aby spojrzeć na dane wykorzystywane w tym procesie z nowej perspektywy i zmienić sposób ich wykorzystywania. Podczas uwzględniania aspektu RODO może się okazać, że dla procesu trzeba dobudować lub podłączyć (istniejące lub nie) dodatkowe podprocesy lub procesy powiązane, które będą adresować specyficzne sytuacje. Może się także okazać, że w nowym procesie dane można ograniczyć do minimum i uprosić proces także z perspektywy jego odbiorcy. Budując nową wersję procesu konieczne jest także spojrzenie na obowiązujące regulacje oraz polityki postępowania związane z procesem. One także muszą zostać odpowiednio przebudowane, z zachowaniem zgodności z wprowadzonymi przez organizację procesami ochrony danych osobowych czy dedykowanymi politykami w tym zakresie.

Mam nadzieję, że udało mi się trochę przybliżyć ten wpływ RODO na BPR.  Sama odpowiedź na pytanie postawione w tytule jest jak najbardziej twierdząca. Tak jak wskazuje wspomniany artykuły może wręcz się przyczynić do rozpoczęcia takich działań lub nawet ich przyspieszenia.


Przypominam o możliwości wypełnienia anonimowej ankiety dot. mojego bloga – https://www.surveymonkey.com/r/LVC5B59. Wypełnienie ankiety to tylko kilka minut. Zachęcam do tego.

Kryteria wyboru procesu

W ramach etapu 2 reengineeringu następuje wybór procesu. Podmiot gospodarczy może wybrać proces wg wielu kryteriów. A. Węgrzyn w książce pt. „Benchmarking. Nowoczesna metoda doskonalenia przedsiębiorstwa.” wskazuje takie kryteria:

  • kryterium skali problemów powodowanych przez dany proces,
  • kryterium znaczenia danego procesu dla prawidłowego funkcjonowania firmy,
  • kryterium kosztu,
  • kryterium terminowości,
  • kryterium tego, jak prawdopodobne są korzystne efekty rekonstrukcji danego procesu.

Poziomy świadomości procesowej

W trakcie przygotowywania wpisu o identyfikacji procesów jako pierwszego etapu reengineeringu, przypomniałem sobie o artykule w gazecie Computerworld z 20 kwietnia 2010, autorstwa Łukasza Tartanusa, pt. „Znane, mierzone, prawie zarządzane „. W artykule tym przytoczony zostało tzw. 5 poziomów świadomości procesowej, na bazie modelu CMMI (Capability Maturity Model Integration). Zainteresowanych odsyłam do artykułu. O świadomości procesowej można także przeczytać w serwisie procesowcy.pl

Artykuły o podobnej tematyce:

Reengineering – identyfikacja procesów

Pierwszym etapem reengineeringu, bardzo ważnym dla efektów całego działania, jest identyfikacja procesów biznesowych, które zachodzą w firmie. Działania, ich dokładność, poziom szczegółowości w ramach etapu wpływają na korzyści z zastosowania reengineeringu. Należy zwracać uwagę zarówno na te procesy opisane, jak i ukryte. Pracownicy mogą nie mieć świadomości, że pewne ich działania są częścią większego procesu – efekty ich pracy stają się wejściem dla działań innej jednostki bądź osoby.

Firma powinna odejść od patrzenia na działalność firmy poprzez strukturę organizacyjną, podział funkcjonalny. Powinna nauczyć się patrzeć całościowo. W procesach uczestniczą różne jednostki organizacyjne, które wykonują zróżnicowane czynności/zadania. Trzeba ułatwić komunikację między nimi, usprawnić wymianę informacji, zminimalizować przerwy między końcem jednego etapu a początkiem następnego.

Etap ten skupia się na identyfikacji procesów biorąc pod uwagę czas, koszt, znaczenie (priorytetu), problemy pojawiające się przy realizacji danego procesu. Należy także zdefiniować początek i koniec procesu. Istotne jest to, aby zwrócić uwagę pracownikom co jest rozumiane jako krok procesu, aby odpowiadając na pytania zespołu analitycznego, mogli wskazać wszystkie zależności między ich pracą a pracę innych pracowników podmiotu gospodarczego. Konieczne jest stworzenie atmosfery, która pozwoli na swobodne wyrażanie opinii o procesach i zgłaszanie uwag/problemów.

Reengineering a komunikacja w firmie?

„Restrukturyzacja procesów, która zgodnie ze swą ideą przebiega poprzez przemyślenie i zaprojektowanie od nowa procesów, może spowodować, że zostaną naruszone aktualne kanały komunikacji między różnymi pracownikami. Pracownicy, którzy wymieniają między sobą informacje lub dzielą się wiedzą, w wyniku zmiany przebiegu procesu, jego zinformatyzowania, mogą stracić połączenie między sobą. Mogą się nie odnaleźć w nowych realiach funkcjonowania przedsiębiorstwa. Jeden z pracowników może zostać przeniesiony lub zwolniony, ponieważ jego umiejętności mogą zostać ocenione jako już nieistotne. Firma traci pewien zasób wiedzy, a pracownik, który się z nim komunikował musi poszukać nowej osoby, która pozwoli mu na starcie swoich doświadczeń z nowym kontekstem, z doświadczeniami innych. Firmy decydujące się na przeprojektowywanie procesów biznesowych często nie zdają sobie sprawy z kanałów, sieci połączeń występujących poza określonymi grupami roboczymi.”

Więcej o wpływie reengineeringu na komunikację w firmie można przeczytać w artykule.

Reengineering – etapy w skrócie

Etapami składającymi się na proces reengineeringu są:

  1. Identyfikacja procesów biznesowych, które zachodzą w firmie. Etap ten skupia się na identyfikacji procesów biorąc pod uwagę czas, koszt, znaczenie (priorytetu), problemy pojawiające się przy realizacji danego procesu. Należy także zdefiniować początek i koniec procesu. Więcej o tym etapie
  2. Wybór procesu do reengineeringu. Firma nie jest w stanie podjąć się przeprojektowania wszystkich, czy też wielu procesów za jednym razem. Dlatego też musi wybrać określony proces. Więcej o tym etapie
  3. Utworzenie zespołu reengineeringu. Wynikiem tego etapu jest określenie składu grupy roboczej, której zadaniem będzie przeprowadzenie reengineeringu.
  4. Analiza procesu. Etap ten ma na celu określenie szczegółowego przebiegu procesu oraz określenie potrzeb klientów danego procesu.
  5. Rekonstrukcja procesu. Odbywa się w całkowitym oderwaniu od procesu istniejącego.
  6. Wdrożenie rekonstrukcji. Wdrożenie będzie przeprowadzane całościowo lub za pomocą projektów pilotażowych.

Reinżynieria procesów – modne sformułowanie?

Często można przeczytać, że ktoś przeprowadza, albo zajmuje się reinżynierią procesów biznesowych. Warto jednak zadań pytanie, co to jest w ogóle ta reinżynieria. Sformułowanie wzięło się angielskiego – Business Process Reegineering, w skrócie BPR. Jest to metoda restrukturyzacji działalności przedsiębiorstwa, a dokładniej przeprojektowywania jej procesów. To przeprojektowywanie może być rozumiane zarówno jako wymyślenie nowej postaci procesu, jego racjonalizacja lub też porzucenie – takie wytłumaczenie można znaleźć w literaturze dotyczącej szeroko pojętej dziedziny modelowania i przeprojektowywania procesów – Abramowicz, W. (red), Reorganizacja procesów biznesowych. Business Information Systems ’97.

Jakkolwiek się spróbuje zinterpretować reinżynierię procesów biznesowych, zawsze można wrócić do źródła tego pojęcia i definicji. Metoda ta pojawiła się na początku lat 90-tych, wraz z ukazaniem się publikacji J. Champy’ego i M. HammeraReegineering the Corporation”. W publikacji tej podana metoda ta jest rozumiana jako „fundamentalne przemyślenie od nowa i radykalne przeprojektowanie procesów w firmie, prowadzące w sposób dramatyczny do przełomowej poprawy według współczesnych, krytycznych miar jak: koszt, jakość, serwis i szybkość” (zgodnie z tłumaczeniem z książki: Kupczyk, A., Korolewska –Mróz, H., Czerwonka, M. Radykalne zmiany w firmie. Od reengineeringu do organizacji uczącej się.).

Zgodnie z zasadami reengineeringu, proces zmian obejmuje firmę całościowo, począwszy od jej strategii, wartości wewnątrzorganizacyjnych po działalność, możliwości, uprawnienia pojedynczego pracownika. Odbywa się to na wielu płaszczyznach. Jednak trzeba zaznaczyć, że podstawą jest proces. Każde usprawnienie, zmiana pozwala na poprawę, zmianę jednej z miar krytycznych dla firmy.