Treceți la conținutul principal

IDENTIFICAREA ACTORILOR CARE POT GENERA SAU POT FI AFECTAȚI DE CĂTRE VULNERABILITĂȚI

Autor: Drd. Ana Maria Onu

Actorii (management, lucrători, comunitate) sunt cei loviți în mod direct de către acțiunea acestor vulnerabilități. 
De fapt, în această etapă, determinarea actorilor și țintelor de acțiune a acestora se face prin intermediul unor chestionare cu întrebări specifice pentru fiecare din actori și relațiile acestora în parte. Atunci când vorbim despre actori considerăm:
  • personalul managerial- fiind vorba despre o analiză a vulnerabilității procesului managerial este limpede că personalul managerial va fi primul implicat. Pentru a pleca de la niște premise solide în procesul de management, managerii trebuie să fie:
    • educați în mod corespunzător[i]- de preferință cu studii superioare; nu este în principiu nici un fel de problemă, mai ales în cazul IMM-urilor, cu managerii (eventual și proprietarii afacerii) cu studiii medii- totuși pe măsură ce afacerea se dezvoltă și iese pe piața competitivă- studiile superioare devin o necesitate.
    • dedicați afacerii- aici lucrurile sunt mai relative atunci când vine vorba despre firme mari și manageri angajați o perioadă de vreme- totuși pentru cazul național se recomandă ca managerii să fie dedicați afacerii;
    • capabili să implementeze un sistem de management modern și performant corelat cu datele specifice firmei unde acest sistem va fi implementat. Acest lucru este extrem de important- dacă într-o firmă de 20 de angajați care se ocupă cu reparații auto vine un manager care vrea să implementeze Six Sigma- probabil că șansele respectivului management vor fi destul de reduse. Managerul trebuie să aibă o bună cunoaștere a contextului specific în care va fi implementată componenta managerială. Dacă nici un om din unitate n-a folosit până în acel moment calculatoarele- trebuie analizată oportunitatea instalării unui sistem de management informatizat;
    • pro-activi. Pe piața competitivă liberă nu este loc pentru management re-activ. Managerii trebuie să-și asume anumite riscuri (a se vedea și standardul ISO 31.000) având grijă ca acele riscuri să nu afecteze în mod semnificativ afacerea.
  • angajații firmei –angajații pot introduce vulnerabilități în principal prin comportamentul lor necorespunzător, raportat la cerințele de performanță și securitate ale firmei. Pe lângă comportament- o serie de factori psiho-sociologici potențează acest fapt. Un angajat care este – ca să spunem așa ”înaintea celorlalți” – deci mult mai performant- dar care n-are abilități de a lucra în echipă, se contrazice tot timpul cu supervizorii și are pretenția că ”el le știe mai bine pe toate” reprezintă o problemă pentru orice fel de management. Angajații pot crea vulnerabilități și prin refuzul unor canale de feedback- lăsând astfel managementul ”în umbră” despre ce se întâmplă cu adevărat la locurile de muncă dar și prin întârzierea transmisiunii pe acele canale sau transmiterea de mesaje false[ii] [iii].
  • sistemul legislativ la nivel național și sistemul normativ oferit de firmă-legile, ca și standardele interne, pe lângă aspectele lor pozitive ”îngrădesc” la un moment dat orizontul de operare- fie că vorbim despre management sau despre angajați. Această îngrădire nu înseamnă că managementul n-are voie să îi folosească pe angajați ca niște sclavi (n-are) ci lucruri mai subtile și mai neînsemnate la prima vedere- cum ar fi că zăpada curățată din curtea unității nu poate fi aruncată în Dâmbovița ci trebuie dusă la nu știu ce loc specializat de evacuare sau faptul că și tații au voie să intre în concediu parental- drept care unitatea rămâne fără 3 din cei mai buni sculeri-matrițeri- de exemplu. Anumite soluții de flexibilizare a muncii- cum ar fi munca acasă- au fost introduse relativ târziu în lege și încă nu sunt aplicate nici măcar de unitățile de stat.
  • contextul de lucru – acest context nu trebuie neapărat să fie creat de către actualul management și angajați- el poate fi moștenit. Contextul de lucru introduce 2 sub-categorii de actori capabili de a crea și perpetra vulnerabilități asupra sistemului de management, respectiv:
    • agresorii externi – fie că discutăm de către persoane venite să fure, să distrugă sau mai grav să terorizeze- agresorii externi sunt o constantă pentru orice fel de întreprindere- și introduc o vulnerabilitate constantă- la atacul extern. Agresorii externi nu trebuie să atace doar active fizice- putem avea agresori cibernetici
    • piața concurențială ;
  • Beneficiarii și utilizatorii finali – sunt o altă categorie importantă de actori- care practic asigură prin manifestările lor directe și indirecte un feedback pentru firmă.
Există 3 situații distincte pentru acești beneficiari:
  • situația în care sunt mulțumiți de produsele/serviciile oferite- situație care poate genera vulnerabilități dacă aceștia nu utilizează cum trebuie aceste produse și servicii- de exemplu se prezintă la aeroport pentru o excursie fără pașaport vizat pentru o țară care cere vize. În toate aceste situații niște instrucțiuni de folosire/proceduri de bună practică clar formulate pot rezolva marea majoritate a acestor vulnerabilități.
  • situația în care aceștia sunt parțial mulțumiți de produsele/serviciile primite- în acest caz ei pot raporta problemele prin sesizări către management- ca primă fază. Evident că aici pot apare vulnerabilități destul de serioase atunci când managementul nu răspunde- iar sesizările se pot transforma în plângeri- uneori și cu un caracter penal.
  • situația în care aceștia sunt total nemulțumiți de produsele/serviciile primite ba chiar și de firmă și de brandurile pe care le promovează. În această situație putem avea:
    • atacuri malevolente asupra firmei și eventualelor puncte de lucru- exemplele diverselor grupări ecologiste sau anti-consumeriste sunt relativ concludente;
    • plângeri penale- cu conținut divers- de la solicitarea acțiunilor împotriva anumitor firme până la solicitări de schimbare a legislației;
    • acțiuni în mass-media- constituie vulnerabilități majore pentru că dacă imaginea firmei este atacată este foarte greu de reparat. Firmele în general au accesul limitat la dreptul la replică- mai ales la televiziunile ”cu mesaj” (de exemplu Chevron n-a prea avut drept la replică în cazul Pungești), procesele de restabilirea reputației în instanță iau un timp destul de lung pentru a fi soluționate iar imaginea firmei în viziunea opiniei publice se deteriorează.
Figura următoare ilustrează acest aspect pentru beneficiarii și utilizatorii finali.



 Figura 1. Beneficiarii și utilizatorii finali ca și actori

Actorii implicați în procesul de management pot fi foarte diverși [iv]. Din punctul de vedere al acestei analize, vor putea fi legați actorii principali și actorii ”victimă”- respectiv cei asupra cărora pot fi generate vulnerabilități în tabelele din continuare:

a. Personalul managerial

Managementul introduce vulnerabilități către




Angajați
Beneficiari
Contextul activității

-Prin proceduri și reguli necorespunzătoare și ineficiente în raport cu activitatea desfășurată
-Prin comunicare necorespunzătoare;
-Prin focalizarea asupra unor produse/servicii care pot conduce la vulnerabilizarea sistemului managerial[1]
-Prin designul necorespunzător;
-Prin implementarea necorespunzătoare;
-Prin verificarea necorespunzătoare;



b. Angajații

Angajații introduc vulnerabilități către:





Management
Angajați
Contextul activității
Beneficiari

-Prin relații și comportament necorespunzător
-Prin perturbări aduse procesului de comunicare;
-Prin comportament necorespunzător
-Prin perturbarea unui context funcțional
-Prin calitatea și performanța (necorespunzătoare) a produselor/serviciilor

Pentru analizele necesare au fost dezvoltate check-listuri care permit să se identifice existența unui anumit tip de vulnerabilități. Astfel, dacă pentru un anumit paragraf există o majoritate de răspunsuri pozitive/negative (depinde de paragraf) este clar că acolo a fost identificată o vulnerabilitate. Pentru exemplificare sunt date în acest capitol câteva din check-listurile originale dezvoltate pentru a cvulege vulnerabilitățile produse sau la care sunt expuși principalii actori.
Check-list-ul specific pentru acest paragraf este prezentat  în continuare.

VULNERABILITĂȚI INTRODUSE DE CĂTRE ANGAJAȚI
(Răspundeți vă rog la următoarele întrebări. Pentru fiecare paragraf:
 a. Dacă s-a răspuns cu NU- evaluați amplitudinea vulnerabilității;
b. Dacă paragraful a avut majoritatea itemilor evaluați cu NU- considerați chestiunea ca o vulnerabilitate majoră și încercați să definiți această vulnerabilitate)
Asupra
Item (Întrebare)
Răspuns
AMPLITUDINE
EVALUATĂ


Da
Nu
1
2
3
4
5
Managementu-lui
Angajații dvs. respectă în cele mai multe cazuri deciziile manageriale, chiar și atunci când acestea nu sunt explicate sau nu sunt explicate pe larg ?








Angajații dvs. cunosc și respectă structura ierarhică ? În răspunsul la această întrebare țineți cont dacă există personal managerial la diverse niveluri ierarhice care este ”sărit” (bypassat) de către angajați atunci când vor să obțină ceva.








Angajații dvs. respectă confidențialitatea necesară atunci când este vorba despre problemele interne ale unității ?








Angajații dvs. respectă secretul de serviciu ? Nerespectarea secretului de serviciu nu are numai motivații malevolente- ci poate să fie făcută din neglijență sau dintr-un entuziasm prost dirijat (de exemplu anunțul referitor la o descoperire- publicat în presă sau pe un blog- fără acordul managementului)








Angajații dvs. respectă solicitările scrise sau verbale făcute de către management- la momentul la care acestea trebuie implementate (respectivele solicitări executate în altă perioadă- adică mai târziu- pot conduce la incidente grave)








Managementul a implementat un sistem eficient de feedback- pentru ca să cunoască în orice moment ”starea” angajaților ? Este acest sistem funcțional ?







Angajaților
Există comunicarea necesară- la nivel orizontal- între angajați ?








Există suportul necesar pentru realizarea activităților care implică lucrul în echipă ?








Toți angajații dvs. manifestă un comportament corespunzător ? Excludeți din răspuns comportamente accidentale dar țineți cont de comportamentul sistematic (riscant sau chiar agresiv)- fie și pentru un singur angajat








Angajații dvs. cunosc și respectă procedurile de lucru ?








Angajații dvs. cunosc și respectă procedurile de urgență ?








Angajații dvs. au accesul restricționat pentru zonele în care n-au ce căuta ?








Angajații dvs. au accesul restricționat către instalații sau utilaje cu care ar putea leza alt angajat ? (Țineți cont de accesul inclusiv la instalații precum robinete cu apă sub presiune, etc.)







Contextului activității
La terminarea lucrului- angajații realizează curățenia necesară ? (Răspundeți tot Da dacă aveți angajată o terță parte pentru curățenie)








Angajații au grijă de prezervarea locului de muncă – în sensul că prin acțiunile lor nu deteriorează și nu distrug ?








Există un sistem de feedback bine pus la punct pentru ca angajații să poată exprima rapid eventualele probleme- și să colaboreze cu managementul în rezolvarea lor ? (de exemplu, dacă este prea frig sau prea cald la locurile de muncă din interior)







Beneficiarilor
Produsele realizate de către angajați sunt corespunzătoare din punct de vedere calitativ ?








Atunci când este vorba de produse cu instrucțiuni de însoțire sau kit-uri cu mai multe piese într-un singur ambalaj- se verifică existența tuturor componentelor înainte de livrarea către beneficiari ?








Volumul de re-work este corespunzător cu planificarea făcută de către management ?








Serviciile asigurate de către angajați (chiar și atunci când este vorba despre servicii interne- cum ar fi de exemplu mentenanța-) sunt corespunzătoare ?








Este evitată o legătură între angajați și beneficiari- legătură realizată prin intermediul produselor/serviciilor oferite și care ar putea conduce la vulnerabilizări ?










c.Legislația și normativele existente 

Legislația introduce vulnerabilități către:




Management
Angajați
Contextul activității

-Restricționează libertatea de mișcare a managementului (de exemplu managerul n-are voie să concedieze definitiv un angajat cu comportament periculos decât după foarte multă birocrație);
-Stabilește un cadru fix de organizare managerială;
-Prin stabilirea unor canale de comunicare necorespunzătoare;
-Prin perturbări aduse procesului de comunicare;[2]
-Restricționează posibilitățile de acțiune profesională (prin legile referitoare la securitatea în muncă);
-Stabilește o structură ierarhică  și funcțională strictă;
-Prin stabilirea unor canale de comunicare necorespunzătoare;
-Prin perturbări aduse procesului de comunicare;
-Determină un context de muncă care s-ar putea să nu fie cel mai optim, atât din punct de vedere al performanței cât și al confortului și securității la locul de muncă;

Check-list-ul pentru acest paragraf este prezentat în continuare pentru a ilustra metodologia:

VULNERABILITĂȚI INTRODUSE DE CĂTRE DOCUMENTELE LEGISLATIV-NORMATIVE
(Răspundeți vă rog la următoarele întrebări. Pentru fiecare paragraf:
 a. Dacă s-a răspuns cu Da- evaluați amplitudinea vulnerabilității;
b. Dacă paragraful a avut majoritatea itemilor evaluați cu DA- considerați chestiunea ca o vulnerabilitate majoră și încercați să definiți această vulnerabilitate)
Asupra
Item (Întrebare)
Răspuns
AMPLITUDINE
EVALUATĂ


Da
Nu
1
2
3
4
5
Managementu-lui
Există prevederi legislative la nivel național  care pot influența în mod negativ activitățile curente ale unității economice ? Răspundeți la această întrebare utilizând ca reper o unitate economică similară din interiorul Uniunii Europene








Există prevederi legislative exagerate în raport cu legislația curentă UE ?








Există prevederi legislative care îngrădesc posibilitățile de organizare a activității interne și  scad performanțele procesului de management ?








Există prevederi legislative care pot  conduce la afectarea calității produselor, serviciilor sau brandului ? (de exemplu interzicerea unei componente alimentare pe plan național – scăzând astfel calitatea unui produs)








Există prevederi legislative care împiedică o comunicare operațională eficientă între unitatea economică și instituțiile abilitate ? (exemplul dat mai sus cu stabilirea unei limite mari de timp până la un răspuns dat de instituții sau până la o sentință definitivă în tribunal- sau necesitatea apelării la justiție pentru niște probleme administrative care se pot rezolva mai simplu)







Angajaților
Există prevederi legislative care interzic angajaților dreptul la un confort minim în muncă, putând astfel conduce la apariția unor probleme sociale ?








Există prevederi legislative care interzic sau inhibă rezolvarea unor probleme sociale cu celeritate (de exemplu soluționarea unor plângeri referitoare la condițiile de muncă) ?








Există prevederi legislative care interzic sau inhibă manifestarea liberei inițiative (în cadrul acceptat de parteneriatul management- angajați) din partea angajaților- conducând astfel la scăderi de performanță (de exemplu limitarea obligatorie a timpului de lucru- chiar dacă unitatea economică recompensează corespunzător timpul suplimentar iar angajatul este de acord) ?







Contextului activității
Există prevederi legislative care impun un context neadecvat activităților pe care le desfășurați ?









d. Contextul activității  Contextul activității poate fi considerat mai degrabă un ”facilitator” de vulnerabilități și nu un generator. Totuși poate ”facilita” o serie de vulnerabilități- mai ales având surse externe- cum ar fi agresori externi .


e. Beneficiarii și utilizatorii

Beneficiarii și utilizatorii pot introduce vulnerabilități către:



Management
Angajați

-Prin refuzul unui anumit produs sau serviciu;
-Prin compromiterea unei anumite mărci sau brand;
-Prin asigurarea unui feedback necorespunzător și a unei comunicări necorespunzătoare
-Prin sesizări și reclamații;

Ținând cont de tabelele prezentate mai sus se poate observa că metoda propusă ia în calcul principalii actori cât și legăturile multiple dintre aceștia referitoare la posibilitatea generării de vulnerabilități.
Trebuie menționat faptul că în această schemă stakeholderii sunt incluși în categoria beneficiarilor- pentru simplificarea fluxului conceptual. Un stakeholder are o minimă legătură cu unitatea economică și managementul acesteia printr-o experiență directă cu un produs sau serviciu (se consideră că altfel nu-și poate formula un punct de vedere);

Schema oferă legăturile dintre acești actori.



Figura 2. Actorii procesului managerial (din punct de vedere al vulnerabilităților determinate)


[1] Cel mai recent exemplu la Volkswagen
[2] De exemplu stabilirea unui termen de n zile pentru răspunsul la o sesizare atunci când un minim operațional ar fi impus un număr mult mai scurt;



[i] Deci, E. L; Koestner, R; Ryan, R. M (2001). "Extrinsic rewards and intrinsic motivation in education: Reconsidered once again". 71: 1–27.
[ii] Markus, Hazel (1977). "Self-Schemata and Processing Information". Journal of Personality and Social Psychology 35: 63–78.
[iii]  Triplett, Norman (1898). "The dynamogenic factors in pacemaking and competition". American Journal of Psychology 9 (4): 507–533. doi:10.2307/1412188
[iv] Hitt, A.Michael, Ireland, R.Duane, Hoskisson, Robert A. (2014) Strategic management: Concepts: Competitiviness and Globalization. 11th edition

Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

DEVELOPING SAFETY ASSESSMENT SYSTEMS USING EXPERT SYSTEM SHELLS-1

Acknowledgements: The author wants to thank XpertRule Software LTD and mr. Tim Sell for being able to try Decision Author- the main software in which this prototype shall be built.
GENERAL ASPECTS Safety domain of research is by excellence a domain based on expertise. Textbooks and theoretical knowledge are good but the safety expert which inspects three times a day a certain part of an enterprise is the ultimate safety dealer here. A lot of expertise is transformed into lessons learned- that are used for training and improvement of existing safety attitudes. On the other part, this expertise could be also valued in order to build optimal and effective safety assessment systems. An expert system is software that emulates the decision-making ability of a human expert. In our case- the expert part should interrogate the specific employees regarding safety aspects of an enterprise. The next figure illustrates how a safety expert, with the necessary knowledge into the problem could impr…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…