ACADEMIA DE STUDII ECONOMICE DIN BUCUREȘTI [309560]
ACADEMIA DE STUDII ECONOMICE DIN BUCUREȘTI
Școala doctorală de Management
TEZĂ DE DOCTORAT
Prezentată și susținută public de către autor: Darko M. Shuleski
Titlul tezei de doctorat :
Întreprinderea clasică VS întreprinderea numerică folosind tehnologii de tip cloud computing.
Conducător științific: Prof. univ. dr. RADU Ioan
Comisia de susținere a tezei de doctorat:
Prof. dr. DOBRIN Octavian Cosmin (președinte) – Academia de Studii Economice din București
Prof. dr. URSĂCESCU MINODORA (referent) – Academia de Studii Economice din București
Conf.univ. dr. ȘENDROIU Cleopatra (referent) – Academia de Studii Economice din București
București, (2018)
INTRODUCERE
Oportunitatea și necesitatea temei de cercetare
Am ales aceasta tema deoarece în ultimii ani industria IT&C a avut o dezvoltarea nemaiîntâlnită la nivel global. Cloud computing este un curent "la modă", fiind susținut puternic de către adepții schimbărilor organizaționale majore. [anonimizat]&C sunt foarte importante pentru obținerea unui salt spre performanță. În ultimi 20 [anonimizat]&C s-a [anonimizat]. Fiecare an produce schimbări atât de importante încât este imposibil de prevăzut unde vom ajunge în viitorul apropiat. [anonimizat]. Dinamica mediului economic arată că principală caracteristică a [anonimizat]. [anonimizat], evoluția tehnologică și a tehnologiei, etc. Schimbarea organizațională impune trecerea de la economia clasica la economie numerică sau digitală ca factor foarte important. Tranziția mondială de la o economie clasica la o economie bazată pe cunoaștere ridică o serie de probleme care necesită o schimbare majora în managementul întreprinderii. Problemele cu care s-[anonimizat] a [anonimizat], au generat schimbări majore în rezolvarea situațiilor cu care se confruntă organizațiile și în ziua de astăzi. În România instituțiile publice și mediul de afaceri necesită promovarea unui management bazat pe cunoaștere. Schimbarea mentalității de director de înainte de anii ‘90 la cea de manager, a generat o [anonimizat]. [anonimizat] a colecțiilor de informații și mijloacelor de comunicație a devenit un instrument de management performant. Promovarea rapidă a platformelor care sunt bazate pe tehnologii de tip TCP/IP este un rezultat al creșterii rapide a numărului de utilizatori al internetului. [anonimizat], eLearning, eProcurment, eOrganization, eAdministration, [anonimizat], care este compus din două științe: informatică și management. Transformările economice ale organizațiilor din ultimi anii determină revalorificarea obiectivelor strategice de operaționalități oferite de noile tehnologii informatice și de comunicație. Majoritatea companiilor din țările dezvoltate, ca și intreprinderile din România, sunt interesate să dezvolte sisteme informatice și tehnologii capabile să susțină atât funcțiile procesului de management cât și funcțiunile ale organizației. Scopul majorității organizațiilor este dezvoltarea unor sisteme informatice care se referă la necesitatea unei abordări globale din punct de vedere tehnologic, organizațional, uman a activităților și proceselor ce vor fi automatizate, care asigură minimizarea riscurilor potențiale și corelarea tuturor resurselor implicate.
Cloud computing nu mai este o tehnologie futuristă de neatins pentru întreprinderi. Mai degrabă, a devenit o normă pentru fiecare organizație. O necesitate pentru a scăderea costurilor și transformarea digitală a modului de a vizualiza, stoca și valorifica datele firmei. O mare parte din companiile din ziua de astăzi au percepții greșite, crezând că norul se referă strict la date, când în realitate marea majoritate a aplicațiilor și instrumentelor informatice sunt dezvoltate în tehnologii de tip cloud. Pentru a fi la pas cu tehnologia informațiilor și de comunicație, sunt necesare soluții de lungă durata. Serviciile cloud computing sunt împărțite în mai multe tipuri de servicii respectiv, privat, public și hybrid. Lista variabilelor în migrarea spre nor este profundă și largă. Bugetele alocate tehnologiilor de tip colud computing în anul 2015 au fost de 30% și se așteaptă o creștere semnificativă de 47% până la 2020 la nivel mondial, conform raportul (Right Scale 2016) prezentate în figura 1.
1.1 Tendințele industriei folosind tehnologii cloud.
Evoluția tehnologiilor cloud computing creează un avantaj competitiv pentru întreprinderilor și accelerează cu o viteză foarte mare să devină liderul tehnologiilor de IT; astăzi, aproape 95% dintre companiile confirmă ca folosesc servicii de tip cloud, dupa cum se poate vedea în figura de mai jos, se prevede că până în anul 2020 aproape 50% din cheltuielile de infrastructură IT va fi cheltuite la tehnologii cloud. Creșterea cloudului nu este restricționată la medii publice, cloudul privat va deveni mai robust în oferta serviciilor de tip cloud.
Necesitatea de implementare a serviciilor de tip cloud, a determinat în ultimi anii un model hybrid, care este o combinație de servicii de tip cloud publice și private. Studiile recente efectuate validează continuitatea acestei tendințe, după cum se poate observa în (figura 2), 82% dintre organizațiile folosesc servicii cloud, cu 55% având o arhitectură hibrid.
2. Scopul și obiectivele cercetării
Obiectivul principal sau de bază a tezei îl constituie prezentarea în mod simplu și clar a elementelor, evoluției și digitalizarea întreprinderilor clasice, precum și creare unei metodologii cadru de trecere de la întreprinderea clasică la întreprinderea numerică sub rezervă că ea poate suferi modificări în funcție de specificul întreprinderii (sectorul public sau privat din România). Voi folosi metode de identificare, evaluare și diminuarea a riscurilor IT în procesul de trecere de la o întreprindere clasica la una inteligenta și voi face recomandări pentru diminuarea riscurilor IT prin utilizarea și implementarea unei metode de Managementul de Risc al Informațiilor, asistate de calculator.
Obiective secundare a cercetării:
Identificarea diferențelor dintre întreprinderile clasice și întreprinderile numerice;
Studierea posibilităților de implementare a unor sisteme moderne de IT&C respectiv soluții cloud în sectorul Public și Privat;
Studiul evoluțiilor întreprinderilor clasice vs inteligente.
Evoluția tehnologică a întreprinderilor.
Evoluția managementului;
Studiul pieței în ceea ce privește implementarea soluțiilor de tip cloud computing;
Identificarea posibilităților de perfecționare a procesului de migrare spre nori;
Diminuarea riscurilor de IT în procesul de migrare;
Identificarea principalelor posibilități de eficientizare a procesului de migrare;
Crearea unei noi metodologii cadru pentru trecerea de la o întreprindere clasică la una numerică.
În multe dezbateri actuale, problemele de implementare a noilor tehnologii sunt adesea percepute în ceea ce privește aplicarea și gestionarea noilor tehnologii bazate pe tehnologii informatice și de comunicație (TIC) IT&C (Rhodes, E., & Wield, D. 2001).
Studiile efectuate privind răspândirea inovațiilor tehnologice au subliniat faptul că răspândirea poate fi un proces de lungă durata. Acest lucru nu se datorează doar întârzierilor în implementare, ci și multiplelor obstacole foarte importante care sunt întâmpinate și care trebuiesc depășite pentru a se adapta la nevoile specifice ale organizațiilor individuale și ale segmentelor pieței în care activează. Procesul de adaptare și de difuzie nu este un proces simplu de a achiziționa “de pe raft” pachete de tehnologie nouă. Este foarte probabil să se implice dezvoltarea progresivă și evaluarea, necesitând atât adaptarea la locul de muncă, cât și relațiile de cooperare cu organizațiile furnizoare de echipamente. Procesul de schimbare, sau de digitalizare subliniază faptul că tehnologiile aparent stabilite pot fi totuși ”noi” în cea ce privește problemele prezentate în anumite circumstanțe de exemplu (cum ar fi cele tehnice, organizaționale și sociale). Prin urmare, termenul de tehnologii noi, nu este utilizat numai pentru crearea sau schimbarea de noi tehnologii de producție, ci se referă și la o schimbare majora în sistemelor de producție stabilite, care reprezintă o sursa de dezvoltare tehnologică puternică. Proceselor de fabricație au multe în comun cu alte industrii, în special în implementarea și utilizarea noilor tehnologii. Conform (Rhodes, E., & Wield, D. 2001) 80% din totalul investițiilor tehnologice din Statele Unite al Americi sunt realizate de companiile din sectorul serviciilor.
Digitalizarea sau retehnologizarea, este un proces de reorganizarea a proceselor de execuție și celor de management susținute puternic de tehnologia informației și a comunicației, respectiv: achiziționarea de echipamente noi, modernizarea tehnologiilor existente de producție, dezvoltarea de noi produse, instalarea echipamentului, îmbunătățirea sau eficientizarea mijloacelor de comunicație, automatizarea procesului de analiza a datelor. Ca și procese care determină aceste schimbări sunt: consultare, instruire, contorul costurilor, implementarea și testarea proiectului pilot; punere în funcțiune, măsurare rezultatelor obținute.
Implementare noilor tehnologii, în cadrul organizațiilor, produc mutații în toată structura a organizațională. Aceste activități de inițiere și formarea sau determinarea deciziilor; planificarea; aplicarea; iar ulterior consolidarea schimbării este strâns legată. Acest proces nu este unul liniar, deși evident este o un progres de la un proces clasic la un proces digitalizat, dar într-un sens dinamic și interactiv. Mediul de implementare are două dimensiuni principale respectiv, mediul intern care implic circumstanțele specifice are organizației individuale, modificarea structurii organizaționale, caracteristicile tehnologice de producție, gradul de integrare, natura sistemelor de evaluare și controlul financiar, adaptarea personalului la noile tehnologii, etc. Al doilea factor este mediul extern care include factori externi sau stakeholderi care influențează organizația în mod indirect, contextul tehnologic, rata de schimbare și difuzarea cunoștințelor, și contextul politic, gradul de implicare a statului și sprijinul relevant pentru tehnologie.
Mai sus am subliniat că fazele de implementare sunt interactive. O parte din interdependențele rezultă din continuitatea oferită de diferitele grupuri de factori pe parcursul procesului de schimbare. În primul rând, putem urmări o gamă mai largă de aspecte care să cuprindă forță de muncă de la toate nivelurile ierarhice a întreprinderi. Indiferent dacă sunt implicați în definirea pașii sau stabilirea procesului de schimbare sau de a răspunde la acestea, în cele din urmă trebuie deja stabilite procesele de familiarizare și integrare, toate acestea care sunt strâns legate de un dialog care implică toți stakeholderi (părțile interesate) care sunt implicate direct sau sunt afectate indirect de schimbarea. Integrarea proceselor cuprind aspecte mult mai largi decât cele de formare, antrenare și consultare. De exemplu, toate acestea implică o reorganizare sau remodelare a proceselor organizaționale, a metodelor de lucru, și pot implica, de asemenea o regândire fundamentală a modului în care sunt construite componentele sistemului de management al organizației.
În al doilea rând acest lucru poate avea eșec în cazul proiectelor de tehnologizare, deși măsura exactă în care acestea apar este nesigură. Conform Hussey, D. E. (1984), a subliniat că managerii par să aibă o înclinație de a-și lua punctele pentru lucrurile care merg bine, dar evita să-și asume vina personală pentru lucrurile care merg prost. Printre manifestările problemelor care apar în întârzierea în inițierea proiectelor, oferă concurenților un avantaj competitiv crucial în timp.
Specialiști în domeniu IT&C atrag atenția asupra problemelor legate de implementare a tehnologiei informației și ale comunicațiilor, care este un proces foarte important pentru trecerea de la o întreprindere clasică la o întreprindere digitală.
Voi încerca să răspund punctual la întrebările de mai jos care sunt foarte importante din punctul meu de vedere în procesul de schimbare, respectiv:
Care sunt principalele constrângeri organizaționale ale schimbării?
Care sunt mecanismele de realizare a schimbării?
Care sunt etapele de realizare a schimbării?
Cum abordam schimbarea pe partea de resursele umane?
Oare există o metodologie cadru pentru realizarea a schimbării?
Dacă exista o metodologie cadru, abordează și partea de risc al informațiilor?
Care sunt metodele de evaluare și analiza a riscurilor informatice?
Voi încerca sa răspund la aceste întrebări în continuarea cercetării și prezentând rezultatele. Implementarea eficientă se bazează pe schimbările incrementale. O strategie de schimbare pe termen mediu și lung necesită un plan de acțiune și strategie bine pusa la punct. Principalul obiectiv a schimbării este că implementarea sistemelor informatice într-o organizație este un proces intens cât și un proces tehnic, sunt necesare de identificat bunele practici în domeniu schimbării care să oferă organizațiilor o implementare cât mai corecta și de succes.
3. Metodologia Cercetării
Metodologia cercetării cuprinde tehnici și metode de cercetare cum ar fi comparația, metode calitative și cantitative de cercetare, respectiv: studiu de caz, eșantionarea, interviul, și metode de investigare a pieței.
Pentru a identifica stadiul cunoașterii s-a consultat o bază bibliografică care cuprinde cărți, articole publicate în România și în străinătate în reviste de specialitate din domeniul, respectiv: Management, Managementul de Risc al Informațiilor, Securitatea informațiilor, tehnologia informației, IT&C, Cloud Computing. Din bibliografia studiata se poate constata că migrarea spre cloud sau digitalizarea întreprinderilor este o temă mult discutată în articolele și cărțile studiate.
STADIUL CUNOAȘTERII – EVOLUȚIE A TEHNOLOGIILOR INFORMATICE ȘI DE COMUNICAȚIE ÎN PERSPECTIVA TRECERII DE LA ECONOMIA CLASICĂ LA O ECONOMIA BAZATĂ PE CUNOAȘTERE
…computing may someday be organized as a
public utility just as the telephone system is
a public utility… The computer utility could
become the basis of a new and important
industry.
−John McCarthy (professor of MIT) 1961.
Tehnologii de tip cloud computing
Conform Kinicki et al (2013) “Internetul reprezintă o rețea globală de calculatoare interconectate dar care operează independent și care leagă sute de mii de rețele mai mici de pe tot globul”. Tendință de migrare spre nor, a pornit în anilor 80, pentru prima dată au fost folosite mai multe sisteme de calcul dedicate rezolvării unei probleme, care soicitat un număr mai mare de sisteme de calcul paralel, acest concept a fost numit grid computing. Gridurile în Europă au fost utilizate din partea universităților pentru partajare și schimb de informații pentru cercetare. Grid computing reprezinta un mediu virtual de calcul, care este asemănător dar puțin diferit de cloud computing. Aceasta se refera la dedicarea mai multor unități de calcul pentru rezolvarea o anumită problemă sau pentru rularea anumite aplicații. Cloud-ul se referă la utilizarea mai multor resurse care includ și cele de calcul, pentru asigurarea un serviciu. Grid computing-ului este un cluster de servere care divizează o sarcina în mai multe sarcini mai mici pentru a rula paralel. În comparație intre cele doua termene cloud computing și grid computing, diferență este că cloudul poate susține grid coputingului cu resursele de IT, precum datele, serverele, stocarea și prelucrarea informațiilor, aplicațiile, rețea etc.
Tipuri de servicii Cloud computing
Serviciile de tip cloud computing se împart în 3 categorii respectiv:
Private Cloud se refera la un mediu privat, cum îi sugerează și numele, de exemplu guvernamentale, fiind accesarea lor doar de un utilizator ce poseda accesul la rețeaua respectivă.
Public Cloud reprezintă formă clasică a cloud computingului în care utilizatorul poate accesa serviciile publice puse la dispoziție utilizatorilor sau cetățenilor prin intermediul aplicațiilor sau a unui brosware web.
Hybrid Cloud care reprezinta un mediu hibrid, virtualizat ce necesita routere, servere fizice și altele care fac posibila accesarea serviciilor de către utilizatori în siguranța, ca un mediu ce prevede bună funcționare a tipurilor de cloud, sau o combinație de privat și public.
Conform Institutul Național de Standarde și Tehnologii (NIST) definiția de cloud, definește trei modele principale de Cloud: (figura 4)
Software as a Service (SaaS) – Software ca serviciu;
Platform as a Service (PaaS) – Platforma ca serviciu;
Infrastructure as a Sevice (IaaS) – Infrastructura ca serviciu.
Cloud Computingul este un serviciu de bază în lumea Tehnologiei Informației și a comunicației (IT&C). Cloud Computing este un serviciu de calcul, care este extrem de scalabil și utilizează resurse virtualizate. Utilizatorii nu au nevoie de nici o cunoaștere de serviciile de acest tip, sau cunoștințe avansate de programare pentru utilizarea lor. Un utilizator de pe internet poate comunica și stoca date în mai multe servere în aceleași timp, iar aceste servere schimba informații între ele. (Hayes, 2008). Cloud computing este ultima revoluție în industria Tehnologia informației IT, în urma calculatorului și revoluția internetului. Acesta nouă tehnologia este importanta nu numai pentru IT industria, ci și pentru consumatorii tehnologiei, deoarece serviciile lor sunt accesibile consumatorilor de zi cu zi. În ziua de astăzi platformele de acest tip ex. “Microsoft” și „Google” furnizează servicii gratuite studenților și a personalului de învățământului, respectiv și persoanelor private, care includ e-mail, liste de contacte, calendare, stocare documente, creare și partajare documente și abilitatea de a crea site-ul web (Sclater, 2009). Termenul Cloud Computing este descrierea succintă a acestor tehnologii combinate. Furnizori IT, oferă companiilor care vor sa externalizare o parte sau toate operațiunile tradiționale de IT, cum ar fi centrele de date și pachetul tradițional de operare aplicațiilor respectiv ERP, SCM, CRM, și alte aplicații de suport al businessului. (Hugos, 2010 ) Astăzi cloud computingul furnizează aplicații de business online care se pot accesa din browser web fără a necesita resurse de calcul fizice foarte performante. Conform graficul de mai jos costurile de calcul declin cu aproximativ 33% anual, înregistrate în perioadă 1990-2013.
Conform Institutul Național de Standarde și Tehnologie din Statele Unite (NIST) Cloud Computing este definit ca un model de servicii de acces prin rețea internet la sisteme distribuite de resurse de calcul configurabile la cerere (de exemplu: stocare de date, servere, servicii și aplicații) care sunt puse la dispoziție având un efort scăzut de management sau de interacțiune cu furnizorul sau clientul. Aceasta baza virtuala se poate accesa de oriunde, convenabil fără ca utilizatorul să aibă nevoie să știe configurația și locația sistemelor care furnizează aceste servicii. Datele și aplicațiile care rulează și sunt stocate în alta locație, diferita de locul de unde se accesează bază de date, acesta accesându-le de pe Internet de la distanță.(Mell, 2011).
Conform subcomitet ISO 38, grupul de studiu Cloud Computing este o paradigma care permite accesul convenabil omniprezent, de la acces la rețea la cerere, pentru o bază comună a resurselor configurabile cloud, accesate prin servicii care pot fi prevazute rapid și eliberate cu un efort minim de management a furnizorului serviciilor (ISO/IEC JTC, 2012).
Termenul Cloud sau “Nor” în limbă română este folosit ca o metafora pentru internet, simbolul cloud-ului este pe baza unui nor, care este folosit în trecut pentru reprezenta rețeaua de telefonie și o perioadă mai târziu pentru descriere internetului în diagrame rețelelor de calculatoare, care reprezintă abstract a infrastructurii sale de bază. Disponibilitatea rețelelor de calculatoare de mare capacitate și accesul de oriunde având costuri diminuate, adoptarea pe scară largă a tehnicilor de virtualizare, arhitectura de tip service-oriented, puterea de calcul ca utilitate au condus la creșterea rapida a serviciilor de tip Cloud Computing.
Un sistem de cloud trebuie sa conține următoarele caracteristici esențiale: Resursele puse la dispoziția cloud-ului care sunt disponibile la cerea utilizatorului. Consumatorul poate să-și asigure în mod unilateral capacitățile de calcul cum ar fi: capacitate de stocare (network storage, capacitatea serverului, performanțe, resurse de calcul, în mod automat după cum are nevoie fără a necesita interacțiune umană cu furnizorii de servicii. Serviciile de calcul sunt disponibile prin intermediul internetului. Resursele furnizorului de acest tip de servicii sunt reunite pentru a servi mai multor consumatori, cu resurse umane și virtuale diferite, atribuite dinamic în funcție de cererea clienților. Consumatorul nu are în general nici un control asupra localizării exacte a resurselor oferite, poate doar sa precizeze locația la un nivel mai ridicat de abstractizare (de exemplu un ce oraș, țară sau centru de date). Resursele partajate sunt capacități de procesare, stocare, banda de rețea și memorie. Sistemele de control optimizează și monitorizează automat utilizarea resurselor prin mecanisme de măsurare, gradul de utilizare a resurselor poate fi controlat, monitorizat și raportat pentru asigurarea transparenței consumatorului și furnizorului de serviciile utilizare.
Serviciile de acest tip se pot accesa de la distanță comparând cu serviciile pentru utilitate publică respectiv: apa și electricitate, care fost adoptată și formata în 1960 de către John McCarthy, un om vizionar de știința care a învins logica matematică în inteligență artificială. Patru decenii mai târziu, utilitatea Computing a fost adoptat de companii importante cum ar fi Amazon, Apple, Google, HP, IBM, Microsoft, și Oracle. Cloud computing-ul este o mișcare care a început undeva la mijlocul primul deceniu al noului mileniu. Mișcarea este motivată de ideea că prelucrare informațiilor se poate face mult mai eficient de către organizațiile mari de Computing și sisteme de stocare accesibile prin internet. (Popescu, 2013). Din punct de vedere utilitar, cloud-ul este considerat că a patra utilitate publica (după apă, electricitate și telefonie), care, așa cum cred eu și mulți alți, este scopul final de cloud computing-ului. Când ajungem acasă sau mergem la munca, conectăm dispozitivele în priza electrică și utilizăm energie electrică cât vrem noi, fără sa știm cum este produsa care sunt pași de producție, cine o produce, cine o furnizează (noi știm doar că trebuie să plătim la sfârșitul consumul lunar). În mod similar este și pentru telefonia, noi ne conectam, apelam, vorbim cât timp vrem, fără să știm pe ce fel de rețea se transmite informația. Cu norii ca a patra utilitate, ne conectam pe internet cu calculatorul și folosim computing nelimitat și baza de stocare cât de mult vrem, fără să avem informații despre servere, cine se ocupa cu întreținerea, unde este stocat, și plătim doar cât utilizam sau folosim.
Comparatia Saas Vs PaaS Vs IaaS:
Cum putem observa în (figura 5) dimensiunea pieței în anul 2013 a fost de $68 miliarde, din care SaaS 41 miliarde de dolari, IaaS 18 miliarde de dolari americani și 8 miliarde PaaS.
Conofrm (ITCandor, 2015) s-a observat o creștere rapidă în ultimi ani, care au remarcat până la anul 2018 o creșterea la 87 de miliarde de dolari. Organizațiile sau firmele în ziua de astăzi utilizează mai mult serviciile cloud, în comparație cu trecutul, se pot observa și în graficul de mai sus. Serviciile de acest tip oferă securitatea datelor și a informațiilor, costurile operaționale reduse, potențialul de a dezvolta agilitate, răspunsul rapid la cererile clienților face că cloud-ul să fie extrem de atractiv pentru toate organizațiile indiferent dacă vorbim de sectorul public sau privat. Unul dintre cei mai mari furnizori de tehnologii de tip cloud computing, este Azure, ASW, Amazon, Google, Microsoft care oferă tehnologii cloud cu conform cerințele clienților și standardele de securitate riguroase.
Noile cercetări arată că serviciile cloud au crescut cu 20% în anul 2015 care au atins un prag de 107 miliarde de dolari, conform (figura 6) Liderii din organizațiile în ziua de astăzi nu se mai gândesc la posibilitatea de a migra spre nori ci și la utilizarea cloud-ului ca un instrument care face parte organizației, și la fel de important cum ar fi cel mai bun mod de a folosi cloud-ul. Ceea mai mare provocare este trecerea sau migrarea în cloud cât mai rapidă, mai economică și mai sigură.
Prin urmare, există trei lucruri importante care trebuie luate în considerare atunci când se face o implementare a cloudului:
1. Trebuie să știm ce vrem sa obținem după finalizarea procesului de implementare a serviciilor cloud și care sunt rezultatele așteptate post implementare;
2. Trebuie să cunoaștem și să înțelegem infrastructura IT actuală;
3. Ar trebui să anticipam costurile necesare pentru migrarea la un cloud comparativ cu modul tradițional de calcul într-o rețea privată.
Cum putem simplifica procesul de migrare în cloud? Nu contează ce cantități de date sau infrastructura de IT pe care dorim să migram în cloud. Dacă știm rezultatele pe care dorim sa le obține, reprezinta o bază importantă pentru crearea unei strategii de cloud. Eficacitatea strategiei se bazează pe aceste informații. Înainte de a începe procesul de migrare spre cloud este o oportunitate de a găsi și identifica toate slăbiciunile care există în întreprinderea.
O evaluare amănunțită a structurii actuale va stabili etapele pentru deciziile importante care trebuie luate, pentru a înțelege mai bine ceea ce trebuie să migrăm și care este cel mai bun mod de a face acest lucru. Cu ajutorul următoarelor puncte cheie putem stabili cadrul de infrastructură, cerințele, resursele necesare, durata etc.
Pentru a obține un focar pozitiv, este necesar să cunoaștem rezultatele cloudului. Trebuie să știm că eforturile de planificare ne vor duce într-un loc mai bun pentru a mări valoarea afacerii.
Mai multe întrebări care vor ajuta la determinarea obiectivelor cloudului:
– Cum reducem costurile IT?
– Infrastructura informatica actuala are o întreținere costisitoare?
– Există sisteme și aplicații diferite sau învechite, care trebuiesc înlocuite?
Obișnuită pentru lucrurile de mai sus este ineficiența. Ordinară și simplă, ineficientă, consumatoare de timp, costisitoare și un obstacol în calea dezvoltării businessului. Atunci când sunt definite obiectivele și așteptările, importanța migrării către cloud va fi clară pentru toți stakeholderi externi și interni.
2. Analiza infrastructurii actuale:
După ce a stabilit așteptările de la migrarea spre cloud, următorul lucru este să înțelegem mediul înconjurător. Dezvoltarea înțelegerii presupune o revizuire completă a sistemelor, aplicațiilor și datelor din cadrul infrastructurii IT. Cu ajutorul acestei revizuiri, vom obține o imagine mai bună a sistemului informatic și domeniului de aplicare. Cum putem determina obiectivele și cum putem identifica domeniului de aplicare. Identificarea acestor detalii va furniza informații granulare necesare pentru măsurarea obiectivelor, precum și informațiile necesare pentru evaluarea platformei.
Factori de luare a deciziei de migrarei:
– Ce tip de stocare folosiți?
– Care este nivelul actual de stocare folosit?
– Care este rata creșterii datelor?
– Ce tip de bază de date folosiți?
– Ce fel de programe analitice folosiți?
– Care este procentajul timpilor de întrerupere?
– Exista un risc de pierderea datelor?
Pentru a determina care sunt datele cu care ar trebui să migram în cloud, trebuie identificate, specificate, prioritizate și clasificate. Clasificarea datelor ar trebui să determine, de asemenea, cerințele de conformitate și securitate, conform noile reglementări privind protecția datelor cu caracter personal. Platformele actuale, oferide de câtre furnizori de servicii de tip cloud, au fost concepute să respecte cele mai bune practici de securitate și sunt adaptate la noile reglementări. Trebuie determinat dacă aceste standarde vor satisface nevoile de securitate și de conformitate și pentru a vă asigura că datele sunt securizate.
Decizia de a migra, deși migrarea datelor spre cloud poate aduce beneficii organizației. Trebuie identificate și specificate care sunt aplicațiile potrivite pentru migrare.
Cum identificam și înțelegem resursele și costurile curente.
Odată ce auditul infrastructurii IT se realizează prin identificarea resurselor disponibile, procesele cheie de lucru, următorul pas este determinarea prețului acestor constatări. Cu ajutorul acestor informații, va fi posibilă o analiză a costurilor pentru mediul existent, care poate fi utilizată în continuare pentru a face o comparație a costurilor potențialelor soluții de cloud.
Întrebări care trebuie adresate în acest caz:
– Câți bani au cheltuit până acum și câți sunt cheltuiți pe servere fizice?
– Câți angajați au grijă de întreținerea serverelor și care sunt costurile?
– Există costuri ascunse (imobiliare, securitate pentru centrele de date, camere dedicate pentru servere etc.)?
– Ce alte resurse sunt alocate pentru întreținerea infrastructurii?
Analiza detaliată a costurilor și a resurselor va ajuta la identificarea deficiențelor și identificarea domeniilor pentru îmbunătățire. Transferul informațiilor și datelor se realizează cu ajutorul platformei MFT (Mainframe Tokens) care este un mecanism care ajută la asigurarea unui schimb de date fiabil, vizibil și eficient. Organizațiile schimbă în mod constant date din cauza operațiunilor de zi cu zi, prin urmare, controlul și disponibilitatea și transferul de informații sunt esențiale. Această platformă MFT permite organizației să reglementeze cerințele de schimb de date cu capacitate mai mare, comparativ cu protocoalele standard de transfer de date (cum ar fi FTP -File Transfer Protocol ).
Platforma MFT este formată din următoarele componente: automatizarea fluxurilor de lucru, managementul integrat de securitate, respectarea reglementărilor de securitate și control al vizibilității, analiză și raportare detaliată – componente care permit organizației să monitorizeze și să urmărească livrarea fișierelor. Trecerea în cloud folosind MFT este o cale mai rapidă și mai animată către un ecosistem IT agil, scalabil și eficient. Platforma Cloud este o alternativă eficienta în care nu există costuri ridicate de întreținere, gestionare și întreținere a hardware-ului.
STRATEGIA DE MIGRARE
Atunci când migrăm, organizația are posibilitatea de a optimiza eficiența sistemului de management. Acest lucru poate oferi:
– Armonizarea nevoilor de afaceri și a obiectivelor IT;
– Structura IT stabilă.
Exista multe platforme de migrare, voi mentționa doar EFT Arcus care este o platformă SaaS MFT (software as a service) care conține multe niveluri de standarde de securitate combinate cu reducerea costurilor și flexibilitatea serviciilor cloud. Platforma EFT Arcus oferă o modalitate proactivă de a sprijini cerințele privind siguranța datelor și fluxurilor de lucru, indiferent dacă este vorba de o structură IT sau o parte a acesteia. EFT Arcus poate ajusta în siguranță și eficient diferitele cantități de date și poate muta procese complexe de lucru.
Care sunt avantajele utilizării platformelor EFT:
– automatizează schimbul de date între persoane și sisteme;
– Obținere o vizibilitate în fluxurilor de date și informații;
-Înlocuirea sistemelor de partajare a fișierelor moștenite;
– Partajarea internă și externă sigură a fișierelor și informațiilor.
Tipul de serviciu SaaS, recent a lansat un nou model de business, care taxează utilizatori prin resursele consumate. Rețelele de cloud private sunt folosite în mod general în interiorul organizațiilor sau în cadrul organizațiilor care sunt protejate cu un firewall, și sunt limitate pentru utilizarea doar în cadrul companiei. Norul privat ne oferă gestionarea o platformă sigură, dinamică și flexibilă. La nivel European, în anul 2012 a fost lansată strategia care promovează adoptarea tehnologiile cloud în toate sectoarele. O mare parte din statele membre ale Uniuni Europene deja au adoptat aceste tipuri de cloud pentru serviciile guvernamentale.
Reglementari Europene privind tehnologiile cloud
În anul 2012 lună septembrie Comisia Europeană a adoptat o strategie pentru valorificarea cloud computingului în Europa. Aceasta strategie tinde spre asigurarea de 2,5 milioane de noi locuri de muncă la nivel uniunii, și o creștere de 160 miliarde a pib-ului aproximativ de 1% pană în 2020. Strategia a fost implementata pentru accelerarea pieței europene utilizând tehnologii cloud. Organizațiile publice joacă un rol foarte important în implementarea cloudului la nivelul european. Îngrijorarea că impactul cloudului la nivel European nu va atinge maximum potențial de utilizare, este dată de faptul că tehnologia nu va fi utilizată de către toți jucători pe piață
Evoluția industriei de la 1.0 2.0 3.0 la 4.0
Oamenii de știință din diferite domenii de cercetare au descoperit că metafora ciclului de viață pentru compararea evoluției industriale. În urma primei comercializări a produselor, industria remarca progrese majore, care au o mare importanță pentru dezvoltarea societății, cum ar fi numărul de firme, vânzări, prețuri și modele inovatoare. Agarwal and Tripsas (2008) ciclul de viață al tehnologiei este motivat de premisa că schimbările evolutive ale tehnologiei sunt fundamentale pentru dezvoltarea tuturor noilor industrii. Urmărirea schimbărilor tehnologice în timp este o componentă fundamentală pentru înțelegerea evoluției industriei și tehnologiei. Studiile empirice în acest domeniu observa o creștere majora a progresului competitiv și tehnologic a organizațiilor. Activitatea inovatoare în zilele noastre, în majoritatea industriilor, dezvoltarea tehnologică este din ce în ce mai mare, cu un set divers de tehnologii și inovații într-o economie competitivă.
Viitorul al secolului 21 se bazează pe a 4-a revoluție industrială. Nu putem vorbi de digitalizare sau de dezvoltarea tehnologiei informației și ale comunicațiilor dacă nu subliniem evoluția industrială de la motoarele cu abur până la robotizare și tehnologii care funcționează prin IOT (internetul obiectelor sau internetul lucrurilor).
Industria 1.0 conform Richard E. C. (2017) În anii 1800, motoarele cu abur au fost fabricate și dezvoltate pentru a ajuta lucrătorii. Pe măsură ce crește capacitatea de producție, afacerile cresc și ele. Industria 2.0 apare la începutul secolului XX, și este remarcată prin faptul că energia electrică a devenit sursa primară de energie. A fost mai ușor de utilizat electricitatea, permițând organizațiilor să utilizeze sursele de energie ale mașinilor individuale. Utilajele și mașinile au fost proiectate să utilizeze propriile surse de energie, ceea ce le face portabile. De asemenea, în această perioadă, au fost înregistrate un număr mare de programe de management care permit creșterea eficienței și eficacității producției. De asemenea, diviziunea muncii sau împărțirea sarcinilor, așa numită linie de producție, în cazul în care fiecare lucrător face doar o parte din totalul producției, creștere productivitatea munci. Producția în masă a bunurilor care utilizează producția liniară a devenit un instrument puternic în sectorul serviciilor de producție.
Industria 3.0 este remarcată în ultimele decenii, inovarea și producția de noi dispozitive electrice sau tehnologice, cum ar fi tranzistorii, evoluția tranzistorilor în chip-uri care automatizează parțial procesele operaționale sau înlocuiește resursele umane. În această perioadă determină, de asemenea, dezvoltarea rapidă a sistemelor software pentru îmbunătățirea proceselor operaționale. Sisteme integrate, cum ar fi ERP, care sunt utilizate pentru planificarea resurselor unei întreprinderi. Acesta permite monitorizarea, implementarea și procesele de producție. Presiunea de a reduce costurile de operaționale, majoritatea întreprinderilor își automatizează procesele operaționale și de producție în folosind tehnologia informației și a comunicațiilor. O mare parte din companiile aflate pe teritoriul Europei și al statelor Americi își mută activitatea în alte țări unde manopera este mai mică în comparație cu costurile angajaților din țările menționate mai sus, rezultând o scădere a costurilor de producție. Extinderea geografică a companiilor a rezultat la formarea obiectivului final al managementului lanțului de aprovizionare.
În industria secolului 21 sau așa numită industria 4.0, care este conectată prin Internetul lucrurilor (IoT), care este reprezentată de tehnologii noi de comunicație, care permite sistemelor inteligente să comunice și să facă schimb de informații, prin intermediul internetului. Industria 4.0 include tehnologii de vârf, inclusiv accesorii de producție, robotică, inteligență artificială.
Industrializarea sau asa numita evoluția industriei prin tehnologizare pornește de guvernul German ca un proiect care promovează automatizarea procesul de producție. Prima revoluție industrială 1.0 a fost mecanizarea producției cu ajutorul energiei cu apă și abur. A doua revoluție industrială (2.0) a introdus producție în masă sau producție liniară cu ajutorul energiei electrice, urmată de revoluția digitală a revoluției industriale (3.0) și utilizarea tehnologiei IT&C pentru automatizarea proceselor de fabricație. (figura 7)
A patra revoluție a industriei (4.0) este un termen colectiv pentru tehnologiile și conceptele de organizare a lanțurilor de valori. Bazându-se pe conceptele tehnologice ale sistemelor cyber-physical (fizico-cibernetice), Internetul lucrurilor (IOT- The Internet of things) și interentul serviciilor, facilitează viziunea Smart Factory sau Producția Smart. În cadrul Industriei 4.0 Smart Factories of Industry, sistemele fizico-cibernetice monitorizează procesele de execuție-fizice, și creează o copie virtuală a procesului. Prin internetul obiectelor, sistemele cyber-fizice comunică și cooperează între ele și în același timp sunt conectate cu oameni în timp real. Ca și în Germania și în Statele Unite, o inițiativă cunoscută sub numele de Smart Manufacturing Leadership Coalition (SMLC), sau Coaliția de conducere inteligentă în producție, de asemenea lucrează pe viitorul producției. Scopul lor este de a permite părților interesate sau stakeholderilor din industria prelucrătoare să formeze grupuri de cercetare și dezvoltare de implementare și colaborare pentru dezvoltarea abordărilor, a standardelor, a platformelor și a infrastructurii comune care să faciliteze adoptarea producția inteligentă. În acest sens, Germania lucrează la o inițiativă numită The industrial Internet. Scopul industriei este de a aduce împreună progresele sau evoluția celor două revoluții transformatoare, respectiv:
Numeroasele mașini, instalații, flote și rețele caru au apărut din Revoluția industrială.
Cele mai puternice recente progrese în sistemelor informatice și de comunicație, aduse în prim-plan de Revoluția internetului.
Industria 4.0 se bazează pe șase principii, aceste principii sprijină companiile în identificarea și implementarea scenariilor Industriei 4.0. interoperabilitatea sistemului care presupune abilitatea sistemelor informatice sau a software-ului de a schimba și de a folosi informațiile: abilitatea sistemelor ciber-fizice, a oamenilor și a fabricilor smart (inteligente) să se conecteze și să comunice între ele prin internetul lucrurilor IoT.
Descentralizare: abilitatea sistemelor cyber-fizice din cadrul Producției Smart sau Smart Factoris de a lua decizii pe cont propriu.
Capacitatea în timp real: se refera la capacitatea de a colecta și analiza date și informații oferite în timp real.
Orientarea spre servicii (Service Orientation): oferirea de servicii de sisteme cyber fizice (fizico-cibernetice), oameni și producția inteligentă prin internetul serviciilor.
Modularitate (Modularity): adaptare flexibilă a Smart Factories pentru cerințelor de modificarea sau transformare a modulelor individuale.
Un sistem cyber-fizic (fizico-cibernetic) CPS este un sistem de calcul de colaborare a elementelor care controlează entitățile fizice. CPS sunt sisteme fizice și proiectate, ale căror operațiuni sunt monitorizate, controlate, coordonate și integrate de un nucleu de calcul și de comunicare. Aceasta ne permit să adăugăm capabilității sistemelor fizice prin combinarea computerelor și a comunicării cu procesele fizice. (figura 8)
Cyber-Physical System este constituit din elemente de calcul ce comunica pentru a controla entitățile fizice.
Benificiile CPS:
Sisteme mai eficienți și mai securizate;
Reducerea costurilor de construire și de operare a sistemelor;
Construirea unor sisteme complexe, care oferă noi capabilități;
Activează CPS la scară națională sau globală.
În domeniul de producție, aceste sisteme includ mașini sau utilaje inteligente, sisteme de stocare și prelucrare a informațiilor, facilități de producție capabile să facă schimb de informații în mod independent, să controleze reciproc în mod independent și inteligent utilajelor aflate pe linia de producție.
Smart factories (fabrici inteligente) permite satisfacerea cerințelor individuale ale clienților, adică chiar și articole cu gamă mai puțin diversificată pot fi fabricate în mod profitabil. În Industria 4.0, procesele dinamice de afaceri și de inginerie permit schimbări de ultimă oră în procesul de producție și oferă capacitatea de a răspunde în mod flexibil la întreruperi și defecțiuni din partea furnizorilor.
Diferențe între procesul de producție astăzi și Industria 4.0
În mediul industrial actual, furnizarea unui serviciu de calitate superioară sau a unui produs cu cel mai mic cost este cheia succesului, iar organizațiile industriale încearcă să obțină cât mai multă performanță pentru a-și spori profitul. În acest fel, sunt disponibile surse diferite de date pentru a oferi informații valoroase despre diferite aspecte ale producției. În această etapă, folosirea datelor pentru înțelegerea stării actuale și detectarea problemelor și eșecurilor este un subiect foarte important pentru cercetare.
În comparație cu Industria 4.0 pe lângă monitorizarea stării și diagnosticarea defecțiunilor, componentele și sistemele sunt capabile șă obțină o conștiință de sine ceea ce va oferi managementului o mai bună înțelegere a stării de producție. Mai mult, compararea peer-to-peer și furnizarea informațiilor din diverse componente, oferă o previziune precisă la nivel de componente și sistem, eficientizarea timpului de întreținere pentru a eficientiza sau diminua timpul de nefuncționare a utilajelor.
Principalele tipuri de sisteme informatice în economie
Cum este menționat și exemplificat în cartea domnului profesor (Deac, 2017), exista mai multe tipuri de sisteme informatice care ajuta organizațiilor sa îmbunătățească procesele de execuție și cele de management.
Sistemul informațional contabil acumulează informații de la subsisteme diferite. Interacțiunea cu alte sisteme informatice, ca sa devină mai eficient, este necesar subsistemul să înțeleagă tipurile de informații generate și livrate de subsistemelor cu care interacționează. Figura de mai jos (figura 9) ne arată o parte din funcționalități le a unui sistem informațional de contabilitate a unei entități economice.
Sistemul informatic de contabilitate tradițional se ocupă de colectarea, prelucrarea și obținerea rezultatelor financiare care se vor transmite către creditorii, investitori, Ministerul Finanțelor, conducerea organizației, etc. Un sistem informatic de contabilitate trebuie să ajute la rezolvarea unor situații sau probleme specifice ca evidența contabilă a operatorilor de conturi și calcularea balanțelor contabile. Datele culese se poate prelucra și manual sau automat. Este foarte important sa menționam și evoluția sistemelor de contabilitate, de la calcularea datelor financiare, manual cu sau cu calculator, până automatizarea proceselor de contabilitate. În ultimele decenii mai ales pe teritoriul romanânie sunt de actualitatea foarte mare instrumetele software de prelucrarea a informațiilor contabile, respectiv Ciel contabil, Saga, până la sisteme informatice ERP, care conține modul de contabilitate integrat cu alte sisteme ale organizației. Sistemele de tip ERP sunt adresate, mai mult companiilor mijlocii și mari, firește că se poate implementa și într-o organizație mică, dar menționez ca este o soluție costisitoare. După experiență mea companiile mici poate folosi servicii de gestiune contabilă în cloud, care nu necesită costuri de intreținere, dezvoltare, pentru actualizare a informațiilor confor legii etc. Exista o gamă largă de sisteme în românia care sunt bazate pe cloud, respectiv, FGO, Smart Bill, e-contabiltate, etc, care oferă servicii online de contabilitate la prețuri accesibile.
Obținerea unui sistem informatic de contabilitate se face conform următoarelor etape:
Analiză;
Proiectare;
Implementare.
Sistemele de contabilitate prelucrează și transmite informațiilor contabile din cadrul sistemului informațional aferent și toate fluxurile informaționale apărute, care pot fi automatizate prin intermediul calculatoarelor. (figura 10) de mai jos prezintă un exemplu cu activitățile unui sistem informatic de contabilitate.
Sisteme integrate de gestiune ERP, BI, CRM, SCM
Sisteme integrate de tip ERP software pentru planificarea resurselor unei companii (Enterprise Resource Planning)
Un sistem ERP (Enterprise Resource Planning) este, în esență, o suită de aplicații de business care sunt integrate împreună pentru a ajuta o companie în colectarea, gestionarea și raportarea informațiilor de-a lungul proceselor de afaceri de bază (Moss, 2013). Aceste aplicații de business, de obicei numite module, de multe ori poate fi instalare în mod independent și configurate în funcție de nevoile specifice al afaceri. Nevoile de schimbare si de creștere a afacerilor, modulele suplimentare pot fi încorporate într-un sistem ERP existent, pentru a gestiona mai bine noile cerințe de afaceri. Acest design modular de cele mai multe ori sisteme ERP ofera companiiloir o mare flexibilitate în implementarea în aplicare a sistemului.
În trecut, sistemlele ERP au fost utilizate în principal în operațiunilor de producție. De a lungul timpului, domeniul de aplicare a sistemului ERP pentru a cuprinde o gamă largă de organizații indiferent de domeniul de activitate.
Cum este prezentat în figura de mai sus evoluția sistemelor de ERP începe din anii 60 cu sisteme MRP care reprezintă un set de tehnici care utilizează inventarul, cuprinde informații și date despre stocuri și programele de producție, care ajuta la calcularea necesarul de materiale pentru fabricație. (figura 11)
MRP II reprezintă planificarea operațională a necesarului de fabricație, dar și planificarea resurselor financiare.
Sistemele de tip ERP, conțin diferite module care se adresează unor activități specifice ale proceselor de execuție și celor de management.
1. Administrare – restricționarea accesul persoanelor împărțite pe niveluri ierarhice sau grupuri de persoane;
2. Control – acest modul se referă la planificarea resurselor financiare ale companiei, stabilirea și urmărirea bugetelor defalcate pe centre de cost, bugete de marketing, bugete de personal etc. ;
3. Contabilitate – definește automatizarea proceselor contabile, obținerea informații și situații aferente standardelor europene;
4. Trezorerie – urmărea situațiilor contabile și structurarea datelor;
5. Mijloace fixe – urmărirea și înregistrarea mijloacelor fixe ale organizației;
6. Prețuri – Înregistrarea prețurilor de achiziție, de vânzare, prețuri serviciilor oferite, etc.
7. Vânzări – gestionarea proceselor de vânzare;
8. Producție – organizarea procesului de producție, planificarea resurselor de producție, plasarea automata a comenzilor de aprovizionare bazate pe informațiile de consum al materiilor prime, planificarea resurselor umane în funcție de necesitatea lor;
9. Aprovizionare – automatizarea procesului de aprovizionare folosind acest instrument informatic;
10. Stocuri – gestionarea stocurilor în cadrul întreprinderii, urmărirea acestora;
11. Logistica – automatizarea proceselor de manipularea stocurilor în depozit, inventariere, etc.
12. Nomenclatoare – informații legate de clienți, furnizori, centre de lucru, poesonal.
13. Raportare – acest modul permite generare a rapoartelor bazate pe informațiile introduse în sistemul de erp.
După părerea mea un sistem software pentru planificarea resurselor unei companii (ERP sau Enterprise Resource Planning) integrează toate departamentele și funcțiile dintr-o organizație, într-un program software, care sprijină tuturor nevoilor specifice a diferitelor compartimente.
Module comune unui sistem ERP:
Aplicațiile de bază ale unui sistem ERP de obicei includ:
– Comenzi de vânzare;
– Comenzi de achiziții;
– Contabilitate și finanțe;
– Planificare resurselor de fabricație;
– Customer Relationship Management (CRM);
– Resurse Umane (HR).
Beneficiile post implementare unui sistem de tip ERP sunt: integrarea tuturor datelor întreprinderii, informațiile sunt disponibile în timp real în toate modulele utilizate în departamente diferite. Informațiile sunt disponibile pentru acces rapid pentru raportare, bază unica de date și informații, flexibilitate (posibilitate de integrare cu alte instrumente informatice).
Fiecare departament dintr-o organizație are un mod propriu de funcționare, și respectiv un program software dedicat pentru procesele departamentului respectiv. Un sistem de ERP combină toate aceste programe software care sunt optimizate și integrate, într-o singura bază de date și într-un singur sistem integrat astfel încât compartimentele pot face schimb de informații și pot să partajeze informații în mod eficient și rapid.
Doresc sa exemplific funcționarea sistemului de ERP într-o societate care activează în domeniul e-Commerce.
Studiu de caz de la tradițional la artificial.
Sistemul ERP este un program software foarte complex, nu întotdeauna este implementat și folosit corespunzător. Ceea mai mare problemă și provocare este implementarea programului conform specificul fiecărei întreprinderii. După părerea mea este foarte important să înțelegi bine procesele companiei unde va fii implementat acest tip de software și adaptat la nevoile organizației, nu întotdeauna sistemul este implementat și folosit la capacitatea maximă.
După experiență proprie că project manager și consultant în management în domeniul companiilor de e-commerce, am identificat pașii de implementare unui instrument informatic de tip ERP sunt:
Primul pas este stabilirea resurselor necesare pentru implementarea instrumentului informatic;
Resurse umane (echipa de coordonare a proiectului și stakeholderi implicați);
Resurse financiare (stabilirea bugetului);
Resurse materiale (necesarul de calculatoare, servere, alte instrumente hardware necesare pentru implementarea a programului).
Analiza tuturor proceselor intreprinderii care influențează în mod direct sau indirect procesul de implementare;
Stabilirea căilor de acțiune;
Identificarea datelor existente în organizației;
Curățarea datelor existente;
Integrarea cu bazele de date existente;
Adaptarea programului la specificul întreprinderii;
Maparea proceselor pentru utilizarea instrumentului informatic (descrierea procedurilor de lucru);
Training cu personalului care va folosi instrumentul informatic, aici doresc sa subliniez ca este foarte important sa facem personalul sa înțeleagă cât de important este un instrument informatic, și cum ajuta procesul de execuție;
Control periodic asupra procesului de utilizare a programului – post-implementare.
Sisteme ERP Cloud (ONLINE)
Exista doua tipuri de sisteme de erp, varianta on premise sau varianta tradițională care se bazează pe instalarea aplicației pe un server fizic în organizație și a două variantă este variantă cloud. De exemplu OpenERP este un set puternic de surse de aplicații deschise pentru afaceri (open source), construite pe OpenObject framework. OpenERP vă perminte să instalați exact modulele de care aveți nevoie, și cum aveți nevoie de ele. Aceasta flexibilitate face OpenERP mult mai accesibil decât multe soluții ERP.
Arhitectura sistemelor ERP permite furnizarea unui model deschis care asigura transferul de date atât în interiorul organizației, cât și în mediul extern acesteia, începând cu furnizorii cheie și terminând cu rețeaua de consumatori.
Nu a fost mult timp în urmă că aproape toate companiile utilizează sistemele informatice in-house sau (on-premise). Aceasta abordare necesita nu numai o mulțime de cheltuieli de capital de achiziționarea de servere și licențe software, de asemenea, o mare responsabilitate și risc în backup de date și de a asigura continuitatea afacerii. Astăzi, multe companii aleg pentru a gazdui aplicațiile lor de afaceri pe rețele online cunoscut sub numele nor (cloud). OpenERP permite flexibilitatea ambele opțiuni, fie găzduire pe cont propriu hardware sau folosind serviciile online de software OpenERP.
Avantage
Cel mai bun lucru sau punct forte despre unui sistem integrat pentru planificarea resurselor online bazat pe tehnologii de tip cloud computing, este că se poate folosi, fără necesarul de resursele hardware, spațiul amenajat corespunzător pentru servere, etc, se folosește doar accesând un link online folosind browsare. Folosiind tehnologii sau instrumente informatice bazate pe tehnologii de tip cloud computing, nu necesita cunoștințe avansate în rețelistică sau programare. Nu este necesar sa știm nici ce sistem windows folosește programul ERP, nu necesita instalare, doar cunoștințe de bază pentru utilizare a unui calculator.
SCM Supply Chain Management
În literatura de specialitate sistemul de SCM reprezintă, ansamblul de metode și tehnici prin care se realizează urmărirea și coordonarea fluxurilor materiale, informaționale și financiare pe traseul furnizor-organizație-consumator, precum și aparatul informatic asociat acestora, definesc conceptul de management al lanțului de distribuție, cunoscut si sub denumirea de SCM (Supply Chain Management). (Radu, I. et al 2005)
În România este foarte utilizată partea de (Warehouse Management System) sau cunoscut în România, care este un subsistem al SCM-ului Figura. Wms-ul este un instrument avansat de optimizare a stocurilor în depozitele operaționale. Acest instrument permite eficientizarea fluxurilor de produse și mărfuri, recepție produselor, structurarea geometrică a zonelor de manipulare a mărfurilor și celor de depozitare, livrarea comenzilor în mod cel mai optim. Acest instrument informatic este destinat companiilor care sunt distribuitor de mărfuri și au o gamă larga de produse și întâmpina dificultăți la procesul de execuție.
Acest sistem informatic crește acuratețea informaților și datelor legate de depozitele logistice.
Automatizează fluxurilor de date și a informațiilor;
Eficientizarea gestinării produselor de diverse tipuri;
Maparea structurii spațiilor de depozitare, până nivel de raft, camera, palet, etc;
Definirea celulelor depozitare;
Gruparea zonelor de depozitare;
Optimizarea celulelor de depozitare la capacitatea maximă;
Inventariere automatizată prin colectarea automată a datelor.
https://www.antwerpmanagementschool.be/en/program/master-global-supply-chain-management/
Care sunt beneficiile unui sistem de WMS:
Reducerea costurilor administrative a stocurilor și a depozitelor;
Minimizarea riscurilor de pierderea a mărfurilor;
Inventarierea produselor;
Descărcarea stocului fără sau cu dispozitive mobile;
Optimizarea ieșirilor (exemplu FEFO – First Expired- First Out), sau FIFO (First in First Out);
Acces la informații în timp real.
Proces tradițional de e-commerce, folosind doar platforma de comerț online.
Din experiență proprie aș dori sa exemplific proceselor de execuție tradiționale și automatizate, suportate de IT&C. Un magazin care își desfășoară activitatea în comerț online are nevoie de următoarele sisteme informatice: platformă de comerț online, sistem de logistica WMS sau SCM, sisteme pentru managementul clienților CRM și soluții software de BI pentru analiza și raportare. Aș dori sa exemplific un proces de prelucrare a comenzii într-un magazin online și fluxul de informații în sistemelor integrate menționate mai sus.
Se înregistrează o comanda în platforma de e-Commerce sau website-ul companiei, comanda respectiva începe un traseu pe hârtie de la un angajat la altul, de multe ori informațiile sunt introduse în sisteme diferite de software de către diferite compartimente. Acest proces complex duce la o întârziere și de multe ori pierderea clienților.
Un sistem ERP combină programele software folosite în diferite compartimente HR-resurse umane, financiar contabil, stocuri, producție și le unește într-un singur sistem complex, cu o singură baza de date. Compartimentele unei organizații folosesc diferite instrumente informatice și de comunicație, după implementarea sistemul integrat ERP, angajați din diferite departamente lucrează și comunica pe o platformă unică (figura 12).
Figura 12. Sistem integrat ERP într-o organizație de tip e-commerce
Sursă: cercetare proprie
Proces automatizat de e-commerce, folosind sisteme de tip ERP, SCM, CRM.
Cum exemplificat anterior, comanda este înregistrata în mod automat în sistemul de e-commerce. Sistemul este integrat deja cu sistemul de ERP, comanda care este înregistrata se regăsește în mod automat și în sistemul de ERP, care conține date despre clientul respectiv și informații de livrare și facturare a comenzii. Comanda este înregistrata, urmează sa fie verificată de câtre personalul specializat. După ce comanda este verificată, se transmite informația către sistemul de logistica, SCM care conține informații despre stocul produselor aflate în comanda, locația lor, etc. Comanda se primește pe un terminal mobile care se utilizează în depozitele companiei, un dispozitiv cu display care ne afișează comanda nr x și produsele aflate în comanda. Comanda este procesata într-un timp foarte scurt, cu un risc foarte mic de producerea sau apariția unui risc de factorul uman. Sistemul de SCM, ne arată informațiile despre comanda respectivă, tot procesul se bazează pe verificarea informațiilor și fluxurilor bazat pe sistemul informatic. Orice activitate este înregistrată în sistemul informatic, respectiv, fiecare produs are un cod de bare care este constituit de cifre, litere, sau combinate. Codul este unic și nu se repetă în sistemul de logistică, însemnând că sistemul nu va produce o erori legate de identificarea produselor. Orice activitate în acest sistem se bazează pe principiu, de înregistrare în sistem, respectiv, operatorul de depozit preia comanda, identifica raftul depoului unde este poziționat produsul respectiv alocat în comanda. Ajunge la destinație, scanează raftul care înseamnă o poziție unica în depozit, preia produsul din locație, scanează, în acest moment se descarca produsul din locație și este alocat alta poziție (în tranzit). Produsul ajunge la zona de împachetat, alt operator preia comanda verifica produsul folosind terminal mobil, dacă informațiile sunt complete, comanda este finalizată. În acest moment se emite factură și informațiile de livrare sau nota de transport AWB.
În România, cercetând piață, o mica parte din companiile folosesc sisteme de logistica și sisteme integrate pentru planificarea resurselor organizației.
Exemplificad și exemplul magazinului Online Amazon, care a înlocuit forță de munca cu roboți care prelucrează comenzile, în mod automatizat, folosind instrumentul informatic de WMS și inteligență artificială. Acest gigant de comerâ online, dorește sa inlocuiească personalul introducând ronboți, sau autmatizarea proceselor de execuție. Conform startupcafe, un robot este de 1 000 000 de dolari, care își recuperează investiția în mai puțin de 2 ani. Roboți sunt numiți CartonWrap, care sunt fabricate în Italia, care o capacitate de a procesare 600-700 de procuse per ora, care înseamnă o viteză mai mare de cinci ori față de un om obișnuit. Roboți la randul lor sunt gestionați de către personal uman.
CRM (Customer Relationship Magagement)-Managementul relațiilor cu clienții
Customer Relationship Management sau sistem de Management al Relației cu Clienți, are un scop de managementul performant al relației dintre firma și parteneri sau clienți. O parte din activităților pe care le realizează personalul din departamentul de relații cu clienți sau alți angajați care interacționează direct cu clienți, este preluată de acest sistem informatic. Efortul depus de diferiți angajați se diminuează și se îmbunătățește timpul alocat rezolvării problemelor de asistență tehnică sau preluării unei comenzi. Conform (Radu I. et al 2005): Un sistem de management al relațiilor cu clienții (CRM Customer Relationship Management) reprezinta o un ansamblu de aplicații informatice și proceduri care vizează identificarea principalelor așteptări și preferințe ale clienților organizației si utilizarea eficienta a informațiilor acumulate în scopul perfecționării relațiilor cu aceștia. Prin folosirea unui sistem CRM datele referitoare la interacțiunea cu furnizor și clienți sunt centralizate eficient, datorita controlului oferit, crește vizibilitatea indicatorilor de performanță pentru echipele de vânzări, marketing și suport tehnic.
Folosirea unui sistem inteligent CRM contribuie la creșterea încrederii clienților în serviciile și produsele oferite de organizației, care este pregătita să răspundă la prompt cerințelor identificate.
Caracteristici sistemului CRM:
Reduce costurile și gestionarea informațiilor despre clienți;
Oferă servicii personalizate clienților;
Identifică clienți cei mai profitabili;
Eficientizează procesele de vânzare si marketing;
Ajută la fidelitatea clienților;
Bază completă a clienților.
Funcționalitatea unui sistem de CRM diferă de la un produs la altul, în funcție de producătorului care l-a realizat. Există un set de standard (figura 13):
Modul de suport tehnic;
Modul de vânzări;
Modul de marketing;
Tehnologia Informațiilor și sisteme informatice.
Modulul de vânzări oferă funcționalități utile angajaților/departamentelor care se ocupă cu realizarea ofertelor (pre-sales), plasarea și facturarea comenzilor. Modulul de suport tehnic poate îmbunătăți satisfacția clienților și a productivități societății, prin automatizarea proceselor de asistență pentru clienți. Ultimul modul de marketing ajuta la desfășurarea activităților cu scop promoțional, care se adresează unor grupuri țintă de clienți.
Implementarea unui sistem de CRM (figura 14)
Definirea scopului de implementare și identificarea nevoilor afacerii;
Definirea procesului de support sau de vânzare;
Identificarea și stabilirea profilul clientului;
Import bazei de date existente sau implementarea cu sistemului ERP;
Stabilirea procesului de folosirea aplicației;
Training angajaților și verificarea periodică angajaților care utilizează acest instrument informatic;
Raportare periodica și îmbunătățire permanentă a performanțelor .
Instrumente informatice de tip BI
Instrumentele de tip Business Intelligence (BI) sunt sisteme complexe care analizează date, transformându le în informații rapoarte, care ajuta consiliul de administrație unei întreprinderi sa ia o decizie mult mai ușor și rapid bazate pe informațiile deja existente în întreprinderii.
Sistemele Business Inteligence figura 15 se refera la un set de aplicații software și tehnologii informatice destinate colectării, prelucrării și analizării datelor și informațiilor din diferite compartimente gestionate în diferite instrumente informatice sau din alte baze de date existente în organizației. Instrumentele de tip BI înlocuiește o persoană de la departamentul de IT care generează și prelucrează rapoarte.
O afacere inteligentă utilizează sisteme de tip BI cu un scop de a:
optimizarea și eficientizarea procesului decizional;
Creșterea eficientă și productivitatea angajaților;
Ajută la stabilirea obiectivelor organizației.
Manageri în ziua de astăzi eficientizează procesul de luarea deciziilor, sau mai mult spus eficientizează funcția de previziune folosind un sistem de tip BI, văzând viitorul afacerii bazat pe rapoartele și informațiile anterioare și estimând viitorul și indicatorii afacerii.
Inteligență artificială
Inteligentă artificială se aplică în foarte multe domenii și anume: programare automată, robotică, viziunea mașinilor, demonstrarea automate a teoremelor, sisteme inteligente de recuperarea datelor, etc.
Aplicațiile inteligente, furnizează o suită de capabilități prealabile de Inteligență artificială și baze de date pentru întreagă organizație prin experiență clienților (Customer experience), Managmentului capitalului uman (Human Capital Management), planificarea resurselor întreprinderii (sisteme ERP) și producția. Aplicațiile care folosesc inteligență artificială, transformă afacerea în afacere inteligenta folosindu se de datele prelucrate în sistemul de business inteligence. Aceste aplicații includ recomandării privind vânzarea produselor, categorizarea furnizorilor în mod inteligent, liste smart de candidați și recomandări privind produselor. Inteligență artificială ajută organizațiile să lucreze mai inteligent, să funcționeze mai inteligent, să colaboreze mai inteligent cu furnizori și parteneri, clienți și angajați. De exemplu recrutorii de resurse umane vor deveni mai eficienți și vor recruta candidații de top cu cel mai mic efort. Reprezentanții de vânzări vor finaliza vânzările cu câștiguri, iar managerii de achiziții vor negocia termeni de plată optimi pentru a optimiza capitalul întreprinderii. Instrumentele informatice de acest tip care sunt integrate cu sistemul de ERP, îmbunătățesc gradul de utilizarea mai eficient prin automatizarea inteligentă a proceselor de bază și prin furnizarea acțiuni ghidate utilizatorilor sau angajaților. De exemplu automatizarea inteligenta a task-urilor sau activităților de rutină, privind cheltuielile angajaților, această aplicație nu doar, înregistrează și clasifică cheltuielilor ci li aproba cheltuielile în sine (bugetul). Sistemul de IA poate automatiza în mod inteligent procesul de comanda pentru inventarierea standard, prin monitorizarea automată permanenta a stocurilor, și prin studierea și identificarea și înțelegerea opțiunilor de plată și a oportunităților de reaprovizionare. Acest software de IA pentru sistemul integrat de gestiune economica ERP, oferă informații relevante și agilitate operațională prin optimizarea o gama largă de procese organizaționale.
Strategia Europa 2020
Conform José Manuel Durão Barroso, fost Președinte al Comisiei Europene ’’Europa 2020 reprezintă strategia UE de creștere economică pentru următorii zece ani. Într-o lume aflată în permanentă schimbare, UE dorește să devină o economie inteligentă, durabilă și favorabilă incluziunii. Aceste trei priorități se sprijină reciproc și sunt în măsură să ajute UE și statele membre să obțină un nivel ridicat de ocupare a forței de muncă, de productivitate și de coeziune socială.’’
Cum este prezentat în Institutul European din România strategia 2020 reprezintă un program de o perioada de 10 ani respectiv 2010-2020, prin acest program Uniunea Europeană are direct obiectiv să creeze condiții de creștere economică durabila, inteligentă și favorabila. Pe data de 17 iunie 2010, a fost adoptată de către Consiliul European, datorita crizei economice, globalizarea și apăsarea asupra resurselor utilizate. Strategia Europa 2020 particularizează pentru fiecărui stat membru și implementează un program de reforme coerente, cu un obiectiv comun de creșterea competitivității economice, care tinde spre piață unică, o sigura moneda și politici comune.
Agendă digitalizata care este prezentata de Comisia Europeană, arată unul din cele șapte arii ai Strategiei Europa 2020, care presupune atingerea obiectivelor propuse pentru creșterea și dezvoltarea Uniunii Europene până în 2020. Agenda digitală recomandă exploatare mai bună a potențialului IT&C (TIC), pentru a stimula creșterea economică, inovarea și progresul.
Piața unică digitală pentru Europa
Majoritatea dintre noi gestionăm viata noastră online, și trebuie sa știm că suntem protejați și putem obține ceea ce așteptăm respectiv servicii de înaltă calitate la nivel European. Legislația Europeana ne oferă dreptul de a călători, de a lucra și de a face comerț oriunde în UE cu o conexiune de internet în toată Europa. Cetățenii din Europa trebuiască sa beneficieze de oferte și servicii indiferent de locația lor.
Conform Consiliul Uniunii Europene Strategia Europă 2020 privind piață digitală unică are ca obiectiv asigurarea societății, economiei și industriei Europene nouă era digitală. Europa deja a construit o piață europeană digitala unde cetățeni pot cumpăra bunuri și servicii din toată Europă online, iar întreprinderile sa poată oferi produsele și serviciile sale online în străinătate. Comisia Europeană în anul 2015 a propus Strategia (piață unica digitală) esență unei comunități digitale europene unice. Realizările privind aceasta strategie care au fost implementate în anul 2016-2017 sunt:
Eliminare costurilor pentru roaming;
Îmbunatățirea securității informațiilor (protecția datelor) GDPR nouă lege la nivel european pentru protecția datelor cu caracter personal;
Acordul privind eliberarea comerțului online prin eliminarea geo blocării nejustificate.
În noua Europa digitală tehnologia IT&C poate automatiza 45% din procesele pe care îndeplinesc resursele umane la locurilor de muncă, conform studiilor efectuate 65% din populația tânăra vor ocupa alte posturi noi de munca, aproape 7% din companiile mici și mijlocii vând online în alte țări din comunitatea Europeană.
Conform graficelor prezentate mai sus realizate de Comisia Europeană în raportul Strategia Europa 2020, putem observa ca Uniunea Europeană cheltuiește mai puțin cu 0,8% din PIB pentru cercetare dezvoltare, raportându-ne la Statele Unite, și 1.5% mai puțin decât Japonia. Conform studiile recente obiectivul propus de a investi 3% din PIB-ul UE la nivel European pentru cercetare și dezvoltare, se va crea 3.7 de milioane de locuri de muncă, iar produsul intern brut va crește cu aproximativ 800 de miliarde de euro până la anul 2025. Doar o mică pondere dintre întreprinderile mici și mijlocii se transforma în companii mari. Aproximativ de 70% din economia europeană este reprezentată de servicii, care sunt subdezvoltate. Analizând China sau Coreea de Sud, putem observa și în graficele de mai sus (figura, …..) sunt lideri din punct de vedere a inovării, care au fost în urmă noastră dar în schimb se dezvolta foarte puternic în ultimi le decenii. În schimb Japonia și SUA sunt mai puțin dezvoltate din punct de vedere a inovării dar totuși înaintea UE. Investițiile în cercetare dezvoltare nu se refera doar la inovarea din punct de vedere tehnologic, ci crearea noi oportunității de cooperare cu întreprinderilor din Europa. În foarte multe țări din lume sunt clar stabilite programe de cercetare dezvoltare în special în educație, formare și promovare a inovațiilor. Un punct slab al Uniunii Europene este că nu le asigura un loc stabil și foarte bine stimulat din punct de vedere financiar, din diferite țări din Europa, pentru a crește gradul de inovare. Dacă nu se elimina acest punct slab, angajați calificați vor pleca în alte țări și direcții. Un punct de plecare este crearea unui sistem educațional excelent în toate țările membre ale Uniunii. Universitățile europene nu atrag studenți talentați, în schimb numărul de universității pe poziții înalte la nivel mondial este foarte scăzut. Pentru atingerea obiectivului propus al UE, respectiv 3% din produsul intern brut, conform raportul efectuat de comisia europeana are nevoie de cel puțin un milion de noi locuri de muncă pentru cercetare dezvoltare. Companiile europene trebuie sa se implice în colaborarea cu școlilor doctorale și a cercetărilor doctorale, pentru a eficientiza rezultatelor cercetătorilor aplicate pe necesitatea intreprinderilor.
Un punct foarte important pentru cercetare dezvoltare este dezvoltarea sistemului TIC, micro și nano-electronica, noi tehnici și tehnologii de fabricație. Inovare folosind aceste tehnologii este foarte costisitoare și în aceleași timp complex.
Crearea Institutul European de Inovare și Tehnologie (EIT), este bază a triunghiului cunoașterii respectiv:
Educație;
Cercetare;
Inovare.
Institutul de Inovare și Tehnologie este o instituție foarte importantă care promovează noi modele de conducere, administrare și finanțare, care are un rol foarte important pentru inovare la nivel european. Membrii institutului au ca scop sa reunească și sa colaborează cu alți cercetători din întreaga lume pentru a lucra împreuna la provocările care apar în fiecare zi și identificarea bunelor practici în domeniu. EIT încurajează și stimula cercetarea bazată pe inovare, precum și dezvoltarea noi idei de business, prin educație antreprenorială sau noi instrumente de finanțări. UE va trebui sa investească aproximativ 100 miliarde de EURO în fiecare an, pentru a atinge pragul de 3% din PIB, momentan investește aproximativ 15 miliarde de euro din PIB. Achizițiile în sectorul public sunt aproximativ 17% din produsul intern brut. Care este o piață care are un rol foarte important, respectiv: serviciile publice de sănătate; energia și transporturile.
Orașe inteligente sau smart cities, strategia Europa 2020 previzionează o scădere emisiilor lor ed CO2 cu 20%, creșterea energiei regenerabile cu 20% raportându la 2010, rezultând cu investiții în serviciilor smart. Îmbunătățirea inteligenței teritoriale, cu investiții în eficiență energetică, soluții inteligente în sistemului de furnizare și producție în sistemului energetic, utilizarea sistemului TIC și eficientizarea transportul urban.
Strategia CLOUD Europa 2020 (CLOUD)
http://anssi.ro/wp-content/uploads/2016/07/Ghid-de-securitate-in-Cloud.pdf
Comisia Europeană a lansat Strategia Europa 2020 în luna martie în anul 2010, pentru ieșirea din criză economică și pregătirea Uniunea europeană pentru noile provocării a deceniul următor. Strategia Europa 2020 prevede realizarea unui grad mai mare de ocupare a forței de muncă, poluarea scăzuta prin crearea unei economii cu emisii de carbon reduse. Agenda digitală sau numerică este una dintre cele 7 inițiative pilot ale Strategiei Europa 2020, respectiv definirea motorului principal al economiei digitale care utilizează sistemului TIC (tehnologiei informației și a comunicațiilor, care este obiectivul de bază în realizarea obiectivelor Strategiei Europa 2020.
Evoluția cloud computingului are aceleași impact cum a fost dezvoltarea rețelelor de transport și rețelelor electrice în secolul al XIX lea. Implementarea tehnologiilor de tip cloud computing permite guvernelor să abordeze problemelor și provocărilor cu care se confruntă, pentru a oferi cetățenilor o mai bună calitate a vieții, datorită ușurarea accesului la serviciilor publice.
Organizatii de standardizare și reglementare la nivel mondial:
Institutul național de standarde și tehnologii (National institute of standards and Technology NIST) este fondat în anul 1901, care este o agenție federală non reglementare în cadrul Departamentului de Comerț din Statele Unite. Misiunea Institutului de standarde și tehnologii este de a promova și competivitatea și inovarea prin avansarea științei, a tehnologiilor și a standardelor.
ISACA este o organizație independentă non-profit care se ocupa cu dezvoltarea . utilizarea și adoptarea la nivel mondial a cunoștințelor și practicilor pentru ITC.
Article 29 Working Party – Comisia Europeana
Este un grup de lucru care se angajează pentru protecția datelor cu caracter personal, în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995.
European Cloud Partnership Parteneriatul Cloud European (ECP)
Reunește sectorul public și industria pentru stabilirea o piață unică pentru cloud computing în Europa.
Studiu de caz utilizarea sistemelor ERP, SCM, CRM, BI într-un magazin online pentru creșterea performanței organizației (Figura 17).
Un instrument informatic de tip ERP ajuta companiei pentru a gestiona resurselor. Vreau să exemplific cu un studiu de caz din viață mea profesionala, un magazin online care comercializează bunuri, cum utilizează instrumentul informatic ERP II, respectiv cum este integrat acest instrument informatic cu alte sisteme inteligente. Cum putem observa din diagramă exemplificată în figura de mai sus, instrumentul informatic ERP este bază de date a companiei sau instrumentul mamă care este integrat cu alte instrumente informatice care sunt utilizate într-o companie indiferent de domeniul de activitate.
1 După experiență mea în domeniul eCommerce ca consultant în management am coordonat proiecte pentru digitalizarea întreprinderii, de la reproiectarea departamentului de Call Center, implementarea centralei telefonice VOIP/PBX (robot), până la implementare SCM, instrument informatic pentru logistică sau manipularea mărfurilor într-un depozit, implementare sisteme de tip ERP, CRM, etc. Pentru un magazin online care dispune de un stoc de produse mai mare și informații legate de furnizori, facturi de intrare, note de recepție marfă, facturi clienți, baze de date cu clienți, nu ne putem imagina fără un program ERP. Programul ERP într-un magazin online/offline este programul mamă sau bază primara de informații, date, procese, informații legate de personalul organizației, informații și date despre stakeholderilor întreprinderi, date contabile, etc. Pentru un magazin online, vorbind de întreprinderi mici, mijlocii sau mari, nu poate funcționa fără un sistem integrat de ERP, pentru planificarea resurselor ci și SCM lanțului de distribuție, sistem CRM Customer relationship management (Management al relațiilor cu clienții) și un sistem de BI Business intelligence instrument informatic inteligent pentru analizarea datelor, pentru asistarea funcției de previziune. Sistemele menționate mai sus sunt sisteme distincte și integrate prin API (application programming interface), sau în perioadă mai recentă exista soluții ERP care cuprind toate aceste aplicații diferite (CRM, SCM, BI) ca module integrate împreună în sistemul de ERP sau așa numit o extensie a sistemului ERP, respectiv ERP II. Aș vrea sa exemplific fluxul unui proces de recepționare a mărfii într-un magazin online, folosind sistemele enumerate mai sus. Departamentul de achiziții, solicita o comanda de produse finite, comanda lansata câtre furnizor, folosind sistemul de SCM, care lansează comenzi de marfă în funcție de produsele cele mai vândute, viteza de rotație a mărfurilor, etc. Comanda se lansează în mod automat, folosind siststemul de SCM, care emit o comanda de marfă, anterior aprobată de câtre departamentul de aprovizionare. Comanda se lansează online și se trimte câtre furnizorul folosind or centralizatoare de comanda sau dacă exista integrare intre sistemul de ERP al furnizorului și a distribuitorului, comandă se emite în mod automat. Cele două sisteme inteligente sunt integrate cu o interfață sau un sistem de EDI (electronic data Interchange). Comanda a fost lansata, marfă deja sosește în depozitul întreprinderii. Marfa vine însoțita cu factura și un document CMR (notă de transport), departamentul operațional introduce scriptic în sistemul de ERP factura și articolele primite, fiecare articol conține un codul unic de înregistrare prețul aferent și cantitatea. Marfă este introdusa virtual în sistemul de ERP, urmează să alocam un spațiu scriptic și fizic în depozit unde va fi depozitată. Operatorul a finalizat procesul de introducere a datelor în sistemul de ERP, de aici intervine sistemul de SCM sau de logistică care are în bază lui de date, toate locațiile din depozit. Aplicația arată sugerează locațiile (pozițiile) libere, se scanează marfă cu ajutorul codului de bare, folosind un dispozitiv – terminal. Codul de bare reprezintă un cod de constituit de cifre, litere, care aparțin unui articol, bax de articole sau o locație în depozit. Codul respectiv este poziționat scriptic în locurile libere din depozit și marfa este alocată fizic în locația oferită de sistemul SCM prin recomandare. Produsele sunt scanate cu dispozitivul de scanare, pentru a verifica informațiile preluate din sistemul de ERP, pentru a compara cantitatea fizica recepționată și cantitatea scriptica introdusa în sistemul de ERP. În momentul de față avem marfa depozitată, urmează sa fie și încărcata în platforma de eCommerce sau front-end-ul (website-ul întreprinderii). Fiecare produs nou recepționat trebuie descris, verificat și încărcat pe platforma de eCommerce, accesând aplicația de SCM și identificând locația produsului. Articolele deja apar în sistemul de eCommerce doar fiind inactive și fără informații. După încărcarea informațiilor pe platforma de eCommenrce produsele deja sunt active și online pentru vânzare. De menționat este că sistemul de ERP, conține prețurile (istoricul prețurilor dacă au fost produse achiziționate deja o dată, reducerilor și cantitatea, evoluția profitului, evoluția vânzărilor etc.) în schimb sistemul de SCM oferă doar informații de stoc și manipularea mărfurilor în depozit, comenzi de aprovizionare, pe bază prețurilor înregistrate în sistemul de erp. Se plasează o comandă online pe produsul care este afișat și disponibil în depozit, se face rezervarea produsului în comanda regăsită în platforma de eCommerce, în mod automatizat se scade cantitatea în sistemul de ERP, dacă produsul a avut stoc de o unitate, produsul deja este inactiv de pe platforma. Cantitatea este rezervata și produsul nu mai este activ pentru comanda. Comanda este înregistrata în sistemul de ERP, care conține informațiile despre clientul, date de livrare, facturare și produselor achiziționate. Comanda se preia în sistemul de SCM, automat este atribuit task-ul unui angajat, comanda deja apare pe terminalul mobil, operatorul executa comanda. Se verifică fizic dacă produsul este în locația cu ajutorul sistemului SCM, în câteva secunde aflam informația despre locația unde se află produsul fizic în depozit. Se scanează produsul cu terminalul care este un dispozitiv care aparține sistemului SCM conectat live, transmite și primește informații pe moment. Se scanează locația din care a fost preluat produsul, doresc sa menționez că toate locațiile fizice sunt identificate cu un cod de bare, care ne ajuta sa identificam informația în sistemul de logistica. Marfa este pregătita, se finalizează comanda, se emite factura din sistemul de ERP, se finalizează și operațiunea în SCM, se aloca un transport sau un număr de AWB care reprezintă un număr unic al coletului, se finalizează procesul. Comanda este trimisa, cantitatea este scăzută din sistemul ERP, operațiunea este finalizată și în platforma de eCommerce.
Coordonatorul departamentului de logistică sau operațional poate verifica cine a recepționat marfă, cine a încărcat produsele pe platformă de eCommerce, cine a pregătit comanda și cine a livrat, doar cu un click în sistemul ERP. Informațiile sunt centralizate în acest sistem, măsurarea performanțelor angajaților, productivitatea acestora etc. Fără existență unor sisteme integrate procesul de verificare, de logistica și de pregătire va dura foarte mult, la fel și fluxul documentelor va dura foarte mult, însoțit cu hârtii, depozitare, acces foarte dificil la informații, posibilitatea de a greși este foarte mare.
2. Exemplificând procesul de recepție și de manipularea articolelor ajungem în departamentul de relații cu clienți. Departamentul de Call Center folosește și utilizează centrale telefonice automatizate digitale SMART și sisteme de CRM care ușurează munca angajaților la fel și a managerilor. Doresc sa exemplific cum ajuta un sistem de CRM luând exemplu magazinul online și departamentul de relația cu clienți, din experiență mea profesională.. Vreau sa exemplific cum funcționează un sisteme de CRM integrat cu o centrală telefonica într-un call center.
CRM-ul este un sistem integrat sau un modul din sistemul ERP II, care conține informații despre clienți și furnizorii întreprinderii. Cum funcționează un call center digitalizat bazat pe tehnologii IT&C, ex. Un client contactează telefonic departamentul de relații cu clienți, clientul exista în bază de date, în bază de date a CRM-ului, sistemul interoghează datele și filtrează bază de date după numărul de telefon dacă numărul de telefon exista în bază de date, se afișează informațiile despre clientul respectiv (istoricul convorbirilor), comenzile plasate, produsele accesate pe platforma de comerț online, etc.. Dacă persoană respectivă exista în bază de date în aplicația CRM apare istoricul clientului, comenzi plasate, rata de retur, produsele cumpărate, informații legate de discuțiile avute cu alți agenți de call center. Sistemul de CRM, pe baza istoricul clientului face recomandări de servicii sau produse care le oferă compania. Managerul companiei are control asupra angajaților legat de performanța lor, productivitatea fiecărui agent, satisfacția clienților conform rezultatelor post contact sau (chestionare completate de clienți după finalizarea acțiunii) în centrala telefonică.
Considerații personale
Evoluția prin tehnologia informației și de comunicație duce la o serie de schimbării în managementul contemporan. Managementul în ziua de astăzi este susținut puternic de tehnologii noi (software) care ușurează munca managerilor ci și angajaților pentru a îndeplini obiectivelor stabilite sau a exercita funcțiile enumerate mai sus care determină procesul de management. Organizațiile utulizează tehnologii IT&C sau soluții software respectiv centrale telefonice bazate pe tehnologii PBX/SIP, sisteme integrate CRM – Customer relationship management, (managementul relațiilor cu clienți sau sistem de gestiune a relației cu clienți), SCM, ERP, plaforme de E-commerce (comerț online), plaforme BI, Olap pentru analizarea datelor, respectiv pentru eficientizarea și perfecționarea procesul de management dintr-un departament într-o organizație publică sau privată. Un manager controlează, coordonează, previzionează, organizează activitatea zilnică angajați săi printr-un proces automatizat, prin urmărirea activităților datorita tehnologiilor avansate de CRM, ERP, BI, SCM cu ajutorul cărora putem urmări activitățile zilnice, productivitatea angajaților, vânzărilor zilnice, urmărirea procesul de manipularea mărfurilor prin un sistem integrat de logistică SCM, comenzi automatizate de marfă etc. Indicatorii de performanță sunt stabilite și incluse în fișele de post al angajaților, respectiv numărul de interacțiunii cu clienți (apeluri efectuate, apeluri primite, interacțiuni social media, interacțiuni email). Evaluarea angajaților se face pe baza rapoartelor obținute din tehnologiile software, raportarea activităților se efectuează automat prin soluțiile CRM implementate în cadrul unui departament, care ușurează munca a managerilor care le oferă și un raport pe moment (live). Pentru exercitarea procesului de previziune, avem la dispoziție o gama mai larga de produse software BI pentru a previziona perioadă care urmează, datorita datelor și o serie de analize și rapoarte cu care putem previziona sau a estima ce se va întâmpla în viitorul apropiat utilizând datele din sistemul ERP. Care reprezintă un sistem integrat de software utilizat de întreprinderii pentru a gestiona activitățile de afaceri zilnice, respectiv contabilitatea, managementul de proiect, producția, managementul proceselor etc. Platforme colaborative EDI (Electronic Data Interchange) pentru exercitarea funcției de organizare, care ajuta a comunicarea mai eficienta și mai rapida cu furnizorii, care reprezintă o interfață pentru integrare a sistemelor de ERP, un canal securizat de schimb de informații.
Evoluția managementului, conceptul de întreprindere, evoluția întreprindere clasică până apariției conceptul de întreprindere digitală
Evoluția managementului
Nu putem vorbi de trecerea de la o întreprindere clasica la o întreprindere numerică dacă nu definim clar sistemul de management și componentele sale, ci și influență acestuia asupra mutațiilor care se produc în transformarea organizației de la clasică la numerică (suportată și susținută de Tehnologia informației și de comunicației).
(Deac, V. 2014) arată ca conceptul de management prima ora a fost folosit doar în Marea Britaniei, și alte state în care se vorbește limbă engleză. Din alt punct de vedere termenul management provine din ‘’manus’’ în limbă română ‘’mână’’, cuvântul ‘’manus’’ provine din Italiană mai precis din cuvântul ‘’manegio’’ care înseamnă ‘’prelucrare cu mână’’. În Anglia a fost utilizat termenul ‘to manage’ care înseamnă ‘a mânui’. După care verbul ‘to manage ’ sau termenul (substantivul) ‘managment’ au fost aplicate și adaptate în domeniul militar și în domeniul economico-social. Încă din secolul XX-lea, managementul se percepe ca o activitate specifică intelectuală care se desfășoară la diferite nivele ierarhice ale organizațiilor dintr-o comunitate.
Conform Koontz & O’Donel (1986) managementul reprezintă ’’stabilirea unui mediu pentru efortul de grup într-un mod în care indivizii să contribuie la obiectivele grupului cu minim de input-uri ca bani, timp, efort, disconfort, și materiale’’. O alta abordare conform Griffin, R. (2012) ‘’Managementul este un set de activității (incluzând planificarea și luarea deciziilor, organizarea și controlul) ce implică resursele organizației (financiare, umane, fiice, informaționale) cu scopul de a atinge obiectivele organizației într-o manieră eficace și eficientă’’. În anii 1997 Ovidiu Nicolescu & Ion Verboncu definesc managementul întreprinderilor ca’’ studierea proceselor și relațiilor de management din cadrul lor, în vederea descoperirii legităților și principiilor care le guvernează și a conceperii de noi sisteme, metode, tehnici și modalități de conducere, de natură să asigure obținerea și creșterea competitivității’’.
Conform Deac, V. (2002) managementul “ca artă presupune utilizarea calităților personale (intuiție, talent, experiență) ale conducătorului în procesul de management’’, iar managementul ca știință constă în studiul proceselor de management din cadrul organizațiilor de orice natură în scopul descoperirii de noi concepte, reguli, sisteme, metode și tehnici specifice sau perfecționării celor existente. Managementul ca artă dispune de metode și tehnici obiective, cu caracter științific, conducători sunt de multe ori obligați să adopte decizii pe baza experienței, intuiției și instinct.
Manageri conform Deac, V. (2014) ‘‘sunt persoane/persoana care exercită funcțiile managementului pe baza autorității formale cu care a fost învestită’’. În întreprinderile sunt diferite niveluri ierarhice, din această cauza exista mai multe tipuri de manageri: de nivel inferior, manageri de nivel mijlociu și ultimul nivel este manageri de vârf, care reprezintă și managementul superior sau de top al organizației.
Managerii inferiori au ca activitate de a coordona executanților din subordine, sunt coordonatori care nu au în subordine alți manageri;
Managerii de nivelul mijlociu coordonează exclusiv manageri de nivel mijlociu și este subordonat de managementul de vârf, comunica cu executanți indirect prin manageri inferiori. Au ca scop de a rezolva conflictele care apar între departamentele din subordine. Se implica în noile schimbări care au loc în organizației, sunt responsabili de departamentele de subordine chiar dacă nu le coordonează direct.
Manageri de nivel superior sau de vârf coordonează manageri de nivel mijlociu, stabilesc filozofia organizației, realizează planificarea strategică, adopta decizii care vizează întreagă organizație.
Managementul este o știință mai tânără din secolul XX-lea, dar încă din epoca mijlocie au fost publicate lucrări care au la bază tratarea anumite aspecte ale managementului sau conducerii, în special la nivel de stat. Încă din antichitate au fost remarcate două elemente esențiale Deac, V. (2014):
Apariția statelor urmate cu primele încercări de structurarea organizatorică și prezență unui conducător.
Apariția primelor lucrări cu valențe manageriale respectiv (Platon – ‘Republica’ și Aristotel – ‘Politica).’
Școlii de management:
Școala clasică (tehnicistă, universalistă) este remarcata încă din începutul seculul XX-lea, care remarcă modul de gândire al managerilor. Pe lângă modul de gândire al managerilor este important sa menționam și activitatea organizațiilor din acea perioadă. Reprezentanți aceste școlii de management sunt: Frederick Winslow Taylor, Henry Fayol, Frank & Lilian Gilberth, Henry ford) în primul rând persoane importante în practica managementului, o parte dintre cele menționate au experiență pe posturi de management care au contribuit și au sintetizat experiență practică sub unor studii teoretice. Cele mai remarcabile contribuții ale școlii clasice la dezvoltarea științei sunt: tratarea relațiilor de management în ansamblul lor; accentuarea funcția de organizare; abordarea organizației ca o unitate(întregime); preocuparea de a face organizația mai eficace și mai eficientă; identificarea funcțiilor de management care se utilizează și în ziua de astăzi; utilizarea instrumentelor economice (profit, cost, venit, productivitate, rentabilitate).
Școala relațiilor umane (psihologică sau behavioristă) apare în secolul XX-lea în deceniile trei și patru, ca reacție la abordările al școlii clasice, dar în schimb abordează doar factorul uman, care se focalizează pe comportamentul uman în contextul organizațional. Reprezentanții ai școlii relațiilor umane sunt: Douglas McGregor, Abraham MAslow, Rensis Likert și Argyris.
Contribuțiile remarcate ai acestei școlii sunt următoarele: Evidențierea motivării grupurilor; atragerea atenția managerilor asupra problemelor legate de factorul uman; schimbarea viziuni organizațiilor în perspectiva factorului uman și considerarea ca o resursa importantă; Focusul organizației îndreptat spre resursa umană; accentul pus pe delegării și managementul participativ.
Școala cantitativă – are loc după al doilea război mondial și caracterizează după utilizarea conceptelor, principilor, metodelor din matematică, statistică, informatică, cibernetica, cercetare operațională, etc. În aceasta perioada sunt preluate și folosite teoria deciziei, teoria firelor de așteptare, programarea liniară. La început instrumentele matematice au fost folosite pentru rezolvarea unor probleme de producție, ulterior au fost utilizate pentru comercial, domeniul cercetării dezvoltării. Cele mai importante contribuții sunt: utilizarea și adaptarea instrumentarului statistic și matematic; îmbunătățirea procesului decizional utilizând metode matematice; Îmbunătățirea procesului funcțiilor de previziune și organizare utilizând instrumente matematice.
Evoluția Managementului
Managementul este o știință care se naște împreună cu civilizația, cele mai vechi documente le găsim la civilizația antică, cinci mii de ani, unde întâlnim practici de management sau practici de control de conducere. În literatura egipteană găsim măturii privind construirea mare anvergură, care a fost realizată prin inteligentă și arta în organizarea, coordonarea și conducerea unor grupuri sau colectivități umane. În Egipt în anii (4000-2000 înainte de Hristos) au loc construcțiile celebre, piramidele- de exemplu piramida lui Keops care acoperă aproximativ 15 acri și este construita din 2,3 milioane de blocuri de piatră, fiecare bloc are o greutate între 1,5-2 tone. Nu avem informații concrete dar se presupune că au participat mai mult de 1 000 000 de persoane caru au lucrat o perioadă de 20 de ani, ceea ce remarchează o conducere unei colectivități de mărimea unui oraș. Egiptul este primul care a stabilit în imperiul lor forme descentralizate de guvernare. În perioadă 2160 și 1788 î.H, legătura între statele componente și guvernul central era încasarea unor impozite.
De asemenea și Babilon-ul oferă multe exemple de practici manageriale, de exemplu ceea mai importantă contribuție la această gândire este “Codul lui Hammurabi” care era bază a guvernării Babilonului în perioada 2000-1700 înainte de Hristos, care conține practici manageriale cum sunt responsabilitatea, controlul etc. Acest tip de guvernare stabilește standarde pentru salarii, obligații și responsabilități pentru părțile contractante și penalizări.
În perioadă mai recentă managementul devine mai complex și mai sofisticat, dar în aceleași timp organizațiile devine mai puternice și mai rezistente, este foarte important sa menționăm Imperiul roman care a avut o durata de sute de ani. Cuceririle au fost administrate de guvernatori care au fost stabilite și subordonate a Romei. Traseele au fost construite să pătrundă întregul imperiul, ca urmărirea și informația să fie ușurate, la fel și pentru intervenirea mai prompt și eficace în orice situație. Comunicarea este principală cerință a managementului de succes. Traseele au ajutat în același timp și adunarea rapidă a taxelor, dar și elaborarea și transmiterea deciziilor pentru rezolvarea unor situații care se confrunta imperiul. Ierarhic vorbind, formele de conducere erau total diferite, de exemplu raportul dintre conducători și subordonați era mult mai mic, numărul conducătorilor de nivel mediu a fost foarte mic. Organizațiile din antichitate tindeau să aibă grupuri mai mici de conducători de nivelul superior, care luau cele mai importante decizii, în mod frecvent aceste grupuri au fost coordonate de o singura persoană.
H. Koontz (1968), deosebește 6 școlii de management și respectiv:
Școala procesului de management;
Școala empirică;
Școala comportamentului uman;
Școala sistemelor sociale;
Școala teoriei deciziei;
Școala matematică.
Prima școala se referea la procesul de management care este un proces cu rezultate care angajați sau indivizii lucrează în grupuri organizate. Școala empirica este un studiu al experienței manageriale. Școala comportamentului uman, resursa umana este în centrul atenție managerilor, a patra școala sistemelor sociale – managementul este un ansamblu
În procesul de globalizare este încorporat într-o lungă tradiție a discursului științific în domeniul activităților de afaceri internaționale. Cartea scrisa de Adam Smith “The wealth of nations 1776”, poate fi considerată ca un moment foarte important în abordările explicite a comerțului internațional și activităților de business. Cu toate acestea, până în ani 60 ai secului trecut, discursul în domeniul activităților internaționale de afaceri, a fost limitat la abordări explicative ale existenței unor astfel de activității. Dezvoltarea accelerată a întreprinderilor ca avut loc după al doilea război mondial, în mod special din anii ‘60 și ‘70, a determinat o nevoie sporită de concepte de a coordona și de a organiza activitățile internaționale din punct de vedere al managementului. Evoluțiile tehnologice au condus la creșterea numărul de industrii pe calea globalizării.
Funcțiile managementului
Esența procesului de management reprezintă funcțiile managementului într-o organizație. În general funcțiile managementului consta în activității de bază ale managerilor în procesul de coordonarea a organizațiilor. Cel care a definit acest termen este Henry Fayol (2013), care identifică cinci funcții ale managementului: previziunea, organizarea, coordonarea, comanda, coordonarea și controlul. Conform Deac, V. (2016) procesul de management presupune exercitarea a cinci funcții de management, respectiv: previziunea, organizarea, coordonarea, antrenarea și controlul. (figura 18)
1. Funcția de previziune cuprinde toate procesele prin care se stabilesc obiectivele dintr-o organizație și componentelor, resursele, precum și modalitatea realizării obiectivelor. Previziunea se bazează pe rezultatele obținute anterior, pe situația curenta a organizației și resursele disponibile pentru realizarea obiectivelor. Rezultatele funcției de previziune se pot realiza prin: planuri, strategii, tactici, politici, etc. Previziunea determina drumul sau direcția care urmează pentru acțiunile viitoare. În condițiile actuale a globalizării a creșterii economice evoluția prin tehnologie, exercitarea funcției de previziune trebuie sa fie orientată spre piață orientata spre nevoile consumatorilor, prin cercetarea pieței și a concurenței, care determină obiectivele SMART (specifice, măsurabile, adecvate, realiste, și temporale). Vorbind de evoluția tehnologică, este foarte important să menționez, funcția de previziune se poate automatiza folosind tehnologia informație și de comunicație, metodele utilizate pentru determinarea atributului de previziune se pot automatiza prin soluții software bazat pe tehnologii în cloud sau on premise (aplicații de calcul instalate în propriul data center).
În cartea lui Kinicki (2013) sunt enumerate 4 funcții ale managementului (figura 19):
Planificarea;
Organizarea;
Conducerea;
Controlul.
Care definește planificarea ca stabilirea obiectivelor și a modului în car vor fi atinse.
Organizarea este definită ca și stabilirea sarcinilor, a oamenilor și altor resurse necesare pentru a realiza obiectivul propus
Conducerea este definită ca și motivarea, coordonarea și în general, influențarea oamenilor să lucreze intens pentru atingerea obiectivelor organizației.
Controlul este definit ca și monitorizarea performanței, compararea sa cu obiectivele și adaptarea măsurilor corective care sunt necesare. Kinicki et al (2013)
Conform (Radu, I. et al 2005) metode specifice de previziune asistate de calculator sunt:
Metoda expertizării, metoda extra-polarizării euristice, metoda analizei și sintezei, metoda interpretării sistemice, metoda comparațiilor internaționale, metoda simulării, modelarii economico-matematice și metoda scenariilor multiple.
2. Funcția de organizare – reprezintă stabilirea proceselor de lucru care sunt necesare pentru atingerea obiectivelor stabilite folosind funcția de previziune.
Prin organizare coordonatorul organizației trebuie sa identifice activitățile necesare pentru îndeplinirea obiectivelor stabilite și finalizate prin tehnici și metode asistate de caluclator. Stabilirea sarcinilor pentru fiecare compartiment în parte. Stabilirea persoanele responsabile pentru fiecare echipă (departament) în scopul atingerii obiectivelor.
3. Funcția de coordonare urmărește sincronizarea deciziile și acțiunile angajaților unei organizației în scopul atingerii obiectivelor propuse. Prin aceasta funcție coordonatori se asigură că obiectivele întreprinderii sunt clare și foarte bine definite și înțelese de personalului de subordine. Comunicarea este foarte importata pentru funcția de coordonare și asigura transmiterea mesajelor la diferite niveluri ierarhice. În exercitarea atributului de coordonare iese în evidență calitatea și talentul managerilor care coordonează echipele într-o organizație.
4. Funcția de antrenare conține toate procesele prin care coordonatori determină personalul organizației sa contribuie la îndeplinirea obiectivelor stabilite, pe bază unor factor de motivarea personalului. Prin aceasta funcție membrii organizației trebuie să-și maximizeze efortul depus pentru îndeplinirea obiectivelor. Coordonatorul face o corelare a eforturile angajaților cu recompense sau sancțiuni la nivelul întreprinderii.
5. Funcția de control reprezintă totalitatea proceselor prin care sunt măsurate rezultatele obținute, care sunt comparate cu obiectivelor propuse, se determină rezultatele pozitive sau negative și se adoptă măsuri pentru eliminarea cele negative și crearea unor pozitive. Funcția de control implică 4 etape (Deac, V 2016):
Măsurarea rezultatelor: este un proces care se bazează pe informațiile obținute din cadrul organizației, respectiv raportări periodice;
Compararea rezultatelor obținute și obiectivelor propuse;
Determinarea rezultatelor satisfăcătoare sau nesatisfăcătoare;
Adoptare unor măsurii pentru eliminarea rezultatelor negative.
Funcția de control trebuie să satisfacă următoarele caracteristici: 1. procesul de control trebuie să fie continuu, să vizeze întreagă perioadă de desfășurarea activităților în scopul atingerii obiectivelor; 2. Să fie preventiv – ceea ce reprezintă ca trebuie să urmărească și să evite apariției rezultatelor negative; 3. Sa fie corectiv – sa elimine cauzelor care au produs efectele sau rezultatele negative.
Funcțiunile managementului, prezentate și în figura de mai jos (Kinicki et. al. 2013):
Cercetare și dezvoltare;
Marketing;
Financiar și contabilitate;
Producție;
Resurse umane.
Care a identificat 4 niveluri de management:
– Manageri de nivel superior;
– Manageri de nivel mediu
– Manageri de nivel inferior prima linie;
– Personal de execuție.
Manageri de nivelul superior sunt cei care iau decizii pe termen lung în legătură cu orientarea generală a organizației și stabilesc obiectivele, politicile și strategiile pentru acestea.
Manageri de nivel mijlociu sunt cei care implementează politicile și planurile managerilor de nivelul superior aflați deasupra lor, supervizând și coordonând activitățile managerilor de prima linie aflați în subordine.
Manageri de prima linie iau decizii operaționale, pe termen scurt, conducând activitățile zilnice ale personalului de execuție, conform figura 20.
Întreprindere – concept, evoluția
Economia întreprinderii
Conform Deaconu, A. (1998) ‘’Economia întreprinderii poate fi definită ca fiind studiul întreprinderii, adică al oricărei organizații care produce bunuri și/sau servicii, privită prin prisma scopurilor pe care ea și le fixează și a mijloacelor pe care le folosește în vederea atingerii lor.’’ Întreprinderea este organizată: cu verigi de producție, birouri, depozite. Fiecare clădire este destinată unei funcțiuni și anume: producție, administrație, aprovizionare, distribuție. Obiectul întreprinderi este acela de a produce bunuri și servicii. Pentru a produce bunuri, întreprinderea necesita resurse umane, materiale și financiare. Aceste resurse îi vor permite să-și atingă obiectivele și scopul organizației și anume: creșterea cifrei de afaceri, maximizarea profitului, crearea locuri de muncă etc. Întreprinderea într-o societate industrializată este considerată pe drept cuvânt principalul producător de bogăție. La nivel macroeconomic acest rol poate fi analizat într-o optică națională, urmărind sa clasifice în ce măsură participă întreprinderea la producția națională, mai precis la venitul brut. La nivel de microeconomie maximizarea producției și creșterea venitului.
Analiza macroeconomică se ocupă cu relațiile care se stabilesc între factori economici la nivel global. Pe teritoriul unei țări, toți indivizi sau agenți economici contribuie la viață economică respectiv: producători independenți sau angajați, consumatori de produse (bunuri sau servicii), achiziționează bunuri de folosință îndelungată cu poate fi case, mașini etc. Teoria macroeconomica se ocupa în special de instituții; colectivități sociale, bănci, familii, Stat, și întreprinderi. Fiecare instituție enumerate mai sus reprezintă un ’’agent economic’’, care poate fi identificat prin funcția sa principală, și respectiv de a produce bunuri și/sau servicii. Pentru a demara procesul de producție o întreprindere trebuie are nevoie de materii prime, semifabricate, servicii de la alte întreprinderi; achita salariile angajaților; cumpără echipamente adică face investiții. Vânzările obținute bunurilor și serviciilor în decursul unui an îi aduce întreprinderi venituri. Întreprinderea în analiza microeconomică, este redusă la funcțiunea de producție, care este rezultatul utilizării combinate a serviciilor oferite de doi factori capitalul și munca.
Întreprindere reprezintă un grup de persoane, organizate potrivit anumitor cerințe economice, juridice, tehnologice, folosind mai adesea anumite mijloace de muncă, care concepe și desfășoară procese de muncă concretizate în produse sau servicii, cu un scop de a obține venit sau profit. Clasificare întreprinderilor ce-și desfășoară activitatea în cadrul economiei naționale impune o clasificare după mai multe criterii din care cele mai importante sunt: apartenență națională; forma de proprietate; obiectul de activitate și gradul de mărime. Ținând cont de forma de proprietate sunt clasificate în două categorii: Întreprinderi private care aparține unei persoane sau un grup de persoane și întreprinderi de stat sau publice al cărei patrimoniu aparține statului pe teritoriul care se află.
Conform Deac, V. (2016) Organizația reprezintă o reuniune de două sau mai multe persoane în vederea realizării unui scop comun.
Conform Zahiu, L., & Năstase, M. (2003) “Întreprinderile sunt entități economice de baza ale economiei naționale, răspândite în teritoriu datorita răspândirii resurselor materiale, în special a resurselor primare limitate sau a accesului la acestea, a resurselor de munca, a consumatorilor.”
După François Perroux citată în Zahiu, L., & Năstase, M. (2003) “întreprinderea este o forma de producție prin care în cadrul aceluiași patrimoniu se combina preturile diverșilor factori de producție aduși de agenți economici distincți de proprietarul întreprinderii, în vederea vânzării pe piața a unui bun sau serviciu și pentru a obține din diferența între doua serii de preturi (prețul de vânzare și prețul de cost) cel mai mare câștig bănesc posibil”
Madgearu, V. (1944) arată că “…pe baza abordarii unitare a diferitilor factori de productie: capital, munca și partea naturala pentru un scop anumit, într-o organizație închisa și independenta orice coordonator, fabricant etc., au dreptul sa dispună cum vor de forțele date” .
Deac, V. (2016) arată că întreprinderea reprezintă o reuniune de două sau mai multe persoane care realizează produse, servicii sau lucrări destinate vânzării cu scopul de a obține profit.
Scopul întreprinderilor este de a desfășoară activității economice care produc profit, pentru acționarilor întreprinderii. Dacă afacerea nu produce sau realizează profit, nu va prezenta interes pentru acționari. Întreprinderile se pot clasifica în funcție de:
Marime;
Forma de proprietate;
Importanța națională;
Nivelul de specializare;
Prevederile legislației din România.
După forma de proprietate întreprinderile sunt împărțite:
Firme publice sau de stat: care sunt create și coordonate de stat, în care statul deține toate acțiunile întreprinderii:
Întreprinderi private: care sunt create și coordonate de persoane fizice sau juridice, care beneficiază de independență operațională și decizională;
Întreprinderi mixte care se caracterizează prin faptu că patrimoniul lor aparține statului cât și persoanelor fizice sau juridice.
Clasificarea după legislației din România distingem două categorii:
Regiile autonome, care reprezintă întreprinderi care sunt construite în cadrul strategiei naționale respectiv: transporturi, industria armament, energie, canalizare și apa, etc.) Întreprinderile din acest tip trebuie sa obțină profit prin desfășurarea activităților., profitul obținut se repartizează în funcție de necesitatea în bugetul de stat, stimularea angajaților sau participarea la fondul de dezvoltarea a regiei autonome. În mod general regiile autonome aparțin și sunt guvernate de către autoritățile locale.
Societății comerciale care sunt reprezentate de persoane juridice, create pentru a presta servicii sau produse, care va realiza un profit care se va repartiza sub forma de dividende acționarilor sau asociaților. Cele mai frecvente tipuri de întreprinderi în România sunt firmele cu răspundere limitată și societăți pe acțiuni.
După mărime firmele se împart în patru categorii:
Întreprinderi mari cu mai mult de 250 de angajați;
Întreprinderi mijlocii cu 50-259 de angajați;
Întreprinderi mici 10-49 de angajați;
Microîntreprinderi cu 9 sau mai puțin angajați.
Întreprinderea este celula de bază a economiei, reprezintă o veriga organizatorica care perfecționează și completează factorii de producție sau de execuție (munca, natura și capital), cu scop de producere și deschidere de servici, bunuri, lucrări și informații economice, cu un obiectiv propus de a obține profit. Organizația sau întreprinderea suporta cheltuielile de producție, care se compensează cu rezultatele obținute. Întreprinderea trebuie sa producă o valoare mai mare în comparație cu costurilor sale. Organizațiile sau întreprinderile se disting prin activitatea care o desfășoară, gestiunea economica și prin unitatea sa financiara.
Întreprinderile își orientează businessul în funcție de mediul său ambiant și condițiile specifice unde activează. Mediul de afaceri este foarte,care utilizează un set de factori de natura: politică, economică, geografică, demografici. (figura 19)
Factorii care influențează organizațiile pe plan internațional și național care influențează deciziile întreprinderilor. În ziua de astăzi firmele se caracterizează printr-o dezvoltare extrem de rapida prin tehnologizare. În figura 4 putem observa mediul întreprinderilor.
Componentele mediul întreprinderilor cuprinde ansamblul de elemente cu care relaționează direct și pe o perioada de scurta durată. Elementele sau ansamblul de elemente sunt:
Relații cu clienți;
Forța de munca;
Marketing;
Management;
Finanțe;
Gestiune
Tehnologie;
Controlul calității produselor;
Furnizorii de marfuri;
Materiile prime;
Echipamente;
Mașini;
Materiale etc.
Coform Deac, V. (2016) ’’Mediul ambiant reprezintă totalitatea factorilor economici, tehnici și tehnologici, social culturali, politici, naturali și de management care influențează desfășurarea activității organizației și sau influențați de către acestea’’. Mediul ambiant constituie două componente: extern și intern.În mediul ambiant extern sunt incluse elementele care nu sunt în interiorul organizației și care influențează organizația. Mediul ambiant extern conține două componente, micromediul și macromediul care au posibilitatea și potențial de a influința întreprinderea în mod direct, chiar dacă sunt factori externi. Macromediul se refera totalitatea factorilor care influențează întreprinderea în mod indirect respectiv: factorilor tehnologici, economici, politico-legali, etc. Factorii tehnologici includ dezvoltarea economica prin tehnologii noi, evoluția industriala, progresul științific.
Micromediul cuprinde toate elementele care afectează direct întreprinderea, ci asupra performanțelor obținute respectiv: concurenții, furnizorii, piață care accesează întreprinderea, clienții.
Abordarea sistemica conceptul de întreprindere
Întreprinderea este un sistem complex și dinamic, marea majoritate din autori cu numeroase lucrări explica și dezvolta în continuare noțiunile având la baza teoria generala a sistemelor.
Zahiu & Nastase (2003) definesc “sistemul ca un ansamblu de elemente în interacțiunea lor dinamica organizata în vederea realizării unui scop”. Întreprinderea ca o componenta economico socială, este compusa de o structura sistemica în care elementele aflate în acest sistem sunt condiționate reciproc. Conceptul de întreprindere din punct de vedere sistemic, este o modalitate de a vizualiza și înțelege procesele organizaționale în cadrul sistemului care interacționează cu conducerea.
Un sistem este considerat și definit prin 3 elemente:
Elementele sistemului, care poate fi entități materiale sau imateriale care concepe statica sistemului;
Proprietățile obiectelor;
Conexiuni și rapoartele dintre obiectele sistemului care constituie dinamica sistemului.
Zahiu & Nastase abordează întreprinderea ca un sistem complex și dinamic, care este reprezentate de o serie de caracteristici, care asigura funcționalitatea, așa cum este prezentata în figura de mai sus (figura 21).
Pentru asigurarea funcționalității sistemului trebuie sa avem în vedere o serie de caracteristici:
Sistem social – care este constituit de executanți și coordonatori, care interacționează cu celoralte elemente a sistemului (resurse materiale/imateriale, informații, etc.);
Sistem economic – convoca resursele de diferite categorii;
Sistem deschis – este tot timpul expus la schimbării permanente care sunt provocate de mediu, așa cum este prezentata în figura de mai jos (figura 22):
Servicii publice
Conform Asociația Americană de Marketing (AMA) (1960) Serviciile sunt activități, beneficii sau utilități care sunt oferite pe piață sau prestate în asociere cu vânzarea unui bun/material.
K.J. Blois (1974) Serviciile reprezintă orice activitate care oferă beneficii fără să presupună în mod obligatoriu un schimb de bunuri tangibile. Se poate observa că ambele definiții prezintă perspectiva celui care oferă, respectiv a prestatorului.
Bessom Richard (1975) Serviciile reprezintă activitatea care se finalizează prin obținerea unui beneficiu sau a unei utilități; activități pe care nu poate sau nu dorește să le presteze consumatorul însuși. Acest punct de vedere îl reprezintă pe consumator.
T.P. Hill (1977) Serviciile reprezintă activități depuse de o persoana sau unitate economica, la solicitarea altei persoane sau unități economice sau cu consimțământul acestora, în scopul modificării stării persoanei beneficiare sau a bunului care îi aparține.”
Ph. Kotler (1998) Serviciile reprezintă orice activitate sau beneficiu pe care o parte o poate oferi alteia, care este în general intangibil și al cărei rezultat nu presupune dreptul de proprietate asupra unui bun material.
Ch. Gronroos (1990) Un serviciu este o activitate sau un grup de activități mai mult sau mai puțin tangibile, care au de obicei loc în momentul interacțiunii dintre cumpărător și prestator. Și în literatura româneasca de specialitate putem identifica o serie de idei interesante referitoare la definirea serviciilor.
M. Ioncică, R. Minciu, G. Stănciulescu (1997) Serviciile reprezintă activități umane cu un conținut specializat, având ca rezultat efecte utile, imateriale și intangibile destinate satisfacerii unor nevoi sociale. Totodată, serviciile sunt activități de sine stătătoare, autonomizate în procesul adâncirii diviziunii sociale a muncii și sunt organizate distinct într-un sector denumit sectorul terțiar.”
V. Olteanu (1999) Serviciile sunt efecte utile, imateriale și intangibile, rezultate din desfășurarea unor activități intercondiționate.
A. Zaiț (2002) Serviciile reprezintă ansamblul activităților ce pot fi oferite ca o marfă comercializabilă, pentru care producția și consumul au loc simultan și la care clientul participa direct, intangibilă, ce nu poate fi analizată sau experimentată înainte de achiziție, dar care permite satisfacerea unor dorințe și necesități ale clienților. În dicționarul Webster serviciile sunt definite astfel: O contribuție la bunăstarea altora și o muncă utilă prin care nu se produce un bun material. Definițiile prezentate mai sus încearcă să definească serviciile în ansamblul lor, prin luarea în considerație a caracteristicilor care le deosebesc de bunuri.
În ziua de astăzi sau perioadă mai recentă, serviciile reprezinta principalul element al competiției economice. La fel și produsele care sunt oferite consumatorilor sunt pe bază serviciile pe care le oferă.
Serviciile sunt un obiect principal în economia de astăzi.
https://sjse-ct.spiruharet.ro/images/secretariat/secsjse-ct/biblioteca_virtuala_management/sinteze_si_intrebari_orientative/2015-2016/an_3_man_2015-2016/sem_2/01_managmenetul_serviciilor/CURS_MAN_SERVICIILOR_an_III_Man.pdf
Tipologia serviciilor publice de interes general
Conform Comisia Europeană Serviciile publice de interes general sunt reprezentate de autoritățile publice ale tarilor membre ca fiind de interes general. Serviciile publice pot fi oferite si prestate de sectorul public sau privat, de exemplu servicii de asistență medicală, servicii publice de transport, servicii postale etc. Serviciile publice de interes general se împart în trei categorii:
Servicii de interes general economic care sunt oferite și furnizate de exemplu serviciile postale.
Servicii publice de interes general neeconomice respectiv: justiția, poliție care reprezintă sisteme obligatorii pentru securitatea cetățenilor.
Servicii publice sociale care garantează nevoilor cetățenilor, aceste tipuri de servicii pot fi de natură economică sau neeconomică, respectiv sistemele de securitatea sociala, serviciile de ocupare a forței de muncă etc.
Serviciile publice după forma de organizare se împart în următoarele categorii:
Servicii publice care sunt prestate de către administrația publica, respectiv organele locale și centrale
Servicii care sunt oferite de instituțiile publice (învățământul, serviciile sociale, serviciile culturale etc.)
Serviciile publice de interes general care sunt prestate de regii autonome respectiv întreprinderile municipale și de stat.
Serviciile publice după obiectul de activitate se împart în următoarele categorii:
Servicii fiscale și financiare;
Servicii publice de artă, învățământ și cultură;
Apărarea publică și securitate națională;
Activități economice
Servicii publice de asistență socială.
Digitalizarea serviciilor publice analiza comparativa la nivel European
Ce reprezintă digitalizarea?
Conform Business dicționar digitalizarea reprezintă Integrarea tehnologiilor digitale în viața de zi cu zi prin digitalizarea a tot ce poate fi digitizat.(“Do You Know This Term?” n.d.)
Conform IGI Global sensul literal al digitalizării dă o idee aparentă despe lumea dezvoltării și a tehnologiei dependente. În acest capitol, digitalizarea înseamnă computerizarea sistemelor și a locurilor de muncă pentru o mai bună ușurință și accesibilitate.(“What Is Digitalization | IGI Global” n.d.)
Conform comisia europeană lideri pe piață din punct de vedere al digitalizării sunt Danemarca, Suedia, Finlanda și Olanda, liderii pe piață europeană sunt Luxemburg și Estonia, Marea Britaniei. Cele mai puțin dezvoltate din punct de vedere al digitalizării a serviciilor publice sau a economiei digitale sunt Grecia, România, Italia și Bulgaria. DESI (The Digital Economy and Society Index) Indexul de Economia și societatea digitală remarca cinci dimensiuni respectiv:
Conectivitate broadband – care reprezintă o conexiune la internet de viteza mare;
Capitalul Uman – competențe de bază și utilizarea internetului, competențe avansate și dezvoltare
Utilizarea de serviciile internetului Utilizarea de către cetățeni a conținutului, Comunicațiilor și Tranzacțiilor online;
Integrarea tehnologiei digitale Digitalizarea întreprinderilor și comerț online;
Sector Public Digital – e-guvernare și e-sănătate.
http://ec.europa.eu/information_society/newsroom/image/document/2018-20/5_desi_report_digital_public_services_B5DBE542-FE46-3733-83C673BB18061EE4_52244.pdf
Dacă analizăm graficul de mai sus (figura 21), putem observa ca lideri pe piață europeană în ceea ce privește digitalizarea serviciilor publice sunt, Danemarca pe primul loc, Suedia în al doilea rând, Finlanda și pe locul patru Olanda, cum am remarcat mai sus, România este pe ultimul loc în ceea ce privește digitalizarea serviciilor și implementarea serviciilor IT în domeniul public.
Comisia Europeană remarca 6 indicatori în serviciile publice digitalizate:
E Government users indicators E – guvernare este un indicator care măsoară utilizatori de E-guvernare care folosesc serviciile respective pentru completarea și trimiterea formularelor online către autoritățile de la administrațiilor publice.
În graficul de mai sus (figura 22) este prezentată evoluția de utilizare a serviciilor de e-guvernare, măsura în care serviciile de e-guvernare reduc timpul de așteptare în administrațiile publice și încurajează cetățeni să le utilizeze. Liderii pieței europene sunt Estonia, Finlanda, Suedia, Danemarca, Olanda și Lituania unde e-guvernare este foarte bine pus la punct și funcționează foarte bine, care mai mult de 80% din utilizatorii online folosesc serviciile de e-administrare. În schimb ce Italia, Cehia, Grecia, Germania unde sunt înregistrare cam sub 40%. Dacă facem comparație cu anii precedenți tendință de creștere a stagnat din anul 2015 până la anul 2017 chiar a avut o scădere de 1%.
(the pre-filled forms indicator)
(the online service completion indicator)
(the digital public services for businesses indicator)
a (the open data indicator)
(the eHealth services indicator)
Furnizarea de servicii publice digitalizate sau numerice pentru companii este în continuă creștere, cum putem observa din graficul de mai jos (figura 23).
Indicatoarele conform studiile efectuate reflectă în mare parte ponderea serviciilor online disponibile necesare pentru înființarea unei firme. Serviciile oferite cetățenilor care trebuie completate online au un scor mai mare, în schimb ce serviciilor care necesita completarea documentelor off-line sau fizic au un scor mai mic conform studiilor. Din rezultatele cercetării putem observa ca 10 state membre ale uniuni europene (Danemarca, Irlanda, Spania, Malta, Estonia, Letonia, Lituania, Regatul Unit, Suedia și Cipru) înregistrează peste 90 de puncte din 100, în schimb ce media la nivel European este de 82 de puncte. Pe de altă parte România, Grecia și Croația au performanțe scăzute. Comparând perioada 2013- 2017 este înregistrată o creștere de 23,5%.
În cadrul serviciilor publice pentru sănătate în ultimele 12 luni, 18% (o medie europeană) din cetățenilor europeni, au folosit serviciile de e-sănătate (e-health) de îngrijire care sunt disponibile și furnizate online, fără a fi nevoiți cetățenii să meargă la un spital, de exemplu obținerea unei rețete sau programarea pentru online la alte departamente. Aproape de 50% din cetățenilor finlandezi și estonieni folosesc serviciile de e-sănătate, în Danemarca doar 42% din cetățenii folosesc aceste tipuri de servicii. Conform Eurobarometar, 52% din cetățenii vor accesul online la dosarele medicale. Utilizatori serviciilor online din Uniunea europeană un procent de 65% sunt mult mai dispuși să împărtășească date cu privire la sănătatea și bunăstarea lor cu medici, decât cu companii sau autoritățile publice o pondere de 14%, și un procent de 21% în scopuri de cercetare. (figura 24)
http://europedirectbucuresti.ier.ro/wp-content/uploads/brosura_europa_2020_8mb.pdf
Evoluția Întreprinderilor mici și mijlocii din România
http://www.insse.ro/cms/files/publicatii/publicatii%20statistice%20operative/Intreprinderi%20noi%20si%20profilul%20intreprinzatorilor_2013.pdf
Conform Institutul Național de Statistică în anii 90 în România mai precis la începutul anului 1995 au fost înregistrate aproximativ 388 180 de întreprinderi. Iar în anul 2013, sunt înregistrate în luna septembrie anului 2014, un număr de 135 866 de întreprinderi noi înregistrate, care exclude întreprinderile agricole, în care se observa o creștere raportat cu anul precedent. Rata de creare este de 35,0%, care a fost înregistrată în anul 2013, care raportează o creștere de 6,9 procente în raport cu anul 2012 (28,1%). (figura 25)
Rata de creare se este situata anual în intervalul 13-17% până în anul 2001, după care se înregistrează o creștere semnificativă corelată cu modificarea și îmbunatățirea legislației privind crearea întreprinderilor (IMM-urilor) mai precis. Astfel în anii 2009 și 2010 se înregistrează o scădere semnificativă din cauza condițiilor economice. Figura 25 ne arată această evoluție începând cu anul 1995 până la 2013.
Comparând perioadă 1996-2013 cu 2013-2016 se observa o scădere a numărul întreprinderilor create și rata de creare în această perioada, cu o rată de creștere de 1,4%, comparând cu rată de creștere de 13-17% în anii 1996-2013. În România anul 2016 au fost înregistrate 111 434 de întreprinderi înființate, care exclude întreprinderile agricole, care a fost înregistrată o rata de creare de 28,7 procente, ceea ce reprezintă o creștere de 1.4 % comparând cu anul precedent unde a fost înregistrat 27,3%.
PIB-ul sau produsul intern brut este un factor foarte important la nivelul macroeconomic, respectiv pentru luarea deciziilor, care ne oferă o vizualizare din ansamblu privind realizarea investiții și politicile pentru Intreprinderilor mici și mijlocii. În (figura 27) este reprezentata o analiza care evidențiază numărul întreprinderilor nou create, rata de creare și PIB pe locuitor.
Apariție conceptul de întreprindere digitală
În ziua de astăzi se pune accent foarte mult pe organizațiile bazate pe tehnologii IT&C. Transformarea organizațiilor accelerează iar organizațiile se afla în continua schimbare prin tehnologizare. Foarte multe organizații au început procesul de digitalizare sau transformare digitală pentru a se asigura că businessul lor nu este lăsat în urmă. Specialiști în domeniu subliniază că implementarea anumitor tehnologii nu va fi suficienta pentru a reuși în piață atât de aglomerată și competitivă. Pentru a face față tranziției care se întâmplă în ziua de astăzi în mediul afaceri indiferent dacă vorbim de servicii publice sau private, trebuie să privim digital, o schimbare care atinge fiecare aspect din punct de vedere al businessului, începând de la conducere la produse și servicii.
Societatea bazată pe cunoaștere
Necesitatea și dorința de a deveni cât mai competitiv pe piață, în special inovarea din punct de vedere tehnologic, cu un scop de menținerii competitivității economice naționale și internaționale. Schimbarea sau transformarea organizațiilor prin folosirea sau adaptarea a tehnologiilor IT&C, impune de o noua concepere de noi modele de fabricație și consum a resurselor.
D. Bell a folosit de prima data termenul “societate a cunoașterii”, în cadrul teoriei privind societatea post industrială citat în cartea lui Ion, G. (2003).
Noțiunea “societatea cunoașterii” se refera la la societatea post industrială care are un dublu sens:
Inovația este derivata din cercetare dezvoltare, mai precis relația între știința și tehnologie;
Bogația societății care se măsoară prin volumul crescut a produsului intern brut și a locurulor de muncă. Conform Bell, D. (1973) citat în Ion, G (2003)
Societatea cunoașterii nu se refera la o societate care utilizează cunoașterea, ci societatea care funcționează pe axul cunoașterii, față de societatea care se axează pe industria. Societatea cunoașterii se bazează pe întreagă industrie care tinde spre dezvoltarea unor noi industrii.
D. Bell împarte societățile în 5 categorii (sectoare):
Primar agrar;
Secundar industrial:
Istorica;
Socială – reprezentată de noilor industrii, bazate pe robotizare automatizare, electronice, calculatoare, etc.
Servicii productive – comerț, financiare, transport.
Servicii sociale – serviciile de sănătate, artă, asigurări sociale, etc.
Servicii informatice – servicii pentru prelucrare, transmitere și prelucrarea de date, cercetare-inovare, management.
D. Belll societății ale cunoașterii este aceea societate în care ponderea principală a cetățenilor ocupate se afla în subrectorul serviciilor informatice (sectorul 5).
Fiecare societate se bazează pe tehnologie:
– Societatea industrială se bazează pe tehnologiile mecanice în care procesele de fabricație sunt susținute drept de echipamente tehnologice de producție, respectiv: banda rulantă, utilaje, etc.
– Societatea bazată pe cunoaștere sau societatea informației se bazează pe tehnologii IT&C (tehnologii informatice și comunicație), în care liniile de fabricație sunt dirijate de programe informatice software până la linii automatizate sau robotizate.
Tehnologiile informatice creează:
– Procese tehnologice bazată pe munca fizică, care au fost înlocuite cu munca fizica cu utilaje automate.
– Corelarea și proceselor ale utilajelor automate cu activități intelectuale- de exemplu proiectarea asistată de calculator, sistemul educațional asistat de calculator, etc.
Cum este prezentat de D. Bell, societățile industriale sunt bazate pe prelucrarea materiilor cu ajutorul energiei. În schimb societatea bazată pe cunoaștere pentru a determină o nouă cunoaștere. Care se bazează pe utilizarea de programe, procedee, licențe etc). Modelele de afaceri respectiv oameni direct implicați și persoanelor din administrație publica sunt conștienți ca investiția în cercetare dezvoltare este investirea în pregătirea personalului, asigurarea calității a proceselor și tehnologiile informatice.
Care stă la bază apariție de bunuri imateriale, care cuprind produse informale, științifice. Societate a cunoașterii este o societate în care procesele de management și de execuție sunt susținute de tehnologia informației. Societatea informației pune accent pe tehnologia informației. În ultimul deceniu din secolul XX, se a fost recunoscut ca cunoașterea este foarte importanta pentru societate și are un rol foarte important în economie.
Rolului TIC – Tehnologii informației și ale comunicațiilor în societatea bazată pe cunoaștere
Societatea bazat pe cunoaștere nu rezulta din TIC, nu putem neglija faptul ca societatea bazată pe cunoaștere se bazează pe tehnologiei informatice și a comunicațiilor, sunt produs al deciziilor umane, de activități bazate pe cunoaștere, tehnologii create și folosite de oameni. Uniunea Europeană la începutul anilor 2000 a introdus termenul de TSI care semnifică “tehnologii ale societății informației”. Trecerea a întreprinderilor sau societăților bazate pe cunoaștere rezultând progrese folosind tehnologii bazate pe cunoaștere, care funcționau prin implicarea directa și fizica a resurselor umane. De exemplu într-o fabrica care utilizează utilaj strung, resursa umana, pune piesa, o măsoară o reglează și verifica calitatea și precizia fabricată piesei. La fel și la banda rulanta resursa umană este direct implicată și determină rezultatul producției.
În schimb folosind TIC, introducem și programăm utilajul cu ajutorul hardware și software, fără a fii necesară intervenția fizica a resurselor umane.
Societatea bazată pe cunoaștere nu rezulta din TIC, ci Tehnologiile informației și ale comunicațiilor joaca un rol foarte important în societatea cunoașterii. Tehnologia este doar o parte din cultura organizației, creată de resursa umana cu scop de îmbunatățirea proceselor organizaționale. Tehnologiile informatice și ale comunicațiilor sunt rezultat al societății bazate pe cunoaștere, rezultate din cercetările și progreselor științifice.
După cum a spus Ion, G. (2003) sistemul “TIC a depășit stadiul prelucrării informației, vorbindu-se de sistemul de prelucrare a cunoașterii și a informației (Knowledge information processing systems – KIPS)”
Societatea cunoașterii nu este determinată de Tehnologia informației și ale comunicațiilor, ci TIC este inventat, folosit și conceput pentru a contribui la crearea societăților bazate pe cunoaștere. Uniunea Europeană creează programe pentru a deveni mai competitiva pe piață mondială, cu promovarea TIC-ului prin prisma restructurării societăților actuale de la o întreprindere clasică la numerică sau digitală. Este evident că trebuie sa folosim tehnologia informației și ale comunicațiilor, pentru a atinge acest scop, dar trebui sa stabilim clar, cum vom folosi și care sunt obiectivele noastre. Tehnologia informației și a comunicațiilor este bază și mijlocul cu care realizăm scopurile. Evoluția societăților bazate pe cunoaștere nu se măsoară cu cate calculatoare se folosesc în societatea respectivă, ci gradul de transformare a societății pentru crearea TIC-ului o necesitate pentru noile tipuri de activității (procese de producție, decizie etc.) care schimbă comportamentul cetățenilor. “Tehnologiile informației și ale comunicațiilor reprezintă axul tehnologic al societății cunoașterii, ar ele sunt doar un mijloc ce este valorizat și valorificat în raport cu modelul societății pe care dorim s-o realizam” Ion, G. (2003).
Cum este prezentat în figura de mai jos, societatea bazată pe cunoaștere, este realizată și susținuta de tehnologiilor informației și comunicațiilor, care determină noțiunea management bazat pe cunoaștere. Conform Muntean, M (2001) management al cunoștințelor se distinge de 4 categorii cum sunt prezentate in (figura 28). În cadrul piramidei prezentate mai jos, datele sunt baza piramidei, care ulterior se transforma în informații dacă sunt scoase dintr-un context. În schimb informațiile sunt a două secțiune a piramidei, care reprezintă date care le folosim într-un mod util. Cunoștințele se află în secțiunea următoare a piramidei care reprezintă informații care se transforma în cunoștințe, dacă cel care utilizează informațiile este capabil sa înțeleagă informațiile oferite. Cunoașterea conform cum este prezentat în Muntean, M. (2001) “abilitatea de a învața de la cei învățații”. Ultima secțiune a piramidei este înțelepciunea care presupune capacitatea de a înțelege informațiilor și cunoștințelor, sau capacitatea de a gândi.
Managementul cunoașterii este include strategii bunele practici, metode și tehnici (cum vom proceda).
Ne îndreptăm se utilizarea unor termeni simpli pentru a explica idei complexe. Ajută la transformarea idei complexe într-un mod mai ușor de înțeles. Când o idee se află în dezvoltare și este utilizată de o mulțime pentru a înseamna lucruri foarte diferite, aceasta poate deveni periculoasă și își poate pierde semnificația. Pentru o parte din oameni “digital” înseamna WEB, alți considera un termen mai modern, actualizate pentru toate tehnologiile. Institutul pentru Transformare Digitală considera că o întreprindere digitală este toate lucruri dar este de fapt mult mai mult.
Conform (SearchCIO 2018) O întreprindere digitală este definită ca o organizație care utilizează tehnologia informației și de comunicație, ca avantaj competitiv în operațiunile interne sau externe ale organizației. Întrucât tehnologia informației a remodelat infrastructura respectiv și operațiunile întreprinderilor, întreprinderea digitală a preluat semnificații diferite. Dupa apariția Web-ului, termenul întreprinderea digitală a fost folosit pentru referire la activitățile de business sau la modele de business noi care includea tehnologia digitală sau numerică. De exmplu, achiziții online de bunuri și servicii, ex Amazon.com. Pe măsură ce o mare parte din procesele, produsele sau serviciile organizațiilor sunt preponderent transformate prin informații digitalizate, termenul va continua să evolueze. Nu putem discuta despre întreprinderea virtuala, dacă nu definim ce este virtualizarea. Virtualizare înseamnă un mediu de calcul simulat sau virtual, opus în deosebire cu mediul fizic. Virtualizarea include adesea hardware, sisteme de operare software, dispozitive de stocare sau baze de date etc. Acest lucru permite organizațiilor să partiționeze sau sa împarte partiția hardware-ului unui calculator sau un server în mai multe mașini virtuale. Fiecare mașina virtuală poate interacționa independent și poate rula diferite sisteme de operare, sau diferite aplicații în timp ce permite partajarea resurselor calculatorului. (Microsoft azure, 2019)
O întreprindere digitală este o organizație care utilizează tehnologia informației pentru a rezolva situațiile sau problemele de afaceri respectiv:
Colaborarea interna;
Optimizarea proceselor organizaționale;
Implicarea clienților într-un efort pentru creșterea avantajului competitiv și profictabilitatea;
Conform (Scarlat, E. 2005) “O organizație virtuală este formată din unități organizatorice distribuite care participă la un proces de muncă coordonat, divizat, unități ce sunt părți ale unei rețele complexe susținute de tehnologii informaționale corespunzătoare. ”
Susține că “Compania virtuală poate fi deci definită ca o rețea temporală de companii independente – ofertanți, clienți – uniți prin flux informațional pentru a combina abilități, a împărți costuri și a intra pe diferite piețe de produse. Compania virtuală nu are un sediu central sau un grafic organizatoric (organigrama), nu există relații ierarhice sau integrare pe verticală”.
În raportul (SCIPA 2008) “Întreprinderea virtuală este o rețea, mai mult sau mai puțin temporară, alcătuită din întreprinderi sau persoane independente din punct de vedere juridic care care își unesc bunurile, competențele și alte resurse în scopul realizării unui proiect comun care depășește capacitățile fiecăreia dintre unități luată individual în ceea ce privește posibilitatea de a exploata oportunitățile volatile, de a avea acces la noi piețe și de a partaja costurile și riscurile, întreagă această suprastructură bazându-se pe noile tehnologii ale informației și telecomunicațiilor. ”
În raportul prezentat pe Creaza.com, efectuat de facultatea de Facultatea de Cibernetica, Statistica și Informatica Economica susține că “O organizație virtuala este formata din unități organizatorice distribuite care participa la un proces de munca coordonat, divizat, unități ce sunt părți ale unei rețele complexe susținute de tehnologii informaționale corespunzătoare.”
Companiile numerice sau digitale, sunt organizații cu structura organizatorica virtuală, care reprezintă o organizație care face parte de un lanț de întreprinderi sau este o organizație independentă.
Grupuri si echipe virtuale
Primul lucru care susține puternic întreprinderea numerica se bazează pe conducerea echipelor virtuale. Conform Kinicki, A. & B. K. Williams (2013) în trecut manageru au susținut regula a distanței celor 50 de picioare, respectiv: “Dacă oamenii sunt la distanță mai mare de 50 de picioare, este foarte probabil ca ei să nu colaboreze”. Aceasta așa numita regulă nu mai este valabilă în ziua de astăzi, era echipelor virtuale. Echipele virtuale sunt se bazează pe munca oamenilor care sunt dispersate geografic și utilizează tehnologia informației-computere și telecomunicații-pentru colaborarea peste spațiu, timp și frontiere organizaționale. Folosind tehnologia informației generează provocări pentru manageri pentru echipele virtuale care funcționează la distanță.
Echipele virtuale sunt construite pentru situații în care membrii echipei sunt distribuiți geografic.
Două decenii acum, filozoful în domeniul managementului Peter Drucker a precis ca organizațiile numerice sau așa numite organizațiile viitorului numai că vor fi mai aplatizate și bazat pe informație , ci și structurate pe munca în echipă. Munca în echipă este temelie managementului în ziua de astăzi, exista o diferența între un grup de persoane și echipă, grupul de persoane este condus de managementul, iar echipele sunt auto conduse.
Avantaje munca în echipă:
Productivitate crescută;
Viteză crescută;
Costuri reduse;
Calitate superioară;
Concurență internă distructivă redusă;
Coeziune îmbunătățită la locul de muncă
Kinicki, A. & B. K. Williams (2013) exemplifică îmbunătățirile enumerate mai sus. Productivitatea crescută la o fabrica GE utilizând munca în echipă a dat un rezultat de creștere productivității angajaților cu 20%, decât la alte compartimente similare. Compania americana Guidant Corp., care este producător de aparatură medicală pentru salvarea vieții, a redus timpul de livrare a produselor cu 50%. Compania Boeing folosit munca în echipă pentru consturirea modelului 777 cu reducerea costurilor, decât în mod normal. Westinghouse a utilizat munca în echipă pentru creșterea calității a parametrilor în compartimentele de vânzări camioane, componente electronice și remorci. Concurență internă distructivă redusă, întreprinderea Mens House a concediat un angajat care nu partaja intrările de clienți, iar vânzările de îmbrăcăminte a la toți ceilalți angajați în acest departament de vânzări a crescut semnificativ. Cisco Systems a anunțat directori că vor reduce sau crește bonus-urile cu 30%, în funcție de cât de bine vor lucra cu colegii, în 3 ani de zile a înregistrat o creștere a profitului.
Kinicki, A. & B. K. Williams (2013) definește un grup de persoane: o adunare de oameni care lucrează ca indivizi. Un grup de persoane este diferit de doi sau mai mulți indivizi care interacționează liber, împart norme și scopuri colective și au o identitate comună. Un grup de persoane difera de o mulțime, o adunare periodică de angajați care nu interacționează unul cu altul. Un exemplu de un grup de persoane este o adunare de 5 angajați care se întâlnesc pentru a discuta și a schimba informații despre strategiile legate de salarizare și de programul de lucru a diferitelor companii.
Kinicki, A. & B. K. Williams (2013) o echipă este: o adunare de oameni cu un angajament comun. Confrom Jon R. Katezenbach și Douglas K Smith, citați în cartea Kinicki, A. & B. K. Williams (2013) consultanți în management definesc echipă ca un grup mic de oameni cu abilități complementare, care se angajează în atingerea unui scop, a unor obiective și a unei abordări comune, pentru care răspund unii față de ceilalți. O echipă este adunare de ex . 2-10 persoane care realizează un proiect în cadrul companiei pentru internaționalizare.
Grupuri formale – create pentru a presta muncă productiva. Un grup formal este un grup format pentru a realiza ceva productiv pentru organizație și este condus de un coordonator/lider. Un grup formal poate reprezinta un compartiment, o secție, etc. Grupuri informale – create pentru prietenie. Un grup informal este un grup format din oameni care caută prietenie și nu are un lider desemnat oficial, deși liderul poate să apară din comunitate, susțin Kinicki & Williams. Au identificat 3 roluri:
Roluri de execuție: realizarea lucrării. Rolurile de execuție sunt orientate către sarcini, constă dintr-un departament care tinde spre îndeplinirea sarcinilor echipei;
Roluri de menținere: păstrarea unității echipei. Rolurile de menținere sau orientate pe relații, sunt reprezentate dintr-un departament întreține relațiile între membri echipei.
Ce reprezintă structura virtuală?
Conform Kinicki et al (2013) “Organizația virtuală, reprezintă o organizație ai cărei membrii sunt dispersați geografic, lucrând de regulă prin email, rețele colaborative și alte conexiuni computerizate”, în schimb consumatori sau clienți organizației cred ca este o organizație unificată, și stabilită într-o locație fizică.
Structură virtuală este definită că “o companie în exteriorul unei companii, creată special pentru a răspunde unei oportunități excepționale oferite de piață, ocazie care adesea este temporară”. Structura în care membrii echipei comunica prin TIC în loc de întâlniri fizice face to face sau (față în față).
Digitizare vs Digitalizare
Ce este digitizarea?
Digitizarea reprezintă un proces de converse a informațiilor dintr-un format fizic întru-n format digital.
Digitalizarea reprezinta procesul de utilizare a digitalizării pentru îmbunătăți procesele de afaceri.
Vreau sa clarificam ce reprezintă termenul transformarea digitală.
Transformarea digitală reprezintă im termen care apare alături de digitizate și digitalizare. Practic, transformarea digitală reprezintă impactul cauzat de procesul de digitalizare. Cum am menționat mai sus, digitalizarea este conversie a informațiilor dintr-un format fizic într-un format digital, atunci când aceste proces este utilizat pentru îmbunătățirea procesele de afaceri se numește digitalizare. Rezultatele acestui proces se numesc transformări digitale. Conform McKinsey evoluția tehnologiilor IT&C reprezinta o amenințare și oportunitate pentru întreprinderilor. Întreprinderile se bazează întotdeauna pe tehnologii noi pentru inovare și îmbunătățire a productivității. În ultimi ani, se observa o creșterea exponențială a tehnologii noi, mass-media, social media, big data. Acest lucru duce la crearea unor oportunității și amenințări pentru o mare parte întreprinderilor. Consumatori sunt dispuși sa achiziționeze bunuri și servicii online prin canalele digitale. De exemplu 50 % din biletele pentru călătoriile cu avionul sunt achiziționate online. Pe lângă acest lucru putem observa ca tehnologia informației este utilizată pentru automatizarea activități care anterior se executau manual. Defapt, în mod mai fundamental, oferă o valoare mai mare a clienților săi, sau o structură cu costuri reduse. Dacă punem în evidentă aceste tendințe, putem observa că digitalul devine un element fundamental sau de bază pentru marea majoritate a managerilor. Aceștia trebuie să se asigure că toți clienți primesc un serviciu conform așteptările lor.
Transformare digitală
Investiția în tehnologia noi nu este aceeași lucru cu transformarea digitală. Fiecare companie investește o parte di n bugetele sale în noi instrumente software, platforme și servicii. A fii în tendință și cu tehnologia informației înseamnă, de fapt, schimbarea companiilor pentru a concura și a deveni mai competitive în economia digitală. Cu transformarea digitală, companiile sunt gestionate în scopul restructurării afacerii, pentru îmbunătățirea proceselor de afaceri.
Un număr mare de companii care concurează pe piețe care sunt în pas cu inovația tehnologică, sunt în temă cu evoluția tehnologică. În ziua de astăzi realitatea digitală și blockchain, redefinesc tehnologia informației, întreprinderile și societatea în general. În trecut, întreprinderile utilizau în mod tipic astfel de oportunității perturbatoare prin inițiative de transformare în domeniile tehnologiei. De exemplu tehnologiile cloud, analizele de date, analizarea cantitatea enormă de date, instrumentele informatice BI, ERP, SCM, IoT, sunt viitorul sau putem spune doar un început pentru întreprinderea digitală. Organizațiile astăzi gândesc în perspectivă de a aplica schimbarea prin tehnologii IT&C într-un mod mai amplu. Ele nu se întorc la păcatele trecutului, se îndreaptă spre evoluția tehnologică. De exemplu, Blockchain poate servi ca o nouă fundație de protocolul de încredere în întreagă organizație și nu numai. Realitatea digitală distruge barierele geografice dintre oameni și bariere sistemice între date și oameni. Împreună aceste tehnologii pot schimba radical munca și evoluția tehnologică prin crearea noi produse și modele de afaceri. Cu o strategie de business incorporata de tehnologie, întreprinderile împreună cu managementul, regândesc în mod fundamental, evoluția tehnologica.
Comunicarea în era intreprinderilor digitale
Dacă discutam de comunicarea în era digitală, sau întreprinderilor digitale care predomina tehnologia informației și a comunicațiilor, inclusiv generația milenii sau generația internetului. Conform cercetările efectuate exista trei tipuri de tehnologii care modifică sau afectează în mod pozitiv procesul de comunicare într-o organizație respectiv: video conferințele, lucrul de acasă și lucrul de la distanță. Utilizarea calculatoarelor și tehnologia informației, afectează dramatic multe aspecte ale locului de muncă, ne duce dincolo de comunicare și ne îndreptăm către multi comunicare.
Ce reprezintă multicomunicarea?
Confomr Kinicki et al (2013) multicomunicarea reprezintă “utilizarea tehnologiei pentru a participa la mai multe interacțiuni în același timp”. Cum este exemplificat în cartea lui, răspunsurile pe e-mail în timpul unei conferințe, sau trimiterea mesajelor text în timp ce luam cina etc.
Multicomunicarea este un exemplu care afectează globalizarea mondială și a comunicării digitale, modul în care acționam pozitiv sau negativ asupra locurilor de munca. Comunicarea digitală nu neaparat înseamnă o comunicare ceea mai bună. Într-o întreprindere în era digitală confomrm cercetările efectuate o echipă care utilizează mijloacele de comunicare cum este Facebook-ul, e-mail, a fost înregistrată o creștere de 7% decât colegii lor, în schimb cei care au fost integrați în rețele Face 2 Face (față în față) au fost mai productivi cu aproximativ 30%.
În ziua de astăzi vorbim de generația y sau milenium, care este conectată tot timpul sau permanent conectată la internet, sau așa numită și generația internetului, care este obișnuita să petreacă 8 ore conectată la internet cu dispozitivele mobile sau fixe (telefoane mobile, calculatoare.
În condițiile economice în ziua de astăzi, capacitatea digitală este elementul esențial pentru creșterea avantajului competitiv. Conform Martin, R. & Kevin, W. în articolul reinventigng the enterprise digitaly acum 10 ani, o singura companie de tehnologie a fost printre primele zeci de companii la nivel global, prin capitalizarea pieței. În schimb astăzi se regăsesc 7 companii pe această listă. Conform Martin, R. & Kevin, W. în articolul reinventigng the enterprise digitaly sectorul tehnologic este cel mai dominant în măsurarea perspectivelor: care este reprezintat de 15% din companiilor Americane de top. De exemplu jucători digitală se alătura profiturilor altor industrii – gigantul mondial Google și Uber care a penetrat în piață serviciilor de transport de persoane, sau impactul Netflix asupra producătorilor de film. Practic fiecare companie sau întreprindere cu tehnologie este o afacere inteligentă. Companiile conștiente de riscurile existente, o mare parte din operatorii urmăresc transformările digitale sau în engleză “digital transformation”, în luptă împotriva amenințărilor și de a profita de noi oportunități. Astfel de programe cuprind în general 2 obiective:
Automatizarea lanțurilor de aprovizionare și a proceselor organizaționale interne;
Inovarea prin crearea unor modele noi de afaceri și produse digitale.
Astfel de eforturi pot crea o valoare enormă a businessului. Mulți dintre lideri ignora cele mai mari factori de impact strategice: automatizarea și apariția (rezultatele finale -ieșirile). Este foarte important să înțelegem cum funcționează aceste avantaje și cum le putem realiza. Liderii digitali nu doar automatizează procesele tradiționale de afaceri sau inventează noi oferte, deși aceste lucruri sunt foarte importante. De asemenea, ei reinventează sistemul fundamental de management în organizație. În loc sa urmeze pașii sau modelul tradițional managerial, ele recreează organizația, ca un sistem de învățare autonom integrat. Aceasta nu implica doar adoptarea unor modalități sau tehnologii existente (platforme, date, inteligență artificială, internetul obiectelor, etc.) ci și conectarea acestora într-un sistem integrat figura
Coordonatorii afacerilor digitali dezvolta platforme care satisfac nevoile furnizorilor și în primul rând a clienților. Prin cultivarea ambelor părți ale piețelor întreprinderile creează ecosisteme vaste de activității comerciale care înconjoară servicii de platformă. Ecosistemele generează cantități de date în baze imense, care le pot analiza cu ajutorul (AI) inteligenței artificiale pentru a genera statistici în timp real cu comportamentul furnizorilor și a consumatorilor. Liderii digitali transmit aceste informații direct sistemelor de acțiune permițându-ule să studieze în mod autonom reacțiile furnizorilor și a consumatorilor pentru a optimiza serviciile care le prestează în funcție de condiții de schimbare. Efectele acestor acțiuni se rebrevetează în întregul ecosistem, generând semnale noi pentru a combate deciziile viitoare. Sistemele de învățare automată, permit un nivel mai ridicat de personalizare și de segmentare decât un sistem de management tradițional. De exemplu, ofertele prețurile și alte tipuri de servicii de marketing pot fi adaptate fiecărui client și actualizate permanent și automat că răspuns la condițiile în schimbare.
Digitalizarea întreprinderilor clasice folosind metode de BPM (Business process management) și instumente informatice pentru asistarea proceselor de relația cu clienți studiu de caz
Conform Darko, S. (2014) În actualele conditii economice, atat in campul privat, cat si in cel public, este foarte importanta prioritizarea indicatorilor cheie (profit, cota de piata, bani lichizi) prin reconfigurarea procedurilor organizatorice si prin schimbarea lor radicala pentru a atinge obiective importante precum: costuri reduse, calitate crescuta si timpi imbunatatiti. Reconfigurarea acestor proceduri va aduce imbunatatiri organizatiilor publice si private si va crea un avantaj competitiv. Astfel, procesul reconfigurarii este o unealta manageriala importanta care se concretizeaza intr-o dezvoltare strategica si care foloseste toate resursele, financiare si umane, pentru a creste valoarea de piata a companiei, profitabilitatea si competitivitatea. Luand in calcul nevoia de a initia, crea si implementa schimbari organizatorice in diverse circumstante si cu o frecventa crescuta, putem spune ca unul dintre principalele avantaje asigurate de managerul unei companii furnizoare de servicii este abilitatea de a recrea proceduri si grupuri de proceduri cu eforturi rezonabile, mai ales in ceea ce priveste costurile si durata. Totusi, noi credem ca acest document este raspunsul (din multe posibile) la intrebarea: cum sa cresti eficient performanta si competitivitatea intr-o piata in continua dezvoltare. Cuvinte cheie: it, Planificare strategica, inovatie, RPB, Project Management, imbunatatiri.
In cartea „Reengineering the Corporation“, Hammer si Champy considera ca o organizatie pierde prea mult timp pasand responsabilitati si atributii de la un departament la altul. Una dintre masurile pentru cresterea performantei este imputernicirea unei singure echipe cu sarcina de a avea responsabilitatea tuturor obiectivelor, indiferent ca este vorba de de reconfigurarea partiala sau totala a procesului organizatoric. Conform Toss si Moore (2006), intr-o Procedura de Business (PB) este vorba, pur si simplu, de cum este indeplinita munca in cadrul unei organizatii. „PB este un set de sarcini inrudite in mod logic, al caror scop este ca afacerea sa atinga un rezultat bine definit.“ (Dhillon and Hackney, 2003, p. 163). Refundamentarea Procedurii de Business (RPB) este o tendinta in managementul inteligent, sustinuta masiv de schimbari organizatorice majore. Elementele cheie in cazul acestui proces sunt: concentrarea pe procese fundamentale, redefinirea afacerii si executarea unui salt catre performanta, mai degraba decat atingerea de rezultate pas cu pas. Cresterea rezultatelor companiei cere adaptarea la piata, si nu doar a produselor sau serviciilor, ci si a metodelor de management folosite. Adaptabilitatea inseamna capacitatea de a reconfigura partial sau total managementul, precum si capacitatea de adaptare la cerintele de piata. Exista trei tipuri principale de companii interesate de reorganizare: companiile implicate intr-o competitie acerba si care au nevoie de imbunatatiri majore, companiile care anticipeaza probleme in mentinerea avantajului competitional existent si companiile care vor sa isi mentina pozitia de lider de piata. Criticii considera ca RPB creste rolul managerilor cu pretul taierii costurilor si al numarului de angajati. O schimbare radicala presupune renuntarea la procesele si procedurile existente si inventarea unora noi. O imbunatatire vizibila inseamna un urias salt inainte la capitolul perfomanta (Hammer, 1993).
Totusi, proiectele RPB pot da gres, mai ales in conditiile in care asteptarile atunci cand vine vorba de refundamentare sunt foarte mari. In acest articol incercam sa umplem un gol demonstrand ca procedurile de reorganizare ar fi mult mai usor de implement si mai eficiente prin intermediul managementului proceselor de afaceri.
Schimbarea organizationala prin reengineering in termenii cunoasterii manageriale
Sistemul organizational este un set de elemente interconectate care se comporta in asa fel incat sa asigure cadrul, combinarea, fragmentarea si operarea activitatilor necesare atingerii obiectivelor unei corporatii. „ Cei care vor sa coopereze vor lucra impreuna mai eficient daca stiu ce coordoneaza in acea echipa si daca stiu cum rolurile fiecaruia din echipa se intrepatrund“ (H. Koontz, 1990).
Subsistemele organizationale constau in elemente de organganizare procedurale (functii, activitati, sarcini, roluri) si elemente de organizare structurala (structura ierarhica, organizarea fortei de munca). Reorganizarea proceselor organizationale este un pas catre schimbarea generala care cere finalizarea anumitor pasi care au ca tinta si alte componente. De aceea, acest articol isi doreste sa acopere doar o parte din ceea ce inseamna problemele reorganizarii, insa in detaliu. Faza de inceput a acestui model de reorganzare este analiza SWOT, care studiaza atat punctele forte, cat si punctele slabe, precum si oportunitatile si amenintarile mediului de afaceri in care compania isi desfasoara activitatea. Conform lui Ion Verboncu (2011), reorganizarea organizationala implica o abordare multidimensionala, precum se arata in Figura 1. In completarea procesului de reproiectie, schimbarea organizationala implica, in conformitate cu acest model, reproiectia altor componente precum subsistemul luarii deciziilor informale sau subsistemul resurselor umane In conformitate cu acest model, dupa punerea in practica a schimbarilor, urmeaza in mod natural o analiza a eficientei abordarii alese.
Reorganizarea managementului organizational ca metoda de crestere a performantei economice
Procesul managerial reprezinta un set de procese, faze si actiuni care determina obiectivele organizatiei, procesele si resursele necesare, toate correlate cu perfomantele conducerii – prin utiilizarea unor metode complexe si tehnici care duc la atingerea obiectivelor stabilite. Hammer si Champy (1990) au definit reorganizarea dupa cum urmeaza in cartea lor, „introducere in Refundamentarea Procesului de Business“: Refundamentarea Procesului de Business reprezinta analizarea si si reorganizarea fluxului de lucru in interiorul unei companii, dar si in relatia acesteia cu alte companii.
Tipurile de procese existente sunt urmatoarele:
– Procesele principale, esentiale, sunt cele care contribuie direct la a aduce valoare serviciior si produselor (de ex. : dezvoltarea produsului, achizitii, productie, logistica, vanzari, cercetare, educatie, dezvoltarea sistemelor informatice)
– Procesele administrative implica segmentele administrative, precum cele de mentinere a calitatii, sau cele legate de strategia de dezvoltare (de ex. : arhiva, auditul intern, actiunile de prevenire si corectie, revizuirile etc)
– Procesele suport sunt procesele administrative care contribuie la performanta proceselor cheie. Performanta presupune productie neintrerupta, personal calificat, produse si servicii de calitate, mediu sigur de lucru pentru angajati, coordonarea informatiilor ( de ex.: achizitii, orar, contabilitate, finante, resurse umane, recrutare personal)
Reproiectarea proceselor organizationale reprezinta capacitatea organizatiei de a evolua constant si de a se adapta cerintelor mediului de afaceri si ale consumatorilor. Cu scopul eficientei in diferitele segmente ale organizatiei, trebuie sa avem un mix optim intre: cunoasterea informatiei, administrarea dezvoltarii, control, schema structurii si procese de afaceri.
De ce organizatiile si afacerile au nevoie de o reorganizare din temelii?
Lumea afacerilor, creata de actiunea a trei forte – Clienti, Competitie, Schimbare – subliniaza in mod clar ca organizatiile – concepute sa desfasoare intr-un mediu de lucru bazat pe diviziunea muncii, o caracteristica a productiei in masa, a stabilitatii si a cresterii – nu pot fi "ajustate" pentru a reusi intr-o lume in care aceste forte necesita flexibilitate si raspuns rapid. Singura alternativa ramasa este reconfigurarea intreprinderilor pe noi baze. Pentru a se imbunatati, intreprinderile care se confrunta cu probleme trebuie sa fie reproiectate pentru flexibilitate si raspuns rapid. Este necesara o orientare ferma catre procesele din ansamblu care vizeaza imbunatatirea economiei de timp, reducerea costurilor si cresterea flexibilitatii, pentru a raspunde in timp util cerintelor in schimbare ale pietei si pentru a asigura progresul companiei (Michael Hammer, 2003). Oamenii vor trece de la operatii simple la lucrari mai complexe si vor invata sa foloseasca puterea decizionala, iar echipele de proces vor inlocui departamentele. Procesele de reproiectare vizeaza imbunatatirea spectaculoasa a indicatorilor care sunt considerati a fi foarte importanti in evaluarea performantelor: reducerea costurilor, cresterea calitatii, imbunatatirea timpului. (Michael Hammer, 2003). Procesele sunt importante deoarece reprezinta o corelare a activitatilor care utilizeaza unul sau mai multe tipuri de intrari, creand o valoare de iesire importanta pentru client. Reproiectarea unui proces inseamna a incepe chiar din punctul Zero si a inventa noi abordari pentru structura proceselor.
Reproiectarea unei organizatii necesita o abordare simultana a tuturor proceselor, prin crearea unei organizatii complet noua. Daca in organizatie/intreprindere exista anumite procese viabile, care pot sa obtina un profit prin programe de imbunatatire, atunci poate fi aplicata o strategie in etape pe termen mediu si lung. In aceasta situatie, este necesar sa se creeze echipe speciale pentru a identifica aceste procese care necesita reproiectare. Este ca si cum o noua afacere ar fi creata in cadrul companiei mama. Reproiectarea care neaga vechiul proces si propune crearea unui nou proces genereaza, in cele mai convenabile conditii, serviciul sau produsul asteptat de client. O imbunatatire de obicei nu este eficienta. Este necesarea o schimbare sau inlocuire totala a procesului.
Abordarea procesului si principalele sale avantaje
Refundamentarea proceselor organizationale vizeaza imbunatatirea continua, ca parte a strategiei oricarei companii. De obicei vorbim despre: imbunatatirea eficientei, a cotei de piata, a vanzarilor si satisfactia clientilor. Optimizarea se refera la selectarea celor mai bune optiuni dintr-un set disponibil de alternative. Automatizarea va ajuta orice proces de afaceri selectand cele mai bune dintre cele cateva alternative date, mai rapid si mai usor, reducand in acelasi timp costurile, durata si stresul. Optimizarea si automatizarea oricarui proces necesita insa interventia umana, mai exact a managementului de proiect. Trebuie sa setati viziunea, structura si si sa creati foaia de parcurs.
Optimizarea proceselor si automatizarea reprezinta un proiect complex, deoarece abordeaza modul in care se desfasoara activitatile in detaliu in cadrul companiei. Mai intai trebuie sa analizam motivul pentru care este nevoie de reproiectare, cum ajuta, care ar fi rolul sau, cine influenteaza proiectul, cand trebuie inceput si pe baza caror resurse?
Procesul de modelare ia in considerare urmatoarele elemente:
– Domeniul de aplicare al procesului;
– Inceputul procesului;
– Proceseaza activitatile si conexiunile dintre ele;
– Cifre de proces (valori masurate ale activitatilor).
Yahya (2002) a sustinut ca majoritatea eforturilor RPB nu reusesc din cauza unei neintelegeri a RPB. Fara o constientizare / informare adecvata, proiectul va esua cel mai probabil. Angajatii pot pur si simplu crede ca managementul pune in aplicare un nou tip de sisteme de supraveghere. Angajatii trebuie, prin urmare, sa fie asistati in perioada de tranzitie la noul mediu de lucru (Crowe et al., 2002; Liu si seddon, 2009).
Alegerea software-ului pentru redesignul procesului (instrumente it pentru modelarea proceselor)
-it aRis Express-
aRis este o metodologie bine cunoscuta de modelare organizationala a proceselor (Software AG-iDs Scheer). Platforma aRis are un mare avantaj, deoarece este sustinuta de una dintre cele mai mari companii de software din Europa. Software AG este cea mai mare companie de profil din Germania care a cumparat iDs Scheer in 2009. iDs Scheer este inventatorul metodologiei aris care sustine sistemul SAP – cel mai mare si cel mai cunoscut sistem ERP (planificarea resurselor intreprinderii).
Metodologia aRis (arhitectura sistemelor informatice integrate) este o abordare a modelarii intreprinderii. Aceasta metodologie ofera metode de analiza a proceselor si o privire generala asupra proiectarii, managementului, fluxului de lucru si prelucrarii aplicatiilor. Abordarea aRis nu ofera doar un cadru metodologic bine documentat si generic, dar si un instrument puternic pentru modelarea proceselor de afaceri.
Procese de simulare, analiza si optimizare
Diferitele situatii pot fi simulate folosind instrumente software bazate pe un model de proces dat.
Modificarea conditiilor activitatilor zilnice este o activitate comuna, iar luarea deciziilor corecte este un proces dificil. Simularea ne poate insa ajuta sa identificam deciziile corecte atunci cand are loc un eveniment, in cazul unei situatii de tip “exceptie” sau atunci cand avem de-a face chiar cu schimbarile planificate. Rularea diferitelor scenarii de simulare si analiza rezultatelor poate ajuta orice manager de proces sa inteleaga corelatia dintre diferiti factori si sa actioneze in consecinta. Unele instrumente sunt folosite doar pentru a desena diagrame, in timp ce altele sunt utilizate pentru simulare, model de diagrama de executie, schimb de diagrame. Modelul tipului de diagrama este utilizat atunci cand compania are nevoie de suport software pentru a realiza procesele proiectate. Un instrument poate construi un software care reflecta proiectarea procesului. Bonita Studio Instrument IT este cel folosit de noi pentru a simula procesele din cadrul companiei. Cu ajutorul acestuia se pot construi solutii software care executa procese concepute intr – un browser web. In acest fel, un designer BPM poate construi literalmente solutii software pentru a fi utilizate in productie. Am ales software-ul Bonita studio pentru simularea proceselor in principal pentru ca este o sursa deschisa (open source), avem acces la software-ul de pe site (www.bonitasoft.com), sustine ciclul de viata al procesului: modelare, simulare, executie proces. Pe langa faptul ca este usor de lucrat cu acest software, iese in evidenta si prin faptul ca spre deosebire de alte software-uri nu necesita achizitia unei licente scumpe.
Documentatia aferenta intregii organizatii trebuie sa fie structurata pentru a facilita intelegerea si gestionarea. ISO 9001 a influentat foarte mult definitia documentarii intr-o organizatie. Desi standardul de mai sus reglementeaza managementul calitatii in Romania, el afirma si ca organizatia trebuie sa inteleaga toate procesele sale. Principalul document descrie organizatia si procesele sale si ofera referinte la documentele de pe niveluri inferioare. Inregistrarile sunt documente care arata dovezile muncii efectuate (de ex .: sabloane completate). Manualul sistemului de management si alte documente pot fi gestionate corespunzator (mentinerea proiectelor, controlul accesului etc.). Pot fi utilizate sisteme relevante de gestionare a documentelor. Ele pot fi, de asemenea, organizate ca un site intranet.
Procesele sunt, in general, impartite in procese legate de:
– Dezvoltarea si productia de produse (procese operationale);
– Managementul organizatiei (cum ar fi gestionarea documentelor, gestionarea inregistrarilor, auditul, actiuni preventive si corective, recenzii de conducere);
– Procese de suport (cum ar fi procesul de achizitie);
Referintele la procese sunt furnizate in Manualul sistemului de Management (MsM) si descrierile detaliate sunt furnizate in "Documente – descrierea procesului".
Prezentare generala a proiectului pentru managementul proceselor de afaceri
BPM este un proiect complex deoarece se refera la modul in care operam, in amanunt, lucru care presupune o analiza detaliata a activitatilor companiei. Inainte de a da startul unui astfel de proces trebuie sa gasim raspunsurile la mai multe intrebari:
1. De ce ar trebui sa implementam BPM? De ce avem nevoie de el?
2. Care ar trebui sa fie rolul, scopul sau?
3. Cine sunt partile interesate din BPM? Cine va fi influentat de proiectul BPM? Cine va influenta
proiectul BMP?
4. Cand incepem? Care sunt resursele? Care sunt constrangerile?
Modelarea proceselor ia in considerare urmatoarele elemente:
● domeniul procesului
● startul procesului
● activitatile din cadrul procesului si interactiunile dintre ele
● numerele implicate in proces (de ex: durata, numarul personalului, incarcarea maxima)
● indicii de performanta
● incheierea procesului
● conexiunile procesului cu alte procese.
Toate aceste elemente trebuie sa fie bine documentate inainte de a incepe implementarea si automatizarea.
Cum incepem un proiect de management al proceselor de afaceri?
In primul rand, trebuie sa definim o ratiune si un scop de afaceri (de ce si ce vrem sa realizam). In al doilea rand, trebuie sa descriem si sa analizam procesele existente. Implementarea BPM este adecvata pentru toate tipurile de organizatii care doresc sa se perfectioneze – intreprinderi, organizatii publice sau private, companii micro si iMM-uri.
Un proiect BPM are ca punct de plecare nevoia de imbunatatire sau necesitatea de a rezolva o problema. Un BPM nu va imbunatati imaginea produselor noastre, dar poate imbunatati timpul de livrare, calitatea, modul in care ajung la clientii nostri. Inainte de a incepe un proiect BPM, avem nevoie de date si fapte. Este cunoscut faptul ca organizatiile mari implementeaza si utilizeaza o abordare BPM. Procesul lor complex si alocarea stricta a resurselor nu pot fi tratate fara un proces adecvat de management. In contextul economiei mondiale, iMM-urile trebuie sa fie eficiente pentru a supravietui pe piata. Flexibilitatea lor nu este suficienta in unele cazuri. De exemplu, un magazin on-line, activitate cunoscuta si obisnuita. Pentru a fi eficienta o astfel de activitate atat de binestiuta si care pare atat de simpla trebuie sa indeplineasca mai multe conditii printre care: furnizori buni, livrari rapide, capacitate rapida de procesare, un sistem de plata usor de utilizat. Pentru a putea implementa un proiect BPM, trebuie sa fim constienti de ceea ce trebuie imbunatatit.
Cea mai buna modalitate de a descrie cerintele pentru un nou sistem presupune cativa pasi:
○ Primul pas catre certificarea sistemului de management al calitatii (isO 9001: 2008);
○ Primul pas catre automatizare;
○ timpuri rapide de reactie la cererile clientilor, costuri mai mici ale resurselor, procese transparente.
Pentru a putea incepe trebuie sa convingeti conducerea sau, daca sunteti conducerea, convingeti conducerea de mijloc si angajatii. Fara constientizarea adecvata, proiectul va fi cel mai probabil unul esuat. Angajatii se pot gandi cu usurinta ca managementul implementeaza un nou tip de sistem "bigbrother". Pe de alta parte, convingerea managementului este, de obicei, complicata, dar urmatoarele aspecte pot ajuta:
● Prezentarea unui obiectiv clar al proiectului, masurabil daca este posibil;
● Prezentarea beneficiilor in ceea ce priveste reducerea costurilor si imbunatatirea rezultatelor;
● Prezentarea unui plan al proiectului si a resurselor necesare;
● Prezentati alternativa de a nu face nimic!
Cum gestionam proiecte complexe, cum ar fi refundamentarea proceselor de afaceri?
Proiectele BPM ar trebui sa tina seama de toti pasii abordarii de management de proiect.
1. trebuie creata sau luata in considerare o viziune;
2. trebuie sa fie cunoscute cerintele externe si interne specifice;
3. Functiile diferitelor unitati / elemente trebuie sa fie definite;
4. trebuie sa stabilim modul in care toate elementele vor functiona impreuna.
Imbunatatirea continua face parte din strategia oricarei companii. O strategie este de fapt o configurare consistenta a activitatilor in plan intern, lucru care va face firma sa se distinga in segmentul sau. Imbunatatirea eficientei, a cotei de piata, a vanzarilor si a satisfactiei clientilor duce automat la o crestere totala a rezultatelor companiei.
Optimizarea se refera la alegerea celei mai bune optiuni dintr-un set de alternative disponibile. Automatizarea va ajuta orice proces de afaceri sa aleaga cel mai bun element din oferitele alternative, mai rapid si mai usor, reducand in acelasi timp costurile, timpul si stresul. Optimizarea si automatizarea oricarui proces necesita o abordare a managementului de proiect, dupa cum spuneam si mai sus. Viziune, structura, cerinte, si, nu in ultimul rand, trebuie sa fie creata foaia de parcurs.
Studiu de caz: Un exemplu de implementare cu succes a unui proiect BPM bazat pe tehnologii IT&C (Microsoft project, IVR, Instrumente pentru simulare si modelare a proceselor ARIS/Bonita Studio)
Am decis sa realizam o simulare de modelare a proceselor pe baza de date a company MiniPRiX SC m-fahsion srl, care este un lider in domeniul e-commerce adresat consumatorului final. Cu o baza de clienti mare, loiala si in continua crestere, compania si-a extins oferta cu produse generale selecte. Pe site – ul lor, miniPRiX.ro, si prin intermediul aplicatiei mobile miniPRiX, ofera moda si imbracaminte, pentru copii, copii si adulti, accesorii si produse de origine si stil de viata, printre altele. MiniPRiX s-a transformat intr-un centru comercial integrat online.
Customer Service School este compania de consultanta care se ocupa de modelarea, optimizarea si refundamentarea procesele din departamentul call center – colaborator: Shuleski Darko.
Business Process Manager la compania miniPRiX.
Deoarece satisfactia clientilor este foarte importanta pentru miniPRiX, am decis sa incepem cu reorganizarea departamentului call center prin implementarea Interactive Voice Response (IVR). Scopul? Imbunatatirea serviciilor si a suportului pentru clienti . IVR este o tehnologie care permite unui calculator sa interactioneze cu oamenii prin utilizarea tonurilor de voce si DtMF introduse prin intermediul tastaturii. In cazul nostru, IVR a ajutat compania sa monitorizeze mai bine activitatile agentilor de call center si sa masoare indicatorii de performanta ai acestora, ceea ce a condus la o crestere a productivitatii, asa cum se arata in analiza de mai jos.
Dupa reconfigurarea procesului Call Center, tinand seama de media activitatilor si timpul de raspuns pe activitate al agentilor call center, putem observa o crestere a productivitatii din mai pana in iulie cu 29%. Folosirea acestui proces, procesul de refundamentare/reorganizare, ar putea fi solutia pentru multe dintre problemele de performanta cu care se confrunta intreprinderile de astazi.
Rezultatat (proiect BPM, kick-off)
Pentru un proiect de succes, sunt necesare cateva documente
a) Descrierea rationamentului si a obiectivelor (masurabile);
b) descrierea echipei proiectului (management, supraveghetori, analisti, echipa tehnica, furnizori, mediatori externi si experti);
c) plan de proiect (etape, evenimente, sarcini), plan de urmarire;
d) Calculul costului proiectului (inclusiv ROI);
e) Lista proceselor sau a domeniilor cheie-proces luate in considerare
f) Planul de risc (actiuni preventive, planuri de "urgenta");
g) Planul de comunicare;
h) Planul de management al configuratiei;
i) Planul de calitate.
Distribuiti-le tuturor partilor interesate de proiect, achizitionati semnaturile confirmarii care a facut obiectul Kick-off – documentul este prezentat ca un exemplu. Dupa demarare, trebuie organizate cursuri BPM si ar trebui sa ia in considerare urmatoarele aspecte:
a) Managementul proceselor – principii de baza;
b) Care sunt elementele cheie ale fiecarui proces;
c) inceperea procesului si incheierea procesului;
d) Planificarea procesului si monitorizarea procesului (KPi);
e) modelarea proceselor (reprezentare, desen);
f) regulile si instrumentele BPM.
Instruirea ar trebui sa aiba doua obiective:
– sa introduca metodologia si sa antreneze echipa PM in utilizarea acesteia (studii de caz si practice – se recomanda exercitii);
– sa prezinte proiectul tuturor partilor interesate de proiect, facilitand intelegerea si obtinerea sprijinului lor (se recomanda demonstratii si exemple practice).
Cum se identifica lista de procese (Exemple de prioritati):
– trebuie descrise procesele-cheie;
– trebuie sa fie numiti responsabilii de procese;
– toate procesele din cadrul companiei sunt descrise si modelate (vor fi necesare in viitor);
– procesele externe sunt modelate si coroborate cu furnizorii si partenerii nostri
– lista de procese trebuie sa fie creata tinand cont de documentele si structura existente, dar si de procese care nu au fost documentate.
– diferenta dintre activitati si procese trebuie sa fie clar definita:
PROCES = activitati interconectate care utilizeaza resurse pentru a transforma intrarile in rezultate.
Multe organizatii trebuie sa-si restructureze procesele utilizănd tehnologii informatice pentru a-si imbunatati eficienta, dar acest lucru nu se intampla intotdeauna din cauza multor factori, atat interni si cat si straini, cum ar fi angajatii si alti factori interesati sa se opuna schimbarii. Pentru ca un astfel de proces sa fie de succes, implicarea utilizatorilor ar trebui sa fie de prima importanta in timpul initierii, proiectarii, dezvoltarii, punerii in aplicare si, in cele din urma, a utilizarii sistemului. Si asta fara a neglija alti factori care au contribuit la esecul RPB de-a lungul timpului. Prin urmare, am conceput un nou cadru de Refundamentare al proceselor de afaceri, chiar si in cazul organizatiilor reziste la eschimbare: Proiectul de Management al Proceselor de Business care permite organizatiilor sa ruleze procese RPB cu posibilitate minima de esec.
Managementul riscurilor în IT
Managementul riscului
În ani 60-70 riscul se privea ca o noțiune care se adresa în special cu științele naturii și mai puțin în mediul economic. Managementul riscului este un concept apărut mai recent și în aceeași perioada unul din puțin termeni de business care nu este preluat din vocabularul științific sau medicina.
Conform Nicklas Luhman riscul reprezintă o formă generală pri care organizația își descrie viitorul. Sociologul German Luhman presupune că riscul este un concept care se deosebește de pericol. Riscul nu presupune un pericol care se corelează cu probabilitatea unei pierderi produse de indecizie, ci este supus de deciziile actuale. Tratarea acestui subiect constituie în contribuții importante în analiza riscurilor.
Riscul este un subiect care este strâns legat de procesul de luare a deciziilor. Analiza riscului este este o problemă de a lua o decizie în condiții de incertitudine.
Conform dicționarul Oxford de limbă engleză definește riscul ca probabilitatea de a suferi sau de a pierde prejudicii.
Există două abordări diferite, prima abordare se refera la evenimentelor neașteptate și nedorite care pot apărea și pot provoca pierderi. Primă abordare se referă asupra situațiilor nedorite, care se cheamă perspectiva riscului pur. De exemplu o întreprindere lansează o noua idee de afaceri, manageri întreprinderii analizează condițiilor care pot produce efecte negative sau pot influența negativ afacerea. Ca sa identificam riscurile în exemplu de mai sus, trebuie sa răspundem la următoarele întrebări:
Ce se va întâmpla dacă proiectul nu sa aibă succes? Care sunt activitățile care produc puncte slabe în cadrul proiectului? Avem capabilitatea de a respecta termenilor stabilite în cadrul proiectului?
A două abordare se referă la identificarea informațiilor, criteriilor și variantelor care sunt necesare pentru a lua o decizie corecta. Dacă o decizie este luata în condiții de certitudine când sunt cunoscute criteriile și variantele de a lua o decizie corecta, care se bazează pe informații concrete riscul de a lua o decizie incorecta, probabilitatea este foarte mica.
Conform Susana, I., și Teodor, G. (2013) “riscul, poate fi definit astfel, ca un eveniment posibil, previzibil sau imprevizibil care generează profituri sau pierderi materiale.”
Risc vs Incertitudine
În domeniul managerial distingem două noțiuni: incertitudinea și riscul. Dacă o decizie este luată în condiții de incertitudine astă înseamnă că riscurile nu sunt cunoscute, ci sunt asumate. În cazul deciziilor luate în condițiile de risc, sunt cunoscute și este asumate.
Etapele unui proces de management al riscului
Procesul de management al riscului este un proces care are o continuitate, care se ocupa cu analizarea, identificare, utilizare, planificare, monitorizare a procesului de managementul riscului.
Managementul riscului are 7 etape, respectiv:
Planificarea reprezintă un proces de determinarea strategiei pentru identificarea, urmărirea riscului și elaborarea unui plan de abordare a riscurilor, ci și evaluarea continua și reducerea riscurilor.
Identificarea riscului a două etapă constă în analizarea părților critice care pot produce riscuri.
Analiza riscului este o etapă care evaluează și descrie toate riscurile.
Manipularea riscului este etapă de recunoaștere, evaluare și aplicarea a tehnicilor de diminuare a riscurilor.
Monitorizarea riscului presupune evaluarea continua și monitorizarea activităților de manevrarea a riscurilor în concordanță cu limitele stabilite anterior.
Documentarea în privință cu sistemele de risc se refera la raportarea, analizarea și înregistrarea datelor în legătura cu riscul, comunicarea și analizarea rezultatelor membrii echipei, care sunt responsabili pentru managementul riscului.
Perfecționarea activității de risc reprezintă un proces de perfecționare continuă a procesul de diminuarea riscurilor și definirea activităților viitoare.
https://books.google.ro/books?id=Z2aoVu7XheMC&pg=PA50&lpg=PA50&dq=evolutia+tehnologica+a+intreprinderilor&source=bl&ots=46JzbNqVmA&sig=ACfU3U3l-BiNwaU9cGrqmLDtqp2cuNLrmg&hl=en&sa=X&ved=2ahUKEwilnLzF5LDgAhVLmbQKHXX8DE8Q6AEwDXoECAkQAQ#v=onepage&q&f=false
Metode de managementul riscurilor IT – Securitatea Informatica
“Nu puteți gestiona în mod eficient și consecvent ceea ce nu puteți măsura și nu puteți măsura ceea ce nu ați definit …”
Risc
Următoarea definiție se aplică indiferent dacă vorbim despre riscul de investiții, riscul de piață, riscul de credit, riscul de informare sau oricare dintre celelalte domenii de risc frecvent menționate:
Risc – frecvența probabilă și mărimea probabilă a pierderii viitoare
Cu alte cuvinte – cât de frecvent este posibil să se întâmple ceva rău și cât de mult va rezulta o pierdere. După cum sa menționat mai sus, aceste probabilități sunt derivate din combinarea amenințării, vulnerabilității și caracteristicilor activelor.
Alți factori
Deci, unde se încadrează stânca și rocile în ecuația de risc? Ei nu sunt agenți de amenințare deoarece nu precipită un eveniment și, evident, nu sunt vulnerabilități care permit un eveniment să apară. În consecință, aceste componente pot fi considerate factori secundari de pierdere, deoarece existența lor contribuie la amploarea pierderii de la un eveniment. Un exemplu real al lumii ar fi amenzile și sancțiunile percepute de agențiile de reglementare ca urmare a unui eveniment de securitate a informațiilor. Reglementările și autoritățile de reglementare nu sunt agenții care încalcă, deci nu reprezintă amenințări în contextul evenimentului. De asemenea, acestea nu reprezintă o slăbiciune tehnologică, procedurală sau de altă natură care a permis încălcarea. Cu toate acestea, ele joacă un rol în ceea ce privește cât de multe pierderi au loc și, prin urmare, trebuie incluse în analiza noastră de risc.
(Doresc sa subliniez, totuși, că există scenarii în care autoritățile de reglementare pot fi clasificate ca agenți de amenințare – adică când efectuează un audit.)
Definitia riscului
Risc – frecvența probabilă și mărimea probabilă a pierderii viitoare
Există trei lucruri importante pe care trebuie să le recunoaștem din această definiție.
Primul și cel mai evident – riscul este o problemă de probabilitate. Voi încerca sa exemplific acest lucru în detaliu în analiza efectuata mai jos.
În al doilea rând, riscul are o componentă de frecvență și o magnitudine.
Și în al treilea rând – punctul pe care aș vrea să mă axez aici – este că această definiție a riscului se aplică la fel de bine, indiferent dacă vorbim de investiții, de piață, de credit, de drept, de asigurări sau de oricare alt domeniu de risc riscul de informare) care sunt de obicei abordate în afaceri, guvern și viață. Cu alte cuvinte, natura fundamentală a riscului este universală, indiferent de context. Vestea bună este că conceptele de risc au fost studiate de generații în alte profesii, astfel încât sunt disponibile multe informații bune. Vestea nu atât de bună este că, de cele mai multe ori, am abordat riscul de informare ca și cum ar fi ceva diferit de celelalte domenii de risc. Aceasta este una dintre primele obstacole pe care trebuie să le depășim dacă sperăm să înțelegem cu adevărat spațiul nostru cu probleme.
Scopul modelării riscurilor
Scopul oricărei analize a riscului este de a oferi factorilor de decizie cele mai bune informații posibile despre probabilitățile de pierdere. În consecință, este esențial ca factorii de decizie să accepte utilizarea metodologiei de analiză a riscurilor și că informațiile rezultate din analiză sunt într-o formă utilă pentru aceștia. În acest sens, limitările metodelor noastre tradiționale de "analiză a riscurilor" legate de securitatea informațiilor vor deveni clare pe măsură ce progresăm prin acest document.
Limitări ale analizei riscurilor
După cercetarea bibliografica în acest domeniu, am ajuns la concluzia că analiza riscurilor nu este niciodată perfectă. De fapt, toate modelele de analiză a riscurilor sunt aproximări ale realității deoarece realitatea este mult prea complexă pentru a modela vreodată exact. Cu toate acestea, prin descompunerea unui subiect complex într-o componentă mai clară și mai ușor analizată, putem înțelege și face judecăți motivate cu privire la subiect. Orice model de analiză va fi limitat de complexitatea subiectului, de cât de profund înțelegem subiectul și de cât de bine modelul încorporează această înțelegere.
Evaluarea metodelor de analiză a riscurilor
FAIR este doar o modalitate de jupuire a analizei de risc pisica. Există mulți oameni dedicați care lucrează pentru a dezvolta alte metode având în vedere aceleași obiective. Aceasta este o veste minunată pentru cei dintre noi care încearcă să fie la fel de eficienți în gestionarea riscurilor. Cu toate acestea, indiferent de metodele pe care le considerați utilizate, vă recomand să evaluați orice metodă de analiză a riscurilor pe cel puțin trei puncte.
Este util?
Este logic?
Seamăna cu realitatea?
O metodologie este utilă atunci când răspunde nevoilor oamenilor care iau deciziile de risc. Dacă analiza noastră oferă informații cu privire la eficacitatea controalelor într-un mediu, dar factorii de decizie caută informații despre probabilitatea producerii de incidente și pierderi, metodologia nu este utilă. De asemenea, dacă oferim valori "indicatorul cheie de risc", dar nu există o legătură clară între condițiile descrise de metrici și probabilitatea de pierdere, atunci valorile devin puțin mai mult decât aspectul ferestrei. Există astăzi metode de "analiză a riscurilor", a căror logică se descompune sub o examinare atentă. Adesea, aceste metode se numesc analize de risc atunci când ceea ce analizează cu adevărat este o sub componentă a riscului (de exemplu, vulnerabilitate sau controale). De reținut totuși, că aceste metode pot fi excelente la ceea ce fac de fapt, deci nu le ignorați valoarea. Este pur și simplu o chestiune de a recunoaște ceea ce fac și nu oferă. O modalitate simplă de a identifica o metodă de analiză a riscului de bună credință este de a determina dacă include o analiză a frecvenței amenințărilor, a vulnerabilității și a amplorii de pierderi și dacă tratează problema probabilistic. Dacă una sau mai multe dintre aceste componente lipsește sau dacă problema nu este tratată ca o probabilitate, atunci logic, aceasta nu este o metodă de analiză a riscului. Ultimul punct de vedere – urmărirea cu realitatea – este deosebit de important. Este, de asemenea, un punct care poate fi deosebit de provocator pentru ca profesia noastră să se poată implica. Să utilizăm, de exemplu, condiția de control a unei rețele interne tipice corporative. Experiența mea a fost că majoritatea rețelelor și sistemelor interne ale întreprinderilor nu sunt foarte multe bine protejate (cel puțin relativ la cele mai bune practici teoretice), dar relativ puține organizații au avut de fapt o pierdere severă asociată cu acest fapt. Au loc evenimente cu pierderi semnificative, fără nici o îndoială, dar sunt uimitor de rare, având în vedere prevalența practicilor de securitate nepotrivite. O analiză realistă a riscurilor ar trebui să reflecte acest fapt. Cu alte cuvinte, o analiză eficientă a riscului a unui mediu intern mediu al tehnologiei informației corporative ar trebui, în majoritatea cazurilor, să identifice foarte puține probleme cu adevărat ridicate de risc, în ciuda faptului că este posibil ca controalele să nu respecte standardele celor mai bune practici.
Profesia noastră a devenit foarte bună în evaluarea controalelor tehnice într-un mediu – lungimea / complexitatea / istoricul parolei, dacă există privilegii de acces adecvate, câte straturi de firewall există, cât de actualizat este produsul antivirus, detectarea intruziunilor există etc. Știm, de asemenea, care sunt principalele controale non-tehnice – dacă există politici, nivelul de conștientizare a utilizatorilor, sponsorizarea executivă a programului de securitate, etc. Dar controalele sunt doar o parte a ecuației de risc. De fapt, controalele sunt doar o parte a ecuației de vulnerabilitate. Vom acoperi riscul "ecuației" pe măsură ce mergem, dar, așa cum am arătat în introducere, vulnerabilitatea este întotdeauna relativă la tipul și la nivelul forței aplicate. Dacă măsuram doar controalele, dar numim rezultatele "vulnerabilitate", atunci am făcut presupuneri semnificative cu privire la nivelul și tipul de amenințări implicate. Pentru a evalua în mod eficient riscul, trebuie incluse toate componentele riscului.
Când evaluezi orice metodă de analiză a riscurilor – FAIR inclusă – adresează întrebări grele. Asigurați-vă că satisface nevoile factorilor de decizie, că este logic și că se aliniază cu realitatea.
Probabilitati versus posibilitati
Posibilitatea este o condiție binară – fie ceva este posibil, fie nu este – 100% sau 0%. Probabilitatea reflectă continuumul dintre certitudinea absolută și imposibilitatea. Prea des în cariera mea, am întâlnit directori și alții care consideră că profesia de securitate a informației este paranoică și plină de "Chicken Littles proclamând că cerul cade". Din păcate această perspectivă este, în general, bine fundamentată. Am tendința de a vorbi în termeni de "se poate întâmpla" (posibilitate), mai degrabă decât în termeni care descriu probabilitatea ca ceva să se întâmple. Simplul fapt este că riscul este întotdeauna o problemă de probabilitate. Luați în considerare diferența dintre rularea ruletei rusești cu un revolver standard cu șase cilindri față de un semi-automat. Posibilitățile sunt egale fie cu pistolul – adică este posibil ca în ambele cazuri 100% să aibă un "rezultat negativ". Cu toate acestea, probabilitățile sunt semnificativ diferite. În primul caz, presupunând că revolverul este încărcat cu un singur glonte, probabilitatea unui rezultat negativ este de aproximativ 17%. În cel de-al doilea caz, presupunând că un singur glonț este încărcat și încorporat în semi-automat, probabilitatea unui rezultat negativ este de aproximativ 100% (ar putea fi, desigur, o întrerupere a focului). În mod evident, aș prefera să nu joc deloc, dar dacă trebuia să aleg între cele două arme, aș prefera mai degrabă să aleg o înțelegere a probabilităților, spre deosebire de posibilitățile. Factorii decizionali doresc și au nevoie de beneficiul aceleiași calități de informații.
Preocuparea naturală, desigur, este modul în care ar trebui să determinăm probabilitățile când există atât de puține date empirice cu privire la riscul informațional. Mă duc mai departe decât asta – nu numai că există foarte puține date privind riscul informațiilor, majoritatea datelor pe care le avem nu sunt credibile. Iata de ce. Pentru a stabili concluzii credibile din date, datele trebuie să fie suficient de precise, actuale și semnificative din punct de vedere statistic ca eșantion. În domeniul riscului de informare, precizia datelor existente trebuie să fie serios pusă la îndoială, deoarece nu poate fi normalizată împotriva unei taxonomii standard (adică din cauza provocărilor terminologice, vulnerabilitatea unei persoane este "amenințarea" unei alte persoane etc. ). Această absență a unui cadru taxonomic, de asemenea reprezintă o provocare semnificativă din cauza complexității și varietății peisajelor noastre cu risc și a faptului că datele pe care le avem astăzi nu includ detalii referitoare la factorii care contribuie la risc. De exemplu, ancheta anuală CSI / FBI nu descrie condițiile specifice existente în cadrul companiilor care au făcut sau nu pierderi din cauza hacking-ului. În consecință, nu putem ști dacă factorii comuni contribuitori au existat în acele companii care au suferit pierderi, față de cele care nu au suferit pierderi. Continuând provocarea noastră, componentele din cadrul peisajului nostru de risc se schimbă atât de rapid încât durata de viață utilă a datelor poate fi o problemă. Lipsa unor date bune nu ne scutește de obligația de a aborda riscul de informare ca o problemă de probabilitate. Merită remarcat faptul că au fost adoptate cu succes analize fără date, pentru diverse aplicații, inclusiv diagnostic medical, vizarea rachetelor, controlul motorului cu rachete, marketingul și investițiile.
Gestionarea riscului de securitate al informațiilor
CORAS
Denumire: CORAS – O platformă pentru analiza de risc a sistemelor critice de securitate
Metoda CORAS a fost inventată ca un rezultat al unui proiect European, finalizat în anul 2003. De atunci metoda nu a suferit de nici o actualizare majoră. Însă aceasta metoda sau instrument informatic CORAS, este încă menținut de comunitatea OpenSource. Scopul declarat al proiectului CORAS a fost de a dezvolta un cadru practic bazat pe modele și un suport computerizat pentru "evaluarea precisă, lipsită de ambiguitate și eficiență a riscurilor sistemelor critice de securitate".
Metoda CORAS descrie 8 pași respectiv:
1. Primul pas este preponderent pregătitor: identificați ținta de evaluare și profunzimea analizei.
2. Al doilea pas constă într-o întâlnire cu clientul: ajungeți la o înțelegere comună a obiectivelor și planificării generale, precum și a obiectivului, a focusului și a domeniului de evaluare.
3. Al treilea pas definește în continuare obiectivul evaluării și este cel mai valoros activ. Sunt convenite unele scenarii de amenințare la nivel înalt, vulnerabilități și riscuri care ar trebui investigate în continuare. Obiectivele rafinate și descrierea detaliată a obiectivului sunt documentate folosind limba CORAS.
4. Al patrulea pas este ultimul pas înainte de analiza reală a riscurilor și se concentrează asupra elucidării criteriilor de evaluare a riscurilor care urmează să fie utilizate în continuare. Acest pas verifică, de asemenea, faptul că clientul aprobă descrierea detaliată a țintei și a contextului său, inclusiv ipotezele și precondițiile.
5. Cea de-a cincea etapă folosește limba CORAS ca bază pentru un atelier de brainstorming multidisciplinar. Scopul acestui atelier este de a identifica cât mai multe riscuri posibil (adică identificarea riscurilor).
6. A șasea etapă vizează estimarea nivelurilor de risc (adică analiza de risc). Acest lucru se efectuează și în timpul unei sesiuni de brainstorming interdisciplinare, în care se determină probabilitățile și consecințele fiecărui risc identificat anterior.
7. În cea de-a șaptea etapă, criteriile de evaluare a riscurilor definite anterior sunt utilizate pentru a considera fiecare risc ca fie acceptabil, fie care necesită tratament (adică evaluarea riscului)
8. În etapa a opta, identificarea, evaluarea și compararea posibilelor tratamente și atenuări sunt identificate.
FRAP
Procesul de evaluare a riscului facilitat (FRAP) FRAP a fost introdus pentru prima dată de către Thomas R. Peltier în 2000 . Aplicarea metodei FRAP este descrisă de Peltier în cartea sa Analiza riscului securității informațiilor , publicată în 2001, și detaliată în cea de-a doua ediție publicată la New York în 2005. Procesul RA descris de FRAP dacă este împărțit în trei faze:
1. O sesiune pre-FRAP în care sunt convenite domeniul de aplicare și definițiile evaluării, precum și modul în care sunt amenințate prioritățile. În această metodă, echipa este pusă împreună și se ia o decizie cu privire la activele care urmează să fie incluse în analiză.
2. O sesiune FRAP are loc evaluarea efectivă a riscurilor: se identifică riscurile și se determină nivelurile de risc luând în considerare probabilitatea producerii unei amenințări
3. O generare de raport post-FRAP: acest raport conține un rezumat al riscurilor, precum și sugestii privind modul în care acestea pot fi diminuate. Unul dintre aspectele unice ale FRAP este acela că este o abordare condusă de "facilitator" în sensul că părțile interesate joacă un rol important în evaluare.Părțile interesate dețin și conduc procesul, sunt implicate în toate activitățile de evaluare și evaluarea proprie a părților interesate creează rezultatele.Cu toate acestea, FRAP nu oferă multe detalii tehnice despre modul de efectuare a evaluării și se bazează pe rolul Facilitatorului de a ghida părțile interesate prin procesul prin utilizarea propriilor cunoștințe, experiențe și alte metodologii mai tehnice. FRAP operează pe ideea că cu precizie cuantificarea riscurilor nu este eficientă din punct de vedere al costurilor din cauza volumului mare de timp și a complexității pe care o necesită o analiză cantitativă și faptul că nu sunt necesare estimări exacte ale pierderii pentru a determina dacă controalele ar trebui implementate.În plus, creatorul metodei susține că o analiză a riscurilor care utilizează FRAP durează în jur de 4 ore și necesită doar 7-15 persoane, majoritatea putând fi interne ale organizației și managerilor .
Metodologia FRAP se bazează pe presupunerea că controalele de securitate nu au fost încă implementate și, ca atare, nu iau în considerare vulnerabilitatea cauzată de lipsa unor astfel de controale.Această metodă seamănă foarte mult cu metodele din clasa 3 în conformitate cu criteriile descrise în secțiunea 2.3.1, deși impactul este evaluat în funcție de modul în care afectează operațiunile de afaceri nu numai pe baza pierderii financiare cauzate.Există, de asemenea, o extensie a FRAP care permite estimarea riscului rezidual (adică nivelul de risc odată ce un control a fost selectat și pus în aplicare).
ISO/IEC270005
Există multe standarde ISO / IEC referitoare la securitate. Cu toate acestea, ne-am limitat lista noastră la cele care sunt conforme cu criteriile de includere și excludere descrise în secțiunea 3.2. Ca atare, am redus lista doar la două standarde: ISO / IEC 27002 și 27005.
Este de remarcat faptul că alte standarde relevante ar respecta criteriile, cum ar fi ISO / IEC 13335-3 [1] și 17799 [3]. Cu toate acestea, ambele au fost depășite și sunt în majoritate înlocuite sau integrate fie cu ISO / IEC 27002 [2], fie cu 27005 [6]. O linie de timp care descrie acest proces poate fi văzută în Figura 3.3. Din figură putem concluziona că standardele actualizate actuale ISO / IEC care sunt relevante pentru RA și / sau RM sunt:
· SO / IEC 27002: 2005: Cod de practică pentru managementul securității informațiilor;
· ISO / IEC 27005: 2011: Gestionarea riscului de securitate a informațiilor;
· ISO / IEC 13335-1: 2004: Concepte și modele pentru managementul securității tehnologiei informației și comunicațiilor.
Cu toate acestea, ultimul (13335-1: 2004) are ca scop descrierea conceptelor și a modelelor care pot fi utilizate pentru a înțelege și preciza mai bine securitatea TIC, precum și pentru a prezenta unele aspecte generale de management. Ca atare, nu respectă criteriile de selecție descrise în secțiunea 3.2 și va fi tratată în secțiunea dedicată modelelor conceptuale (adică secțiunea 4).
ISO / IEC 27002: 2005 (fostă 17799: 2000) (include BS 7799-1) Denumire
ISO / IEC 27002: 2005: Cod de practică pentru managementul securității informațiilor.
Origine
ISO / IEC 27002 a fost derivat din standardul BS7799, publicat pentru prima dată în anii '90. A fost apoi integrată în standardul ISO / IEC 17799 și ulterior redenumită la eticheta actuală.
Standardul ISO / IEC, oferind în același timp îndrumări în ceea ce privește efectuarea evaluărilor riscurilor, nu oferă suficiente sfaturi practice pentru îndeplinirea unei astfel de sarcini. În schimb, se pune accent pe sugerarea unor controale pentru diferite vulnerabilități cunoscute. Ca atare, se pune accentul pe tratamentul riscului și ar trebui să fie extins prin folosirea unei metode de evaluare a riscurilor de către terți, în vederea obținerii unei mai bune idei despre controalele relevante și necesare pentru organizația dvs. După implementarea unei evaluări a riscurilor în conformitate cu orientările sugerate, ISO 27002 poate fi utilizată pentru selectarea și implementarea controalelor.
Cu toate acestea, în practică, numai ISO / IEC 27002 poate fi folosit ca bază pentru evaluarea riscurilor. Acest lucru, cunoscut sub numele de ISO 27002 Gap Assessment / Analysis și ideea principală este că controalele existente sunt comparate cu cele descrise în standard. Orice abatere sau decalaj este notat și evaluat. Ca rezultat, riscul poate fi estimat pe baza acestor lacune identificate, iar strategiile de atenuare pot fi de asemenea derivate. Într-un anumit sens, standardul este utilizat ca punct de referință pentru evaluarea eficacității controalelor existente și pentru identificarea posibilelor puncte slabe.
Procesul ISO 27005 de evaluare a riscurilor este subdivizat după cum urmează:
1. Analiza de risc
(a) Identificarea riscului – identificarea posibilelor surse de pierderi potențiale (active primare și auxiliare, amenințări, controale de securitate existente și planificate, vulnerabilități, consecințe și procese de afaceri);
(b) Estimarea riscului – cunoștințele dobândite anterior sunt utilizate pentru măsurarea calitativă sau cantitativă a riscului:
i. să evalueze consecințele (adică impactul) prin evaluarea activelor
ii. să evalueze probabilitatea fiecărui incident prin evaluarea amenințărilor și a vulnerabilităților; iii. să evalueze riscul prin evaluarea consecințelor și a probabilităților;
2. Evaluarea riscului – fiecare nivel de risc este comparat cu criteriile de acceptare a riscului și criteriile de evaluare a riscului; lista prioritară a riscurilor și opțiunile de tratament recomandate.
3. Reducerea riscului – se selectează și se utilizează măsuri pentru reducerea, reținerea, evitarea sau transferul riscului și se utilizează pentru a elabora un plan de tratament pentru risc.
RISK IT (Cobit)
Risk IT a fost dezvoltat de ISACA, o asociație profesională non-profit care lucrează la dezvoltarea domeniului IT, cu accent pe guvernanța IT. Acesta a fost introdus ca o completare a cadrelor COBIT și Val IT pentru a oferi mai multe resurse complete de orientare în materie de guvernanță IT. Scopul cadrului IT privind riscurile a fost introdus pentru a umple decalajul dintre cadrele de management al riscului la nivel înalt (cum ar fi AS / NZS 4360, ISO 31000) și cadrele specifice domeniului (de exemplu, legate de securitate sau de managementul proiectelor). Scopul său este de a permite întreprinderii să ia decizii adecvate privind riscurile, oferind o viziune cuprinzătoare asupra tuturor riscurilor legate de utilizarea tehnologiei informației, precum și un tratament aprofundat al gestionării riscurilor la toate nivelurile. Scopul său este de a permite întreprinderilor să înțeleagă și să gestioneze toate tipurile semnificative de riscuri IT și a fost inițial conceput ca o resursă educațională pentru CIO-urile.
Procesul de "Evaluare a riscurilor" descris în cadrul RIS pentru risc include trei etape. Este a doua etapă a Analizei riscurilor că evaluarea reală a riscului este efectuată, însă prima și a treia etapă sunt, de asemenea, descrise pe scurt pentru completare:
1. Colectarea datelor – Identificarea datelor relevante pentru a permite identificarea, analiza și raportarea eficiente a riscului IT.
(a) Stabilirea și menținerea unui model de colectare a datelor;
(b) Colectați date despre mediul de operare;
(c) Colectarea datelor privind evenimentele cu risc;
(d) Identificarea factorilor de risc.
2. Analizați riscul – Dezvoltați informații utile pentru a sprijini deciziile de risc care iau în considerare relevanța factorilor de risc (de exemplu, evaluarea riscurilor)
(a) Definiți domeniul de analiză a riscului IT: definiți lățimea și profunzimea analizei;
(b) Estimarea riscului IT: estimarea frecvenței probabile și a amplorii probabile a pierderii sau câștigului asociate scenariilor de risc IT ca fiind influențate de factorii de risc aplicabili; ia în considerare scenarii complexe și tipuri de amenințări; să evalueze posibilele controale și influența acestora asupra frecvenței și probabilității magnitudinii pierderii și a factorilor de risc aplicabili; estimați nivelurile de risc rezidual și comparați-le cu criteriile de risc acceptabile;
(c) Identificarea opțiunilor de răspuns la risc: examinarea gamei disponibile de măsuri de atenuare (de exemplu, evitarea, reducerea, transferul, acceptarea); compromiterea documentelor; specificați cerințele pentru strategiile de atenuare; identifica costurile, beneficiile și responsabilitățile pentru implementare;
(d) Efectuarea unei evaluări inter pares a analizei riscurilor IT: confirmarea faptului că documentația este în conformitate cu cerințele întreprinderii; revizuiți estimările pierderilor / câștigurilor; să se verifice dacă factorii umani au fost corect calibrați; verificați dacă nivelul de experiență și datele de identificare ale analizei au fost adecvate; extrageți și utilizați recomandări de evaluare reciprocă.
3. Menținerea profilului de risc – Menținerea unui inventar actualizat și complet al riscurilor și atributelor cunoscute (de exemplu, frecvența așteptată, impactul potențial, dispunerea), resursele IT, capabilitățile și controalele înțelese în contextul produselor de afaceri, servicii și procese.
(a) Maparea resurselor IT în procesele de afaceri;
(b) Determinarea criticității în afaceri a resurselor IT;
(c) Înțelegeți capacitățile IT;
(d) Actualizarea componentelor scenariului de risc IT.
TARA
Origine
TARA a fost introdus de Intel Corporation în 2010 pentru a rezolva problema creată de numărul foarte mare de atacuri posibile asupra unei anumite infrastructuri.
Scop
Metoda pretinde să contribuie la identificarea riscurilor și a agenților de amenințare aferenți, care ar putea rea- liza în mod realist acțiunile care sunt cel mai probabil să provoace pierderi nesatisfăcătoare. Astfel, punctul forte al metodei este prioritizarea riscurilor critice (și a contramăsurilor) pentru a maximiza utilizarea resurselor [51] și pentru a evita suprasolicitarea factorilor de decizie cu orice vulnerabilitate posibilă.
https://www.mitre.org/sites/default/files/pdf/11_4982.pdf
Pași
TARA atinge obiectivul său, analizând mai întâi ce vectori sau metode de atac sunt mult mai probabil pentru proiect / infrastructură specifică decât riscurile "implicite".
Apoi, această informație este încrucișată cu controalele existente pentru a identifica zonele expuse. O prezentare generală a procesului TARA poate fi văzută în Figura 3.9. Mai multe detalii despre pașii următori:
1.Măsurați riscurile actuale ale agentului de amenințare: prin utilizarea Bibliotecii Agentului de Amenințări și a experților;
2.Agenti de amenințare difuză care depășesc riscurile acceptabile de bază: prin utilizarea unui agent de amenințare;
3. Obiectivele primordiale dăunătoare ale acestor agenți amenințări: utilizarea bibliotecii Metodele și Obiectivele;
4. Identificarea metodelor care se pot manifesta: folosind bibliotecile Metode și Obiective
5. Determinați cele mai importante expuneri colective: utilizând Biblioteca de expuneri comune;
6. Aliniați strategia pentru a viza expunerile cele mai semnificative: utilizând informațiile anterioare pentru a adapta strategia de securitate și alocarea resurselor de securitate.
Discuție
Tehnicile de vizualizare puternice permit difuzarea informațiilor în rândul părților interesate și ajută la atingerea unui nivel acceptabil de risc rezidual cu resurse reduse [57]. Acest lucru face ca acesta să fie mai puțin aplicabil sistemelor critice de securitate, dar mai relevant pentru scenarii de întreprinderi mari, unde sunt implicate mai multe părți interesate.
Metoda pune un accent deosebit pe profilurile atacatorilor. Acestea sunt definite în propria Bibliotecă de agenți a companiei Intel și clasificate pentru simplitate în 22 de "arhetipuri". Metodologia a descris, de asemenea, modul de utilizare a bazelor de date de vulnerabilitate sau a bibliotecilor de expunere comună, dintre care unele sunt disponibile online. În cele din urmă, metoda sugerează utilizarea unei Biblioteci de metode și obiective care leagă profilurile de atacatori de "modus operandi" și obiective comune.
În cele din urmă, TARA este o metodă calitativă și este folosită în mod obișnuit împreună cu alte instrumente, aplicații sau procese de analiză a riscurilor întreprinderii.
OCTAVE
OCTAVE a fost dezvoltat în cadrul Institutului de Inginerie Software, parte a Universității Carnegie Mellon (SUA), de către Echipa de răspuns la situații de urgență (CERT). Acesta a fost inițial finanțat de Departamentul Apărării al SUA pentru a aborda provocările de securitate cu care se confruntă departamentul în legătură cu HIPAA2). Scopul pachetului de instrumente, tehnici și metode OCTAVE este de a permite evaluarea strategică și planificarea strategică a securității informațiilor [54]. Cadrul constă în trei metode OCTAVE, toate bazându-se pe aceleași criterii OCTAVE, dar sunt adaptate pentru scenarii specifice de aplicare.
Principala metodologie de evaluare a riscurilor OCTAVE este destinată companiilor cu cel puțin 300 de angajați și constă din următoarele trei etape și opt procese, fiecare dintre ele implicând unul sau mai multe ateliere [34]:
Pregătirea implică obținerea de sponsorizare a conducerii superioare, selectarea membrilor echipei, definirea domeniului de evaluare și selectarea participanților secundari.
Faza 1: Construirea Proftles Threat Based Asset este preocupat de identificarea activelor care sunt critice pentru organizație și mecanismul de securitate actual în vigoare
Procesul 1: Identificați cunoștințele manageriale cu privire la activele importante, amenințările percepute, cerințele de securitate, practicile actuale de securitate și vulnerabilitățile organizaționale.
Procesul 2: identificarea managementului zonelor operaționale cu privire la activele importante, amenințările percepute, cerințele de securitate, practicile actuale de securitate și vulnerabilitățile organizaționale.
Procesul 3: Identificați cunoștințele personalului cu privire la activele importante, amenințările percepute, cerințele de securitate, practicile actuale de securitate și vulnerabilitățile organizaționale
Procesul 4: Crearea Proftles Threat folosind cunoștințele acumulate în Procesele 1-
3. Implică selectarea activelor critice, rafinarea cerințelor de securitate asociate și identificarea amenințărilor la aceste active.
Etapa 2: Identificarea vulnerabilităților în infrastructură este preocupată de examinarea infrastructurii informaționale pentru a identifica vulnerabilitățile tehnologice care pot conduce la acțiuni neautorizate împotriva bunurilor critice.
Procesul 5: Identificați componentele cheie pentru fiecare element critic și selectați cele care necesită o evaluare suplimentară
Procesul 6: Evaluarea componentelor selectate și identificarea punctelor slabe ale tehnologiei, încrucișarea acestora cu activele critice și profilurile de amenințare respective.
Etapa 3: Elaborarea strategiei de securitate și a planurilor de atenuare a riscurilor identificate anterior pentru activele critice ale organizației
Procesul 7: Efectuarea analizei riscurilor prin identificarea impactului amenințărilor asupra entităților critice, elaborarea unor criterii pentru evaluarea acestor impacturi și apoi utilizarea acestor criterii pentru evaluarea impactului. Rezultatul este un profil de risc pentru fiecare activ critic.
Procesul 8: Elaborarea strategiei de protecție și a strategiei de protecție pe baza rezultatelor. Acest pas presupune, de asemenea, obținerea de recenzii de conducere și aprobarea strategiei și a planurilor.
Încadrați-vă prin completarea strategiei de protecție cu detalii specifice de implementare și definiți pașii pentru revizuirea și îmbunătățirea continuă a politicii de securitate.
Toate metodele de mai sus se bazează pe un set comun de criterii care specifică faptul că evaluarea trebuie efectuată de o echipă de analiză calificată, compusă din persoane din cadrul organizației, care adună contribuția organizației, analizează rezultatele și acționează asupra acestora într-o structurat și metodologic. Acest proces este susținut de depozitele de bune practici (adică Catalogul practicilor) și foile de lucru.
Metoda originală OCTAVE este în mare parte incompatibilă cu cadrele care implementează evaluarea riscului tradițional și a riscurilor pe baza consecințelor, deoarece presupune că toate amenințările posibile vor avea loc întotdeauna. Acesta a fost conceput inițial cu sistemele de apărare în minte, care reflectă în corpul său larg de documente (adică 18 volume), precum și multitudinea de foi de lucru și practici utilizate pentru implementare. OCTAVE abordează majoritatea acestor obstacole, făcând o versiune simplificată, cu aplicabilitate sporită.
Alegerea variantei optimale a metode de analiza și măsurarea riscurilor IT folosit metoda Fuzzy asistata de calculator.
Etapa I Calculul Matricii Consecințelor Absolute
Etapa II Calculul Matricii Consecințelor Relative
unde: Crij = consecinta relativa a alternativei decizionale i după criteriul j;
Caij= consecinta absoluta a alternativei i dupa criteriul j;
= suma consecințelor absolute ale celor n alternative pentru un anumit criteriu j
Etapa III Calculul Matricei Ajutătoare Z (N,M)
Etapa IV Calculul Matricei Funcțiilor Caracteristice (FC)
kj = coeficientul de apartenență atribuit criteriului j;
e (constantă matematică) e este un număr irațional transcedental cu proprietatea că valoarea derivatei f(x) = ex în punctul x = 0 este exact 1. Funcția ex este numită funcție exponențială, și inversa ei este logaritmul natural, sau logaritm în baza e.
Etapa V
Tehnica pesimistă sau a prudenței (Abraham Wald)
Tehnica echilibrului sau echiprobabilității (Bayes-Laplace)
Tehnica optimalitatii (Leonid Hurwicz)
După analiză efectuată, am ajuns la concluzia că vom utiliza metoda FAIR, fiind cea mai optimă variantă din cele analizate mai sus, conform criteriilor identificate și analizate.
Metoda FAIR analiza și măsurarea riscurilor IT
MĂSURAREA RISCULUI
Această parte a tezei de cercetare va începe cu un răspuns întrebării „Cum putem măsura elocvent diferiții factori de risc?”. Înainte de a începe răspunsul, este esențial să acoperim câteva concepte Teoria măsurătorii
Măsurători subiective vs obiective
Una dintre îngrijorările principale ce apar în cazul măsurătorilor este „Fără date ne bazăm pe subiectivitate”. Această afirmație este adevărată până la un anumit nivel. Cu toate acestea, subiectivitatea este parte a fiecărei analize cunoscute – inclusiv a celor ce se bazează pe date. Cine credeți că stabilește criteriile de colectare a datelor, le colectează și filtrează, o procesează, iar mai apoi trage cocluziile? Defectuoșii și subiectivii oameni. Rugați să critice FAIR, colegii mei actuariali au scos în evidență acest lucru; faptul că orice este făcut de oameni include o oarecare doză de subictivism. De aceea, nu se pune problema dacă există subiectivism, întrucât am tras deja această concluzie, ci se pune problemă în ce măsură. Scopul nostru este ca procesul să fie cât mai obiectiv cu putință. Cadrul FAIR face eforturi importante pentru a avea o analiză cu un nivel înalt de obiectivitate, însă nu poate elimina subiectivitatea în totalitate.
Mereu vor exista cei care resping orice analiza cantitativă ce nu se bazează pe date empirice, nu ne propunem să-i combatem. Acesta este un război religios care se poartă decenii în diferite domenii științifice, sociale și filozofice, iar acesta nu va fi câștigat sau pierdut pe baza afirmațiilor prezentate. Nu avem suficiente date astăzi, însă trebuie să tratăm riscul informațiilor ca pe o probabilitate dacă ne dorim să o controlăm eficient.
Nu există dubiu, însă, că datele corecte pot fi foarte utile în elaborarea și susținerea concluziilor cu privire la ce se poate întâmpla în viitor. Unul dintre beneficiile FAIR este acela că taxonomia stabilește o bază de criterii pentru culegerea datelor, prevede un context pentru categorizarea datelor, cât și un cadru pentru analiza lor. Acest lucru ar trebui să ajute profesia noastră să construiască datele necesare pentru viitoarele analize, fundamentale de măsurare.
Măsurători cantitative vs calitative
Discuții cu privire la analiza riscului ajung adesea la problema alegerii între analiza calitativă sau cantitativă. Factorii de decizie preferă în general măsurătorile cantitative dacă metoda este credibilă. Cu toate acestea, în absența taxonomiei, a unei scale de măsurătoare rezonabile și a unui motor de calcul ce reflectă eficient relația dintre factorii de risc, o metodă cantitativă nu este credibilă. Decizia de a utiliza măsurători cantitative sau calitative ar trebui să rezulte din două aspecte:
Nevoile factorilor de decizie ce vor utiliza rezultatele analizei
Credibilitatea metodelor disponibile
FAIR poate fi utilizat pentru atât pentru analize calitative, cât și pentru analize cantitative. Singura diferență o reprezintă scalele de măsură utilizate. Cu alte cuvinte, dacă factorii de risc sunt măsurați cu ajutorul unei scale calitative de tip ridicat-mediu-scăzut, atunci rezultatul va fi calitativ. De menționat că dacă valorile calitative fac referire la game cantitative (ex. ridicat = mai mare decât 10) atunci este utilizată o scară calitativă cu o precizie limitată. Acest lucru nu este rău sau bun, ci trebuie doar luat în considerare.
Pentru cei care unt rezervați în ceea ce privește analizele cantitative care nu folosesc date empirice, recomand cu putere utilizarea FAIR astfel încât taxonomia și componentele de modelare ale cadrului să poată fi manevrate pentru a se obține rezultatele dorite.
Precizia
Orice măsurătoare este, într-o oarecare măsură, o estimare. Precizia măsurătrii va fi mereu limitată de caracteristicile instrumentului de măsurare și de capacitățile (și intenția) celui care măsoară.
Mulți dintre cei care lucrează în domeniul securității informațiilor au ca bază tehnologia și ingineria, iar, dacă rogi o persoană din domeniul tehnic să măsoare ceva, el sau ea va vrea de cele mai multe ori să-ți ofere un răspuns concret, cu decimale de precizie. Din nefericire, riscul nu permite asta. Deși precizia este un plus, nu este necesara (și nici nu ar trebui să fie așteptată) în analiza de risc. Menționăm că analiza de risc nu reprezintă prezicerea viitorului, ci aduce estimări raționale a probabilității pierderii. Cu cât analizăm mai bine și înțelegem subiectul, cu atât mai utilă și rezonabilă va fi estimarea noastră. Mereu va exista un nivel de incertitudine și imprecizie.
Erori de măsurare și gradul de sensibilitate
Unul din criteriile cheie ale unei metode de măsurare eficientă este reprezentat de consistență. Cu alte cuvinte, dacă mai mulți analiști evaluează același scenariu ar trebui să obțin rezultate consistente. Atingerea acestor rezultate sunt dependente de utilizarea unor scări de măsură foarte bine definite și a unor analiști foarte pregătiți. Chiar și așa, există un grad de inconsistență ce este natural, deoarece experiența și stilul de gândire variază. Nu vor exista două persoane care să evalueze un subiect complex în aceeași manieră. Acest lucru se întâlnește și în cadrul FAIR cum se întâlnește în orice altă activitate de măsurare complexă. De aceea, întrebarea pertinentă nu se referă la existența erorii sau inconsistenței, ci dacă gradul acestora este acceptabil. Pentru că analiza de risc nu este o muncă precisă, analiștii calificați – cei ce au fost pregătiți eficient în metodologie – nu ar trebui să aibă dificultăți în utilizarea FAIR pentru obținerea rezultatelor acceptabile.
Măsurarea factorilor de risc
În această secțiune vom examina o parte din provocările întâlnite în timpul măsurării datelor cu privire la factorii de risc. De asemenea, vom introduce metoda simplificată ce este utilizată în restul prezentei lucrări. Este important de avut în vedere faptul că o înțelegere profundă a fundamentelor și factorilor de risc este cu mult mai importantă decât metoda utilizată pentru măsurarea riscului.
Provocări
Există deja scale de măsurare pentru o parte din factorii de risc (ex: dolars, frecvența evenimentelor dintr-un cadru de timp stabilit), iar pentru alții nu (ex: abilitatea umană de a compromite un calculator).
De asemenea, nu avem o modalitate evidentă de a măsura acest timp de putere. Această dificultatea nu alterează, însă, faptul că este necesar să estimăm acești factori cât mai credibil cu putință.
Următoarele paragrafe descriu o abordare simplificată de a măsura factorii FAIR. AppendixA furnizează un formă ce poate fi utilizată și în alte analize similare.
Măsurarea frecvenței evenimentelor ce aduc amenințări (TEF – threat event frequency)
TEF reprezinta numărul cazurilor, dintr-un cadru de timp bine stabilit, în care ne așteptăm ca o populație particulară ce reprezintă o amenințare să acționeze împotriva unui bun. De menționat că acest lucru este diferit de simplul contact cu acel bun. De exemplu, inginerii/administratorii sistemelor și rețelelor pot avea adesea contact cu informații sensibile în timpul unei zile de lucru. De fapt, chiar natura locurilor de muncă necesită acest contact cu sisteme critice. Din fericire, acțiuni semnificative sau răuvoitoare au loc rar. Exact aceste acțiuni e dorim a fi estimate.
Următoarea scală asigură un mijloc simplu pentru estimarea unui TEF anual probabil. Veți observa că nu este precisă și că utilizează tabele calitative pentru valori cantitative (făcând astfel scala cantitativă). Nu este nimic sacru sau mistic legat de modul în care această scală a fost construită, și oricine este liber să-ți construiască propria scală. Acestea fiind spuse, prefesia noastră ar avea un beneficiu semnificativ dacă ar adopta o scală de măsurare standard. Dacă se preferă adoptarea unor scale proprii, acestea trebuie schimbate doar dacă situația o cere în mod deosebit. Orice schimbare va crea inconsistență între analizele făcute cu scale diferite, iar inconsistența se dorește a fi evitată.
Măsurarea capacității amenințării (Tcap – threat capability)
Pentru unele tipuri de amenințări, scale de forță există deja (ex: greutate, căldură, presiune, etc.), însă pentru altele nu (ex: capacitatea unei persoane de a compromite un calculator). În plus, deoarece capacitatea este derivată dintr-o combinație imprecisă de factori (ex: aptitudini și resurse) este imposibil să definim o măsură absolută.
În absența unei scale de măsură absolută, abordarea simplistă a FAIR utilizează rații. Noțiunea se bazează pe faptul că abilitatea oricărei populații amenințătoare poate fi descrisă ca fiind o distribuție. O parte a populației este mai capabila decât restul, în timp ce o parte va fi mai puțin capabilă; grafic poate fi exprimat printr-un grafic de tip curba lui Gauss, sau clopoțel. Va fi această abordare capabilă să identifice precis capabilitățile oricărei populații ce presupune o amenințare? Nu. Însă este cu mult mai precisă decât dacă presupunem că toți agenții de amenințare din cadrul unei populații au aceleși capacități.
Următoarea scală furnizează un mijloc simplu de estimare a Tcap-ului unei comunități amenințătoare. Cei ce au o bază în statistică vor putea observa că valorile H și VB sunt aproximativ + 1 sau respectiv 2 deviații standard față de medie și că valorile L și VL sunt – 1 sau 2 deviații standard. Din nou, utilizăm valori calitative pentru a reprezenta valori cantitative.
Măsurarea puterii controlului (CP – control strength)
Puterea oricărei măsuri preventive de control trebuie măsurată împotriva unui nivel de forță. Din păcate, precum Tcap, nu există scale foarte bine stabilite. Vestea bună este că putem folosi scala Tcap ca o bază.
Pentru a utiliza această scală, se estimează puterea necesară măsurii de control împotriva unei comunități amenințătoare de capacitate medie. De exemplu, dacă estimăm CS a unei parole formată din patru caractere strict alfabetice (împotriva unui atac de spargere) vom atribui cel mai probabil valoarea „scăzut”. Această estimare se bazează pe faptul că instrumentele simple de spargere sunt foarte accesibile și doar atacatorii inapți nu ar avea acces la ele sau nu ar ști să le utilizeze.
Derivarea vulnerabilității
Determinarea vulnerabilității este simplă odată ce s-au stabilit valorile pentru Tcap și CS. Din secțiunea factorilor amintim că vulnerabilitatea este diferența dintre forța probabilă a fi aplicată și abilitatea de a-i rezista. Utlilizând matricea de mai jos, în partea stângă avem Tcap, iar în partea de jos CS. Intersecția lor determină vulnerabilitatea.
Derivarea frecvenței evenimentelor ce aduc pierderi (LEF – loss event grequency)
Similar vulnerabilității, LEF este o valoare derivată. LEF este determinat de intersecția TEF cu vulnerabilitatea în matricea de mai jos. De menționat că vulnerabilitatea se exprimă în procente, așadar valoarea nu poate depășii 100%. Așadar, LEF nu va fi niciodată mai mare decât TEF.
Măsurarea magnitudinii pierderii probabile (PLM – probable loss magnitude)
În general, este o pierdere de timp să stabilim estimări precise ale pierderilor. Majoritatea cazurilor sunt mult prea complexe pentru a permite estimări precise, iar factorii de decizie nu așteaptă precizie. Prin urmare, este necesar să aducem estimări rezonabile. În această lucrare vom utiliza scala de mai jos pentru a face estimări.
De menționat faptul că această scală este configurată pentru capacitatea de pierderi a unei organizații specifice. Organizațiile diferite din punct de vedere al dimensiunii sau din alte puncte de vedere (ex: non-profit) își vor crea propriile scale. De exemplu, o companie mai mică poate vedea o pierdere de 1 milion de dolari ca fiind severă și, deci, va trebui să-și ajusteze scala.
Despre agenții de amenințare
Cum am menționat anterior, nu toți agenții amenințători sunt egali. În contextul analizei magnitudinii pierderii, omenirea are mai puțini criminali în serie decât șoferi iresponsabili – din fericire. În același timp, nu putem presupune că toate evenimentele ce presupun pierderi vor avea un efect grav. Sunt câteva modalități de a aborda acest lucru în analizele noastre:
Să fim foarte generali în definirea comunității amenințătoare supuse analizei (ex: angajați) și să recunoaștem probabilitatea de urmări grave datorită acesteia ca fiind redusă
Să fim foarte specifici în definirea comunității amenințătoare (ex: angajații nemulțumiți) și să recunoaștem că această specificitate aduce o înțelegere mai amănunțită a motivelor (în acest caz, răzbunarea) și a oportunutății de a fi mai precis în caracterizarea acțiunilor probabile (în acest caz o probabilitate mai mare a acțiunilor dăunătoare). De notat, însă, faptul că populațiile amenințătoare cu o înclinație mai mare către facpte dăunătoare grave sunt, de obicei, foarte mici, fapt ce afectează contactul frecvent.
Așadar, cu cât înțelegem mai bine comunitatea amenințătoare supusă analizei, cu atât mai eficienți vom fi în estimarea pierderilor.
Estimarea pierderii
Alte științe ce analizează riscul utilizează formule complexe pentru estimarea probabilității pierderilor. Pentru prezenta lucrarea vom utiliza procese relativ simple:
Evaluarea cazului cel mai pesimist
Avaluarea magnitudinii pierderii probabile
Cea mai mare pierdere posibilă
Deși nu ne-am concentrat pe situațiile pesimiste, cu cele mai mari pierderi, decidenții au nevoie să știe cum ar arăta cel mai rău scenariu dacă s-ar întâmpla. De asemenea, este important să identificăm pentru ei și factorii care ar conduce la cea mai rea situație, cât și probabilitatea ca aceasta să se petreacă.
Cea mai mare pierdere apare atunci când un set specific de factori se întâlnesc. Deoarece fiecare factor are o prabilitate mai mică de 10% să apară, probabilitate ca acest scenariu să se întâmple este produsul acestor probabilități. De exemplu, dacă este necesar să avem toți acești factori pentru a avea ca rezultat cel mai rău scenariu, iar probabilitățile individuale ale acestor factori sunr 25%, 50% și 10%, atunci cel mai rău scenariu ar fi: 0,25*0,5*0,1=0,125 (puțin peste 1%) în condițiile în care factorii ar fi independenți unii de alții. În general, cu cât mai multți factori necesari pentru a avea cel mai rău caz, cu atât mai mică probabilitatea ca acesta să aibă loc.
Nu este necesar identificarea și estimarea probabilității fiecărui factor. Este importantă cunoașterea numărului mic de factori necesari pentru
Măsurarea probabilității magnitudinii pierderii (PLM)
În general, este o pierdere de timp pentru a stabili estimări precise privind pierderile. Cele mai multe scenarii sunt mult prea complexe pentru a permite estimări precise, iar factorii de decizie nu au nevoie de precizie și nici nu se așteaptă la precizie. În consecință, tot ce trebuie să furnizăm sunt estimările rezonabile ale parcărilor. În acest document, vom folosi scala de mai jos pentru a face estimările noastre.
Rețineți că această scală este "reglată" pentru capacitatea unei organizații de a pierde. Organizațiile de diferite dimensiuni sau cu propoziții de valoare / pierdere fundamentale diferite (de exemplu, nefinanciare) vor dori să își creeze propriile scale. De exemplu, o companie mai mică poate vedea o pierdere de 1 milion de dolari ca fiind severă și va trebui să își ajusteze scara de pierdere în consecință.
Un cuvânt despre agenții de amenințare .
Reamintim o declarație anterioară că nu toți agenții de amenințare sunt creați egali. În contextul analizării amplorii pierderilor, aceasta înseamnă că lumea are mai puțini ucigași în masă decât jaywalkers – din fericire. În consecință, nu putem presupune că toate evenimentele pierdute vor implica maltratări grave. Există câteva modalități de abordare a acestui fapt în ceea ce privește efectuarea analizelor noastre.
‣ Fii foarte general în modul în care definim comunitatea amenințată în analiză (de exemplu, "angajații"), recunoscând că probabilitatea unei maltratări brute în această populație este scăzută sau
Să fie mai specific în modul în care definim comunitatea amenințată în analiză (de exemplu, "angajații nemulțumiți") și să recunoaștem că această specificitate mai mare oferă o mai bună înțelegere a motivelor (în acest caz răzbunare) și o oportunitate de a fi mai precis în caracterizând acțiunile lor probabile (în acest caz o probabilitate mult mai mare de acțiuni semnificativ rău intenționate).
Rețineți, totuși, că amenințările pentru comunitățile cu tendință mai mare de malware sunt de obicei mult mai mici, ceea ce afectează frecvența de contact.
Concluzia este că, cu cât înțelegem mai bine comunitatea amenințată în analiză, cu atât mai eficientă putem fi la estimarea pierderilor.
Estimarea pierderii
Alte științe ale riscurilor folosesc deseori formule foarte complexe pentru estimarea probabilităților de pierdere. Vom păstra procesul nostru relativ simplu pentru moment:
1) Evaluați scenariul cel mai defavorabil
2) Evaluează magnitudinea probabilă a pierderii.
Pierderea celui mai rău caz
Deși nu vrem să ne concentrăm exclusiv pe pierderea celui mai rău caz, factorii de decizie trebuie să știe cum ar putea să arate scenariul celui mai rău caz. De asemenea, este important să identificăm pentru ei ce factori cheie ar conduce la pierderea celui mai rău caz, precum și probabilitatea unui astfel de rezultat.
Pierderea celui mai slab caz apare când un anumit set de factori se converg. Deoarece fiecare dintre acești factori are o probabilitate de apariție mai mică de 100%, probabilitatea unui rezultat cel mai defavorabil este rezultatul acestor probabilități. De exemplu, dacă au fost necesari trei factori pentru a trăi cel mai rău caz, iar probabilitățile individuale pentru acești factori au fost de 25%, 50% și 10%, atunci probabilitatea celui mai rău caz ar fi: .25 x .5 x .1 = .0125 (puțin peste 1%), presupunând că acești factori variază independent unul de altul. În general, cu cât mai mulți factori necesari pentru cel mai rău caz, cu atât probabilitatea este mai mică.
Nu este necesar să se identifice și să se estimeze probabilitatea pentru fiecare factor imaginabil. Este doar important să recunoaștem cât de puțini factori trebuie să fie în amestec pentru a conduce probabilitatea unui rezultat cel mai rău caz la o fracțiune de procent.
Vom urma trei pași pentru a estima magnitudinea celui mai rău caz:
1) Determinați acțiunea de amenințare care va rezulta cel mai probabil din cel mai rău caz
2) Estimați amploarea pentru fiecare formă de pierdere asociată cu această acțiune de amenințare
3) "Sum" dimensiunile formei de pierdere
De exemplu, dacă scenariul nostru a implicat informații sensibile, ar putea apărea un rezultat cel mai rău caz dacă informațiile ar fi fost divulgate publicului. Referindu-ne la factorii de pierdere pe care i-am acoperit mai devreme, evaluăm rezultatul cel mai rău caz prin estimarea amplorii pentru fiecare formă de pierdere asociată cu divulgarea.
poi, "suma" magnitudinele pentru a ajunge la un rezultat cel mai rău caz. În acest caz, rezultatul nostru cel mai rău caz este sever. Acest lucru poate părea ca o mulțime de muncă pentru o estimare am putea fi capabili să ajungă la intuitiv. Există, totuși, mai multe avantaje pentru acest proces:
‣ Îmbunătățește coerența
‣ Ajută la reducerea părtinilor individuale
‣ Ajută să ne asigurăm că nu uităm ceva important
‣ Oferă un cadru pentru a explica modul în care am ajuns la concluziile noastre
‣ ne permite să identificăm factorii cheie și să estimăm probabilitatea unui rezultat cel mai defavorabil
Dacă analiza noastră a identificat patru factori cheie care au fost necesari pentru a avea un rezultat cel mai rău, am putea estimața probabilitatea convergenței acestor factori și înțelegeți mai bine probabilitatea celui mai rău caz.
Estimarea magnitudinii probabile a pierderii (PLM)
Există trei etape în procesul nostru de evaluare PLM:
1) Identificați acțiunea (acțiunile) comunitară cea mai probabilă
2) Evaluați magnitudinea probabilă a pierderii pentru fiecare formă de pierdere
3) Sumati magnitudinile
Când am evaluat cel mai rău caz, am selectat acțiunea de amenințare care ar putea duce la pierderi maxime. În acest caz, selectăm acțiunea pe care este cel mai probabil să o adopte comunitatea de amenințări. În anumite scenarii, acțiunea cea mai probabilă și acțiunea celei mai nefavorabile vor fi aceleași. În alte scenarii, vor fi diferite. De asemenea, s-ar putea să nu reușim întotdeauna să ne punem comunitatea amenințărilor până la o singură acțiune cea mai probabilă. De exemplu, dacă comunitatea noastră de amenințări a fost definită ca "Angajați nemulțumiți", am putea aștepta în mod rezonabil ca acțiunile cele mai probabile să fie Deny Access (de exemplu, distruge) pentru a afecta productivitatea sau Dezvăluirea în încercarea de a provoca legea / reglementarea sau reputația deteriora.
Referindu-ne la factorii de pierdere prezentați mai jos, estimăm magnitudinea probabilă a pierderilor pentru fiecare formă de pierdere asociată cu acțiunea amenințată (amenințările) pe care am stabilit-o cel mai probabil.
Derivarea și articularea riscului
Cu tot ceea ce am acoperit până acum, s-ar putea să credeți că riscul care derivă ar fi dificil. Amintiți-vă că riscul este pur și simplu unificarea frecvenței evenimentului pierdut (LEF) și a probabilității magnitudinii pierderii (PLM).
Odată ce le-am stabilit, avem riscuri. Provocarea reală are legătură cu articularea riscurilor pentru factorii de decizie. Puțini dintre factorii de decizie pe care îi cunosc simt ca și cum o simplă etichetă adjectiv-substantiv (de exemplu, un risc ridicat) oferă suficiente informații pentru a lua o decizie bine informată. Există prea multă ambiguitate. Acest lucru este valabil mai ales dacă consideră că sub această etichetă există puțină sau nici o profunzime de analiză. Aceiași directori în general nu ar tolera o simplă etichetă "cu risc ridicat" pentru riscul de produs, de piață sau de investiții. Riscul de informare nu ar trebui să fie diferit.
O altă provocare asociată cu etichetarea calitativă simplă este aceea că există o tendință de a echivala "risc ridicat" cu "inacceptabil" și "risc scăzut" cu "acceptabil". Faptul este că, în anumite circumstanțe, riscul ridicat este complet acceptabil (de exemplu, în cazurile în care potențialul de recompensă depășește riscul). În alte situații, o condiție cu risc relativ scăzut poate fi inacceptabilă, în special dacă expunerea este sistemică în cadrul unei organizații. Includerea unor informații mai specifice privind LEF și PLM poate contribui la reducerea prejudecăților asociate cu etichetele de risc calitativ. În concluzie, articularea riscului trebuie să răspundă nevoilor factorilor de decizie. Dacă se simt confortabil cu o etichetă calitativă simplă, să fie așa. Provocarea devine apoi sigură că sunt de acord cu criteriile pentru fiecare nivel. Următoarea matrice conține etichete de risc calitativ care pot sau nu să reprezinte toleranțele de risc ale factorilor de decizie.
De exemplu, unii factori de decizie ar putea simți că o combinație de LEF foarte scăzut și PLM înalt reprezintă un risc înalt, spre deosebire de riscul mediu derivat mai sus. Liniile care diferențiază nivelurile de risc vor varia de la organizație la organizație.
Exemplificare
Un director al departamentului de resurse umane (HR) din cadrul unei bănci mari are numele de utilizator și parola, scrise pe o notă lipicioasă fixată pe monitorul calculatorului său. Aceste acreditări de autentificare îi permit să se conecteze la rețea și să acceseze aplicațiile HR pe care are dreptul să le utilizeze. Înainte de a începe, gândiți-vă cum evaluați nivelul riscului în acest scenariu pe baza evaluărilor pe care le-ați văzut sau ați făcut în trecut.
Analiza:
Etapa 1 -Identificarea componentelor scenariului – Identificați riscul activului – Identificați comunitatea de amenințări luată în considerare;
Etapa 2 – Evaluarea Frecvenței Evenimentului Pierdut (LEF) – Estimați frecvența probabilă a evenimentelor de amenințare (TEF) – Estimarea capacității de amenințare (TCap) – Estimarea puterii de control (CS) – Vulnerabilitatea derivă (Vuln) – Derive Frequency Event Loss (LEF)
Etapa 3 – Evaluați magnitudinea probabilă a pierderilor (PLM) – Estimați pierderea celui mai rău caz – Estimați pierderea probabilă;
Etapa 4 – Derivarea și articularea Riscului – derivă și articulează riscul.;
Etapa 1 – Identificarea componentelor scenariului
Identificați valoarea activului la risc
Prima întrebare pe care trebuie să o răspundem este: "Ce activ este expus riscului?" Un alt mod de a gândi este de a determina unde există valoarea sau răspunderea. De obicei, sunt întrebat când prezint acest scenariu dacă acreditările sunt activul sau dacă sunt aplicațiile, sistemele și informațiile pe care acreditările le oferă accesul. Răspunsul scurt este "da" – toate sunt active. În acest caz, cu toate acestea, ne vom concentra pe acreditări, recunoscând că valoarea lor este moștenită din activele pe care intenționează să le protejeze.
Identificați comunitatea de amenințări
A doua întrebare pe care trebuie să o răspundem este: "Riscul asociat cu ce amenințare?" Dacă analizăm natura organizației (de exemplu, industria în care se află etc.) și condițiile care o privesc (de ex. ), putem începe să analizăm populația amenințată generală în comunitățile care ar putea aplica în mod rezonabil. Câte comunități de amenințări alegem să le analizăm și modul în care le subdivizăm depinde de noi. Probabil nu este o folosire bună a timpului pentru a include în analiza noastră orice comunitate de amenințări imaginabile. De exemplu, având în vedere acest scenariu, probabil că nu ar fi util să analizăm riscul asociat cu serviciile de informații ale statelor naționale, cum ar fi DGSE francez.
Spunem că nu este posibil ca un spion de stat să atace această bancă prin această expunere? Nu. Dar luând în considerare natura comunităților de amenințare în raport cu industria, organizarea și bunurile, putem ajunge la concluzii rezonabile, fără a deveni victime ale paraliziei de analiză sau "șanse de loterie".
În acest scenariu, pare rezonabil să se ia în considerare riscul asociat cu următoarele comunități amenințătoare:
‣ Echipajul de curățenie
‣ Alte lucrători din domeniul resurselor umane care au acces regulat la biroul executivului;
‣ Vizitatorii la biroul său
‣ Vizitatori
‣ Solicitanții de locuri de muncă
‣ Personalul de suport tehnic
Cu experiența devine mai ușor de determinat care comunități merită să includă și exclude și dacă este logic să combinăm comunități precum cele care intră sub "Vizitatori". Pentru acest exemplu, să ne concentrăm asupra echipajului de curățenie.
Etapa 2 – Evaluarea Frecvenței Evenimentului Pierdut (LEF)
Estimați frecvența probabilă a evenimentelor de amenințare (TEF)
Mulți oameni cer reamuri de date dure înainte de a fi confortabil estimarea frecvenței de atac. Din păcate, deoarece nu avem multe (dacă există) date cu adevărat utile sau credibile pentru multe scenarii, TEF este adesea ignorată cu totul. Momentul în care ignorăm această componentă a riscului, totuși, nu mai vorbim de risc. Deci, în lipsa unor date dure, ce a mai rămas? Un răspuns este să utilizați o scală calitativă, cum ar fi Scăzut, Mediu sau Mare. Și, deși nu există nimic în mod inerent în eroare cu o abordare calitativă în multe circumstanțe, o abordare cantitativă oferă o claritate mai bună și este mai utilă pentru majoritatea factorilor de decizie – chiar dacă este imprecisă. De exemplu, s-ar putea să nu am ani de date empirice care să documenteze cât de frecvent personalul echipajului de curățare abuzează numele de utilizator și parolele pe note lipicioase, dar pot face o estimare rezonabilă în cadrul unui set de intervale.
După cum sa discutat în secțiunea Factoring, estimarea TEF se va baza pe cât de frecvent există contactul între această comunitate de amenințări (echipajul de curățenie) și acreditările și probabilitatea ca ei să acționeze împotriva acreditărilor. În cazul în care echipa de curățenie vine o dată pe zi de lucru, contactează rezonabil de câteva sute de ori pe an. Probabilitatea de a acționa este determinată de trei factori principali:
‣ Valoarea activului pentru ele (pe baza motivelor lor – câștiguri financiare, răzbunare etc.),
‣ Cat de vulnerabil este activul
‣ Versus riscul de a fi prins și de a suferi consecințe inacceptabile
Recunoscând că echipajele de curățenie sunt, în general, compuse din oameni cinstiți, că acreditările unui executiv al HR nu ar fi în mod normal văzute sau recunoscute ca fiind deosebit de valoroase pentru ei și că riscul perceput de utilizare ilicită poate fi ridicat, TEF folosind tabelul de mai jos:
Este posibil ca un echipaj de curățenie să aibă un angajat cu motive, o experiență suficientă de calcul pentru a recunoaște valoarea potențială a acestor acreditări și cu o toleranță suficient de mare la risc pentru a-și încerca mâinile în scopuri ilicite? Absolut! Se întâmplă? Fara indoiala. Poate o persoană să fie pe echipajul care curăță acest birou? Sigur – este posibil. Cu toate acestea, frecvența probabilă este relativ scăzută.
Estimarea capacității de amenințare (Tcap)
Tcap se referă la abilitatea agentului de amenințare (cunoștințe și experiență) și la resurse (timp și materiale) care pot fi aduse împotriva activului. Un scenariu diferit ar putea oferi o mai bună ilustrare a acestei componente a analizei – ceva asemănător unei aplicații web cu o slăbiciune de injectare SQL – dar scenariile de acest gen nu se pretează la un document introductiv. În acest caz, tot ceea ce vorbim este estimarea abilității (în acest caz capacitatea de citire) și a resurselor (timpului) pe care membrul mediu al acestei comunități de amenințări le poate folosi împotriva unei parole scrise pe o notă lipicioasă. Este rezonabil să evaluăm echipajul de curățare Tcap ca mediu, în comparație cu populația totală a amenințărilor.
Rețineți că Tcap este întotdeauna estimat în raport cu scenariul. Dacă scenariul nostru era diferit și am evaluat capacitatea echipajului de curățenie de a executa un atac de injecție SQL, probabil că le-am evaluat mai puțin.
Estimați puterea de control (CS)
Puterea de control are de-a face cu capacitatea unui activ de a rezista compromisului. În scenariul nostru, deoarece acreditările sunt vizibile și în text simplu, CS este foarte scăzută. Dacă au fost scrise, dar criptate, CS ar fi diferit – probabil mult mai mare
Întrebarea apare uneori: "Nu sunt bune practici de angajare un control al activelor interne?" Și "Nu este controlul asupra ușii executivului?" Absolut, sunt. Dar aceste controale influențează frecvența contactului, spre deosebire de cât de eficiente sunt controalele în punctul de atac. Vom acoperi în detaliu apărarea în documentația ulterioară.
Derulați vulnerabilitatea (Vuln)
Derivarea vulnerabilității este ușoară odată ce ați stabilit Tcap și CS. Rețineți din secțiunea Factoring că vulnerabilitatea este diferența dintre forța care va fi probabil aplicată și capacitatea activului de a rezista acestei forțe. Folosind matricea de mai jos, găsiți pur și simplu Tcap de-a lungul părții din stânga a matricei și CS de-a lungul fundului. În cazul în care se intersectează determină vulnerabilitatea
Cunoscand ca echipele de curatenie sunt in general alcatuite din oameni onesti, ca scrisorile de acreditare ale functionarilor HR de obicei nu ar fi vazute sau recunoscute drept o valoare speciala pentru ei, si ca riscul perceput asociat cu folosinta ilicita ar putea fi ridicat, astfel pare rezonabil sa estimezi TEF-ul scazut folosind tabelul de mai jos.
Este posibil pentru o echipa de curatenie sa aiba angajati cu motivatie, suficienta experienta cu tehnica de calcul pentru a recunoaste potential valoare a acestor scrisori de acreditare, si cu un risc de toleranta suficient de ridicat sa-si incerce mana la o folosinta ilicita? Cu siguranta! Se intampla asta? Fara indoiala! Ar putea o astfel de persoana sa fie in echipa de curatenie a acestui birou? Desigur- este posibil. Cu toate acestea, probabilitatea frecventei este relativ scazuta.
Estimarea Amenintarii (Am)
Amenintarea se refera la aptitudinile amenintatoare ale agentului ( cunostinte si experienta) si resursele (timp si materiale) care pot fi aduse pentru a suporta activul. Un scenariu diferit poate furniza o mai buna ilustrare a acestei componente a analizei – ceva de genul ca o aplicatie web cu un SQL cu o slabiciune la injectare – dar scenarii ca acestea nu aterizeaza ele singure intr-un document introductiv. In acest caz, toate acestea despre care vorbim estimeaza aptitudinea ( in acest caz, abilitatea de a citi) si resursele (timpul) suma membrilor a acestei comunitati amenintatoare poate fi folosita impotriva unei parole scrise pe un biletel. Este rezonabil sa evaluezi echipa de curatenie Amenintarea ca fiind medie, in comparatie cu totalul amenintarii populatiei. Tine minte ca Am este intotdeauna estimata relativ in acest scenariu. Daca scenariul nostru ar fi fost diferit, si am fi evaluat capabilitatea echipei de curatenie de a executa un atac de injectie a SQL, probabil i-am fi evaluat ca fiind de nivel scazut.
Estimarea Controlului Rezistentei (CR)
Controlul rezistentei are legatura cu abilitatea activului de a rezista compromisului. In scenariul nostru, pentru ca scrisorile de acreditare sunt in prim plan si in plin text, CR este Foarte Scazut. Daca ei ar fi scris jos, dar criptat, CR ar fi fost diferit – probabil mult mai ridicat.
Intrebarea uneori apare, “Nu e buna angajarea practicilor de control pentru activul intern?” si “Nu este incuierea usilor functionarilor un control?” Desigur, sunt. Dar acesti factori de control in contactul frecvent, sunt opusul la cat de eficiente sunt controalele in acest punct de atac. Vom acoperi apararea in profunzimea documentatiei ulterioare.
Deducerea Vulnerabilitatii (Vuln)
Deducerera vulnerabilitatii este usoara odata ce ai stabilit Am si CR. Retragerea din sectiunea Fabriii a acelei vulnerabilitati, care este diferenta intre forta care ar trebui aplicata, si aptitudinea activului de a rezista acest ei forte. Folosind matricea de mai jos, gasesti Am-ul pe partea stanga a matricei, si CR-ul in partea de jos. Unde se intersecteaza cele doua este determinata vulnerabilitatea.
Deducerea Pierderii Frecventei Evenimentului (PFE)
Asemanator cu vulnerabilitatea, PFE provine din intersectarea AFE si a Vulnerabilitatii din matrice.
In scenariul nostru, dandu-i lui AFE un grad Scazut si Vulnerabilitatii un grad Foarte Ridicat, PFE-ul este Scazut. Tine minte ca vulnerabilitatea este un procentaj, ceea ce inseamna ca nu poti fi niciodata mai mult de 100% vulnerabil. In consecinta, PFE nu va fi niciodata mai bun decat AFE.
Pana acum, s-ar putea sa incepi sa te simti inconfortabil cu ideea de a categorisi scenariul ca fiind ceva “scazut” – chiar daca esti de accord cu logica din spatele analizei. Este mult prea diferit fata de ceea ce ai fost invatat si ai practicat.
Intrebarile cerute de riscul agregat, si verificarea antecedentelor incep sa apara – si cu un motiv bun. Vom atinge asta din nou mai tarziu, dar fiti siguri ca PFE “scazut” nu este neeaparat acelasi lucru cu “nu e nicio problema”.
ETAPA 3 – Evaluarea Marimii Probabile a Pierderilor (MPP)
Folosind ultimii 7 pasi, am determinat ca probabilitatea pierderii unui eveniment in scenariul nostru este Scazuta (undeva intre .1 si o data pe an). Acum infruntam analizarea pierderii, daca un eveniment se intampla.
Cum am mentionat mai devreme, utilizatorul si parola scrisorilor de acreditare mostenesc valoarea si raspunderea asociate cu resursele la care au acces. Pentru un functionar HR, putem astepta rezonabil aceste scrisori de acreditare care permit accesul HR-ului la informatii organizationale, ca si la personalul angajat si la informatii despre angajati (date despre performante, date medicale si despre sanatate, adresa, SSN, salariul, etc). In unele organizatii, depinde de unde se afla functionarii HR in ierarhia companiei, el/ea ar putea avea acces la informatii despre strategia companiei. Pentru scenariul nostru, ne asumam ca acesti functionari nu au acces la punctele sensibile ale strategiei companiei.
Estimarea in cadrul celui mai rau scenariu
În cadrul acestui scenariu, trei acțiuni potențiale de amenințare se remarcă prin faptul că au un potențial semnificativ de pierdere – abuzul, dezvăluirea și distrugerea.
Abuzul – Înregistrările angajaților contin de obicei informații care pot fi folosite pentru furtul de identitate, care poate produce potențiale pierderi legale și reputaționale
Dezvăluirea – înregistrările angajaților contin adesea informații personale sensibile legate de probleme medicale sau de performanță, care produc expunerea legală și reputațională
Interzicerea accesului (distrugerea) – înregistrările angajaților reprezintă o parte necesară de funcționare a oricărei afaceri. În consecință, distrugerea lor poate duce la un anumit grad de pierdere a productivitatii.
În unele cazuri, este necesar să se evalueze pierderea asociată cu mai multe acțiuni de amenințare pentru a decide care dintre acestea are cel mai mare potențial de pierdere. Pentru acest exercițiu, vom selecta dezvaluirea drept cel mai rau caz de amenințare.
Următorul pas este să estimăm mărimea celor mai grave pierderi pentru fiecare modalitate de pierdere.
Rețineți că nu am estimat magnitudinea pierderilor pentru Înlocuire. Ori de câte ori evaluați pierderea și una sau mai multe dintre forme are o magnitudine de pierdere Severa (Sv), nu merită să vă gândiți prea mult la formele de pierdere care au o magnitudine mult mai mică sau nu. În acest caz, înlocuirea nu se aplică deoarece activele nu sunt distruse.
Estimările noastre se bazează pe următoarele considerente:
Productivitatea
– Este posibil ca pierderile de productivitate să fie ridicate, deoarece atenția angajaților este redirecționată către acest eveniment
Raspunsul
– Cheltuielile juridice asociate avizului juridic intern și extern ar putea fi Ridicate, în special în cazul în care au fost depuse dosare de judecată
Amenzi / Hotărâri
– În cazul în care informațiile dezvăluite includ detalii privind boala psihologică sau alte probleme de sănătate sensibile, atunci hotărârile judecătorești în numele angajaților afectați ar putea fi Severe, în special în cazul în care un număr mare de angajați au fost afectați
– Dacă informațiile includ dovezi ale activității criminale sau incompetență din partea conducerii, atunci amenzi și sancțiuni legale și de reglementare ar putea fi Severe
Avantaj competitiv
– În cazul în care informațiile divulgate au furnizat dovezi de incompetență sau de activitate infracțională, competitorii ar putea, în teorie, să obțină un avantaj. În cea mai mare parte, cu toate acestea, ne putem aștepta ca competitorii pur și simplu să astepte și să se incline catre oricare clienți dezamăgiți (reprezinta o pierdere de reputație)
Reputatie
– În cazul în care informațiile erau suficient de sensibile, diligența a fost foarte absentă, acțiunile în justiție au fost destul de mari, iar răspunsul la mass-media a fost negativ și generalizat, atunci pierderea reputației asociată si cu pierderea clientului și cu valoarea stocurilor ar putea fi Severă.
* Mărimile vor varia în funcție de dimensiunea organizației.
Nu vom documenta toate rațiunile noastre în cele mai multe analize de risc. De cele mai multe ori internalizăm toți factorii, cu excepția celor mai importanți. Cu toate acestea, înțelegerea mai profundă a acestor factori și a modului în care acestea funcționează mărește calitatea analizelor noastre.
Rețineți că rațiunea de mai sus se bazează pe ceea ce s-ar putea întâmpla. Acest lucru evidențiază faptul că analizele cele mai nefavorabile se bazează mai degrabă pe posibilități decât pe probabilități. Pentru a face ca acest lucru să fie semnificativ, trebuie să avem o idee despre cât de probabil este rezultatul cel mai rău caz.
Un număr mare de factori afectează probabilitatea unui rezultat cel mai defavorabil. În acest scenariu, am selectat dezvăluirea drept acțiune de amenințare cea mai gravă, dar nu am luat în considerare probabilitatea ca un agent de amenințare din partea acestei comunități de amenințări să dezvăluie în mod intenționat informațiile. Alte acțiuni ar putea fi mult mai probabile. Dezvăluirea accidentală ar putea rezulta, bineînțeles, în cazul în care agentul de amenințare a executat furtul de identitate, a fost prins și informațiile au fost trasate înapoi la această organizație și la acest eveniment. O serie de "daca" – fiecare cu o probabilitate mai mică de 100%. În plus, chiar dacă a avut loc dezvăluirea, organizația are posibilitatea de a atenua amploarea pierderii prin răspunsul său. Ar ieși din modul său pentru a rectifica situația? Are o capacitate de relații publice eficiente și o relație bună cu mass-media? Fiecare dintre acești factori reduce probabilitatea unui rezultat cel mai defavorabil.
În majoritatea cazurilor, nu merită să cheltuiți prea mult timp și efort pentru a evalua probabilitatea unui rezultat cel mai defavorabil. Petreceți suficient timp pentru a sti care sunt factorii-cheie si aproximativ punctul unde rezultatul cel mai nefavorabil continuu se încadrează între aproape sigur și aproape imposibil.
Pentru scenariul nostru, vom determina ca marimea celui mai grav caz este severă (zeci de milioane de dolari), dar cu o probabilitate foarte scăzută de apariție.
Estimarea mărimii probabile a pierderilor (MPP)
Primul pas în estimarea MPP este de a determina ce acțiune de amenințare este cea mai probabilă. Tine minte; acțiunile sunt conduse de motive, iar motivul cel mai comun pentru acțiunea ilicită este câștigul financiar. Având în vedere această comunitate de amenințări, tipul de activ (informațiile personale) și acțiunile de amenințare disponibile, este rezonabil să selectați abuzul ca fiind cea mai probabilă acțiune – de exemplu, pentru furtul de identitate.
Următorul pas este să estimăm mărimea cea mai probabilă a pierderilor rezultate din utilizarea necorespunzătoare pentru fiecare formă de pierdere.
Rațiunea noastră pentru aceste estimări include:
Impactul asupra productivității va fi Moderat, deoarece angajații vor reacționa la eveniment
Costul de a răspunde la eveniment va include investigații, o anumită perioadă de timp din partea unui avocat intern, și restituirea către orice angajat afectat
Cheltuielile de înlocuire implică pur și simplu costul schimbării parolei executive
Nu se produce nicio acțiune legală sau de reglementare deoarece incidentul nu este luat în instanță sau raportat autorităților de reglementare
Nu există o pierdere a avantajului competitiv din cauza naturii relativ inconsecvente a evenimentului
Nu există daune materiale reputaționale pentru că a fost un eveniment intern, nu au fost afectați clienți, iar organizația a avut un program de securitate care include politici și educație
Câteva ipoteze cheie au jucat, de asemenea, un rol în estimările noastre. Am presupus:
Organizația a devenit conștientă de incident. Este foarte posibil ca acest tip de eveniment să meargă nedetectat. Până la detectare, nu există pierderi materiale pentru organizație.
Relativ puțini angajați au avut de fapt furt de identitate.
Organizația a răspuns în mod eficient la eveniment.
Deducerea si enuntarea riscului
Am facut deja partea grea, aceea ca riscul este pur si simplu dedus din PFE si MPP. Intrebarea este daca sa enuntam riscul calitativ folosind o matrice ca cea de mai jos, sau sa enuntam riscul ca fiind PFE, MPP si cel mai rau caz. Pentru acest exercitiu, le vom face pe amandoua.
Presupunand ca matricea de mai jos a fost “aprobata” de catre conducerea bancii noastre fictive, putem raporta ca riscul asociat cu aceasta comuna amenintare este Mediu, fiind bazat pe un PFE scazut ( intre o data pe an si .1 ) si un MPP moderat ( intre 10k $ si 100k $). De astfel, putem comunica catre factorii de deicizie aceea ca pierderea in cel mai rau caz ar putea fi severa, dar probabilitatea unui astfel de scenario este scazuta.
Intr-o analiza reala, este probabil ca vom evalua si raporta mai mult decat o amenintare comuna.
Nota de precautie : Desi riscul asociat cu un caz oarecare este relativ scazut, acelasi caz existand in mai multe circumstante in cadrul organizatiei poate reprezenta un risc agregat mai mare. In anumite conditii, riscul agregat poate creste geometric contrar unei cresteri liniare. In plus, problemele cu risc scazut, de tipuri grsite sau in combinatii eronate, pot crea un mediu in care un singur eveniment poate creste exponential si sa derive un rezultat catastrofal- un effect de avalansa. Este important sa tinem cont de aceste considerente atunci cand evaluam riscurile si transmitem rezultatele catre factorii decizionali.
Concluzii si Pasii Urmatori
Concluzii
Profesia noastra a recunoscut necontenit ca securitatea perfecta nu este posibila, nici nu ar fi concret daca ar fi fost posibila. Scopul nostru fundamental ca profesionalisti este sa ne ajutam angajatii sa gestioneze frecventa si amploarea pierderii.
Din pacate, metodele si conceptele pe care multi dintre noi le-am urmarit de-a lungul anilor nu reflecta adevarata natura a riscului, si au limitat capacitatea noastra de a fi eficienti. Nu am fost capabili sa raspundem credibil la cateva intrebari de baza:
-Cat de mult consideram ca gestionarea riscurilor este suficienta?
-Cat de mult risc avem?
-Cat de mult va scadea riscul daca punem in aplicare solutia X,Y sau Z?
Fiecare din aceste intrebari implica capacitatea de a masura riscurile. Cu toate acestea, fara o intelegere solida a conceptelor si factorilor de risc fundamentali, nu putem incepe o masurare a acestora in mod credibil. FAIR incearca sa ofere baza necesara prin intermediul clasificarilor, definitiilor si metodelor sale de analiza.
Asa am dezvoltat si aplicat aceste concepte si procese la scenariile de risc din lumea reala, la care lucrez, si am inceput sa pregatesc alte persoane in cadrul organizatiei mele, unde rezultatele au fost semnificative:
-Analize mult mai consistente, de calitate superioara;
-Un sentiment mai mare de incredere din partea celor care efectueaza analizele;
-Un sentiment mai mare de incredere din partea factorului decizional;
-O capacitate imbunatatita in mod semnificativ de gestionare a riscurilor.
Pentru aceeia care au fost introduși la FAIR și au avut ocazia să o vadă, majoritatea se prezintă foarte entuziasmați în sprijinul lor. Este firesc, totuși, ca oamenii să accepte schimbarea la momente diferite. Pe unii dintre noi ne țin convingerile foarte ferm și poate fi dificil și neconfortabil să adoptăm o nouă abordare. În cele din urmă, nu toată lumea va fi de acord cu principiile sau metodele care stau la baza FAIR. Câțiva au numit-oa fi un nonsens. Alții par să se simtă amenințați de aceasta. Preocupările lor au tendința de a se roti în jurul uneia sau mai multora dintre următoarele aspecte:
Lipsa unor date puternice. Nu există nicio îndoială că ar fi utilă o abundență de date bune. Din păcate, aceasta nu este realitatea noastră actuală. În consecință, trebuie să găsim o altă modalitate de abordare a problemei, iar FAIR este o soluție.
Lipsa de precizie. Din nou, precizia este plăcută atunci când este posibilă, dar nu este realistă în acest spațiu problematic. Realitatea este prea complexă. Luați în considerare următoarele ilustrații:
Ținta din stânga are un model relativ precis, dar plasarea nu este exactă. Ținta din dreapta are un șablon mai puțin precis, dar plasarea reflectă o precizie mult mai bună. Multe dintre metodele de evaluare și unele cele mai bune practici utilizate astăzi oferă un grad relativ ridicat de precizie, dar numai starea de control a adreselor. Din păcate, starea de control nu reflectă cu exactitate riscul. FAIR reprezintă o încercare de a obține o acuratețe mult mai bună, recunoscând în același timp că natura fundamentală a problemei nu permite un grad ridicat de precizie. Experiența mea a fost că factorii de decizie preferă cu fermitate precizia.
Este nevoie de o parte de mister în afara profesiei. De fapt, există și cei care preferă să fie artiști.
– în unele cazuri, deoarece un artist nu poate fi niciodată judecat ca "greșit".
Analiza FAIR pare a fi o muncă grea. Vestea bună este că devine mai ușor cu practica. După o clipă, judecățile noastre rapide, "ghidat intuitiv", devin o calitate mult mai înaltă din cauza înțelegerii noastre mai profunde. Suntem mai bine calibrați. De asemenea, merită remarcat faptul că aplicațiile software simple, de prototip FAIR fac analize complexe cu mai multă ușurinta.
FAIR pare complicat. Nu există nici o îndoială că majoritatea dintre noi utilizăm soluții simple atunci când le putem găsi. De fapt, soluțiile simple sunt mai eficiente decât soluțiile complexe în multe cazuri. Din fericire, putem alege să folosim cadrul la orice nivel de abstractizare care se potrivește nevoilor noastre. Avantajul vine de la știința a cât mai multe despre factorii care există la niveluri inferioare de abstractizare, ceea ce ne permite să facem judecăți mai bune la nivele mai ridicate de abstractizare.
Unii oameni nu preferă schimbarea – de fapt se schimbă la fel de intens pe cât se reprezintă.
Nu este surprinzător faptul că unii oameni reacționează negativ, deoarece FAIR reprezintă o influență perturbatoare în cadrul profesiei noastre. Singura mea solicitare a celor care oferă critici este aceea că aceasta oferă și motive raționale și alternative. De fapt, încurajez întrebările grele și criticile constructive pentru că:
‣ Slăbiciunile din cadru pot fi identificate a fi și corectate, sau
‣ Cadrul poate oferi un răspuns la întrebarea sau critica, care îi întărește credibilitatea
De unde să pornim
Acest document abia atinge suprafața dezvoltării și a cercetării, care acoperă patru ani. Sunt în curs de elaborare documentații mai cuprinzătoare, instrumente de prototip și materiale de instruire pentru analiza riscurilor, astfel încât cadrul să poată fi aplicat împotriva problemelor complexe din lumea reală cu care ne confruntăm în fiecare zi. Documentația viitoare va acoperi următoarele subiecte:
‣ O aprofundare mult mai intensă în controale, în amenințări și în pierderi
‣ Captarea și analiza datelor
‣ Modelare complexă a scenariilor
‣ Analiza amenințărilor cu spectru larg
– Concepte instabile șifragile
‣ Risc agregat
‣ Eroare, eșec și acțiuni ale lui Dumnezeu
‣ Evaluarea riscului la nivel organizațional
‣ Integrarea conceptelor FAIR într-un program de management al riscului organizațional
‣ Utilizarea conceptelor FAIR pentru evaluarea altor tipuri de risc (de exemplu, riscul de piață, riscul investițional, riscul juridic etc.)
Metodologia de trecere de la întreprindere clasică la întreprindere numerică
https://www.forbes.com/sites/louiscolumbus/2018/04/22/the-state-of-digital-business-transformation-2018/
https://www.forbes.com/sites/danielnewman/2018/09/11/top-10-digital-transformation-trends-for-2019/#5dbfc4d13c30
https://www.degruyter.com/downloadpdf/j/fman.2018.10.issue-1/fman-2018-0011/fman-2018-0011.pdf
https://www.bain.com/contentassets/7279619637c1423d9603f6b87518e13e/digital_enterprise_moving_experimentation_transformation_report_2018.pdf
References
(n.d.). Retrieved from http://www.isaca.org/COBIT/focus/Pages/cobit-5-for-risk-a-powerful-tool-for-risk-management.aspx
Bun venit la Institutul Național de Statistică | Institutul Național de Statistică. (n.d.). Retrieved from http://www.insse.ro/
Ce este Business Intelligence ( sistem BI )? (n.d.). Retrieved from https://www.seniorsoftware.ro/business-intelligence/ce-este-business-intelligence-bi/
Cloud services grow 20% in 2015 to reach $107B. (2016, July 26). Retrieved from http://www.itcandor.com/cloud-2015/
Deac, V., Cioc, M., & Deaconu, A. (2014). Management. Editura A.S.E.
Deaconu, A. (1998). Economia intreprinderii. Editura Didactica si Pedagogica.
European Parliament . (n.d.). Retrieved from http://www.europarl.europa.eu/portal/en
Fayol, H. (2013). General and industrial management. Martino Fine Books.
Four themes of becoming a digital enterprise. (n.d.). Retrieved from http://reports.weforum.org/digital-transformation/becoming-a-digital-enterprise/
Glodeanu, I., Hoffman, O., & Dragomirescu, D. (2003). Actorii sociali ai promovarii tehnologiilor informatiei si comunicatiilor. Mica Valahie.
Griffin, R. W. (2012). Management fundamentals. South-Western Cengage Learning.
Hussey, D. E. (1984). Corporate planning theory and practice. Pergamon Press.
Insert/edit link. (n.d.). Retrieved from https://blogs.sap.com/2015/06/30/industry-40-fourth-industrial-revolution/
Insert/edit link. (n.d.). Retrieved from https://blogs.sap.com/2015/06/30/industry-40-fourth-industrial-revolution/
Kinicki, A., & Williams, B. K. (2013). Management a practical introduction. McGraw-Hill Irwin.
Koontz, H., O'Donnell, C., & Weihrich, H. (1986). Essentials of management. McGraw-Hill.
Koontz, H., & O'Donnell, C. (1968). Principles of management: An analysis of managerial functions. Mcgraw-hill.
Kotarba, M. (2018, 07). Digital Transformation of Business Models. Foundations of Management, 10(1), 123-142. doi:10.2478/fman-2018-0011
Madgearu, V. (1944). Curs de economie politică. Institutul de Cercetări Economice.
Make History. (n.d.). Retrieved from https://www.kleinerperkins.com/
Microsoft Dynamics NAV. (n.d.). Retrieved from http://www.elian-solutions.ro/images/pdf/Doina Fotache – Prezentarea si evolutia sistemelor ERP (Enterprise Resource Planning).pd
Nicolescu, O., & Verboncu, I. (1997). Management. Editura Economică.
Piața unică digitală pentru Europa. (2017, October 23). Retrieved from http://www.consilium.europa.eu/ro/policies/digital-single-market/
Radu, I., Ursăcescu, M., & Vlădeanu, D. (2005). Informatică şi management: O cale spre performanţă. Editura Universitară.
Reinventing the Enterprise-Digitally. (n.d.). Retrieved from https://www.bcg.com/publications/2018/reinventing-enterprise-digitally.aspx
Rhodes, E., & Wield, D. (2001). Implementing new technologies: Innovation and the management of technology. NCC Blackwell.
Scarlat, E. (2005). Agenţi şi modelarea bazată pe agenţi în economie. Editura A.S.E.
Scarlat, E. (2005). Agenţi şi modelarea bazată pe agenţi în economie. Editura A.S.E.
Servicii de interes general. (2018, August 01). Retrieved from https://ec.europa.eu/info/topics/single-market/services-general-interest_ro
Shane, S. (2008). Handbook of technology and innovation management. Wiley.
Smith, A., & Seligman, E. R. (1910). The wealth of nations. Dent.
Spectral. (n.d.). Industry 4.0 and how smart sensors make the difference. Retrieved from https://www.spectralengines.com/articles/industry-4-0-and-how-smart-sensors-make-the-difference
UTILIZAREA CONCEPTELOR SPECIFICE ORGANIZATIILOR VIRTUALE IN PRACTICA MEDICALA DIN ROMANIA. (n.d.). Retrieved from http://www.creeaza.com/referate/informatica/UTILIZAREA-CONCEPTELOR-SPECIFI986.php
What is digital enterprise? – Definition from WhatIs.com. (n.d.). Retrieved from https://searchcio.techtarget.com/definition/Digital-enterprise
What is virtualization? (n.d.). Retrieved from https://azure.microsoft.com/en-us/overview/what-is-virtualization/
You have free articles left to view this month. (n.d.). Retrieved from http://www.apics.org/apics-for-individuals/apics-magazine-home/magazine-detail-page/2017/09/20/industry-1.0-to-4.0-the-evolution-of-smart-factories
Zahiu, L., & Năstase, M. (2003). Economia întreprinderii. Editura A.S.E.
Zahiu, L., & Năstase, M. (2003). Economia întreprinderii. Editura A.S.E.
The digital enterprise. (n.d.). Retrieved from https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/the-digital-enterprise
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: ACADEMIA DE STUDII ECONOMICE DIN BUCUREȘTI [309560] (ID: 309560)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.