Szkolenie, wdrożenie czy zarządzanie wiedzą?

Jedną z naszych usług audytorskich jest audyt wdrożeniowy. Nie różni się co do metod i form od innych audytów, wyróżnia go cel. Jest nim:

Sprawdzenie poprawności wdrożenia.

Zanim przejdziemy do omówienia form i metod audytu oraz tego, co podlega ocenie kilka zdań wprowadzenia. Jest to niezbędne do wskazania pewnych nieprawidłowości, które pojawiają się często we wdrożeniach, a skutkować mogą naprawdę nieprzyjemnymi konsekwencjami- najczęściej brakiem realnego wdrożenia na rzecz działań pozorowanych i fasadowych.

Szkolenie jako wdrożenie?

Szkolenie jest bardzo ważnym elementem wdrożenia systemów zarządzania bezpieczeństwem, ale nie możemy stwierdzić, że szkolenie równa się wdrożenie. Jest to częsty błąd, widoczny w systemach ochrony danych (RODO), ochrony przeciwpożarowej, ochrony fizycznej i wielu innych. Aby udowodnić tę tezę, zestawmy cele przedsięwzięć.

Szkolenie wdrożeniowe

Celem tego przedsięwzięcia jest poinformowanie interesariuszy (pracowników, kontraktorów, osób kierujących, klientów) o opracowaniu systemu zarządzania bezpieczeństwem w danym obszarze (RODO, PPOŻ., ochrona fizyczna), omówienie zadań i obowiązków oraz wskazanie trybu i zasad postępowania.

WAŻNE: nasi klienci, dostawcy, wszystkie osoby nie związane bezpośrednio z organizacją również podlegają formom szkolenia. Najczęściej jest to zadana lektura (przeczytanie treści informacji o zasadach bezpieczeństwa, zapoznanie się z piktogramami, infografikami) lub krótkie omówienie zasad przez przewodnika.

Wdrożenie systemu

Celem tego przedsięwzięcia jest uzyskanie zgodności w zakresie objętym systemem w sposób określony w założeniach. Wymagania wyrażone są w dokumentacji systemowej, która wskazuje prawidłowe postępowanie. Zgodność odnosi się najczęściej do konkretnego działania, które jest udowadniane dokumentacją operacyjną (dowodami), w postaci prawidłowo wypełnionych notatek, maili, ale też w zakresie realizacji projektów bezpieczeństwa w sposób zgodny z opisanym w wymaganiach. Obejmuje również poprawność wykonania audytu powdrożeniowego, w ramach którego ocenie podlega zgodność działań z założeniami zawartymi w dokumentacji systemowej.

Reasumując, celem wdrożenia jest „wymuszenie” konkretnego działania.

Zarządzania wiedzą

Jest to dostarczenie wiedzy w czasie, miejscu i formie, w jakiej jest niezbędna do poprawnego realizowania działań.

Audyt wdrożeniowy

Mając już wskazane cele konkretnych działań, możemy przejść do oceny wdrożenia. Zacznijmy od oceny szkoleń wdrożeniowych.

Ocena szkoleń (wdrożeniowych)

Celem szkoleń jest dostarczenie wiedzy o, pisząc kolokwialnie, podziale zadań i obowiązków oraz wskazanie ich wykonywania. W trakcie audytu ocenie poddawane są:

  • Cele szkoleń. Dwa podstawowe, wokół których operujemy standardowo przy ocenie szkoleń wdrożeniowych to uzyskanie wiedzy o obowiązkach oraz nabycie umiejętności w ich realizacji,
  • Dobór form i metod. Pozostając przy dwóch głównych celach formy powinny być nastawione na przekazanie informacji (wiedzy), a więc wykład, prezentacja, zadana lektura lub na nabycie umiejętności – prezentacja sposobu wykonania, instruktaż,
  • Ocena skuteczności. Ten obszar obrazować powinien poziom zrozumienia, czyli czy uczestnik systemu zarządzania bezpieczeństwem czy ochroną wie, co ma robić i czy umie to robić (lub wie, gdzie znaleźć instrukcje wykonania).

Jak widać, trudno jest mówić o wdrożeniu systemu w momencie, gdy osoby dopiero co miały zaprezentowane sposoby wykonania czynności.

Przykład:

Ochrona informacji, w tym danych osobowych. W takcie szkolenia omawiane jest wysyłanie maila do wielu adresatów. Szkolący zaznacza w 3 miejscach w prezentacji, że należy stosować opcję UDW (ukryte do wiadomości), prezentując na slajdach, którą opcję wybrać, aby nie ujawnić innych adresatów. Domyślna konfiguracja wielu klientów pocztowych (aplikacji) opcję UDW ma ukrytą. Prowadzący nie wskazał (element instruktażu, czyli prezentowania działania), w jaki sposób ujawnić okienko.

Z punktu widzenia audytu wdrożeniowego to błąd w szkoleniu (zła metoda) spowodował wysyłkę maila do adresatów, ujawniając ich adresy.

Ocena poprawności wdrożenia

Po etapie zapoznania z obowiązkami i wstępnym przeszkoleniem z form i metod pracy przychodzi czas na sprawdzenie, czy system działa. Jest to zadanie managera bezpieczeństwa, który opracował i wdraża system. Może posiłkować się audytorami lub sam wykonać ocenę. Audytorzy w tym zakresie oceniać będą:

  • Nadzór nad poprawnością wykonywanych zadań przez osoby funkcyjne w systemie zarządzania bezpieczeństwem (nie jest to manager bezpieczeństwa),
  • Komunikację osób funkcyjnych z managerem bezpieczeństwa, w celu wyjaśniania problemów, interpretacji (nie spotkaliśmy się do tej pory z takim systemem, który od razu w 100% funkcjonuje),
  • Poprawność realizacji audytów wdrożeniowych, oceniających prawidłowość działań uczestników systemu (co do doboru form i metod audytu).

Obszarów może być więcej, ale te trzy są kluczowe. Dwa pierwsze mają dodatkowy aspekt. Jest nim podkreślenie funkcji i ról w systemie zarządzania bezpieczeństwem, w którym manager obszaru (BHP, ochrony ppoż., ochrony fizycznej, ochrony danych czy bezpieczeństwa informacji, bezpieczeństwa żywności) jest kreatorem systemu i koordynatorem. A za nadzór nad bezpieczeństwem w swoich obszarach funkcjonalnych odpowiadają managerowie różnego szczebla.

UWAGA: w tym artykule nie odnosimy się do poprawności dokumentacji bezpieczeństwa, zarówno systemowej, jak i operacyjnej (zapisów). Poświęcimy temu odrębny artykuł

Przykład:

W trakcie realizacji zadań pracownik zwraca się do przełożonego z pytaniem, jak wykonać ocenę zagrożenia pożarem przy pracach pożarowo niebezpiecznych (PPN). Brygadzista odsyła go do managera bezpieczeństwa (inspektora ochrony ppoż.). Manager już nie pracuje (jest po 18:00), pracownik wykonuje prace bez właściwego zabezpieczenia (źle dobrane środki gaśnicze do obszaru wykonywania PPN).

Z punktu widzenia audytu wdrożenia jest to niezgodność polegająca na braku realizacji zadań nadzoru nad pracą podległych pracowników (celowe zaniechanie obowiązków nałożonych systemem na brygadzistę).

Ocena dostępności wiedzy

Przypomnijmy cel: wiedza jest dostępna w czasie, miejscu i formie, w jakiej jest niezbędna.

UWAGA: w tym działaniu ZAWSZE udział ma specjalista/ manager ds. bezpieczeństwa informacji. Sama istota dostarczania wiedzy opiera się na fundamentalnych zasadach dla bezpieczeństwa informacji, a więc utrzymaniu atrybutów:

  • Poufności – jest dostępna tym osobom i procesom, którym jest niezbędna (nikomu więcej i nie na wszelki wypadek);
  • Integralności – rozumianej jako poprawności przekazywanych informacji (właściwe wersje procedur, instrukcji, ale też i poradników, i dobrych praktyk);
  • Dostępności – rozumianej jako czas i miejsce, w którym wiedza jest dostępna.

Są to trzy podstawowe zakresy, w jakich badamy system zarządzania wiedzą w organizacji i jego skuteczność. Dodane są też pewne elementy funkcjonalne systemu, jak np. wiedza o wiedzy, czyli czy pracownik wie, gdzie znaleźć konkretną informację.

Przykład:

Pracownik chce wysłać plik z danymi osobowymi zawierającymi szczególne kategorie danych (dane o zdrowiu). Wie, że powinien zaszyfrować plik, ale takiej wysyłki nie robił przez ostatnie 3 miesiące i nie pamięta, jak to wykonać. Szyfruje plik i wysyła mailem, w treści podaje hasło do pliku.

Z punktu widzenia audytu wdrożeniowego będzie to niezgodność (jako działanie). Rozpatrując jednak aspekt zarządzania wiedzą ujawniony jest potencjał doskonalenia, który mówi o tym, że pracownicy powinni mieć dostępną wiedzę w zakresie podstawowych zasad bezpieczeństwa tak, aby mogli do niej sięgnąć wtedy, gdy jest to potrzebne. Podobnie jest w  pierwszym przykładzie – gdyby pracownica miała nawet obrazkową podpowiedź, jak ujawnić okno UDW byłoby mniejsze prawdopodobieństwo popełnienia błędu.

Podsumowanie

Mam nadzieję, że ten krótki artykuł obronił tezę, że sprowadzenie wdrożenia do samych szkoleń o systemie, a więc informujących o obowiązkach, nie może być utożsamiane z wdrożeniem systemu.

Chcę też podkreślić istotę i wagę systemów zarządzania wiedzą, których celem jest dostarczenie jej w czasie, miejscu i formie.

Dlaczego kładziemy taki nacisk na zarządzanie wiedzą w bezpieczeństwie?

Otóż czynności w tym zakresie nie zawsze są wykonywane codziennie, czasem jest to raz na tydzień, raz na miesiąc albo raz na rok. Z praktyki wynika, że ten czas (nawet miesiąc) jest już wystarczający do tego, aby zapomnieć podstawowe zasady i metody działania. Dlatego jeśli chcemy budować skuteczne systemy bezpieczeństwa, pamiętajmy o tym, aby wspierać pracowników. Miejmy na uwadze, że w każdej organizacji funkcjonują trzy obowiązkowe obszary zarządzania bezpieczeństwem, w którym każdy z nich to kilka do kilkunastu procedur i instrukcji. Są to BHP, ochrona przeciwpożarowa i ochrona danych osobowych, co oznacza, że zapomnienie tych najrzadziej wykonywanych jest pewne.

Z punktu widzenia skuteczności systemu chciałem zwrócić też uwagę na poprawność wykonania audytów wdrożeniowych. Jest to bardzo istotne działanie, które pozwoli nam wyłapać na dość wczesnym etapie błędy i potencjał doskonalenia, które w późniejszym czasie mogą być trudne do odwrócenia. Wszak nawyk to druga natura człowieka, więc jeśli dopuścimy do nich, będzie dużo więcej pracy, większe prawdopodobieństwo nieprawidłowego działania, a w efekcie wzrost poziomu ryzyka.

 

 

 



Grzegorz Krzeminski
Author: Grzegorz Krzeminski
Zajmuje się bezpieczeństwem od ponad 25 lat. Od 20 szkoli. Zrealizował ponad 650 projektów w bezpieczeństwie w Polsce i Wielkiej Brytanii. Autor standardów i metodyk zarządzania bezpieczeństwem, audytu, szacowania i oceny ryzyka. Preferuje holistyczne podejście do bezpieczeństwa, posiadając doświadczenie w RODO, ochronie ppoż, ATEX, bezpieczeństwie fizycznym oraz zarządzaniu ciągłością działania i zarządzaniu kryzysowym.