Posts Tagged ‘Ryzyka w procesie’

h1

Obowiązek dla właściciela procesu?

Listopad 16, 2019

„…może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO.” oraz „...podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji…” – są to dwa fragmenty artykułu ze strony Urzędu Ochrony Danych Osobowych mówiące o dokumentacji przetwarzania danych osobowych zgodnie z RODO.

Czytając ten artykuł zacząłem się zastanawiać czy przypadkiem z powodu obowiązywania rozporządzenia RODO nie pojawiają się dodatkowe obowiązki dla właściciela procesu. Samo sformułowanie właściciela procesu nie pojawia się w ustawie (o ile dobrze zweryfikowałem). Występują sformułowania odnoszące się do administratora danych, do jednostki przetwarzającej dane oraz rejestru czynności przetwarzania.

Temat wpływu RODO na procesy biznesowe już opisywałem w innym wpisie, niedługo po wejściu ustawy w życie, a był to okres kiedy podmioty funkcjonujące na rynku wysyłały do swoich klientów stosowne klauzule informacyjne. Wskazałem tam takie aspekty jak zebranie danych, zapisanie danych oraz wykorzystanie danych (co zasygnalizowałem również na poniższym diagramie). Są to elementy procesów, np. zamawiania w internecie lub innych, których kształt oraz rozwój określa właściciel procesu wraz z interesowanymi stronami. Przypomnę, że jednym z punktów było odpowiada za zgodność procesu z oczekiwaniami biznesowymi, co wydaje się oczywiste.

rodo2_450px

Działanie różnych procesów biznesowych, opartych o dane Klientów w nich uczestniczących, jest uzależnione także od innych aspektów – takich jak bezpieczeństwo procesu (w sklepie, z którego korzystam, regulamin to precyzuje), ryzyko procesu czy zgodność procesu z regulacjami obowiązującymi dany podmiot (regulamin sklepu, z którego skorzystam, ma takie zapisy, precyzujące z jakimi ustawami jest zgodny). W zależności od ustaleń i zasad stosowanych w danym podmiocie, można powiedzieć, że na jednostce rozwijającej, utrzymującej lub opiekującej się procesem, leży obowiązek spełnienia tych wymogów. Można uogólnić, że to właściciel procesu powinien odpowiadać za zgodność procesu z wymogami regulacyjnymi, w tym z RODO.  Wskazanie właściciela procesu wydaje się tutaj uzasadnione.

Dlaczego? To właściciel procesu ma (powinien mieć?) najlepszą wiedzę o tym jakie są kroki procesu oraz jakie elementy w procesie są pozyskiwane od Klienta (zasygnalizowane na diagramie). W momencie konieczności zebrania dodatkowych poświadczeń lub danych od Klienta, to właściciel procesu inicjuje samodzielnie lub wspólnie z zainteresowanymi jednostkami odpowiednią zmianę techniczną, zmierzającą do osiągnięcia postawionego celu.

Wracając do cytatu, to właściciel procesu  moim zdaniem wspiera administratora danych w określeniu odpowiednich zapisów w rejestrze czynności przetwarzania oraz wyjaśnia elementy składające się na taką pozycję jak na przykład (co próbowałem także zasygnalizować na diagramie):

  • „…
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione…;
  • …”
h1

Gdy zakupy się nie udają

Luty 12, 2018

W samoobsługowym procesie, o którym pisałem w poprzednim wpisie, wiele elementów może pójść nie tak. Z jednej strony proces może się zakończyć w nieakceptowalnym czasie (ryzyko terminu), może nie spełnić oczekiwań Klienta (kolejne ryzyko), a także mogą wystapić inne zdarzenia będące materializacją różnych ryzyk, określanych mianem ryzyk operacyjnych dla procesu biznesowego.

Wśród takich ryzyk operacyjnych możemy na przykład wyróżnić (istnieją także ryzyka):

  • ryzyko błędów ludzkich (np. pracownik sklepu internetowego umieszcza w paczce nieodpowiedni produkt lub w niewłaściwej ilości)
  • ryzyko związane z uszkodzeniem mechanicznym sprzętu (np. brak reakcji ekranu na dotyk)
  • ryzyko związane z infrastrukturą (np. brak możliwości połączenia z serwisem on-line ze względu na obciążenie sieci lub/i słaby zasięg; brak miejsca na urządzeniu w celu zapisania wymaganych informacji; brak zgodności wersji przy przenoszeniu listy itp.)

lista_zakupow_risk450px

W szczególności to ostatnie ryzyko może silnie wpłynąć na podany proces biznesowy – na każdym przejściu między krokami może wystąpić jakieś zdarzenie, którego nie zakładamy. Próbowałem to przedstawić na powyższym diagramie za pomocą strzałek “dwukierukowych”. Dodałem także elementy wpływające bezpośrednio na wykonanie danego kroku w procesie biznesowym – jak np. braku możliwości zapisu listy produktów lub jej aktualizacji.

Samo działanie sklepów internetowych jest oparte na przechowywaniu w sesji pewnej liczby informacji – wyobraźmy sobie, gdyby przy każdym kliknięciu pewne informacje byłyby nadpisywane, np. był czyszczony koszyk. Doświadczyłem takiego błędu w jednym z serwisów, gdy po zalogowaniu, kolejne kliknięcie w jakąś opcję, powodowało powrót do ekranu logowania. Było to bardzo denerwujące. Pewnie szybciej zignorujemy sytuacje, gdy oznaczenie ulubionej zakładki znika niż konieczność powtarzania kroków w procesie.

h1

(Nie)oczekiwany efekt procesu

Maj 17, 2014

Po ostatnim tygodniu, mam taką refleksję. Gdy dwie grupy są zaangażowane wspólnie w przygotowanie jakiegoś produktu, a wynik pracy jednej grupy staje się podstawą pracy drugiej, to końcowy efekt jest obarczony ryzykiem, że nie będzie oczekiwany z tym na początku. Dlaczego tak może być?

Wyobraźmy sobie, że dwie jednostki dowolnej firmy przygotowują raport. Pierwsza jednostka przygotowuje wsad, a druga uzupełnia go o resztę informacji – taki proces jest zaprezentowany na poniższym diagramie. Na końcu procesu raport może przyjąć dwa stany: „Oczekiwana prezentacja raportu”, „Niepoprawna prezentacja raportu”. Stany te są skutkiem różnych działań. Oczekiwanym działaniem jest zachowanie formatu danych. Łatwo powiedzieć, ale często trudniej wykonać. Przykładów nie trzeba szukać daleko – zapis dat może być różny – jedni oczekują formatu dd-mm-rrrr, inni rrrr-mm-dd, a często mamy daty jako dd-mm-rr lub rr-mm-dd. Jak dorzucimy do tego jeszcze znaki oddzielające i stosowanie tzw. timestampa, czyli formatu data+godzina to już się robi zamieszanie.

Diagram5p450
Odpowiadając na pytanie „Dlaczego?” można powiedzieć, że:

  • informacja przy przekazaniu raportu była niewystarczająca,
  • nie doprecyzowano założeń i formatu raportu,
  • obydwie jednostki korzystały z różnych narzędzi/konfiguracji,
  • prawdopodobnie zastosowano różne formaty dla tego samego charakteru danych w poszczególnych częściach raportu,
  • druga jednostka niepoprawnie zinterpretowała zawartość przekazanego wsadu,

 

Wystąpienie takich problemów powoduje, że proces się wydłuża, ze względu na konieczność poprawy raportu. Wymają także działań zapobiegających na przyszłość, jeżeli raport ma być przygotowywany cyklicznie. Jest to związane z rodzajami ryzyka w procesie biznesowym i zarządzania nimi, a także z rozwiązywaniem problemów (krótko i długoterminowym).