昨天跟一数据安全领域创业的朋友聊天,谈到了最近针对业务安全驱动的数据安全密集输出,其中的难点在于作业流程的治理。虽然针对如何计划和执行业务安全驱动的数据安全和如何从业务流程治理的角度展开工作写了两篇文章,但这个问题仍需要进一步的剖析,并从不同维度去看其中的重点和难点。
一、难点终究不是难点,只是需要时间
首先让安全部门驱动作业流程治理这件事就面临巨大的挑战。
作业流程是企业的核心竞争力,但这也带来了经验主义,神秘主义,迷信主义的陷阱。业务领域的负责人一般是身经百战,成绩斐然的成功者,虽然这个成功可能有各种天时、地利、人和、环境、态势、运气的成分,当然运气,福将也是一种实力的体现,所以老板在用人的时候,从信任、授权的纬度,都会依赖业务负责人杀伐果断的决策。业务负责人无论处于自负还是自私,从人性的角度都难以以开放的心态,实现业务流程的透明与开放,以实现业务流程治理。
业务流程治理与泰勒时代的科学管理一脉相承,工业革命的作业动作分解与管理开创了现代管理革命,在数字化时代,脑力劳动成为主流,信息系统成为作业承载,而作业流程在德鲁克发挥知识劳动者主观能动性的管理理论下经历了业务为王的敏捷时代。数字化时代重提业务流程治理,如何保障科学管理与主观能动性激励的有机平衡,是一个挑战。
因此,业务流程治理这件事情是对业务经验主义,神秘主义的去魅,是数字化技术实现科学管理与知识工作主观能动性平衡的必然。当然,理念是一件事,实践是另一件事,任何变革都会面对认知革命传播的漫长周期和既得利益者的反扑和对抗,难以一蹴而就。只不过对于先行者企业而言,业务流程治理的艰难反而是一个拉开行业竞争差距的好机会。即使在有可能既得利益挑战最激烈的业务负责人方面,内卷的溢出效应也决定,相对于抵抗的螳臂当车,倒不如主动拥抱变化的转型,获取更多价值和利益。
2024年底到2025年初,中国在人工智能、文化、军事技术领域的崛起势不可挡是一种典型的人才溢出的涌现效应。为什么现在大家普遍觉得内卷,就是因为人才的溢出效应决定必须拼命奔跑才不会停留在原地,想着靠曾经的经验和努力躺平,显然是不可能的。一个企业业务领域的负责人背后有无数个发现企业作业流程秘密,具备经验但缺乏上位机会的竞争者,因此,业务负责人的抵抗,只会让竞争者看到出人头地的机会。
二、三明治结构决定作业流程不是你想的企业流程
流程(process)或者叫过程,这个概念我的认知也经历了非常多的变化。在伪国企时代,理解流程就是审批流,并对其冗长低效腹诽不已。在前上市民企时代受前华为员工的IT流程概念的影响,才意识到流程的魅力,但这个时候,发现咨询公司的流程设计面临理论脱离实际的重大挑战,即使ERP实时咨询在设计和落地依然面对着巨大的鸿沟。直到在清华CDO班接触到流程挖掘意识到如何从数据的角度验证和优化流程设计才算找到答案。这个认知的贯通过程,着实经历了知识结构、认知和实践的螺旋迭代。
在这次重新思考数据安全的全面风险和解决方案时,终于融汇贯通,涌现了我所谓的业务安全驱动数据安全的核心路径——作业流程治理。而这个作业流程治理,既有别于理论的流程设计,又有别与信息化时代的过程挖掘,是从理论,实践,数据三个纬度实现的我称之为“三明治结构的”作业流程治理。
作业流程关注的不是流程管理的决策节点,而是岗位具体工作作业过程的行为分解。这里的行为关注的是员工的岗位角色在工作中具体行为的执行环境,承载工具与系统,以及相关的记录。
三明治的上层依然是设计,从岗位,角色的角度分解业务操作的行为,并根据行为的组合确定岗位的作业。企业的任何工作都是有一系列的作业构成,这个作业体现是具体的行为组合。这是业务管理,业务运营的核心部分,业务管理者的经验就是实现作业流程设计的体系化。有了作业流程设计,业务运营与管理对企业而言是透明的、可解释的,这个步骤有点像可解释性AI,目的是拆解业务黑箱。
三明治的中层是作业实践,涉及到作业的环境,作业的工具,作业的系统,作业的生态。人、机、环境、外部的交互过程。数字化时代或知识工作的核心在于作业过程的系统化,当然,当下的作业有可能是线下的,例如拜访客户;可能是非电子化的,例如面对面沟通与会议;可能是非系统化,例如基于office的ppt和word文档撰写;可能是非自研作业系统的,例如第三方IM等。而数字化的关键,就是把线下,非电子,非系统,第三方系统实现有机的整合,实现作业流程的数字化、自动化、系统化。
三明治的底层是作业记录,作业实践的过程是作业记录数据采集的基础。这个记录在数字化有限的场景中既包括自主系统的日志,也包括第三方系统的日志记录,非系统的终端工具管控记录,甚至线下记录的线上化录入(这个真实性,完整性,质量存疑)。当然,最理想的完整作业记录依赖于作业实践的全面数字化。
传统的流程管理关注在第一层和第二层的系统化部分,从信息化时代开始,即使当下,一般会有CIO的角色承担这部分的治理。而伴随数字化时代,新型IT技术对企业业务的冲击,作业实践部分数字化面对的挑战越来越大,企业也关注作业的效率,这个时候关注的重点在于第二层作业系统信息化部分和第三层的信息系统记录,一般会有CTO的角色承担这部分治理。至于最近几年出现的CDO角色,如果谈的是首席数据官,一般关注的是业务数据的业务价值和业务风险以及合规治理领域,是第二层作业实践的业务数据。如果是首席数字官,则需要关注包括首席数据官和CTO的职责范围,即提升作业实践的数字化能力,关注业务数据的同时,需要关注第三层作业记录对业务管理、企业管理的价值和应用。
三、作业流程的价值与意义
三明治结构的上层流程设计是一种自上而下的结构,是咨询公司擅长的领域,这个领域的成果主要是组织文档(OD,Organization Document),包括制度、流程,以及过程记录(PR,Process Record),但如果仅停留在这个层面上,只是业务合规(BR,Business Regulation)的范畴。
三明治的底层流程记录属于过程记录(Process Record)是传统观念审计职能关注的范畴,包含PR在内的OD审查是传统审计职能的核心。数字化时代的审计,相对于OD的形式审查,更需要重视实时的监控与预警。
流程、实践、记录三明治结构的互相验证和校验是作业流程治理的核心,理想那个的状态是顺序结构,先流程设计,然后在做实践部署,最后记录结果。但在企业运作的过程中,三者之间的交叉,迭代,以及彼此缠绕是一种常态,切入的节点往往是作业实践已经运行已久,只是风险管控和治理环节出现问题,需要推动解决。
这个时候,业务部门的作业流程自我梳理,管理和支撑部门尤其是信息化部门的作业实践梳理,以及现有作业记录相关日志的梳理,需要同时进行。
如果作业流程设计包含的内容没有作业实践支撑,或者作业实践的支撑支离破碎缺少系统化支持,依赖诸多第三方工具和系统甚至线下作业。需要思考的是企业数字化转型的命题。
如果大量的系统、应用、终端和线下行为没有作业流程的梳理和设计作为支撑,需要评估作业流程梳理的完整性和作业实践的冗余动作与必要性。岗位,人员,行为是否需要裁剪和优化是需要重点考虑的内容。
如果作业流程的设计有作业实践的支撑,但却缺少作业记录,这是数据驱动的管理和数字化转型的缺失。需要关注数据采集点的完善,实现作业记录。如果作业记录中包含作业流程无关的行为记录,需要审视是作业流程梳理与设计,作业实践的梳理存在缺失或遗漏,还是相关行为存在风险与违规的嫌疑,需要重点排查。
作业记录是人工智能驱动数据分析作业流程和作业实践合理性的基础,也是作业流程设计优化、作业实践数字化转型的重要参考依据。作业流程中行为设计的运营分析指标,例如,作业流程的例外分析,耗时分析,瓶颈分析,异常分析;甚至是岗位设计的合理性,作业行为工作量的合理性。都可以通过作业记录的分析进行优化、调整,降本增效,提高运营能力,实现作业流程治理。
同样,作为数字化时代的方法论,三明治作业流程结构的治理本身需要数字化支持。即作业流程的梳理、设计,作业实践的部署,以及作业记录都需要纳入系统管理,实现作业流程治理的数字化、系统化、自动化。而不是这个方法论的输出仅是形成一套制度、流程、记录,而缺少持续的优化,监控,预警与审计的能力。
本文虽然是针对业务流程(Business Process)的治理展开,其实对于管理流程(Administrator Process)而言,同样适用。企业运营本身都是基于员工以及生态中人机交互行为的设计、实践、记录的三重验证与治理。
如果问我什么是数字化,那么我的答案就是这个。
声明:本文来自IT的阿土,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
