KPI для службы безопасности предприятия - VISTAGRUP.RU

KPI для службы безопасности предприятия

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Форум Сообщества Практиков Конкурентной разведки (СПКР) » Экономическая безопасность предприятия » KPI для безопасника

KPI для безопасника

Откуда: Воронеж
Всего сообщений: 93
Рейтинг пользователя: 7

Дата регистрации на форуме:
21 сен. 2012

Всего сообщений: 19
Рейтинг пользователя: 1

Дата регистрации на форуме:
25 мар. 2010

Яркий пример того, что экономить на безопасности нельзя.)))

Всего сообщений: 59
Рейтинг пользователя: 0

Дата регистрации на форуме:
3 июня 2015

Откуда: Воронеж
Всего сообщений: 93
Рейтинг пользователя: 7

Дата регистрации на форуме:
21 сен. 2012

[q=OAO -K-]К сожалению, про «ценность» службы безопасности вспоминают после наступления неблагоприятных последствий.[/q]

На вряд ли. Иначе бы подход к организации безопасности был пересмотрен, восстановлена штатная численность . А по факту, нелицеприятные обвинения в сторону сотрудников безопасности, работать не умеют, плохо работают и т.п.

Откуда: г. Санкт-Петербург
Всего сообщений: 799
Рейтинг пользователя: 11

Дата регистрации на форуме:
3 июля 2009

В какой-то степени работа службы безопасности похожа на работу лифтёров. Если лифт работает исправно и не ломается, жильцы всё чаще и громче задают вопросы: «За что вообще с нас деньги берут. » Такой вот «порочный круг»

Один мой знакомый начальник службы безопасности настолько хорошо выполнял свою работу (и контроль был на высоте и агентура внедрённая исправно работала), что на предприятии практически не было воровства и менеджеры опасались мошенничать. В итоге после многих лет безупречной службы руководство назвало его службу «дармоедами» и расформировало.

Откуда: Воронеж
Всего сообщений: 93
Рейтинг пользователя: 7

Дата регистрации на форуме:
21 сен. 2012

[q=tungus1973]В итоге после многих лет безупречной службы руководство назвало его службу «дармоедами» и расформировало.[/q]

Интересно, как изменилась состояние безопасности на этом предприятии?

Откуда: г. Санкт-Петербург
Всего сообщений: 799
Рейтинг пользователя: 11

Дата регистрации на форуме:
3 июля 2009

Не знаю. Знакомого взяли вместе с командой на другое, более крупное предприятие, где они счастливо трудятся.

Если брать всё ту же аналогию с лифтом, то мне даже начинает казаться, что лифт иногда должен ломаться и простаивать по нескольку дней, чтобы люди пешком походили и осознали, за что конкретно они платят деньги.

Откуда: г. Пенза
Всего сообщений: 818
Рейтинг пользователя: 17

Дата регистрации на форуме:
4 дек. 2012

Всего сообщений: 2711
Рейтинг пользователя: 22

Дата регистрации на форуме:
5 июня 2009

Угу. Например у К. Симонова есть строки «Как мир, так — «сукины сыны», А как война, так сразу — «братцы»»

Всего сообщений: 316
Рейтинг пользователя: 3

Дата регистрации на форуме:
8 июня 2009

Интересно, как это определили » настолько хорошо выполнял свою работу. » и смущает » практически не было воровства и менеджеры опасались мошенничать. «
можно ведь тупо не знать о мошенствах и замалчивать кражи.
Вероятно руководство поступило правильно, когда расформировало такое СБ.
Допускаю ошибку, когда руководство было новое и не владело информацией о прежде проделанной работе СБ. Ведь цель СБ — пресекать, купировать и профилактировать всякие непотребства типа мошенства и краж. Но тут уж и СБ виновато, что не смогло довести до руководства качественную информацию о своей работе. Хотя «дурака» в руководстве тоже со счета сбрасывать нельзя.

Итак, в сухом остатке.
1. если с ноля, то предпочтительно 1-й вариант на краткосрочную перспективу 3-5 лет. Эффективность = (Предотвращено + Возмещено) — Затраты. Если +, то молодцы
2. если работа уже поставлена и предполагается дальнейшее совершенствование, то необходима привязка KPI к финансово-экономическим показателям компании. Ну а Предотвращено, Возмещено, Выявлено. это конечно будет и никуда от этого не деться, но это косвенные признаки о том, что собака не дремлет.

Как рассчитать KPI — примеры, формулы, таблицы, методики ключевых показателей эффективности

Чтобы повысить коэффициент работы сотрудников, на предприятиях вводится специальная система Key Performance Indicators (ключевые показатели эффективности). Она позволяет определять текущие задачи, и при помощи различных бонусных программ стимулировать деятельность работников в этом направлении. Такой подход делает людей максимально заинтересованными в реализации поставленных целей, что повышает доходность организации. Что такое KPI-показатели и как их рассчитать с образцами формул и примерами, плюсами и минусами внедрения – опишем по порядку.

Что это такое

Это особый способ выяснить, насколько организованность группы лиц соответствует требованиям компании. Так владельцы бизнеса могут определить результативность того или иного рабочего процесса и корректировать посредством выплаты премий. При этом данные работы каждого отдельного сотрудника привязывают к общим значениям всей команды.

При этом важно сделать так, чтобы разные службы организации не противоречили и не останавливали развитие, а действовали в едином направлении. С помощью активной мотивации персонала и сопоставимых показателей можно добиться улучшение в любых сферах: продажи, привлечение новых клиентов качество отгрузок и прочее.

Виды KPI

У системы Key Performance Indicators нет каких-либо ограничений в выборе приоритетов или применяемых формулах. Поэтому в различных компаниях могут как совпадать способы расчета результативности деятельности, так и разительно отличаться. Чаще всего владельцев интересуют следующие статьи:

  • затраты – сколько было потрачено ресурсов в денежном эквиваленте; функционирование – как реагирует потребитель на изменение стратегии и насколько это соотносится с поставленными целями;
  • производительность – совокупность задействованных мощностей;
  • эффективность – признак по которому определяют, как работает решение, и рассчитывают его по соотношению значений (например, отношение выручки к тратам);
  • итоги – получилось ли добиться обозначенных задач.

В зависимости от того, какие показатели хочет определить владелец, формула, как считать KPI, будет отличаться.

Готовые решения для всех направлений

Мобильность, точность и скорость пересчёта товара в торговом зале и на складе, позволят вам не потерять дни продаж во время проведения инвентаризации и при приёмке товара.

Ускорь работу сотрудников склада при помощи мобильной автоматизации. Навсегда устраните ошибки при приёмке, отгрузке, инвентаризации и перемещении товара.

Обязательная маркировка товаров — это возможность для каждой организации на 100% исключить приёмку на свой склад контрафактного товара и отследить цепочку поставок от производителя.

Скорость, точность приёмки и отгрузки товаров на складе — краеугольный камень в E-commerce бизнесе. Начни использовать современные, более эффективные мобильные инструменты.

Повысь точность учета имущества организации, уровень контроля сохранности и перемещения каждой единицы. Мобильный учет снизит вероятность краж и естественных потерь.

Повысь эффективность деятельности производственного предприятия за счет внедрения мобильной автоматизации для учёта товарно-материальных ценностей.

Исключи ошибки сопоставления и считывания акцизных марок алкогольной продукции при помощи мобильных инструментов учёта.

Первое в России готовое решение для учёта товара по RFID-меткам на каждом из этапов цепочки поставок.

Получение сертифицированного статуса партнёра «Клеверенс» позволит вашей компании выйти на новый уровень решения задач на предприятиях ваших клиентов..

Используй современные мобильные инструменты для проведения инвентаризации товара. Повысь скорость и точность бизнес-процесса.

Используй современные мобильные инструменты в учете товара и основных средств на вашем предприятии. Полностью откажитесь от учета «на бумаге».

Нужно ли внедрять вычисления в бизнес

Конечно, ведь это отличный способ оценить работу сотрудников, подразделений и всей организации в целом. Собственник сможет не только узнать экономическое состояние своего детища, применяя метод сравнения разных периодов в динамике, но и улучшить:

  1. Заменить фиксированный оклад на зарплаты, соизмеримые фактическому труду каждого отдельного человека. Это исключит ситуации, когда один работает за троих, а другой в это время имитирует занятость.
  2. Разработать подходящие инструкции, которые позволят совершенствовать результаты: повысить сервис, продажи, кооперацию между отделами и прочее.
  3. Определить цели и миссию компании, оптимизировать трудовую деятельность контролирующих должностей.

Поэтому знать, как рассчитывается показатель KPI по формуле нужно любому бизнесу, в котором есть необходимость в проведении оценочного анализа всей сферы в целом или каких-либо ее этапов.

Так как владельцы по-разному видят темпы развития предприятия и при этом назначают несколько задач, которых желают достичь, что значительно влияет на выбор системы Key Performance Indicators. Например, одним необходимо увеличить производительность труда сотрудников на 10%. А другие ставят в приоритет достижение роста прибыли с каждой единицы производимой продукции на 5 руб. А третьи хотят и того и другого.

Формулы

Чтобы оценить всех, кто работает в организации, по КиПиАй разрабатывается матрица, или указ о целях. Общая форма выглядит так:

  1. Ключевые показатели – то, что работодатель хочет получить от персонала. При этом, в зависимости от занимаемой должности, человеку будут предъявлены определенные критерии.
  2. Веса – указываются числа в диапазоне в интервале от 0 до 1, где один является наиболее высоким значением. Показывает приоритеты, которыми наделен предыдущий столбец с учетом задач организации.
  3. База – самые минимальные цифры, которых нужно придерживаться. Все, что находится ниже, считается отсутствием результата, становится вопрос о необходимости такого сотрудника.
  4. Норма – то, сколько было достигнуто за аналогичный промежуток, который был до этого. Это требуется выполнить каждому работнику в обязательном порядке. Если получилось меньше, значит, не справился со своими обязанностями.
  5. Цель – необходимо достичь в указанный срок. Он призван стимулировать персонал на получение наилучшего положения.
  6. Факт – сколько по итогу заданного периода.
  7. Индекс дает понятие о том, как полученное разнится с нормативом.

Образец

Пример методов расчета показателей KPI по формулам можно рассмотреть на примере маркетолога интернет-магазина. Для этого требуется выбрать не менее трех и не более пяти основных коэффициентов, на которые будут опираться руководители и работники:

  • 1 – как много было привлечено клиентов на страницу;
  • 2 – число покупок, совершенных одним и тем же человеком;
  • 3 – оставил ли покупатель благодарный или негативный отзыв, рекомендацию после приобретения товара на аккаунте в социальных сетях или сайте.

Далее нужно определить вес всех полученных результатов, где общая сумма будет равна единице. Максимальное значение отнести к самому важному (приоритетному) обозначению. Получается так:

  • новые люди – 0,6;
  • повторения – 0,25;
  • письменные отметки – 0,15.

Потом потребуется проанализировать данные по статистике за последние шесть месяцев по каждому показателю и составить план:

KPI и показатели безопасности

KPI безопасности делятся на показатели результата, которые оценивают то, что уже произошло (аварии и травмы) и показатели действия, работающие проактивно и помогающие предотвратить возникновение новых проблем в этой области.

Основные темы статьи:

Вероятно, у вас уже есть длинный список индикаторов результата, включающих:

  • Зарегистрированные аварии/инциденты
  • Частота травм с временной потерей трудоспособности

Я предлагаю обратить внимание на предупреждающие KPI (действия) для повышения безопасности.

Индикаторы действия для повышения безопасности

Анализируя факторы действия в области безопасности, мы можем выделить несколько представляющих интерес областей.

KPI обучения

Базовая подготовка по безопасности — фактор успеха более безопасной среды:

  • % менеджеров, прошедших тренинг по безопасности
  • % сотрудников, прошедших тренинг по безопасности

Для отслеживания подготовки по безопасности на четырех уровнях вы можете использовать систему показателей обучения.

KPI поведения

Прохождение тренинга по безопасности не всегда означает более безопасное фактическое поведение, поэтому мы также должны отслеживать:

  • Количество и типы зарегистрированных случаев небезопасного поведения
  • Зарегистрированные потенциально аварийные ситуации (мы в деталях рассмотрели подобные ситуации в статье о системе показателей качества)

KPI команды

Высокий моральный дух сотрудников сокращает количество аварий. Обратите внимание на показатели:

  • Среднее количество сверхурочных часов на человека
  • Удовлетворённость сотрудников рабочей средой
  • Вовлеченность сотрудников

KPI реагирования

Задачи безопасности должны решаться быстро:

  • Среднее время на подготовку плана реагирования
  • Среднее время решения зарегистрированной проблемы
Читайте также  Разработка паспорта безопасности опасного производственного объекта

Финансовые KPI

На безопасность всегда должен закладываться определённый бюджет.

  • Стоимость обеспечения безопасности

В качестве фактора, определяющего бюджет новых инициатив по безопасности, мы можем использовать индикатор стоимость небезопасной среды, подобный стоимости низкого качества.

  • Стоимость небезопасной среды
  • Стоимость безопасной среды

KPI оборудования

Сломанное оборудование не всегда означает возникновение проблемы безопасности, однако оно может быть фактором действия:

  • Поломки оборудования
  • % оборудования, которое прошло профилактическое обслуживание

KPI инспекции

Безопасность среды должна получать формальное подтверждение:

  • Количество выполненных аудиторских проверок и инспекций

Стратегическая карта безопасности

Здесь вы найдете пример стратегической карты ССП, автоматизированной при помощи программы BSC Designer Online.

Пример Alcoa: безопасность важнее финансовых KPI

А что если кто-нибудь скажет, что для повышения общей производительности компании вы должны сосредоточиться на… безопасности сотрудников? Ваши текущие показатели безопасности находятся в зелёной зоне, а их значения лучше, чем в среднем по отрасти. При этом, как ни странно, новый исполнительный директор говорит с инвесторами и акционерами не о рентабельности инвестиций или финансовой эффективности, но о… безопасности.

Фокус на показателях безопасности

Именно так поступил Пол О’Нил, который стал президентом и исполнительным директором Alcoa в 1987 году. Работа в Alcoa включает операции с расплавленным алюминием, а уровень травматизма в компании составлял 1,86 случай на 100 рабочих в год (что является хорошим показателем по сравнению со средним по США уровнем, равным 5 случаям на 100 рабочих). Новый исполнительный директор поставил цель: «добиться нулевого травматизма» в компании, имеющей дело с расплавленными металлами.

Добилась ли компания этой цели? Сегодня Alcoa публикует данные по безопасности в режиме реального времени [1] . На момент написания статьи этот показатель составлял 0.120. Иными словами, средний рабочий в Alcoa подвергается меньшему риску получить травму, чем сотрудник компании-разработчика программного обеспечения или офиса юристов.

План действий Alcoa

Как компания смогла этого добиться?

  • Она стала «одержимой» безопасностью!

О любом происшествии, связанном с безопасностью, докладывали руководству в течение 24 часов. Отчеты содержали анализ ситуации и план ответа. В компании отнеслись к этому серьезно, а одного топ-менеджера даже уволили за то, что он не сообщил о подобном происшествии. Безопасность не просто стала частью бюрократических отчетов, именно она оказалась в центре внимания.

  • На улучшение безопасности всегда закладывался бюджет: устанавливались новые сенсоры, проводилось проактивное техническое обслуживание, людей обучали по теме безопасности. Компания даже ввела систему электронных сообщений для… более эффективного сообщения о проблемах безопасности.

Побочные эффекты фокуса на безопасности

Подобный фокус обладал одним «побочным» эффектом. Люди начали делиться своими идеями, некоторые из которых привели к серьёзным улучшениям, и, что более важно, финансовые результаты компании также улучшились.

Если вы хотите узнать историю целиком, я рекомендую вам начать с этой статьи [2] , написанной получившим Пулитцеровскую премию деловым журналистом Чарльзом Дахиггом. Если вам понравилась эта история, я советую вам книгу [3] , в которой Чарльз Дахигг исследует природу привычек (или процедур, являющихся их бизнес-аналогом) и приводит отличные примеры того, как можно повысить производительность организации.

Пример Qatar Airways Group: понимание контекста измерения

Другим интересным примеров является Qatar Airways Group. Её управляющие всерьёз занимаются измерением, отчетами и улучшением системы безопасности:

  • они знают, как интерпретировать полученные данные;
  • они знают значения показателей результата, однако сконцентрированы на факторах действия;
  • они тщательно каскадировали стратегию от целей высшего уровня к конкретным инициативам.

По данным Sustainability Report 2018 [4] одним из используемых компанией показателей безопасности является классический KPI Частота травм с временной потерей трудоспособности:

  • начиная с 2012 года значение показателя снижалось, демонстрируя отличный прогресс.
  • с 2015 по 2017 год значение показателя практически не менялось.

При этом период «без улучшений» совпал с быстрым ростом группы. Этот пример показывает, насколько важен контекст для интерпретации значения показателя.

Другая передовая практика группы: отчет об устойчивом развитии содержит лишь несколько показателей результата в области безопасности, однако даёт много информации о факторах успеха в этой сфере (их можно подсчитать при помощи показателей действия , рассмотренных выше) и проактивных процедурах для повышения безопасности, например:

  • инспекция безопасности на рабочем месте
  • вовлечение сотрудников в обеспечение безопасности.

Наконец, в стратегическом плане группы можно найти темы, связанные с безопасностью:

  • Обучение и осведомлённость
  • Система управления безопасностью и здоровьем
  • Сообщества по безопасности
  • Пожарная безопасность

Далее эти темы каскадируются в подтемы, конкретные проекты и оценку прогресса.

Covid-19: влияние на KPI безопасности

В условиях пандемии Covid-19 необходимо скорректировать KPI безопасности:

Факторы успеха безопасности сотрудников можно подсчитать следующим образом:

  • Проникновение тренинга по осведомлённости, %
  • Применение превентивных мер, %

Результаты мер по улучшению безопасности в условиях коронавируса можно измерить при помощи:

  • % поведения, фактически скорректированного в соответствии с требованиями.

Разница между ожидаемым и фактически внедренным покажет, насколько эффективно принимаются меры.

Цель «Поддержка отличных условий для команды» может быть расширена при помощи инициативы удалённая работа, при этом работодатель должен сосредоточиться на:

  • проведении тренинга по осведомлённости в рамках модели «удалённая работа»
  • предоставлении инструментов и материалов, необходимых в условиях удалённой работы
  • установлении четких стандартов измерения производительности

Covid-19 влияет не только на меры по обеспечению безопасности. Мы рекомендуем использовать шаблон стратегической карты непрерывности бизнеса для анализа воздействия коронавируса на всю организацию и подготовки стратегии реагирования.

  • Доступ к шаблонам. Воспользуйтесь бесплатным планом BSC Designer для доступа к 28 шаблонам ССП, включая KPI безопасности из этой статьи.
  • Отточите навыки. Запишитесь на тренинг по ССП. Отточите ваши навыки стратегического планирования.
  • Автоматизация. Узнайте что такое софт для ССП и как он может облегчить создания стратегических карт и работу с индикаторами.

Показатели эффективности системы управления охраной труда

  • Поделиться в Facebook
  • Поделиться в LinkedIn
  • Поделиться в Twitter
  • Share on VKontakte
  • Отправить по email
  • Печать страницы

Компании, внедряющие и поддерживающие систему управления охраной труда на основе международных или национальных стандартов, таких как ISO 45001:2018, должны постоянно отслеживать свои показатели по охране труда и оценивать эффективность и результативность системы.

РЕАКТИВНЫЕ И ПРОАКТИВНЫЕ ПОКАЗАТЕЛИ

Нередко для оценки функционирования системы охраны труда собирают статистику исключительно по уже произошедшим инцидентам, например, частоте несчастных случаев на производстве, числу травм и количеству работников с производственными заболеваниями. Но если речь идет об управлении системой, необходим мониторинг показателей, отражающих текущую ситуацию операционной эффективности процессов в управлении охраной труда.

Запаздывающие показатели (Lagging indicators) — показатели случившихся инцидентов — могут свидетельствовать лишь одно: результативны были ваши меры или нет (и отслеживать эти параметры, безусловно, важно). Но они не могут продемонстрировать, насколько хорошо функционирует система предупредительных мер, а также не дадут представления о том, что делается не так. А значит, вы будете совершать одни и те же ошибки. Отразить текущую ситуацию призваны опережающие показатели (leading indicators).

Поэтому в системе менеджмента охраны труда и производственной безопасности важно учитывать обе категории показателей, а также выявлять их взаимосвязь.

ВАЖНО: В отличие от стандартов на системы менеджмента качества, в охране труда для подавляющего большинства показателей шкала измерений предельно проста: это либо 100%, либо 0. Общая концепция стандартов на системы менеджмента охраны труда — свести количество несчастных случаев к нулю. Для этого запланированные мероприятия должны выполняться на 100%, а также должна проводиться оценка их результативности.

ПРИМЕРЫ ПОКАЗАТЕЛЕЙ

Все современные стандарты ISO на системы менеджмента построены в соответствии с циклом Деминга (Plan-Do-Check-Act — «Планируй-Выполняй-Проверяй-Улучшай). Рассмотрим, какие параметры нужно на каждом этапе рассматривать.

1. ФАЗА ПЛАНИРОВАНИЯ

При планировании мероприятий в рамках системы менеджмента стандарт ISO 45001 требует учитывать контекст, выявлять возможные риски и оценивать их, поощрять распределенное лидерство и поддерживать инициативы сотрудников в совершенствовании системы менеджмента охраны труда.

Лидерство

  • Без вовлеченности высшего руководства в систему менеджмента невозможна ее полноценная реализация. Руководство ставит и транслирует цели компании, наделяет сотрудников полномочиями для решения тех или иных задач, оценивает результаты. Охрана труда не должна оставаться без внимания руководителей. Важно, чтобы аудиты не только проводились, но и принимались во внимание руководством. Индикатором при этом является рассмотрение руководством 100% отчетов по результатам внутренних и внешних аудитов по охране труда.
  • Вряд ли можно считать программу по охране труда внедренной, если сотрудники о ней не подозревают. Информация о том, как сотруднику обеспечить свою безопасность и безопасность других людей на конкретном рабочем месте, должна быть прописана в должностной инструкции. Параметр, отражающий этот аспект — 100% должностных инструкций, в которые включены требования в области охраны труда.

Планирование

  • 100% опасностей, взятых под контроль. Опасности — это источники рисков. Их можно ранжировать, но при это держать под контролем все возможные опасности.
  • На основе анализа опасностей выявляются риски (возможность падения с высоты, утечка химикатов в лаборатории, соприкосновение с источником электрического тока), затем анализируются с точки зрения вероятности их наступления, после чего принимается решение о том, какие из этих рисков следует предотвращать, принимая превентивные меры, а какие можно иметь в виду и контролировать. Если сложились обстоятельства, при которых риски нужно пересматривать, то пересмотру подлежат 100% рисков.
  • Еще один возможный индикатор — количество результативных мер контроля.

Поддержка

  • 100% сотрудников, прошедших обучение по охране труда. Имеются в виду те сотрудники, для которых установлено такое требование, и которых не должны допускать к работе без свидетельства о прохождении обучения. Допуск к работе без прохождения обучения по охране труда — нарушение законодательства.
  • Результативность тренингов по охране труда. В конце обучения можно проводить тестирования и при его успешном прохождении выдавать сертификат для допуска к тем или иным работам. Но результативность обучения можно оценить только в процессе работы — по неукоснительному соблюдению обученного персонала требований ОТ.
  • Еще один важный показатель — количество рисков, которые могли реализоваться, но их удалось избежать (near misses). Неоценимую помощь в сборе информации окажут работники на местах и инициативные группы. Это возможно лишь в том случае, если люди вовлечены в систему, если у них есть инструменты для предоставления обратной связи, если руководство поощряет предложения по улучшению.
  • Наличие нарядов-допусков, учитывающих требования охраны труда — 100%.
  • 100% проведенных встреч менеджеров с работниками по вопросам безопасности труда, предусмотренных программой охраны труда в рамках законодательства.
  • Количество сотрудников, вовлеченных в улучшение системы менеджмента охраны труда.

2. ФАЗА ВЫПОЛНЕНИЯ

Показатели для оценки операционной деятельности:

  • Неисправное оборудование может стать источником опасности для работающих на нем сотрудников. Падение подъемного крана или отлетевшая деталь от станка могут стать причиной производственных травм или смерти. Поэтому в поле зрения системы менеджмента попадает и оборудование, которое должно проходить своевременное техническое обслуживание. Показатель — 100% выполненных мероприятий, включенных в план по упреждающему ТО.
  • Если в операционной деятельности задействованы подрядчики, их работа также должна учитываться в системе менеджмента охраны труда. Работа с подрядными организациями — это внешний процесс. Если в подрядной организации произойдет инцидент, ответственной будет она, то тень ляжет и на компанию заказчика. Более того, в рамках рабочей схемы за инцидент отвечает руководитель компании. Показатель — 100% выполнения установленных для подрядных организаций KPI в отношении обеспечения охраны труда.
  • Стандарт ISO 45001:2018 распространяется и на поставщиков, которые должны поставлять продукцию, обеспечивающую безопасность труда. Показатели для учета — наличие спецификаций, включающих требования по охране труда.

3. ФАЗА ПРОВЕРКИ

Без анализа данных нельзя понять, насколько результативно работает система, и в цикле PDCA важная роль отводится проверке результатов выполненных мероприятий. Важно регулярно проводить измерения работы системы. Примеры показателей:

  • Несоответствия, выявленные в ходе аудитов.
  • Количество проведенных внутренних аудитов.
Читайте также  Основание для проведения аудита пожарной безопасности

4. ФАЗА УЛУЧШЕНИЙ

Это один из фундаментальных принципов, заложенных в стандарты на системы менеджмента.

  • При выявлении несоответствий важно предусмотреть корректирующие действия (КД). План КД должен быть выполнен на 100%. КД должны быть такими, чтобы принятые меры вели к 0 несчастных случаев для той или иной категории инцидентов в следующем году. Если инцидент происходит в следующем году, необходимо анализировать корневую причину.
  • 100% выполнения установленных превентивных мер.
  • Кроме того, улучшения по всем перечисленным выше показателям (или отсутствие прогресса) можно проанализировать и выявить, какие из принятых мер позволили добиться намеченных результатов, чтобы в дальнейшем, используя лучшие практики, совершенствовать систему менеджмента охраны труда.

МЕТОДЫ АНАЛИЗА. АБСОЛЮТНЫЕ И ОТНОСИТЕЛЬНЫЕ ПОКАЗАТЕЛИ

Число несчастных случаях на производстве и полученных профессиональных заболеваний являются наиболее используемыми в отчетах показателями. Однако сами по себе эти цифры неинформативны, потому что абсолютное значение не дает понимания, произошло улучшение или нет. Например, когда количество инцидентов уменьшается при сокращении численности персонала или количество аварий уменьшается, но их последствия более серьезные.

Чтобы адекватно оценивать результативность системы, лучше пользоваться относительными значениями, например, количество несчастных случаев с последующим открытием больничного листа в соотношении с количеством отработанных за период человеко-часов. А для оценки степени серьезности аварий целесообразно использовать систему коэффициентов.

Мы привели лишь некоторые примеры показателей, которые можно отслеживать и оценивать, и на основе полученной информации принимать меры для улучшения системы менеджмента в области охраны труда и производственной безопасности. Каждая организация сама определяет, что именно измерять и с какой периодичностью, исходя из специфики деятельности и поставленных целей.

Понравилась эта статья? Интересуют стандарты ISO и системы менеджмента? Подпишитесь на нашу рассылку и регулярно получайте полезную информацию об изменениях в стандартах, разъяснения от аудиторов SGS и примеры лучших практик.

О КОМПАНИИ SGS

Группа SGS является мировым лидером в области независимой экспертизы, контроля, испытаний и сертификации. Основанная в 1878 году, сегодня SGS признана эталоном качества и деловой этики. В состав SGS входят свыше 2 600 офисов и лабораторий по всему миру, в которых работает 94 000 сотрудников.

Управление по KPI

Управление по KPI

Специалист департамента внутреннего контроля аудиторско-консалтинговой группы «Листик и Партнеры»

Понятие KPI простыми словами

Ключевые показатели эффективности – это индикаторы выполнения поставленных работникам ежемесячных задач. С помощью KPI можно оценить не только технологические и бизнес-процессы компании, но и ее систему управления в целом. Применить систему KPI(или КПЭ) возможно как на уровне целого предприятия (холдинга), так и отдельных подразделений, филиалов.

Изначально система КПЭ использовалась в продажах. Но сейчас КПЭ все чаще находят свое применение и в других областях: торговля оптом и в розницу, управление персоналом, маркетинг, различное производство.

Виды показателей

  • КПЭ затрат – применяются для производств, поскольку показывают затраты на различных участках/отделах или цехах производства.
  • КПЭ результатов – показывают выполнение плана, насколько итог соотносится с запланированными результатами.
  • КПЭ производительности – оценивают соотношение затраченных ресурсов с достигнутыми показателями (объемом продаж, количеством выручки).
  • Есть еще одна классификация КПЭ:
  • запаздывающие – показывают итоги проделанной работы. Такие показатели не могут быстро повлиять на дальнейшую работу сотрудника или отдела, зато на их основе возможно определить потенциальные возможности компании;
  • оперативные – оценивают эффективность работы в режиме реального времени и позволяют корректировать работу предприятия в текущем режиме, чтобы достигать поставленных краткосрочных планов и задач.

Как выбрать, для кого в компании стоит ввести систему КПЭ? Ответ прост. КПЭ применяется, в первую очередь, для тех отделов / сотрудников, чьи результаты работы непосредственно оказывают влияние на экономические и финансовые показатели предприятия. Так, например, в страховых компаниях систему КПЭ следует внедрить, в первую очередь, для страховых агентов, в аутсорсинговых – для бухгалтеров и т.д.

Преимущества и недостатки системы КПЭ

При использовании системы ключевых показателей эффективности руководству следует понимать, что они смогут получить при эффективном применении КПЭ и правильной трактовке их результатов:

  • результаты работы оперативной деятельности (насколько достигнуты плановые показатели, если таковые разрабатывались ранее; насколько выросли объемы производства / продаж, увеличилось количество заключаемых договоров с контрагентами, повысилось качество обслуживания за прошлый месяц и т.д.);
  • проблемы и недоработки в производстве (например, количество оборудования, нуждающегося в ремонте и необходимые затраты по его осуществлению, работники с низким уровнем квалификации и знаний, проблемы в реализации продукции);
  • планы и общую стратегию развития – появляется реальная возможность сделать максимально точный прогноз дальнейшего развития бизнес-процессов;
  • контроль за входящим денежным потоком (что без использования системы КПЭ сделать очень трудно и не всегда возможно). КПЭ позволяют в значительной мере увеличивать поступление финансовых активов предприятия, прогнозировать их рост или отток;
  • рост КПД работников на 20-30 процентов, т.к. они лучше понимают, чего от них ждут, и стремятся к выполнению поставленных задач. Помимо этого, определяются наиболее эффективные работники. Соответственно, можно усовершенствовать систему премирования – поощрять особо ценные кадры за их труд.

Однако КПЭ могут иметь определенные недостатки:

  1. Сложности при внедрении в уже работающий бизнес, трудности в понимании работы системы и интерпретации результатов. Иногда построение системы КПЭ требует переобучения сотрудников, проведения курсов для разъяснения новых условий работы, поставленных задач. Да и после внедрения вопросы будут возникать.
  2. Система КПЭ изначально стандартизирована – для каждого производства ее нужно приспосабливать под индивидуальные потребности компании – этот процесс не быстрый, не сразу дает необходимые результаты. Зачастую потребность в корректировке возникает на протяжении длительного периода времени (и может занимать не один год). Таким образом, внедрение системы КПЭ требует наличия постоянного работника, который сможет постоянно корректировать КПЭ под нужны предприятия.
  3. Высокая стоимость, которая со временем может увеличивать расходы предприятия на ее обслуживание и своевременную корректировку.

Расчет KPI: что следует знать

В настоящее время нет нужды производить какие-либо расчеты вручную – за вас это сделает одна из CRM-систем, в которую нужно внести лишь данные для расчета и далее выгрузить из нее необходимый отчет. Это системы: Bitrix24, Megaplan, Salesap и другие.

Запомните два основных правила расчета:

  1. Используйте всего 4-6 ключевых показателя.
  2. Рассчитываемые показатели должны быть измеримы качественно (балльная система оценки) или количественно (в цифрах: рубли, часы, иные единицы измерения).

Как разработать и внедрить KPI на предприятии: шагаем к цели

Шаг 1: Анализ и оценка бизнеса. Для начала определяем специфику работы предприятия, цели и задачи, исходя из стратегии развития, учитываем такие факторы как срок работы, положение на рынке, наличие ресурсов для развития, течение основных бизнес-процессов и т.д.

Шаг 2: Определяем ключевые показатели эффективности. О чем речь: сначала выделяем основную область, для которой мы рассчитываем показатели (например, продажный сектор). Далее формулируем цель – мы хотим увеличить или уменьшить значение определенного показателя. Ну и в конце ставим сроки и единицу измерения.

Наша система показателей должна включать как оперативные показатели, так и запаздывающие. Ранее мы говорили о этих двух видах КПЭ. На данном этапе главной ошибкой является концентрация лишь на одном типе показателей – тех, что дают возможность оценить полученный результат.

Шаг 3: Соотносим ключевые показатели со стратегией развития бизнеса. Например, руководство хочет через 5 лет выйти на внешний рынок (начать импортные поставки) или хотя бы в соседний регион. Для этого нужно определить те ключевые показатели эффективности, которые позволят реализовать эту стратегию, например, увеличение объемов продаж на 15%. Что это нам даст? Как минимум, излишки продукции, которые мы можем реализовать в соседнем регионе. Или такой ключевой показатель, как контрагенты – иностранные юр. лица. В этом случае, цель для достижения ключевого показателя может звучать следующим образом: «заключение договора на поставку продукции с иностранным покупателем из Казахстана». Далее идет постановка задачи для продажного отдела: поиск соответствующих покупателей, составление контракта (выгодного предложения), составление ценовой политики для импортеров и т.д.

Шаг 4: Определяем основные параметры расчета: начального (текущего) и планируемого значений. Начальное значение показателя (или текущее на момент внедрения системы КПЭ) устанавливается как эталон или точка отсчета для учета изменений. Имея контрольные точки, мы можем рассчитывать изменение показателя в абсолютном и относительном значении. Также мы задаем шкалу для сравнения показателей КПЭ и изменении их во времени.

Шаг 5: Устанавливаем порядок сбора данных, отвечаем на вопрос, как происходит ввод данных для расчета показателей – вручную или они импортируются их программы по управленческому учету бизнес-процессов и операций? Расчет происходит на специальной платформе или ведется для определенных отделов в файле Microsoft Excel?

Первоначальные данные, конечно же, вносятся вручную – это исходная точка для расчета. Далее определяются сроки и порядок обновления информации – либо процесс будет полностью автоматизированным (что является самым оптимальным вариантом) либо же цифры будет вносить ответственный работник (в этом случае указываем порядок и сроки обновления).

Шаг 6: Назначаем вес каждого показателя в системе КПЭ. Иными словами – определяем его важность, по сравнению с другими показателями этого звена. Для этого устанавливаем шкалу (скажем, от 1 до 10) и определяем значимость по шкале для каждого показателя.

Шаг 7: Устанавливаем периодичность обновления данных – как правило, раз в месяц или квартал.

Шаг 8: Отслеживаем актуальность показателей, чтобы понимать, насколько применение того или иного индикатора будет оправданным. Возможно, со временем изменились цели и задачи бизнес-процессов, либо ранее установленные цели достигнуты и требуется введение новых показателей.

Шаг 9. Учитываем затраты на обслуживание, отслеживание и корректировку системы показателей. Это важно для понимания стоимости внедрения системы КПЭ и каждого показателя, необходимости и возможности полной автоматизации процессов обновления и отслеживания, внедрения системы на всем предприятии или только в наиболее важных для бизнеса отделах.

Шаг 10: Определяем пользователей, наделяем их правами и доступом к системе КПЭ и результатам ее работы.

Шаг 11: Определяем, как использовать полученные данные расчетов коэффициентов и порядок информирования сотрудников отдела о результатах и новых задачах.

Шаг 12: Анализируем и сравниваем плановые и фактические показатели. Здесь важно отслеживать не только изменение качественных и количественных показателей, но и изменения в поведении сотрудников. Возможно пора внести корректировки в систему KPI?

Как управлять по KPI

Для оперативного управления компанией недостаточно экономических показателей финансового результата. Они отражают эффективность выполнения текущих бизнес-планов компании и являются ресурсозависимыми. Для управленца бОльший интерес представляют опережающие показатели KPI, которые настроены на бизнес-процессы, а не на ресурсы или затраты компании, поскольку именно они позволяют измерить эффективность бизнес-процессов и отражают реализацию текущих задач по подразделениям.

Этапы построения системы KPI на предприятии:

  1. Для начала осознаем необходимости нововведений – мы должны разработать долгосрочную стратегию развития предприятия. Важно четко сформулировать стратегические планы. От этого момента зависят дальнейшие этапы и их реализация.
  2. Далее определяемся с объемами внедрения и ключевыми подразделениями. Ключевые показатели не должны учитывать исключительно финансовый аспект развития предприятия. Поэтому строим систему показателей с учетом тех сфер деятельности компании, которые будут далее вовлечены в систему КПЭ. Как правило, их не более 10, и для каждой разрабатываются 2-4 конкретные цели, реализация которых совокупно позволит реализовать в конечном итоге стратегическую главную цель бизнеса.
  3. Все цели более низкого уровня должны конкретизировать цель вышестоящую. Чтобы избежать формального подхода к внедрению КПЭ на предприятии, следует тщательно подойти к разработке значимых подцелей. Их оптимальное количество 20-25 единиц.
  4. Все вышеуказанные цели в совокупности представляют собой стратегическую карту, которая и позволяет достичь запланированного итогового значения KPI. Для этого мы должны четко выбрать конкретные ключевые показателя по принципу измеримости и взаимосвязанности. Если какой-то показатель выбивается из всей совокупности, смело его удаляем/заменяем.
Читайте также  Кибербезопасность и информационная безопасность

Важно! Не забываем про контроль. Система KPI не может работать как часы – она нуждается в постоянном контроле и корректировке.

Памятка «Как правильно выбрать KPI»:

  • KPI должны отражать ключевую стратегию развития бизнеса;
  • KPI должны играть очень значимую роль в управлении предприятием;
  • KPI можно управлять в текущем порядке;
  • KPI должны быть взаимосвязаны между собой;
  • KPI не должен иметь сложные расчет и/или анализ (интерпретацию);
  • Расчет KPI должен иметь экономический смысл.

Пример. Для юриста: какие показатели KPI можно применять?

Понятно, что работа юриста связана с судебным производством, исход которого предугадать очень сложно и он зависит от ряда факторов. Например, от характера судебного спора, имеющейся судебной практики, непосредственно судьи и ряда прочих факторов.

И применить систему KPI к непосредственно судебным процессам практически невозможно. А вот к системе оплаты труда и премировании – вполне реально. Какие ключевые показатели возможно использовать? Например:

KPI для Security Operations Center: как мы пришли к своей системе метрик

Не буду тут писать длинные заумные тексты о том, «как правильно построить систему KPI для SOC». А просто расскажу, как мы боролись и искали нашли свою методику и как теперь измеряем, «насколько все плохо/хорошо/безопасно/(нужное подчеркнуть)».

С чего все начиналось

Как ни странно, первые наши шаги к формированию KPI для Solar JSOC никак не были связаны с центрами мониторинга и реагирования на кибератаки. «На заре нашей юности» мы помогали компаниям строить системы оценки эффективности ИБ (СУИБ 27001 и вот это вот всё). Понимание их необходимости возникло тогда на рынке естественным образом: почти любое ИБ-подразделение изо дня в день вынуждено анализировать большие объемы данных от множества всевозможных систем. Конечно, каждая из них имеет некую свою отчетность, но при большом их количестве очень трудно сформировать целостную картину о состоянии ИБ, а впоследствии – предоставить отчёт руководству в удобном формате. Проблема усугубляется, если организация имеет географически распределенную структуру.

Мы как раз помогали заказчикам построить не просто комплекс KPI/метрик, но полноценное аналитическое решение, агрегирующее данные от систем обеспечения ИБ. Фактически – систему визуализации, в которой можно быстро и просто увидеть суть проблемы и ее локализацию, чтобы оперативно принять требуемые решения. В этих проектах мы набрались опыта и пришли к тому, что система действительно удобная и полезная. А еще – что работу SOC тоже необходимо оценивать.

Зачем оценивать эффективность SOC, тем более внешнего?

Все просто: мы хотим, с одной стороны, понимать, насколько качественно оказываем услугу, а с другой – иметь максимально полное представление об инфраструктуре заказчика, видеть все «черные пятна», не попавшие в состав нашего аудита и ставшие факторами риска для сервиса. Проще говоря, хотим понимать: увидим мы ту или иную атаку на заказчика или нет.

Когда мы начинали работать как сервис-провайдер, бывало такое, что клиент отказывался давать нам на подключение конкретные источники, которые были необходимы для 100 % идентификации атаки. В итоге такая атака случалась, мы ее не видели и получали упреки, невзирая на изначальное наше предупреждение.

Другой пример: мы говорили, что для корректного и точного выявления инцидента нужно настроить источники определенным образом, выдавали перечень этих настроек, но заказчик эту работу не проводил. Итог тот же – пропущенный инцидент.

Так мы пришли к пониманию, что важно в явном виде подсвечивать и заказчику, и самим себе, что конкретно мы видим в его инфраструктуре, где есть «слепые зоны» для нас, какие вектора атак наиболее часто реализуются и на каких участках, какие ИТ-активы наиболее подвержены атакам и как это может повлиять на бизнес. Для этого система визуализации должна показывать реальную ситуацию и помогать в ее анализе, а не просто быть «вау-эффектом» для руководства (как это часто бывает).

KPI для SOC – что и как измерять?

Перво-наперво надо понять: зачем, для чего вам нужна эта самая система KPI/метрик? Вы хотите измерять эффективность работы вашего подразделения ИБ? Понимать, насколько хорошо/успешно (или наоборот) работают ваши процессы? А может, просто показать руководству, «кто молодец»? Или, может быть, от выполнения KPI зависят премии отдела? Без понимания целей оценки эффективности невозможно построить реально действующую систему KPI.

Допустим, с целями определились, и теперь встает самый интересный вопрос: а как измерять-то? К SOC с линейкой не подойдешь, тут все немного сложнее. Это ведь не только SIEM как система сбора и корреляции событий ИБ, это еще и огромное множество систем, которые позволяют корректно функционировать сервису. Данных внутри SOC безумно много, поэтому оценивать есть что.

И в этом вопросе мы стараемся максимально уйти от субъективных KPI, т.е. тех метрик, которые невозможно измерить автоматически. Например, метрику «Насколько у нас все плохо» сложно оценить напрямую, без участия человека (который выдаст свое кривое не всегда правильное мнение, основываюсь на собственном опыте). Но если разбить эту метрику на более мелкие, то их уже можно посчитать на основе данных от технических средств. Т.е. нужно определить, что для нас входит в понятие «все плохо»: у нас нет конкретного СЗИ; антивирус внедрен не везде, где нужно; специалисты очень долго обрабатывают инциденты или заявки; на всех наших хостах есть более 10 критических уязвимостей и их никто не устраняет и т.д. И вот если все подобные маленькие метрики с учетом их весовых коэффициентов для нашего бизнеса собрать в единый расчет, то мы получим значение метрики «Насколько у нас все плохо». Более того – мы сможем объяснить, на чем она основывается и почему определенное ее значение говорит о том, что пора срочно решать серьезные проблемы в организации ИБ. И главное – мы всегда сможем опуститься в детали этой метрики и понять, какие задачи в каком приоритете стоят.

При построении своей системы KPI мы придерживаемся следующих принципов:

  • KPI должен быть действительно важным и для SOC, и для заказчика;
  • показатель должен быть измеряемым, т.е. должны быть построены конкретные формулы расчета и заданы пороговые значения;
  • у нас должна быть возможность влиять на значение показателя (т.е. метрики из разряда «процент солнечных дней в году» нам не подходят).

Также мы пришли к выводу, что система KPI не может быть плоской и должна иметь минимум три уровня:

  1. «Стратегический»: это KPI, которые отображают общую картину достижения поставленных целей;
  2. «Расследование, анализ, выявление связей»: это KPI, на основе которых формируется первый уровень и которые вносят свой вклад в осуществление главной цели.
  3. «Мониторинг и реагирование»: самые базовые KPI, из которых строятся все вышестоящие (мы измеряем их автоматически – на базе данных от СЗИ и других источников).

Каждый из показателей влияет на вышестоящий. Так как это влияние неодинаково, каждому из показателей присваивается весовой коэффициент.

Разумеется, первое, что мы хотим видеть постоянно – это то, насколько эффективно работает наш сервис для заказчиков. И, естественно, эта информация должна быть своевременной. Для этого мы разработали (и продолжаем улучшать) систему метрик, которая отражает качество работы каждой из служб: 1-ой и 2-ой линии, сервис-менеджеров, аналитиков, реагирования, администрирования и д. т. По каждому из этих направлений было разработано порядка 10-15 KPI – считались они на базе данных от систем, в которых работают ребята (вовремя ли выполняются заявки, быстро ли мы отвечаем заказчику на его запрос, как подключаются источники и многое другое).

SLA хорошо, но важнее реальное качество услуги

Для нас важно, чтобы покрытие сервисом позволяло выявлять максимальное количество инцидентов и атак, а не быть слепыми котятами. Чтобы мы могли интерпретировать инциденты у заказчика в формате его же ИТ-активов, а не абстрактных айпишников. Чтобы наши уведомления не сводились к тому, что «на хосте 10.15.24.9 обнаружен Mimikatz», и не вынуждали бы заказчика самостоятельно выяснять, что это за хост, теряя время, необходимое на реагирование и ликвидацию последствий.

Иными словами, нам важно понимать, насколько хорошо защищены заказчики нашим SOC. А значит, надо определить, насколько подробно и достаточно мы их «видим»:

  • все ли значимые источники к нам подключены;
  • насколько эффективно СЗИ заказчика (они же источники для нашего сервиса) покрывают его инфраструктуру;
  • все ли источники настроены так, как мы рекомендуем, и каковы отклонения;
  • все ли необходимые и достаточные сценарии выявления атак и инцидентов запущены у заказчика;
  • все ли подключенные источники отдают нам события с заданной регулярностью;
  • на все ли наши извещения заказчик реагирует, и насколько своевременно он это делает.

А также – насколько «страшно жить внутри этого заказчика», то есть:

  • как часто его атакуют, какова критичность этих атак (целенаправленные или массовые), каков уровень злоумышленника;
  • насколько эффективна защита у заказчика (процессы и СЗИ) и как часто она актуализируется;
  • какова критичность активов, участвующих в инцидентах, какие из активов используются злоумышленниками чаще всего и др.

Чтобы посчитать все такие верхнеуровневые показатели, надо сначала разбить их на более мелкие, а те – на еще более мелкие – пока мы не дойдем до дзена уровня маленьких метрик, которые можно однозначно посчитать на базе данных от источников и наших внутренних систем.

Самый простой пример: есть высокоуровневый показатель «Эффективность процессов ИБ», состоящий из более мелких, таких как «Степень защиты от ВПО», «Степень управления уязвимостями», «Степень защиты от инцидентов ИБ», «Эффективность управления доступом» и т.д. Сколько процессов ИБ реализовано в организации, столько и будет метрик второго уровня. А вот чтобы посчитать метрику второго уровня, надо собрать еще более мелкие метрики, например, «Степень покрытия антивирусом хостов организации», «Процент критичных инцидентов с ВПО», «Количество вовлеченных активов», «Процент ложных срабатываний», «Уровень киберграмотности пользователей», «Процент хостов организации с выключенной антивирусной защитой», «Процент хостов с неактуальными антивирусными базами» – далее можно продолжать до бесконечности. И вот эти метрики третьего уровня вполне можно собирать со средств защиты информации и других систем в автоматическом режиме, а расчет производить в системе аналитики ИБ.

Создание KPI и управление эффективностью SOC – та еще задачка как для разработчиков этих метрик, так и для заказчика (а это исключительно парный «танец»). Но игра стоит свеч: в итоге можно в полной мере, централизовано и быстро оценить состояние ИБ, найти слабые места, быстро отреагировать на инциденты и поддерживать СЗИ в актуальном состоянии.

Если тема окажется интересной, я подробнее расскажу о метриках в следующих статьях. Так что если хотите услышать о каких-то конкретных аспектах измерения SOC, пишите в комментариях — постараюсь ответить на все вопросы.

Елена Трещёва, ведущий аналитик Solar JSOC

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: