plik

LITERATURA PODSTAWOWA

•

KLONOWSKI Zb. Systemy informatyczne zarządzania przedsiębiorstwem: modele

rozwoju i właściwości funkcjonalne, Oficyna Wydawnicza Politechniki Wrocławskiej,
Wrocław 2004.

•

KIJEWSKA A., Systemy informatyczne w zarządzaniu, Wydawnictwo Politechniki

ląskiej, Gliwice 2005

•

Informatyka ekonomiczna. red. nauk. WYRCZA St., Polskie Wydawnictwo Ekonomiczne,

Warszawa 2010.

LITERATURA DODATKOWA

•

Informatyka dla ekonomistów, pod red. NOWICKI A., PWN, 1998.

•

Informatyka gospodarcza, pod red. ZAWIŁA-NIEDŹWIEDZKI J., ROSTEK K.,
GĄSIORKIEWICZ A. Wydawnictwo C.H. Beck, 2010.

•

Inżynieria oprogramowania w projekcie informatycznym, pod red. GÓRSKI J.,
MIKOM, Warszawa, 1999.

•

ROSZKOWSKI J., Analiza i projektowanie strukturalne, HELION, Gliwice 2004.

•

SEJ-KOLASA M., Podstawy zarządzania informacją o środowisku, Wydawnictwo
Akademii Ekonomicznej im Oskara Langego, Wrocław 2002.

SYSTEM jest układem składającym się z części, gdzie:

•

części lub składniki są połączone razem w zorganizowany sposób, a pomiędzy nimi
występują określone relacje,

•

na części bądź składniki systemu mają wpływ różne oddziaływania spowodowane
występowaniem tych części w systemie. Te oddziaływania mogą się zmieniać,

•

układ coś robi – jest celowo zorientowany,

•

układ zostaje zidentyfikowany jako obiekt zainteresowania określonego środowiska
(otoczenia).

SYSTEM INFORMACYJNY to uporządkowany układ odpowiednich elementów,
charakteryzujących się pewnymi właściwościami i połączonych wzajemnie określonymi
relacjami.

ELEMENTY SYSTEMU INFORMACYJNEGO
a)

wejście systemu – informacje o zasileniach otrzymywanych z otoczenia systemu lub

opisujące badane zdarzenia i zjawiska występujące w danym przedsiębiorstwie;
b)

procesy przetwarzania – przekształcają dane wejściowe w informacje wyjściowe;

wyjście systemu – jest rezultatem zachowania się wejścia i przebiegu zachodzących

procesów przetwarzania;
d)

informacyjne sprzężenie zwrotne – zapewnia osiągnięcie tzw. pożądanego stanu

systemu.

ZASOBY SYSTEMU INFORMACYJNEGO
Zasoby zapewniające funkcjonowanie systemu:

•

ludzkie  -  potencjał  wiedzy  ukierunkowany  na  rozwiązywanie  problemów  systemu;
użytkownicy  pełniący  role  nadawców  i  odbiorców  oraz  adresaci  technologii
informacyjnych;

•

informacyjne - zbiory danych przeznaczone do przetwarzania (bazy danych, metod,
modeli, wiedzy);

•

proceduralne - algorytmy, procedury, oprogramowanie;

•

techniczne - sprzęt komputerowy, sieci telekomunikacyjne, nośniki danych.

SYSTEM INFORMACYJNY
to system przeznaczony do:

•

przetwarzania danych (pochodzących z zewnętrznych i wewnętrznych źródeł) w
informację,

•

przekazywania tej informacji menadżerom na wszystkich szczeblach zarządzania,
wszystkich obszarów funkcjonalnych, tak aby możliwe było podejmowanie przez nich
w odpowiednim czasie efektywnych decyzji dotyczących planowania, kierowania i
kontrolowania odpowiednio do zakresów ich odpowiedzialności.

SYSTEM  INFORMATYCZNY
to  system  informacyjny,  który  wykorzystuje  technologię  informatyczną  (komputerową)  do
wykonywania niektórych lub wszystkich zamierzonych działań.

POZIOMY SYSTEMU INFORMACYJNEGO
W  typowej  organizacji  na  system  informacyjny  badany  przez  analityka  składają  się  trzy
poziomy:

•

nieformalny system informacyjny ,

•

formalny system informacyjny,

•

techniczny system informacyjny.

Nieformalny  system  informacyjny  –  zbiór  wzorców  i  zachowań,  które  w  procesie
socjalizacji poznają wszyscy pracownicy (tzw. kultura nieformalna).

Formalny system informacyjny – jawne nakazy dotyczące zachowania: zasady, regulaminy,
oficjalna struktura władzy.

Techniczny  system  informacyjny  –  opisujący  organizację  w  kategoriach  przepływu
komunikatów  (np.  o  wykonanych  planach,  zrealizowanych  transakcjach)  oraz  w  kategoriach
działań związanych z przetwarzaniem danych niezbędnych do realizacji zadań organizacji.
Techniczny  SI  jest  budowany  zwykle  jako  wsparcie  formalnego  SI.  Dawniej  był  to  obieg
dokumentów, obecnie jest to system informatyczny.

SYSTEM INFORMATYCZNY to system informacyjny, który wykorzystuje technologi

informatyczn

(komputerow

) do wykonywania niektórych lub wszystkich

zamierzonych działa

ródło: Systemy informatyczne w zarz

dzaniu, A. Kijewska, Wydawnictwo

Politechniki

skiej, Gliwice 2005

ród najwa

niejszych funkcji systemu informatycznego znajduj

: gromadzenie,

przetwarzanie, przechowywanie i prezentacja informacji.

Stopie

i sposób, w jaki te funkcje s

realizowane przez rozwi

zania IT w danym

przedsi

biorstwie, zale

y od prowadzonej działalno

ci, stopnia

wiadomo

ci kadr w

zakresie mo

liwo

ci rozwoju systemów informatycznych, a tak

e mo

liwo

finansowych konkretnej firmy.

PODZIAŁ SYSTEMÓW INFORMATYCZNYCH

W celu opisu podstawowych własno

ci u

ytkowych wprowadza si

podział

systemów według:

a) zakresu organizacyjnego,

b) obszaru funkcjonalnego,

c) zasi

gu działania,

d) rodzaju wykonywanych działa

e) zakresu obsługiwania funkcji zarz

dzania.

Ad a)

Systemy informatyczne mog

zbudowane dla koncernu, jego oddziałów,

departamentów, jednostek organizacyjnych, a nawet dla indywidulanych osób.

Wyró

nia si

tu:

•

Informatyczne systemy działu,

•

Informatyczne systemy przedsi

biorstwa,

•

Systemy mi

dzyorganizacyjne.

Ad b)

Departamentowe systemy informatyczne odpowiadaj

zazwyczaj tradycyjnym

obszarom funkcjonalnym.

•

Systemy finansowo ksi

gowe.

•

Systemy finansowe.

•

Systemy produkcyjne.

•

System marketingowy.

•

Systemy zarz

dzania zasobami ludzkimi.

Ad c) Zasi

g działania systemów uwzgl

dnia zakres obsługiwanych dziedzin

przedmiotowych przedsi

biorstwa, okre

lanych te

jako funkcje i subfunkcje

techniczne. Zasi

g ten mo

e by

ró

ny. Wedle tego kryterium wyró

nia si

•

systemy cz

stkowe (odcinkowe),

•

jednodziedzinowe,

•

wielodziedzinowe.

Współcze

nie opracowywane i eksploatowane systemy informatyczne zarz

dzania

na ogół zintegrowanymi systemami wielodziedzinowymi.

NALE

Y PRZECZYTA

Z KSI

ĄŻ

KI KLONOWSKIEGO ROZDZIAŁ 2.2.

Ad d) Ze wzgl

du na zakres wykonywanych działa

wyró

nia si

•

systemy raportuj

ce,

•

systemy kalkulacyjne,

•

systemy decyzyjne.

Typ systemu

Raportuj

Kalkulacyjne

Decyzyjne

Czynno

ść

analityczna

opis

przeliczanie

poznanie

Faza
analityczna

zbieranie danych

przeliczanie danych

strukturyzacja
informacji

postaci wariantów
decyzyjnych

Szczebel
zarz

dzania

operacyjny

taktyczny

strategiczny

taktyczny

strategiczny

ródło: Radosi

ski…

Ad e) Ze wzgl

du na zakres wspomagania realizacji funkcji zarz

dzania wyró

nia

•

systemy ewidencyjno-sprawozdawcze (SES),

•

systemy informowania kierownictwa (SIK),

•

systemy wspomagania decyzji (SWD)

•

systemy z baz

wiedzy (SBW).

NALE

Y PRZECZYTA

Z KSI

ĄŻ

KI KLONOWSKIEGO ROZDZIAŁ 2.3 (str. 49-54)

ródło: Systemy informatyczne zarz

dzania przedsi

biorstwem, Zb. Klonowski

CHARAKTERYSTYKA SI wg POZIOMÓW ZARZ

DZANIA

Typ

Rodzaj wej

ść

Przetwarzanie

Rodzaj wyj

ść

ytkownicy

SBW

specyfikacja

problemu; bazy

wiedzy

modelowanie;

symulacje

modele; grafika;

propozycje rozwi

profesjonali

ci;

pracownicy

techniczni

SWD niewielka liczba

danych lub du

bazy danych dla

celów

analitycznych;

interaktywne;

symulacje,

analizy

specjalne raporty;

analizy decyzji;

odpowiedzi na

zapytania

eksperci;

konsultanci,

czasem

rednie

kierownictwo

Bazy

Baza regu

wnioskowania

zyk bezpo

redniego

ytkownika

SES

SIK

SWD

SBW

Modu

y pozyskiwania wiedzy

Ogólna zależność między typami systemów informatycznych.

ród

o: Klonowski

ytkownicy

ytkownicy

Eksperci

System in

ynierii wiedzy

Baza modeli

Zbiory danych

Programy u

ytkowe

Interfejs

modele

analityczne;

narz

dzia do

analizy danych

SIK

dane

zagregowane;

zewn

trzne,

wewn

trzne

grafika;

symulacje;

interaktywne

projekcje; odpowiedzi

na zapytania

zarz

sze

kierownictwo

SES

Podsumowuj

dane transakcji;

e zbiory

danych

transakcje;

zdarzenia

sortowanie;

zestawienie;

czenie;

uaktualnianie

rutynowe

raporty; proste

modele; analizy

szczegółowe raporty;

listy; podsumowania

raporty

podsumowuj

ce;

raporty wyj

tków

personel

operacyjny,

kierownicy liniowi

rednie

kierownictwo

ródło: na podstawie A. Kijewska

Informatyzacja a komputeryzacja

Przesłanki uzasadniaj

ce stosowanie typowych pakietów –

Klonowski str. 152-153

Strategie wdra

ania SI

Stopniowa (step by step) - Wdra

anie systemu moduł po module lub dziedzina

po dziedzinie. Zaczyna si

od modułów / obszarów najmniej nara

onych na

niepowodzenie.

Kompleksowa (big bang) - Jednoczesne wdra

anie wszystkich modułów

systemu.

rednia (middle size big bang) - Podział całego wdro

enia na etapy, które

realizowane s

mniej lub bardziej kompleksowo.

Wybór strategii wdra

ania – czynniki

Czynniki, które nale

y wzi

ąć

pod uwag

przy wyborze:

•

czas,

•

dost

pne zasoby,

•

rozmiar koniecznych zmian.

Konwersja

Konwersja oznacza przeniesienie informatyzowanych dziedzin do wdra

anego

systemu informatycznego.

O wyborze metody konwersji decyduj

cechy nowego systemu i informatyzowanego

przedsi

biorstwa.

Wyró

nia si

cztery metody konwersji:

•

konwersja bezpo

rednia - polega na natychmiastowym wprowadzeniu nowego

systemu w miejsce dotychczas u

ytkowanego,

•

konwersja równoległa polega na równoległej pracy starego i nowego systemu

do momentu osi

gni

cia pełnej niezawodno

ci i stabilno

ci nowego

systemu,

•

konwersja pilotowa polega na tym,

e jedynie cz

ęść

ytkowników

wykorzystuje nowy system, testuj

c jego działanie przed wprowadzeniem go

do ogólnego u

ytku,

•

konwersja fazowa polega na etapowym wprowadzaniu nowego systemu

poprzez

sukcesywne

instalowanie

nowych

modułów

zast

puj

cych

dotychczasowe metody pracy.

Wdra

anie systemu informatycznego (wg. Niedzielskiej)

Wyró

nia si

trzy podstawowe etapy wdra

ania systemu informatycznego:

1. Przygotowanie przedsi

biorstwa

•

przygotowanie organizacyjne,

•

przygotowanie personelu,

•

przygotowanie bazy technicznej.

2. Przygotowanie systemu

•

instalacja systemu,

•

parametryzacja systemu,

•

modyfikacja systemu (adaptacja).

3. Próbna eksploatacja

Ad 1) Przygotowanie przedsi

biorstwa

Przygotowanie
organizacyjne

Przygotowanie
personelu

Przygotowanie bazy
technicznej

•

Analiza

procesów biznesowych

•

Przygotowanie

ytkowników

•

Weryfikacja

symboliki

•

Aktualizacja

bazy normatywnej

•

Wprowadzenie

zmian organizacyjnych

•

Szkolenie

ytkowników

•

Pozyskanie

kadry informatycznej

•

Szkolenie kadry

informatycznej

•

Prace

projektowe

•

Wykonanie

•

Rozruch i

atestacja

Wdra

anie systemu informatycznego (wg. Klonowskiego) –

Klonowski str. 153-155

Wst

pny plan działania (informatyzacja)

•

Co chcemy osiągnąć?

•

W jakim czasie?

•

Kto, w jakim zakresie i w jaki sposób, przy użyciu jakich metod będzie

•

realizował wdrożenie?

•

Jaka będzie kolejność prac i ich intensywność?

•

Jak przejść od stanu istniejącego do pożądanego?

•

Ile to będzie kosztować?

Umowa

Precyzyjne określenie przedmiotu umowy

Przedmiot odbioru

Gwarancja

Szkolenie personelu

Sposób płatności

Statystyki dotyczące projektów z branży IT w USA (według badań The Standish
Group)

Podstawowe elementy sukcesu w realizacji projektu (na podstawie wyników badań The
Standish Group)

•

Zaangażowanie klienta – 15,9%

•

Wsparcie kierownictwa – 13,9%

•

Jasno określone wymagania – 13,0%

•

Właściwe planowanie – 9,6%

•

Realistyczne oczekiwania – 8,2%

•

Mniejsze odstępy pomiędzy kamieniami milowymi – 7,7%

•

Kompetencje pracowników – 7,2%

•

Odpowiedzialność – 5,3%

Brak wydzielenia poszczególnych faz projektu.

Wdrożenie, z punktu widzenia odbiorcy, powinno być podzielone na pięciu kroków:
a.

Określenie oczekiwań związanych z nowym systemem

Wybór dostawcy

Doprecyzowanie modelu współpracy, podpisanie umów

Faktyczne wdrożenie (instalacja, szkolenia)

Podsumowanie i wnioski

Powinny to być niezależne procesy i rozpoczynanie następnego kroku powinno nastąpić
dopiero wtedy, gdy poprzedni jest w całości zakończony. Czasami łączy się dwa pierwsze
punkty procesu dopasowując zmiany w firmie do możliwości dostawcy. Sami dostawcy stają
się wtedy konsultantami, którzy poza dostawą systemu informatycznego zajmują się
optymalizacją procesów biznesowych. Takie połączenie nie wnosi wartości dodanej dla
klienta.

2.

Złe określenie oczekiwań

Częstym błędem jest zakup systemu informatycznego nie w celu wyeliminowania problemów
czy podniesienia funkcjonalności, a tylko dlatego, żeby go mieć. Konieczne jest określenie
jakie działanie systemu uznamy za sukces. Najlepiej nadają się do tego miary ilościowe typu
zwiększymy rotację do wyznaczonego poziomu czy zmniejszymy liczbę reklamacji lub
zwrotów o określony procent.

3.

Brak dokładnych analiz funkcjonalności systemu

System, który ma poprawić działanie przedsiębiorstwa musi być dokładnie przemyślany.
Większość funkcji da się zasymulować z użyciem środków zastępczych. Jeśli przewidujemy
zwiększenie szybkości pracy magazynu po wprowadzeniu jakiegoś ułatwienia przetestujmy
wcześniej to ułatwienie za pomocą żółtych karteczek, Excela i telefonów komórkowych. Nie
bójmy się pytać. Warto stracić dodatkowo kilka dni pytając o zdanie pracowników
fizycznych, niż kilkaset tysięcy na poprawki wdrożenia.

4.

Brak menedżera projektu

Kolejną ważną sprawą jest wyznaczenie osoby odpowiedzialnej za prowadzenie projektu.
Jeśli wybieramy do tego osobę, która ma również inne obowiązki, to od razu skazujemy
projekt na niepowodzenie. Sensowne wydaje się awansowanie wartościowego pracownika z
firmy, odcinając go od dotychczasowego zadania. Sprawdza się też zatrudnienie nowego
pracownika z zewnątrz, mającego odpowiednie doświadczenia w poprzedniej firmie lub
zatrudnienie zewnętrznej firmy lub niezależnego konsultanta.

5.

Za słabe umocowanie menedżera projektu

Klasyczny problem zarówno nowych osób (nie znają struktury i nieformalnych zwyczajów w
firmie) jak i awansowanych (niedawno byłeś mało znaczący, a teraz chciałbyś wydawać
polecenia). Menedżer od początku musi mieć bardzo mocną pozycję i silne wsparcie sponsora
projektu (najczęściej zarządu). Brak takiej pozycji może spowodować ucieczkę ludzi do
innych prac poza wdrożeniem.

Brak odpowiedniej liczby osób zaangażowanych w projekt

Jeśli przy wdrożeniu mają pracować osoby, które jednocześnie muszą zająć się bieżącymi
sprawami, to na pewno najpierw będą wykonywać te bieżące sprawy, a później ... zabraknie
czasu na wdrożenie. Pod żadnym pozorem nie można na tym oszczędzać.

7.

Zła komunikacja wewnętrzna

Informatycy i przedstawiciele biznesu często mówią innymi językami. Jeśli menedżer
projektu nie rozumie obu slangów należy zadbać o taką integrację przedstawicieli obu
pionów, aby po wdrożeniu nie okazało się, że tylko jeden z działów jest zadowolony
(najczęściej zupełnie nie ten, który miał w założeniu na tym zyskać).

8.

Wybór złego dostawcy

Dostawcy chcą się nam zaprezentować z jak najlepszej strony, aby sprzedać swój system.
Większą wiedzę o dostawcach można zdobyć przez wizyty referencyjne u innych klientów i u
samego dostawcy. Należy ocenić sumienność, czyli wywiązywanie się dostawcy z
zobowiązań. Zewnętrzny konsultant może tu być pomocny, jeśli zna już część dostawców z
naszej branży. Osoba, która prowadziła już różne procesy wdrożenia lub pracowała wcześniej
u jakiegoś dostawcy wie natomiast, jak poprowadzić wizyty referencyjne, aby uniknąć,
nieświadomego czasami, wprowadzenia w błąd przez klientów dopieszczonych przez
dostawcę tuż przed wizytą.

9.

Pozorne oszczędności

Często ze względów politycznych wybiera się opcję, która jest tańsza w chwili wdrożenia,
jednak łączne koszty są większe. Te dodatkowe koszty można jednak ukryć i określić jako
niezwiązane z wdrożeniem. Przykładem może być zakup tańszego oprogramowania na
końcówki zamiast terminalowego, który wymaga wymiany stacji roboczych. Oszczędności na
systemie nie rekompensują kosztów wymiany komputerów, jednak wykonuje się tą wymianę
pozornie bez związku z zakupem systemu.

10.

Wymuszenie na dostawcy prac, których nie chce się podjąć

Przy wyborze dostawcy ważne jest dokładne słuchanie tego, co dostawca chce nam
zaoferować. Czasami propozycje dostawcy wynikają z większej niż nasza wiedzy o procesach
biznesowych, a czasami z braku możliwości zaimplementowania pewnej funkcjonalności w
swoim systemie. Generalnie największym błędem jest zmuszenie dostawcy (np. ceną) do
podjęcia się realizacji funkcjonalności lub terminu, który z góry uważają oni za zagrożony.
Niemal na pewno zaowocuje to błędami wdrożenia.

11.

Założenie, że czas jest z gumy

Jeśli prowadzący lub sponsor projektu już przy jego starcie zakłada, że w razie opóźnień
pracownicy podgonią pracując po godzinach, czy w soboty to na pewno projekt się przedłuży.
Planując harmonogram należy zakładać ortodoksyjne podejście do czasu pracy.
Nieprzewidzianych wypadków będzie na tyle dużo, że i tak trzeba będzie zaangażować ludzi
ponad miarę.

12.

Złe zapisy w umowach wdrożeniowych

W większości przypadków dostawcy starają się podpisywać umowy starannego wykonania, to
znaczy (w dużym uproszczeniu), gwarantują najlepsze możliwe podejście do pracy, lecz
wszędzie gdzie się da określają pracochłonność prac, a nie ich efekt. Dzięki temu dostawca
stawiany jest w lepszej pozycji, to znaczy po wykonaniu zakontraktowanej liczy
roboczogodzin może zażądać dodatkowych płatności za kontynuowanie prac. Wszędzie gdzie
się da należy więc zamienić zapisy typu szkolenie z modułu xxx dla 3 osób będzie trwało 3
dni i będzie kosztować yyy na za yyy zostaną przeszkolone 3 osoby z modułu xxx. Kryterium
ukończenia szkolenia będzie zzz. Dobre kryterium jest bardzo trudne do określenia, ale
gwarantuje w przyszłości oszczędność czasu i sporów z dostawcą. Koniecznie należy ustalić
wiarygodne kamienie milowe umożliwiające ocenę postępu prac wdrożeniowych Warto
określić kary umowne.

13.

Złe zapisy w umowach serwisowych

Należy bardzo uważać, które prace wykonuje dostawca w ramach gwarancji, a które w
ramach płatnego serwisu. Dokładnie należy określić co jest błędem krytycznym, aby
uniemożliwić dostawcy zakwalifikowanie najbardziej uciążliwych awarii do klasy błędów,
które mogą być usuwane dużo dłużej.

14.

Wewnętrzny bojkot nowego systemu

W trakcie wdrożenia równie silnie jak dostawcę należy kontrolować zachowanie we własnej
firmie. Nawet najlepsze podejście dostawcy może zostać rozłożone przez grupę niechętnych
zmianom pracowników. Pole do popisu będzie miał charyzmatyczny przywódca, który będzie
potrafił pokazać podwładnym, że to co dobre dla firmy może być też dobre dla pracowników.

15.

Zignorowanie znaczenie użytkowników kluczowych

Najlepszą według mnie metodą nauki nowego systemu jest tzw. wdrożenie metodą
kluczowych użytkowników. Przez dostawcę szkolone są tylko niektóre osoby, które później
przekazują wiedzę dalej. Najczęściej osoby takie w przyszłości otrzymują wyższe
uprawnienia do systemu i spośród nich wyłaniani są administratorzy funkcjonalni mający np.
uprawnienia do anulowania dokumentów. W trakcie wdrożenia to użytkownicy kluczowi
powinni uczestniczyć w kontroli, czy funkcjonalność zamówiona u dostawcy jest realizowana
we wdrażanych modułach. Oznacza to, że powinni mieć świadomość idei działania nowego
systemu. Użytkowników tych warto wyłonić już na etapie określania oczekiwań w stosunku
do systemu, wtedy zapewne włączą się w tworzenie projektu i łatwiej będzie im dokonywać
tej kontroli, gdyż będą to ich oczekiwania.

16.

Nieprzemyślany spsób wdrażania systemu szytego na miarę

Systemy, które są dopasowywane do naszych potrzeb przez parametryzację, modyfikację
skryptów bądź tworzenie nowych funkcjonalności mogą być wdrażane na dwa sposoby.
Pierwszy to wdrożenie typu „as is”, czyli dostawca wdraża u klienta system w wersji
standardowej, a następnie modyfikuje system w locie. Druga metoda to czekanie na
wykonanie wszystkich zmian i wdrażanie systemu dopasowanego. Oba rozwiązania mają
podobną siłę wad i zalet, więc decyzję o wyborze metody należy podejmować w kontekście
własnej sytuacji. Na pewno warto wdrażać część modułów metodą „as is” jak najszybciej, aby
umożliwić import danych masowych (indeksy towarowe, dostawcy itp.). Należy się raczej

wstrzymywać z wdrażaniem modułów, które po modyfikacji będą realizować całkowicie
odmienną funkcjonalność.

17.

Brak mierników postępu

Należy dokładnie określić momenty przełomowe projektu. Jeśli dostawca miał wykonać 3
podobne moduły za pomocą tego samego zespołu w 3 miesiące i deklarował, że każdy z
modułów zajmie mu miesiąc to nie wolno w trakcie wdrożenia przyjąć do wiadomości
tłumaczenia, że pierwszy moduł jest najtrudniejszy, a później będzie się wykorzystywało
fragmenty napisane wcześniej. Gdyby tak było, dostawca powinien nam to powiedzieć zanim
zacznie pracę. Skoro tego nie zrobił to oznacza, że szuka na siłę usprawiedliwienia. Jest to
właściwy moment na natychmiastową próbę podjęcia działań restrukturyzacyjnych zamiast
czekać do końca wyznaczonego czasu.

18.

Brak planu awaryjnego

Jeśli termin wdrożenia systemu informatycznego skorelowany jest z innymi działaniami
(budowa magazynu, otwarcie centrum handlowego, itp.) należy przewidzieć plan awaryjny na
wypadek, gdyby oprogramowanie nie było gotowe na czas. Plan awaryjny musi powstać
razem z planem głównym, gdyż przygotowanie do realizacji tego planu może przebiegać
niemal bezkosztowo razem z planem głównym i bardzo drogo w przypadku spóźnionej
realizacji. Przykładem może być niemożność skorzystania z sieci bezprzewodowej i
konieczność położenia dodatkowych kabli sieciowych. Przy pracach razem z innymi kablami
to tylko koszt kabla. Konieczność zrywania wykładzin, kucia ścian i podłóg aby doprowadzić
te kable w wykończonym, budynku to nie tylko pieniądze ale i czas.

19.

Brak wniosków powdrożeniowych

Częstym błędem jest brak wniosków wyciąganych z wdrożenia. Jakkolwiek sytuacja, gdy
dana firma dokonuje wielu wdrożeń jedno po drugim jest bardzo rzadka, jednak wdrożenie
jest projektem jak każdy inny. Innym rodzajem wniosków mogą być podwyżki, awanse,
zatrudnienia nowych pracowników lub (przykre ale prawdziwe) zwolnienia. Częstym błędem
zarządu, który generalnie nie wymaga wielkich nakładów, jest brak gratulacji i publicznych
pochwał zarówno dla osób uczestniczących w projekcie jak i dla całej załogi, że przetrwała
ten trudny okres..

Jak zawalić projekt informatyczny. Analiza wymagań.

Jest  nieskończenie  wiele  błędów,  które  można  popełnić  w  trakcie  projektu.  Jednak  część  z
nich  jest  popełniana  dosyć  często  a  ich  skutki  są  wyjątkowo  przykre.  Warto  więc  o  nich
opowiedzieć  ku  przestrodze. Podobnie  jak  trudno  jest  podać  zestaw  rad,  który  pozwoli
opanować na przykład jazdę na rowerze lub sztukę podrywania, tak samo prawie niemożliwe
jest wytłumaczenie jak zarządzać w projektach informatycznych. W tych dziedzinach bowiem
ważna jest nie książkowa wiedza a umiejętności, wypracowywane przez wielokrotne próby i
odpowiednią liczbę porażek. Co więcej, działania, które są wymagane w takich sytuacjach są
niepowtarzalne, dramatycznie zależą od sytuacji i ludzi których dotyczą: innymi słowy nie ma
gotowej  recepty  pasującej  do  różnych  sytuacji.  Można  podać  sprawdzone  przykłady,  dobre
praktyki, pomysły, ale ostateczny scenariusz jest zawsze budowany dynamicznie.

Jest jednak pewien zestaw działań, które można dość jednoznacznie określić i przewidzieć ich
skutek  -  są  to antyporady.  Jeżeli  się  do  nich  zastosuje,  to  dramatycznie  zwiększamy  ryzyko
klapy.  Dla  podrywania  może  to  być  zbyt  szybkie  przejście  do  sedna  lub  pytanie  o  Ex.
Niektóre  antyporady  mają  to  do  siebie,  że  opisują  powszechnie  występujące  błędy  a  ich
identyfikacja może pomóc w ich unikaniu.

W tej serii artykułów postaram się przedstawić zestaw antyporad dla tworzenia
oprogramowania i pokazać jakie są skutki ich stosowania. Zaczynam tam, gdzie zaczyna się
każdy projekt: od określenia po co tworzony jest program i co będzie potrafił zrobić, czyli od
analizy wymagań.

Warto zacząć od tego, że analiza wymagań jest dobrym obszarem do zawalenia projektu, bo
sukces zależy od solidnych fundamentów i ich brak źle rokuje. Według raportu Extreme
Chaosopracowanego przez Standish Group, wśród dziesięciu najważniejszych czynników
wpływających na sukces projektu aż cztery są blisko związane z analizą wymagań:



2. Zaangażowanie użytkowniów



4. Jasno określone cele biznesowe



5. Zminimalizowany zakres projektu



7. Stabilne bazowe wymagania

Możemy więc zacząć od tej listy i mamy pierwszą wskazówkę do zawalenia projektu:
Unikaj zaangażowania użytkowników
Informatycy mają tendencję do unikania kontaktów z użytkownikami, z różnych względów.
Zwykle mają przekonanie, że wiedzą lepiej od nich, jakie są ich potrzeby. W końcu też są
użytkownikami komputerów i zwykle mają wyobrażenie o dziedzinie, którą ma wspierać
system, a ponadto mają doświadczenie, widzieli takie systemy, znają ludzi i biznes etc. To
może być prawda. Tkwi tu jednak niebezpieczeństwo: jeżeli przyjęte założenia i wyobrażenia
na temat potrzeb użytkowników są jednak fałszywe lub choćby nieprecyzyjne, to kiedy się o
tym dowiemy? Otóż nie stanie się to ani podczas projektowania, programowania, ani podczas
testowania a dopiero na samym końcu projektu. Koniec końców efekt pracy trafi pod osąd
użykowników, nie uciekniemy od tego. Jeżeli ważymy się odwlec ten moment na sam koniec,
to oznacza, że stać nas na hazardową rozrywkę o wysokiej stawce.

Jasne, wobec tego angażujemy użytkowników od początku i korzystamy z ich wiedzy
podczas trwania projektu. Pojawia się tylko pytanie, kogo konkretnie mamy angażować? W
ten sposób dochodzimy do drugiej antywskazówki:

Błędnie zidentyfikuj użytkowników produktu
Zaczynamy od odpowiedzi na fundamentalne pytanie: kto będzie używał naszego
oprogramowania? Jeżeli nie umiemy określić jasno tej grupy, to mamy spory kłopot. Kłopot
ten wygląda różnie w zależności od kontekstu biznesowego.

W projektach, w których opracowuje się gotowe oprogramowanie do masowej sprzedaży,
brak wiedzy o grupie docelowej grozi tym, że opracowany produkt nie będzie interesujący dla
nikogo. Dla niektórych zabraknie ważnych funkcji, inni stwierdzą, że jest sporo
niepotrzebnych, które komplikują i podrażają produkt. W efekcie ryzykujemy rynkową klapę.

Inna  nieco  sytuacja  jest  w  przypadku  oprogramowania  produkowanego  na  zamówienie,bo
klient jest określony od samego początku i nie ma niebezpieczeństwa, że produkt nie zostanie
sprzedany.  Nadal  zależy  nam  oczywiście  na  satysfakcji  użytkowników,  bo  od  tego  zależą
perspektywy  współpracy  w  dłuższym  czasie.  Ale  tu  dochodzimy  do  sedna: Klient  a
użytkownik  to  zwykle  zupełnie  inne  osoby.  Dlaczego?  Kto  formułuje  wymagania  dla
wykonawcy?  Otóż  będzie  to  kierownik  projektu  (od  strony  klienta),  kierownik  z  działu  w
którym ma być używane oprogramowanie lub jeszcze ktoś inny, kto spełnia dwa warunki: ma
dostateczną  siłę  przebicia  i  dostatecznie  dużo  czasu.  Ale  zwykle  nie  użytkownik.  Do
użytkownika  trzeba  dotrzeć  i  przekonać  do  aktywnej  współpracy.  Innymi  słowy  - słuchać
należy niekoniecznie tego, kto najgłośniej mówi,  a nawet nie tego, kto uzurpuje prawo
do  podejmownia  decyzji,  bo  to  nie  on  może  być  tym  kto  ma  najważeniejsze  rzeczy  do
powiedzenia.

Zwróćcie uwagę jeszcze na inny aspekt powyższej uwagi: kto inny opowiada o potrzebach
(użytkownik), kto inny decyduje o zakresie projektu (analityk, kierownik projektu). Mieszanie
tych ról może prowadzić do kłopotów, a konkretny przepis na nie brzmi:

Oddaj decyzję w ręce użytkowników
Taka rzecz się zdarza w przypadku oprogramowania wykonywanego na zamówienie. Jeżeli
osoba, która powinna być odpowiedzialna ze strony klienta za analizę wymagań nie ma
odwagi podejmować decyzji o funkcjonalności, pierwsze co zrobi, to odda je w ręcę
użytkowników (którzy "są najważniejsci"). Jest to prawie pewne metoda na uzyskanie zbioru
niezbornych życzeń, bez jasno określonych priorytetów i nijak pasujących do wizji całości.
Nie taki jest cel angażowania użytkowników - oni mają zostać wysłuchani i zrozumieni.
Poźniej ich potrzeby mają być przełożone na odpowiednie funkcjonalności, ale to jest rola
całkiem kogo innego.
Pozwól decydować deweloperom
Dlaczego to jest groźne? Otóż dlatego, że programiści są to inni ludzie niż przeciętny
użytkownik. Mają inne umiejętności, inne zamiłowania i inne kryteria oceny tego, co
pożyteczne (np. słynnyvi). Ta różnica ma szczególne znaczenie właśnie w fazie analizy
wymagań. W tym przypadku ważne są takie cechy jak empatia, umiejętność słuchania, dobre
zdolności komunikacyjne - cechy, których deweloperom często brakuje. I jeszcze jedno,
programiści od początku projektu szufladkują usłyszane rzeczy w zależności od tego, czy się
je da wykonać, jak będzie to trudne, jak wpłynie na elegancję wewnętrznej struktury projektu
itp. Innymi słowy przyjmują niekoniecznie najważniejsze w tej fazie kryteria.

Kończymy temat z kim rozmawiać i zmierzamy do grupy antyporad wynikających z
kolejnego z punktów z raportu Standish Group:

Unikaj jasnego określenia celów projektu (skup się na funkcjonalności)

Większość ludzi odruchowo "projektuje" sposób rozwiązania swoich problemów. W związku
z tym zapytani, jakie są cele projektu opowiedzą o swoim wyobrażeniu rozwiązania a nie o
źródłowym problemie. "Potrzebuję aplikacji, która ma mieć funkcję do przesyłania dzwięku i
żeby miała książkę adresową ze zdjęciami..." zamiast "mamy pracowników w trzech biurach:
musimy usprawnić i obniżyć koszty komunikacji między nimi". Brak jasno sformułowanych
celów biznesowych powoduje, że brakuje odniesienia i kryteriów dla decyzji dotyczących
poszczególnych funkcjonalności. Które są naprawdę potrzebne, z których można
zrezygnować, czy można zastąpić je innymi, które rozwiązują problem? Ze względu na brak
kryteriów odpowiedź zależeć będzie od gustu i siły przekonywania różnych udziałowców
projektów.

Zrezygnuj z zapisania wizji
Nawet jeśli wspomniane kwestie zostały przemyślane na początku projektu, to jest spora
szansa, że zostaną zapomniane w ferworze walki. Zwłaszcza, jeżeli projekt trwa dłużej niż
kilka miesięcy, zmieniają się uczestniczący w nim ludzie, następują większe zmiany zakresu,
wtedy łatwo stracić z oczu ustalone na początku cele. Brak pisemnego odniesienia -
krótkiego, jasnego, spójnego dokumentu, zbierającego główne założenia projektu, jest
dobrym przepisem na zdryfowanie projektu.
Zgódź się na wszystkie wymagania
Mając określone wspomniane cele mamy narzędzie umożlwiające podjęcie i obronę decyzji o
odrzuceniu pewnych wymagań czy wynikających z nich funcjonalności. Co się stanie jeśli nie
będziemy stawiać oporu pokusom rozbudowania systemu? Ludowe wyobrażenie jest takie, że
więcej funkcji w produkcie nie zaszkodzi, bo najwyżej nie będzie się ich używało. Ale to nie
jest prawda z dwóch powodów. Po pierwsze rosnący worek funkcji do zaimlementowania jest
sam w sobie sporym zagrożeniem dla projektu (patrz punkt 5. raportu Standish Group). Im
większy, tym dłużej trwa projekt, więcej kosztuje, później przynosi korzyści. Po drugie
wpływa na spójność aplikacji i wygodę użytkowania. Multum gadżetów, dodatków,
możliwości konfiguracji etc. może przesłonić istotę programu, ukryć jego najbardziej
kluczową ideę i odstraszać przeciętnych użytkowników. Warto przypomnieć kilka
programów, które odniosły ogromny sukces: Firefox, Skype, Gadu-Gadu, Del.icio.us, Google.
W stosunku do swoich konkurentów wcale nie miały przewagi w liczbie dostępnych funkcji -
raczej miały je bardzo starannie wyselekcjonowane i dopracowane.
Perfection is achieved not when there is nothing to add, but rather when there is nothing more
to take away. (Eric Raymond, The Cathedral and The Bazaar)
Everything should be made as simple as possible, but not simpler. (Albert Eistein)

Uznaj wszystkie funkcje za równie istotne
Podobnie jak podjęcie decyzji o selekcji funkcjonalności, również określenie wzajemnych
priorytetów poszczególnych funkcji wymaga pewnej odwagi, bo wskazanie mniej istotnych
elementów systemu oznacza przeznaczenie ich na pierwsze ofiary w przypadku braku czasu
i/lub sił w projekcie. Stąd częste naciski klienta do przyjęcia, że "wszystko jest istotne". W
konsekwencji, jak tylko zaczną się kłopoty, to zostaną "ucięte" dość przypadkowe funkcje,
potencjalnie kluczowe dla spełnienia celów biznesowych. Gdyby od początku zostały
uporządkowane według ważności i były realizowane w takiej kolejności, wtedy cięcia
automatycznie dotknęłyby tych najmniej ważnych.

Wiemy już z kim i o czym rozmawiać, zastanówmy się teraz, jakie niebezpieczeństwa tkwią
w sposobie rozmowy:

W rozmowach z użytkownikami używaj informatycznego żargonu

Szczególnie w naszym regionie geograficznym z różnych względów ludzie mają kłopot z
przyznaniem się, że czegoś nie rozumieją. Dlatego jeżeli w rozmowie z klientem będziemy
używali slangowych określeń i będziemy robili to z dostateczną dozą pewności siebie, to
mamy spore szanse, że nasz rozmówca nas nie zrozumie, ale mimo to uda, że zrozumiał.
Może się zdarzyć, że w miejscach wątpliwych dopowie sobie to, co sam sobie wyobraża -
potencjalnie coś zupełnie innego, niż przypuszczamy. Efekt tego nieporozumienia zostanie
odkryty dopiero po wykonaniu działającego oprogramowania, a próba udowodnienia, że to
my mieliśmy rację w niczym nie przybliży nas do sukcesu.

Pozwól dominować papierom
Papier jest narzędziem, które można użyć, jak każde narzędzie, dla swojej korzyści lub na
swoją szkodę. Najprostszy przepis na to drugie, to go nadużyć. Generowanie długich acz
mało treściwych dokumentów nie jest trudne przy obecnie dostępnych narzędziach. Warto
zdać sobie sprawę, że przy dzisiejszym tempie życia, każdy dokument dłuższy niż kilka stron
z ogromnym prawdopodobieństwem nie zostanie w ogóle przeczytany.

Oczywiście  w  piśmie  można  dodatkowo  popełnić  wszystkie  grzechy  dotyczące  ustnej
komunikacji:  można  pisać  niejasno  i  wieloznacznie,  nadużywać  żargonu,  ukrywać  istotne
myśli  wśród  stosu  detali  etc.  Śmiało  można  zakładać,  że  większość  osób  onieśmielona
kilkusetstronicowym  dokumentem  pełnym  trudnych  pojęć  i  złożonych  schematów,  nabierze
nabożnego szacunku dla naszego profesjonalizmu, nie zada żadnego pytania, nie przyzna się
do nie zrozumienia i nie będzie przeszkadzała nam w pracy.

Pozwól na grupowe decyzje (zgniły kompromis)
Z pewnością byliście nieraz na spotkaniu, na którym wszyscy się przekrzykiwali, pouczali,
wymyślali celne riposty, ale podjęcie najprostszej decyzji zajmowało mnóstwo czasu. Co
więcej, ludzie w takiej grupie często sprawiają wrażenie, jakby nie mogli zrozumieć całkiem
prostych rzeczy. Przyczyn tego jest wiele, ale dla nas ważny jest wniosek: próba
podejmowania kluczowych decyzji na spotkaniach, zwłaszcza licznych, zapewni absolutnie
beznadziejną jakość podejmowanych ustaleń.

Zrezygnuj z use-case'ów i prototypów
Wspomniałem powyżej o problemach w jednoznacznym zdefiniowaniu celów projektu i wizji
rozwiązania, wynikających z różnicy w perspektywie użytkowników i projektantów systemu.
Jest kilka praktyk i narzędzi, które właściwie zastosowane zwiększają szansę na obopólne
zrozumienie. Zrezygnowanie z ich użycia jest niebezpieczną drogą na skróty.

Przypadki użycia (use case) są najpowszechniejszą techniką próbującą rozwiązać problem
bariery między światem użytkowników i projetantów. Dzięki swojej formie prowokują do
opisania przykładów, odnoszą się do konkretnych wyobrażeń i potrzeb, a przy tym są pisane
językiem zrozumiałym dla obu stron.

Doświadczenie  pokazuje,  że  mimo  wszelkich  pomysłów  na  usprawnienie  komunikacji
werbalnej,  najłatwiej  się  porozumieć  mając  przed  oczami  prototyp  rozwiązania.  Obejrzenie
konkretnego  okna,  elementarne  przejście  w  aplikacji  procesu  związanego  z  określonym
problemem,  pozwala  zwykle  na  zauważenie  rzeczy  niemożliwych  do  wymyślenia  w
wielogodzinnych dyskusjach. Prototyp nie musi być kosztowny, w ostateczności może być to
zestaw  kartek  papieru  z  wizją  kolejnych  okienek.  Nie  buduje  się  mostów  bez  uprzedniego
zrobienia  makiety,  a  przecież  mosty  są  o  niebo  bardziej  powtarzalnymi  konstrukcjami  niż
oprogramowanie!

Zrezygnuj z narzędzi do zarządzania wymaganiami

Przy większych projektach zapanowanie nad wymaganiami i ich losem w trakcie projektu
staje się trudne. Możliwe jest skorzystanie ze wsparcia narzędziowego, pozwalającego na
katalogowanie wymagań, kontrolę ich zmian oraz śledzenie powiązania między
wymaganiami a realizowanymi funkcjami systemu. Zrezygnuj z tego. Postaraj się rozproszyć
wymagania w wielu dokumentach, arkuszach, poczcie elektronicznej. Po paru miesiącach
spróbuj stwierdzić, czy wszystkie zostały spełnione.
Pomiń oczywiste wymagania
Pewne wymogi są "oczywiste". Nawet jeśli nie zostaną zdokumentowane, to przecież
wszyscy o nich wiedzą. Zwykle z tego powodu jest szczególnie trudno zauważyć ich brak w
dokumentach projektowych. Zauważcie jednak, że dla różnych osób różne rzeczy są
oczywiste. To co jest absolutnie jasne dla użytkownika i projektanta, nie musi być takie dla
programisty (oni są inni). Nie wszystko może być też oczywiste, gdy od czasu gdy
prowadzono intensywne rozmowy z klientem minął rok. Na koniec zostajemy z
oprogramowaniem, które ma prawie wszystko, tylko nie spełnia właśnie oczywistych (czasem
najważniejszych) oczekiwań.

Ogranicz się do wymagań funkcjonalnych
Pomiń wymagania technologiczne: wydajnościowe, sprzętowe, zapewnienie bezpieczeństwa
itp. Spróbuj wyobrazić sobie, jak będzie wyglądała na końcu projektu zmiana systemu, by
spełniał te wymagania.
Oszczędzaj na analizie wymagań
Analiza wymagań kosztuje. Doświadczeni w bojach twierdzą, że cała faza projektowania
systemu zajmuje z grubsza jedną trzecią całego wysiłku w projekcie - sporą część tego czasu
zajmuje analiza wymagań. A przecież w tym czasie nie powstaje ani jedna pożyteczna linijka
kodu! Nie zgadzaj się na to - ogranicz czas na analizę, zacznij programować od samego
początku. Trudno najwyżej się to wszystko przerobi...
Pozwól rządzić polityce
W projekcie różni ludzie mają różne cele. Nie wszystkie z nich układają się w zgodzie z
interesem samego projektu. Wielu będzie chciało upiec swoje pieczenie nie licząc się ze
skutkami. Jeżeli przymkniesz na to oko lub nie znajdziesz sił na odparcie wpływu tych osób,
to cały merytoryczny wysiłek zostanie solidnie narażony.

Zrezygnuj z formalnego zatwierdzenia ustalonego zakresu
W momencie rozpoczynania fazy analizy wymagań jest zwykle już pewna ilość materiałów
źródłowych - materiały przetargowe, umowa, badania rynku, studium wykonalności itp. W
konsekwencji zbierane i ustalane wymagania z pewnością będą w pewnej mierze niespójne z
innymi dokumentami. Jeżeli nie uzyskamy formalnego zatwierdzenia, że ustalony zbiór
wymagań ma pierwszeństwo przed wszystkimi innymi materiałami, to później z pewnością
spotkamy się z sytuacją, w której ktoś będzie się powoływał na te inne źródła. Wszelkie
niejasności i niespójności będą mogły być wykorzystane do prób podważenia ustalonego
zakresu projektu.

Na koniec
W projektach nie ma złotych reguł. Wcale nie jest powiedziane, że projekt, w którym
pojawiają się opisane powyżej zjawiska, jest skazany na porażkę. Tym bardziej nie jest
prawdą, że zabezpieczenie się przed powyższymi błędami zapewni sukces. Niemniej są to
znaki ostrzegawcze, jak ktoś widzi ich zbyt wiele, to może znaczyć, że jedzie złą drogą i ma
małe szanse na dotarcie do celu.

Największe grzechy analizy wymagań



Brak zaangażowania użytkowników



Błędna identyfikacja użytkowników



Oddanie decyzji w ręce użytkowników



Oddanie decyzji w ręce deweloperów



Brak jasnych celów projektu



Brak pisemnej wizji projektu



Akceptacja wszystkich życzeń



Brak priorytetów



Dominacja papierów



Grupowe podejmowanie decyzji



Brak use-case'ów i prototypów



Brak narzędzi do zarządzania wymaganiami



Pominięcie oczywistych wymagań



Pominięcie wymagań niefunkcjonalnych



Zbytnia oszczędność na analizie wymagań



Zbytnie wpływy polityki



Brak formalnego zatwierdzenia ustalonego zakresu

Systemy informatyczne w przedsi

biorstwie (przede wszystkim w logistyce)

•

BI - Business Intelligence - zbiór koncepcji, metod i procesów, maj

cych na

celu optymalizacj

podejmowanych decyzji. To przede wszystkim operacyjne

narz

dzie analityczne pozwalaj

ce nie tylko na ocen

stanu obecnego, ale

równie

zało

onych planów i bud

etów. Wyniki analiz prezentowane s

formie gotowych raportów, wykresów i sprawozda

, które uzupełniaj

funkcje

raportuj

ce systemów ERP.

•

SCM - Zarz

dzanie ła

cuchem dostaw - rozwi

zania informatyczne, które

słu

żą

przedsi

biorstwu do zarz

dzania sieciowym ła

cuchem dostaw. Dzi

nim

liwa

jest

synchronizacja

przepływu

materiałów

pomi

dzy

poszczególnymi kooperantami, co wyra

nie ułatwia firmie dostosowanie si

okre

lonego popytu rynkowego.

•

CPFR (Collaborative Planning, Forecasting and Replenishment) oznacza
wspólne prognozowanie, planowanie i uzupełnianie zapasów. Opiera si

ono na

porozumieniu partnerów biznesowych w zakresie stałej wymiany informacji na
temat prognoz sprzeda

y, zakupów i zapasów oraz planów promocji, produkcji i

dostaw wraz z ustaleniem sposobów identyfikacji i wyja

niania zaistniałych

odchyle

•

WMS – (Warehouse Management Systems ) – wykorzystywane do obsługi
procesów magazynowych. Gromadz

one dane o rodzajach, ilo

ci i podziale

miejsc składowania towarów oraz wiele informacji potrzebnych do
wspomagania operacji magazynowych zwi

zanych z przemieszczaniem

wewn

trznym, dostaw

i wysyłk

. W celu usprawnienia funkcjonowania

systemu i przepływu towarów, a wraz z nim informacji ka

dy składowany w

magazynie produkt, paleta czy miejsce składowania posiada jako jednostka
logistyczna oznakowanie dzi

ki, któremu jest identyfikowana.

Oraz:

VMI
VMI (vendor managed inventory), zwany równie

SMI (supplier managed inventory).

Oznacza optymalizacj

funkcjonowania ła

cucha dostaw w wyniku zarz

dzania

zapasami producenta lub dystrybutora przez dostawc

, który decyduje o czasie i

wielko

ci dostawy, gwarantuj

c jednocze

nie pełn

dost

pno

ść

produktów. VMI jest

procesem, w którym dostawca sam generuje zamówienia na rzecz klienta zgodnie z
jego potrzebami, na podstawie informacji otrzymywanych od odbiorcy. Instrument ten
najlepiej stosowa

w odniesieniu do produktów o łatwym do przewidzenia popycie

oraz takich, dla których standardowa procedura zamówie

jest kosztowna.

Rozwi

zanie to odci

ąż

a odbiorc

od ponoszenia kosztów zamro

onego kapitału i od

ryzyka waha

sezonowych.

VMI – korzy

• obie strony – redukcja bł

dów w danych i w wykonywanych operacjach, poprawa

szybko

ci przebiegu procesu, zaanga

owanie w podwy

szenie standardów obsługi

klienta finalnego, zacie

nienie współpracy, zmniejszenie wymaganego kapitału

pracuj

cego, kompresja czasu, ograniczenie liczby zwrotów oraz pilnych dostaw.

• producent lub dystrybutor – redukcja braków w zapasach i ich ogólnego poziomu,
spadek kosztów planowania oraz składania zamówie

, poprawa poziomu obsługi

klienta, przeniesienie odpowiedzialno

ci za utrzymywanie zapasów na dostawc

uproszczenie procedur administracyjnych, zabezpieczenie przedsi

biorstwa przed

negatywn

sytuacja na rynkach dostarczanych materiałów i komponentów,

zaanga

owanie konieczne tylko w przypadku wyst

pienia problemów;

• dostawcy – minimalizacja bł

dów w prognozowaniu, wpływ promocji łatwy do

uwzgl

dnienia w planach zapasów, redukcja bł

dów w zamówieniach, znajomo

ść

stanów zapasów pozwala na stosowanie priorytetów w realizacji dostaw,
przewidywanie potrzeb przed ich faktycznym wyst

pieniem, optymalizacja produkcji,

zmniejszenie bł

dów w prognozowaniu, stabilno

ść

relacji z klientem;

• ogólne – zredukowanie niepewno

ci co do wysoko

ci popytu, ni

sze zapasy

wymagane w poszczególnych ogniwach ła

cucha dostaw.

EDI
Elektroniczna wymiana danych (EDI, ang. Electronic Data Interchange) – transfer
biznesowej informacji transakcyjnej od komputera do komputera z wykorzystaniem
standardowych, zaakceptowanych formatów komunikatu.
• wymiana danych w formatach opisanych mi

dzynarodowymi standardami, mi

dzy

systemami informatycznymi partnerów handlowych, przy minimalnej interwencji
człowieka.
• EDI ł

czy mo

liwo

ci informatyki i telekomunikacji. Umo

liwia eliminacj

dokumentów papierowych zwi

kszaj

c efektywno

ść

wszystkich działa

zwi

zanych z

handlem. EDI jest najprostszym sposobem realizacji transakcji handlowych z
pomini

ciem

mudnej pracy przy tworzeniu, kopiowaniu i przesyłaniu dokumentów

papierowych. EDI ł

czy bezpo

rednio systemy informatyczne współpracuj

cych ze

sob

firm.

• EDI umo

liwia natychmiastowe przekazywanie informacji, które s

zawarte w

typowych dokumentach handlowych. Zastosowanie standardowych i akceptowanych
na całym

wiecie formatów danych zapewnia,

e wszyscy uczestnicy wymiany

ywaj

tego samego j

zyka. Dokument EDI jest odpowiednikiem papierowego

dokumentu handlowego o ustalonej mi

dzynarodowej postaci, który został

przystosowany do celów elektronicznej transmisji danych.
• EDI nie jest rodzajem poczty elektronicznej. EDI polega na wymianie danych w
ustalonym formacie, pomi

dzy systemami informatycznymi, nie pomi

dzy lud

mi.

Dane te mog

automatycznie przetwarzane przez komputer.

RFID
RFID (Radio Frequency Identification) – jest to system kontroli przepływu towarów w
oparciu o zdalny, poprzez fale radiowe, odczyt i zapis danych.
Technika ta pozwala na odczyt zapisanej na identyfikatorach informacji w sposób
zdalny i bezkontaktowy. Pierwotnie rozwi

zanie to wykorzystywane było w

systemach umo

liwiaj

cych rejestracj

czasu pracy. Coraz cz

ęś

ciej jednak

stosowane jest przez sieci handlowe, zakłady produkcyjne i w logistycznym ła

cuchu

dostaw.

Podstawowymi elementami rozwi

zania RFID s

• Tagi – etykiety wykonane z samoprzylepnego cienkiego papieru lub tworzywa
sztucznego. Na ich powierzchni naniesiona jest

cie

ka anteny nadawczo-odbiorczej

i cieniutki układ elektroniczny,
• Anteny – które emituj

sygnały radiowe w celu odczytania i zapisania na tagach

danych. Je

li ci

gła emisja nie jest wymagana, pole mo

e by

wł

czane przez

czujnik. Czujnik mo

e emitowa

fale radiowe o zasi

gu od kilku centymetrów do 30

metrów i wi

cej w zale

ci od mocy wyj

ciowej i u

ytej cz

stotliwo

ci fal

radiowych.

Gdzie mo

na zastosowa

RFID?

• w handlu detalicznym,
• podczas kontroli produktów, zarówno w trakcie produkcji, jak i podczas napraw
serwisowych,
• w trakcie zarz

dzania surowcami w magazynie - zapewnienia dost

pno

najbardziej poszukiwanych towarów, unikania braków w magazynach,
• podczas obsługi zlece

magazynowych - przyj

cia i wydania towaru, przesuni

cia

wewn

trzmagazynowego, inwentaryzacji,

• podczas

ledzenie obiektów w ła

cuchu dostaw – do oznaczania przesyłek,

• jako identyfikacja pojazdów na parkingach i płatnych autostradach,
• w trakcie kontroli wej

ść

/wyj

ść

pracowników (go

ci) na teren zakładu pracy,

• w trakcie kontroli czasu pracy,
• jako identyfikacja baga

u na lotniskach,

• jako karty wst

pu np. do klubów czy obiektów sportowych.

SYSTEMY KOMPLEKSOWO ZINTEGROWANE

Systemy te charakteryzuje wysoki poziom zastosowanych technologii informatycznych.
Rozwinięte systemy informatyczne wspomagające zarządzanie (SIZ) działające w środowisku
CIM  i  zintegrowane  z  jego  podstawowymi  komponentami  są  określane  jako  systemy
kompleksowo zintegrowane (kompleksowe).

Skrót  CIM  oznacza  Computer  Integrated  Manufacturing  (Komputerowo  zintegrowane
wytwarzanie) i obejmuje poniższe systemy:

–

CAD- Komputerowo Wspomagane Projektowanie (Computer Aided Design),

–

CAE- Komputerowo Wspomagane Konstruowanie (Computer Aided Engineering),

–

CAP- Komputerowo Wspomagane Planowanie (Computer Aided Planning),

–

CAM- Komputerowo Wspomagane Wytwarzanie (Computer Aided Manufacturing),

–

CAQ- Komputerowo Wspomagana Kontrola Jakości (Computer Aided Quality Control).

„CIM  obejmuje  zintegrowane  zastosowanie  komputerów  we  wszystkich  związanych  z
produkcją  obszarach  działania  przedsiębiorstwa.  Obejmuje  techniczno-informacyjne
współdziałanie  między  CAD,  CAP, CAM,  CAQ  i PPS.  W  wyniku  wdrożenia  CIM  powinna
być osiągnięta integracja funkcji, mających na celu wytworzenie produktu.
Warunkiem udanego zastosowania idei CIM jest wykorzystanie wspólnej bazy danych.”

Ź

ródło:

http://rafal.skirzynski.prv.pl/file2.htm

Cele, do jakich dąży strategia CIM:

–

Integracja procesów,

–

Automatyzacja,

–

Skracanie czasów,

–

Podniesienie wskaźnika elastyczności,

–

Wzrost efektywności,

–

Uproszczenie procesów.

•

otwartość - możliwość rozbudowy systemu i tworzenie nowych połączeń
zewnętrznych,

•

zaawansowanie merytoryczne - możliwość pełnego informatycznego wsparcia
procesów informacyjno-decyzyjnych,

•

zaawansowanie

technologiczne

zgodność

standardami

sprzętowo-

programowymi oraz możliwość przenoszenia pomiędzy platformami,

•

zgodność z przepisami (np. ustawą o rachunkowości).

Standardy APICS (American Production & Inventory Control Society)

Podstawowe wyróżnione standardy, w ujęciu chronologicznym to:

•

planowanie potrzeb materiałowych (Material Requirements Planning ) oznaczone
jako MRP,

•

planowanie potrzeb materiałowych i zdolności produkcyjnej w zamkniętej pętli
(Cloosed-Loop MRP) oznaczone jako CL-MRP,

•

planowanie zasobów produkcyjnych (Manufacturing Resources Planning) oznaczone
jako MRP II.

Ostatni ze standardów (pochodzący z 1989 roku) jest reprezentowany przez wiele

zróżnicowanych poziomów zaawansowania.

Źródło: Klonowski

Źródło: Klonowski

SKŁADOWE SYSTEMU MRP II

•

Planowanie biznesowe (Business Planning) - tworzony jest tu ogólny plan działania
przedsiębiorstwa.

•

Bilansowanie  produkcji  i  sprzedaży  (Sales  and  Operation  Planning  -  SOP)  -  w
wyniku  tych  działań  powstaje  plan  produkcji  i  sprzedaży  mające  na  celu  realizacji
planu  biznesowego.  Plany  te  określają  wzajemne  zbilansowane  wielkości  sprzedaży,
produkcji  oraz  poziomu  zapasów  magazynowych  w  poszczególnych  okresach.  Plany
te

będą

wyznaczać

plany

wszystkich

innych

planów

operacyjnych

przedsiębiorstwie.

•

Zarządzanie  popytem  (Demand  Management  -  DEM)  -  obejmuje  prognozowanie  i
planowanie  sprzedaży  oraz  potwierdzanie  zamówień  klientów.  Jej  celem  jest
określanie wielkości przyszłego popytu i ciągła aktualizacja tej wartości.

•

Harmonogramowanie  planu  produkcji  (Master  Production  Scheduling  -  MPS)  -
funkcja  ta  służy  do  zbilansowania  podaży  w  kategoriach  materiałów,  zdolności
produkcyjnych,  minimalnych  zapasów  względem  popytu  wyrażonego  prognozami,
zamówieniami odbiorców, promocjami.

•

Planowanie  potrzeb  materiałowych  (Material  Requirements  Planning  -  MRP)  -
dzięki  tej  funkcji  określone  są  harmonogramy  zakupów,  produkcji  oraz  montażu
wszystkich  części  składowych  wyrobu  wraz  z  priorytetami  dla  zaopatrzenia  i
produkcji.

•

Wspomaganie zarządzania strukturami materiałowymi (Bill of Material
Subsystem) - dostarcza informacji koniecznych do obliczania wielkości zleceń
produkcyjnych i zaopatrzeniowych oraz ich priorytetów.

•

Ewidencja  magazynowa  (Inventory  Transaction  Subsystem  -  INV)  -  wspiera
prowadzenie  ewidencji  gospodarki  magazynowej,  dostarcza  do  innych  funkcji
informacji o dostępnych zapasach elementów.

•

Sterowanie  zleceniami  (Schedule  Receipts  Subsystem  -  SRS)  -  kontroluje  spływ
(przyjęcie  na  ewidencję)  elementów  zaopatrzeniowych  i  produkowanych,  w  tym
zaplanowanych przez MRP i MPS.

•

Sterowanie  produkcją  (Shop  Floor  Control  -  SFC)  -  umożliwia  przekazywanie
informacji  o  priorytetach  między  osobą  planującą  produkcję  a  stanowiskami
roboczymi.

•

Planowanie zdolności produkcyjnych (Capacity Requirements Planning - CRP) -
służy do badania, czy opracowane plany produkcji i sprzedaży oraz harmonogramu są
osiągalne.

•

Sterowanie  stanowiskami  roboczymi  (Input/Output  Control)  -  wspomaga  kontrole
wykonania  planu  zdolności  produkcyjnych.  Służy  do  kontroli  kolejek  na
poszczególnych  stanowiskach  roboczych,  wielkości  prac  na  wejściu  i  wyjściu
stanowiska.

•

Zaopatrzenie  (Purchasing  PUR)  -  funkcja  ta  wspomaga  czynności  związane  z
nabywaniem  towarów  i  usług  od  dostawców.  Pozwala  ona  tworzyć  zlecenie  zakupu
czy harmonogram przyjęć dostaw.

•

Planowanie zasobów dystrybucyjnych (Distribution Resource Planning - DRP) -
wspomaga czynności związane z harmonogramowaniem przesunięć wyrobów
pomiędzy

punktami

sieci

dystrybucyjnej

oraz

planowaniem

produkcji

międzyzakładowej.

•

Narzędzia  i  pomoce  warsztatowe  (Tooling)  -  służy  do  planowania  dostępności
właściwych  narzędzi  specjalnych,  aby  można  było  bez  przeszkód  wykonać  plan
produkcji.

•

Planowanie  finansowe  (Financial  Planning  Interface)  -  zadaniem  jego  jest
umożliwienie  pobierania  z  systemu  MRP  II  danych  o  charakterze  finansowym,  ich
przetworzenie i przekazywanie do osób odpowiedzialnych za planowanie finansowe.

•

Symulacje  (Simulation)  -  umożliwia  ocenę  wpływu  wprowadzonych  zmian  do
poszczególnych  elementów  MRP  II  na  plany  finansowe,  potrzeb  materiałowych  i
zdolności wykonawczych.

•

Pomiar  wyników  (Performance  Measurement)  -  jest  to  forma  ciągłej  kontroli
efektywności  wykorzystania  systemu  MRP  II.  Związane  jest  to  z  ustalaniem  celów,
które MRP II ma osiągnąć i sprawdzaniem, jak udaje się te cele osiągnąć.

SYSTEMY ERP

ERP  (ang.  Enterprise  Resource  Planning),  Planowanie  Zasobów  Przedsiębiorstwa  (chętniej
tłumaczone  przez  producentów  jako  Zaawansowane  Zarządzanie  Zasobami)  –  określenie
klasy systemów informatycznych służących wspomaganiu zarządzania przedsiębiorstwem lub
współdziałania  grupy  współpracujących  ze  sobą  przedsiębiorstw,  poprzez  gromadzenie
danych oraz umożliwienie wykonywania operacji na zebranych danych.
Wspomaganie  to  może  obejmować  wszystkie  lub  część  szczebli  zarządzania  i  ułatwia
optymalizację wykorzystania zasobów przedsiębiorstwa oraz zachodzących w nim procesów.

Systemy ERP są rozwinięciem systemów MRP II. Podstawowym ich elementem jest baza
danych, która jest zazwyczaj wspólna dla wszystkich pozostałych modułów. Moduły te
zwykle obejmują następujące obszary:

–

magazynowanie,

–

zarządzanie zapasami,

–

ledzenie realizowanych dostaw,

–

planowanie produkcji;

–

zaopatrzenie,

–

sprzedaż,

–

kontakty z klientami;

–

księgowość;

–

finanse;

–

zarządzanie zasobami ludzkimi (płace, kadry).

W  skład  systemów  ERP  mogą  wchodzić  również  inne  moduły,  jak  np.  moduł  zarządzania
transportem,  controlling,  czy  zarządzanie  projektami.  Systemy  ERP  są  dosyć  elastyczne  i
umożliwiają dopasowanie ich do specyfiki poszczególnych przedsiębiorstw, m.in. dlatego, iż
poszczególne  moduły  mogą  być  wzajemnie  niezależne  od  siebie  (tzn.  mogą  pracować  bez
obecności innych modułów).

Systemy  ERP  przeznaczone  są  zarówno  dla  przedsiębiorstw  produkcyjnych,  handlowych,
jak i usługowych.
Obsługują  one  zarówno  instytucje,  firmy  handlowe,  jak  i  usługowe  oraz  produkcyjne  o
różnych  typach  produkcji.  Specjalne  wersje  umożliwiają  obsługę  sprzedaży  detalicznej  i
mobilnej.
Największą  zaletą  najnowocześniejszych  systemów  ERP  jest  ich  elastyczność  i  możliwość
dopasowania do specyfiki przedsiębiorstwa w każdej branży w zależności od jego potrzeb.

Dzięki  zintegrowaniu  modułów,  które  zawiera  pakiet  ERP,  uzyskuje  się  płynność
współpracy różnych działów w firmie np. dane wystarczy wprowadzić tylko raz, a będą one
dostępne również dla innych aplikacji, obsługujących odrębne obszary funkcjonowania firmy.
Dzięki  systemowi  ERP  praca  zespołu  jest  zsynchronizowana.  Możliwe  jest  sprawne
prowadzenie projektów, szybka wymiana informacji, a co za tym idzie również oszczędność
czasu i obniżenie kosztów.
Wdrożenie systemu ERP pozwala wydatnie poprawić efektywność działania całej firmy oraz
osiągnąć znaczące korzyści biznesowe:

–

w obszarze zarządzania zasobami ludzkimi,

–

w obszarze zarządzania finansami,

–

w obszarze logistyki,

–

w obszarze produkcji.

Źródło: Klonowski

STWIERDZONE KORZYŚCI Z WDROŻENIA SYSTEMU KLASY MRP II/ERP

•

zmniejszenie produkcji w toku o około 30%,

•

zwiększenie nawet o 50% terminowości wykonania zleceń,

•

skrócenie średniego czasu realizacji dostawy o 20%,

•

zmniejszenie niedoborów części do montażu o 75-90%,

•

wzrost wydajności produkcji o 10-20%,

•

zmniejszenie stanu zapasów magazynowych o 10-50%,

•

obniżenie kosztów zakupu o 7-5%,

•

zmniejszenie średniej liczby pracowników służb zaopatrzenia o 35,5%,

•

wzrost sprzedaży o 15-25%,

•

ulepszenie procesów organizacyjnych,

•

istotna poprawę przepływu informacji w firmie.

Idea audytu IT

Powstanie  audytu  informatycznego  związane  jest  ze  wzrostem  złożoności  systemów
informatycznych.  Chodziło  o  zapewnienie  kontrolowanego  zarządzania  (z  określonym
poziomem  ryzyka  lub  bez  niego)  systemami  informatycznymi  w  organizacjach  różnej
wielkości.

W zakres audytu informatycznego wchodzą przede wszystkim:

–

systemy informatyczne

–

związane z nimi zasoby (budynki, okablowanie i inne niezbędne do funkcjonowania

systemów informatycznych),

–

platformy systemowe,

–

sprzęt komputerowy,

–

licencje.

Zakres  przedmiotowy  audytu  informatycznego  jest  bardzo  szeroki:  poczynając  od  oceny
zarządzania  bezpieczeństwem  pojedynczego  systemu  operacyjnego  aż  do  oceny  zarządzania
bezpieczeństwem  systemów  informatycznych  w  skali  całej  firmy.  Należy  jednak  podkreślić,

e audyt systemów informatycznych nie zajmuje się wyłącznie bezpieczeństwem. Jest

sposobem na otrzymanie aktualnych informacji dotyczących oprogramowania, licencji i
zasobów sprzętowych.

Audyt  informatyczny  może  być  samodzielnym  przedsięwzięciem  lub  stanowić  element
audytu  finansowego  lub  operacyjnego.  Znaczna  część  prac  związana  z  audytem
informatycznym  wykonywana  jest  bowiem  na  rzecz  audytorów  finansowych  lub  audytorów
wewnętrznych badających procesy organizacji.

Zadania Audytu IT (najistotniejsze)

•

przegląd zasad i procedur dotyczących systemów informatycznych mający na celu
ocenę, czy zostały one opracowane przy uwzględnieniu wymagań kierownictwa firmy
i istniejących przepisów wewnętrznych i zewnętrznych,

•

przegląd zasad i procedur dotyczących systemów informatycznych mający na celu
ocenę, czy są one efektywne, i zapewniają niezawodność przetwarzania i
bezpieczeństwo danych,

•

sprawdzenie, czy systemy i aplikacje zapewniają odpowiednie mechanizmy kontroli i
czy mechanizmy te zapewniają ochronę przed stratami lub poważnymi błędami,

•

ocena,  czy  systemy  komputerowe,  sieci  telekomunikacyjne  i  programy  komputerowe
posiadają  odpowiednią  dokumentację,  a  ich  użytkownicy  posiadają  właściwe
umiejętności,

•

przegląd mechanizmów kontroli w aplikacjach służących do przetwarzania danych
mający na celu ocenę ich niezawodności, a także terminowości, dokładności i
kompletności przetwarzania danych,

•

przegląd zabezpieczeń fizycznych i logicznych sprzętu komputerowego i
oprogramowania,

•

przegląd zabezpieczeń fizycznych danych,

•

opracowywanie zaleceń działań korygujących w przypadku zidentyfikowania
problemów w zakresie zasad, procedur i mechanizmów kontroli,

•

przegląd procesu rozwoju aplikacji,

•

przegląd struktury organizacyjnej, podziału obowiązków i uprawnień w ramach
komórek informatycznych,

•

przegląd istnienia odpowiedniej struktury zapewniającej przeszkolenie pracowników
w różnych dziedzinach lub obecność pracowników, którzy mogą zastąpić kluczowych
pracowników w przypadku ich nieobecności.

Podział audytu IT ze względu na przedmiot:

–

zarządzanie projektem,

–

zarządzanie ryzykiem informatycznym,

–

zarządzania jakością,

–

zarządzanie umowami zewnętrznymi i wewnętrznymi.

Podział audytu IT ze względu na metodę badania.

–

Przeglądy – weryfikacja, czy system kontroli jest prawidłowo zbudowany, czy
gwarantuje osiąganie założonych celów.

–

Badania zgodności – ocena zgodności działania z ustanowionymi wymaganiami
(polityki, regulaminy, procedury). Nie ocenia się samych wymagań (zasadność,
skuteczność).

–

Testy penetracyjne – obejmują realizowanie procedur dowodowych w oparciu o
etyczny haking.

Podział audytu IT ze względu na cele – można wówczas mówić o audytowaniu:

–

efektywności (na ile efektywnie działają struktury i systemy informatyczne),

–

bezpieczeństwa (na ile systemy i dane są chronione przed utratą integralności,
poufności i dostępności),

–

zgodności (na ile struktury i systemy informatyczne spełniają wymagania przepisów
prawnych i regulacji wewnętrznych),

–

rzetelności (na ile informacje pozyskiwane z systemów informatycznych oraz
tworzone w ramach struktur informatycznych są rzetelne).

Podział audytu IT ze względu na zasoby – można wówczas mówić o audytowaniu:

–

technologii (w tym systemów operacyjnych i sieci),

–

infrastruktury,

–

aplikacji,

–

danych.

Przykładowy zakres audytu wewnętrznego:

–

testy istniejących zabezpieczeń sprzętowych,

–

sprawdzenie bezpieczeństwa systemów backupowych,

–

sprawdzenie skuteczności systemów antywirusowych,

–

analiza zabezpieczeń programowych,

–

uwierzytelnianie i autoryzacja haseł użytkowników,

–

sprawdzenie możliwości dostępu osób nieuprawnionych,

–

identyfikacja i analiza zagrożeń.

Podział audytu IT

Ze względu na podmiot audytu informatycznego rozróżnienia się:

–

audyt sprzętu,

–

audyt oprogramowania,

–

audyt legalności.

Ze względu na cel wyróżnić można:

–

audyt efektywności,

–

audyt bezpieczeństwa,

–

audyt zgodności,

–

audyt rzetelności,

–

audyt polityki informatycznej i procedur.

Warianty audytu IT

–

Audyt pełny – dotyczy wszystkich komputerów. Powinny go zastosować firmy mające
uzasadnione wątpliwości co do posiadanych zasobów oprogramowania.

–

Audyt „próbki” – procedura audytu ograniczona jest do części (zazwyczaj 10-30%)
komputerów w firmie.

Audyt systemów informatycznych a audyt informatyczny

Audyt systemów informatycznych dotyczy badania i oceny ich funkcjonowania.

Audyt informatyczny ma miejsce, gdy systemy informatyczne wykorzystuje się na potrzeby
innych obszarów audytu wewnętrznego.

Audyt systemów informatycznych koncentruje się na zasobach:

•

fizycznych (komputery, nośniki pamięci),

•

intelektualnych (oprogramowanie wraz z dokumentacją),

•

kadrowych (użytkownicy, projektanci, programiści, administratorzy),

•

usługach i transakcjach związanych z nabyciem aplikacji,

•

usługach operatorskich i administracyjnych.

Przykład zagrożenia

Zagrożenia w zakresie danych

Obszar: logiczny dostęp do danych

Przyczyny:

brak ochrony danych za pomocą identyfikatorów i haseł (także danych
biometrycznych) lub fizycznych identyfikatorów przechowujących certyfikaty

poznanie przez osoby nieupoważnione haseł dostępu lub kluczy umożliwiających
rozszyfrowanie danych

brak ochrony antywirusowej.

Rodzaje zagrożeń:

odczytanie, modyfikacja lub usunięcie danych przez osoby nieupoważnione,

zainfekowanie oprogramowania

dokonanie transakcji bankowych, giełdowych przez osoby nieupoważnione

kradzież tajnych informacji o działalności jednostki.

Zagrożenia związane ze środowiskiem

Przyczyny:

niewłaściwe pomieszczenie (wilgotna piwnica, poddasze, nasłoneczniona weranda),

kable sieciowe znajdujące się za blisko instalacji elektrycznej, odgromowej, kanałów
wentylacyjnych.

Rodzaje zagrożeń:

fizyczne zniszczenie sprzętu informatycznego i nośników danych,

błędy i przekłamania w przetwarzaniu.

W jaki sposób powinniśmy zabezpieczać dane osobowe, które posiada nasza
organizacja?

Poziom koniecznych zabezpieczeń, które musi podjąć organizacja, będzie różny w zależności
od tego jakie dane organizacja posiada (czy są to dane zwykłe czy wrażliwe) i w jakiej formie
je przetwarza (czy są one w postaci wykazów papierowych czy może w systemie
informatycznym). Fakt rejestracji zbiór danych nie ma znaczenia dla koniecznych do podjęcia
środków ochrony.

Stosuje się trzy poziomy bezpieczeństwa w systemie informatycznym:



Poziom podstawowy – stosujemy go gdy w systemie informatycznym są przetwarzane
dane zwykłe oraz gdy żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.



Poziom podwyższony – stosujemy go gdy w systemie informatycznym przetwarzane są
dane osobowe wrażliwe żadne z urządzeń systemu informatycznego, służącego do
przetwarzania danych osobowych nie jest połączone z siecią publiczną.



Poziom wysoki – stosuje się go gdy przynajmniej jedno urządzenie systemu
informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią
publiczną.

Do każdego z tych poziomów stosuje się inne, adekwatne środki bezpieczeństwa.

Poziom podstawowy:



obszar, miejsce, pomieszczenia, budynki, w których są przechowywane dane osobowe
powinien być zabezpieczony przed dostępem dla osób trzecich (podczas nieobecności
osób upoważnionych do przetwarzania danych);



osoby nieuprawnione mogę przebywać w/w obszarze tylko za zgoda administratora
danych lub w obecności osoby upoważnionej do przetwarzania danych;



w systemie informatycznym, który służy do przetwarzania danych trzeba stosować
mechanizmy kontroli dostępu do tych danych;



system informatyczny powinien być zabezpieczony przed działaniem oprogramowania,
które ma na celu nieuprawniony dostęp do informacji oraz przed utratą danych
spowodowanych awarią zasilania;



jeżeli do uwierzytelniania użytkowników stosuje się hasło, jego zmiana powinna być
dokonywana nie rzadziej niż co 30 dni (hasło składa się z min. 6 znaków);



konieczne jest tworzenie kopii danych, które znajdują się w systemie informatycznym



jeżeli dane znajdują się w komputerze przenośnym, osoba, która go używa musi
zachować szczególną ostrożność i stosować środki ochrony kryptograficznej;



urządzenia, dyski i inne nośniki informacji, które są przeznaczone do likwidacji,
przekazania komuś, naprawy pozbawia się danych lub uniemożliwia ich odczytania.

Poziom podwyższony:



stosuje się wszystkie wcześniej wymienione zasady;



jeżeli do uwierzytelniania użytkowników stosuje się hasło, powinno się ono składać z 8
znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.

Poziom wysoki:



stosuje się wszystkie wcześniej wymienione zasady;



administrator stosuje środki ochrony kryptograficznej wobec danych wykorzystywanych
do uwierzytelnienia, które są przesyłane w sieci publicznej;



system informatyczny chroni się przed zagrożeniami z sieci publicznej poprzez
wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym
dostępem.

Najczęstsze błędy prowadzące do utraty danych

Cisco prezentuje badania dotyczące problemu nieautoryzowanego dostępu do infrastruktury i
sieci oraz świadomego udostępniania poufnych informacji firmowych.

Warszawa, 29 października 2008 r. - Firma Cisco® przedstawiła wyniki przeprowadzonych
ostatnio globalnych badań z dziedziny zabezpieczeń. Zwracają one uwagę na liczne
ryzykowne działania pracowników, które mogą prowadzić do jednego z najpoważniejszych
dla przedsiębiorstw problemów związanych z bezpieczeństwem: utraty informacji
korporacyjnych. Badanie wskazuje na często popełniane przez pracowników z całego świata
błędy prowadzące do wycieku danych. Wyniki zostały oparte na ankietach przeprowadzonych
wśród ponad 2000 pracowników i informatyków w 10 krajach. Wykazują one, że dla różnych
krajów i kultur charakterystyczne są odmienne ryzykowne zachowania pracowników.
Analizując wyniki badania przedsiębiorstwa będą mogły dostosować swoje plany zarządzania
ryzykiem, tak, aby zapobiegać zagrożeniom z uwzględnieniem uwarunkowań lokalnych, a
jednocześnie zachować zasięg globalny.

Badania te, przeprowadzone przez InsightExpress, amerykańską firmę zajmującą się analizą
rynku, zostały zlecone przez Cisco w celu zebrania informacji na temat zabezpieczeń i
wycieków danych oraz ich konsekwencji ponoszonych przez firmy w momencie, gdy styl
życia pracowników i ich środowisko pracy podlegają gwałtownym zmianom. W miarę jak
przedsiębiorstwa przechodzą od scentralizowanego do bardziej rozproszonego modelu
prowadzenia działalności, w którym wykorzystywani są pracownicy zdalni, granice między
życiem osobistym, a pracą zacierają się. Zmiana sposobu funkcjonowania przedsiębiorstw,
podobnie jak zmiana stylu życia pracowników, stały się możliwe w dużym stopniu dzięki
upowszechnieniu urządzeń i aplikacji do pracy zespołowej, wykorzystywanych do celów
zawodowych i prywatnych. Należą do nich telefony komórkowe, laptopy, aplikacje Web 2.0,
urządzenia wideo i inne media społeczne.

W tym zmieniającym się środowisku biznesowym przeprowadzono badanie, które objęło
1000 pracowników i 1000 informatyków działających w różnych branżach i firmach różnej
wielkości w 10 krajach: Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Niemczech,
Włoszech, Japonii, Chinach, Indiach, Australii i Brazylii. Wybrano właśnie te kraje, ponieważ
reprezentują one zróżnicowane kultury społeczne i biznesowe oraz ustabilizowane i
rozwijające się gospodarki oparte na wykorzystaniu sieci komputerowych na różnych
poziomach zaawansowania.

"Nie przeprowadziliśmy tych badań po to, aby tworzyć poczucie zagrożenia" - powiedział
John N. Stewart, dyrektor ds. bezpieczeństwa w Cisco. "Bezpieczeństwo jest bezwzględnie
zależne od ludzkich zachowań, dlatego firmy różnych wielkości i pracownicy we wszystkich
branżach muszą wiedzieć, w jaki sposób ich działania mogą zwiększać ryzyko i powodować
utratę danych oraz co to w konsekwencji oznacza dla poszczególnych osób i całych
przedsiębiorstw. Taka wiedza pomoże firmom wzmocnić kontakty między swoimi
poszczególnymi jednostkami biznesowymi, dostosować programy informacyjne i
szkoleniowe do uwarunkowań lokalnych oraz lepiej zarządzać ryzykiem. Krótko mówiąc,
procedury zapewniania bezpieczeństwa mogą być bardziej skuteczne."

Oto dziesięć najbardziej wartych podkreślenia wyników badań:

1. Zmiana ustawień zabezpieczeń na komputerach. Jeden na pięciu pracowników zmienia

ustawienia zabezpieczeń urządzeń w przedsiębiorstwie, aby obejść reguły wprowadzone
przez dział informatyczny i móc korzystać z niedozwolonych w firmie witryn WWW.
Przypadki takie występowały najczęściej w krajach o gospodarce rozwijającej się, jak
Chiny czy Indie. Na pytanie o powody tego postępowania ponad połowa tych
pracowników (52%) odpowiedziała, że po prostu chcieli uzyskać dostęp do określonych
witryn internetowych, a co trzeci oświadczył, że nikogo nie powinno interesować, jakie
strony odwiedza.

2. Wykorzystanie niedozwolonych aplikacji. Siedmiu na dziesięciu informatyków

powiedziało, że pracownicy korzystający z niedozwolonych aplikacji i witryn WWW
(blokowane media społeczne, oprogramowanie do pobierania plików muzycznych, sklepy
internetowe) powodują nawet połowę przypadków utraty danych w firmach. Opinia ta była
szczególnie rozpowszechniona w Stanach Zjednoczonych (74%) i Indiach (79%).

3. Nieautoryzowany dostęp do sieci lub infrastruktury. W zeszłym roku dwóch na pięciu

informatyków spotkało się z przypadkami korzystania przez pracowników z obszarów sieci
lub infrastruktury firmowej, do których nie mieli uprawnień. Przypadki tego typu
występowały najczęściej w Chinach, gdzie niemal dwie trzecie ankietowanych miało
styczność z tym problemem. Dwie trzecie wszystkich respondentów, którzy potwierdzili
występowanie tego zjawiska, spotkało się z nim wielokrotnie w ciągu zeszłego roku, a
14% nawet co miesiąc.

4. Udostępnianie poufnych informacji o firmie. Po zasygnalizowaniu problemu tajności

poufnych danych handlowych firmy jeden na czterech ankietowanych (24%) przyznał w
rozmowie, że ujawniał takie dane osobom spoza przedsiębiorstwa, przyjaciołom, rodzinie
lub nawet nieznajomym. Najczęściej udzielane odpowiedzi na pytanie o powody takiego
postępowania wskazywały na potrzebę zasięgnięcia opinii, co do własnych pomysłów lub
po prostu potrzebę porozmawiania, a także zawierały przekonanie, że nie ma w nim
niczego nagannego.

5. Udostępnianie urządzeń firmowych. Na pytanie o to, czy dane nie trafiają w ręce

nieuprawnionych osób, prawie połowa pracowników (44%) odpowiedziała, że udostępnia
firmowe urządzenia innym osobom, w tym i takich, którzy nie są pracownikami firmy, bez
nadzoru.

6. Korzystanie z tych samych urządzeń i kanałów komunikacji do celów zawodowych i

prywatnych. Niemal dwie trzecie pracowników przyznało, że nagminnie korzysta z
komputerów firmowych do celów osobistych, takich jak pobieranie plików muzycznych,
zakupy, operacje bankowe, prowadzenie blogów, rozmowy na czatach i inne. Połowa
pracowników korzysta z prywatnych kont poczty elektronicznej do komunikacji z
klientami i współpracownikami, przy czym tylko 40% uzyskało na to zgodę działu
informatycznego.

7. Brak zabezpieczeń urządzeń. Przynajmniej jednemu na trzech pracowników zdarza się

odejść od biurka, pozostawiając niezabezpieczony komputer po zalogowaniu. Ci sami
pracownicy pozostawiają też na noc na swoich biurkach laptopy, często bez wylogowania
się, zwiększając ryzyko kradzieży urządzeń i nieautoryzowanego dostępu do danych
przedsiębiorstwa i danych osobistych.

8. Zapisywanie nazw użytkownika i haseł. Jeden na pięciu pracowników zapisuje nazwy

użytkownika systemu i hasła na własnym komputerze lub pozostawia takie notatki na
swoim biurku, w otwartych szafkach, a nawet na kartkach przyklejonych do komputerów.
W krajach takich jak Chiny (28%) pracownicy zapisują dane logowania do osobistych kont

finansowych na urządzeniach firmowych, narażając się tym samym na straty. Fakt, że
zostawiają te urządzenia bez dozoru, jeszcze bardziej podnosi współczynnik ryzyka.

9. Utrata przenośnych urządzeń pamięci masowej. Prawie co czwarty (22%) pracownik

wynosi dane firmowe przy użyciu urządzeń pamięci masowej poza teren przedsiębiorstwa.
Najczęściej zdarza się to w Chinach (41%). Powstaje wtedy ryzyko zgubienia lub
kradzieży tych urządzeń.

10. Dopuszczanie osób postronnych do pomieszczeń firmowych. Ponad jedna piąta (22%)

pracowników w Niemczech pozwala, aby osoby spoza przedsiębiorstwa przebywały bez
dozoru w pomieszczeniach firmy. Średni wynik w tym badaniu to 13%. Natomiast 18%,
wchodząc na teren przedsiębiorstwa, wpuszczało ze sobą nieznane osoby.

"Przedsiębiorstwa w coraz większym stopniu umożliwiają swoim pracownikom pracę
zespołową oraz funkcjonowanie mobilne" - powiedział Stewart. "Bez nowoczesnych
technologii zabezpieczających, reguł, wiedzy i świadomości dane firm są wystawione na
większe ryzyko. Obecnie dane są przenoszone, wykorzystywane, zapisywane w programach,
przechowywane na urządzeniach, poza tradycyjnym środowiskiem firmowym, na przykład w
domach, w podróży, w miejscach publicznych, w samolotach i pociągach. Ta tendencja
będzie się utrzymywać. Aby skutecznie chronić dane, konieczna jest na początek wiedza na
temat zagrożeń typowych dla danej branży, a następnie zastosowanie na tej podstawie
odpowiednich technologii, reguł i programów podnoszenia świadomości."

Stewart powiedział również, że wnioski na temat zachowań płynące z przeprowadzonych
badań mogą pomóc firmom opracowywać programy edukacyjne dla pracowników na
poziomie regionalnym i dostosowywać globalne plany zarządzania ryzykiem. Przedstawił też
następującą listę zalecanych procedur zapobiegania utracie danych:



Wiedz wszystko o swoich danych i sprawnie nimi zarządzaj: Wiedz, gdzie i jak są one
przechowywane, udostępniane i wykorzystywane.



Traktuj i chroń dane tak, jakby były to twoje własne pieniądze: Uświadamiaj
pracownikom, w jaki sposób ochrona danych przekłada się na zyski i straty finansowe.



Stosuj formalne standardy bezpiecznego postępowania: Określ globalne cele
strategiczne i twórz lokalne programy edukacyjne dostosowane do kultury danego kraju i
dominujących w nim zagrożeń.



Twórz kulturę zaufania: "Pracownicy, którzy czują się pewnie, informują o groźnych
zdarzeniach, dzięki czemu dział informatyczny może szybciej rozwiązywać problemy" -
powiedział Stewart.



Dbaj o świadomość w kwestiach bezpieczeństwa, edukację i szkolenia: Myśl globalnie,
ale konkretne programy dostosowuj do uwarunkowań lokalnych, biorąc pod uwagę kulturę
i charakterystyczne dla niej zagrożenia.

"Ochrona danych wymaga pracy zespołowej w całej firmie. Odpowiedzialność nie spoczywa
już tylko na działach informatycznych" - podsumował John N. Stewart, dyrektor ds.
bezpieczeństwa w Cisco.

Phishing i scam: techniki hakerów

Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o publikacji artykułu pt.
"Oszukańczy spam", którego autorką jest Natalya Zablotskaya, analityk spamu pracująca w
firmie Kaspersky Lab. W artykule opisano, w jaki sposób wiadomości spamowe są

wykorzystywane w celu uzyskania dostępu do informacji osobistych oraz wyłudzenia
pieniędzy od użytkowników.

Eksperci z firmy Kaspersky Lab określają spam jako anonimowe, niechciane wiadomości e-
mail. Większość z nich to reklamy, istnieje jednak kilka kategorii spamu, który służy innym
celom. Do spamu "niereklamowego" zalicza się jeden z najniebezpieczniejszych typów
spamu - wiadomości, których celem jest oszukanie odbiorców.

Phishing

Phishing jest terminem stosowanym na określenie najbardziej niebezpiecznego rodzaju
oszukańczego spamu. Spamerzy wykorzystują wiadomości phishingowe do uzyskania danych
osobowych - loginów użytkownika, haseł, numerów kart kredytowych oraz PIN-ów - przy
pomocy których kradną pieniądze. Celem ataków phishingowych są zwykle użytkownicy
bankowości online oraz systemów płatności elektronicznej.

Wiadomości phishingowe imitują korespondencję legalnych organizacji (banków,
przedsiębiorstw finansowych lub systemów płatności). Jednak w przeciwieństwie do
wiadomości wysyłanych przez te organizacje wiadomości phisherów namawiają odbiorców
do "potwierdzenia" swoich danych osobowych pod tym czy innym pretekstem. Wiadomości
te zawierają odsyłacz do fałszywej strony, na której użytkownicy proszeni są o wprowadzenie
swoich poufnych danych, które następnie dostają się w ręce przestępców. Fałszywa strona
stanowi zwykle dokładną kopię oficjalnej strony organizacji, która rzekomo wysłała
wiadomość (adres nadawcy również jest fałszywy), tak aby użytkownicy niczego nie
podejrzewali.

W niektórych przypadkach, po wprowadzeniu przez użytkownika jego danych przeglądarka
przekierowuje go na prawdziwą stronę, przez co prawdopodobieństwo, że ofiara zacznie coś
podejrzewać, jest jeszcze mniejsze.

Innym wariantem phishingu jest imitacja strony internetowej wykorzystująca luki w
zabezpieczeniach oprogramowania zainstalowanego na komputerze użytkownika w celu
pobrania trojana, który następnie gromadzi różne dane (np. hasła do kont bankowych) i
przekazuje je swojemu "właścicielowi". Co więcej, zainfekowana w ten sposób maszyna
może stać się częścią sieci zombie i być wykorzystywana do przeprowadzania cyberataków
lub wysyłania spamu.

Aby zwieść użytkowników, którzy nie zwracają uwagi na wygląd odwiedzanej strony, ale na
jej adres, spamerzy maskują adresy URL, tak aby jak najbardziej przypominały oryginalne.
Phishing rozpoczął się od rejestrowania na serwerach darmowych usług hostingowych nazw
domen przypominających nazwy domen atakowanych stron, z czasem jednak zaczęto
stosować bardziej wyrafinowane metody.

Istnieją jednak również bardziej prymitywne metody oszukiwania użytkowników.
Użytkownik otrzymuje na przykład wiadomość wysłaną w imieniu administratora strony lub
działu pomocy technicznej, w której pod tym czy innym pretekstem proszony jest o
natychmiastowe wysłanie hasła do swojego konta na podany w wiadomości adres.
Użytkownik zostaje ostrzeżony, jeśli tego nie zrobi, jego konto zostanie zamknięte.

Phisherzy w rosyjskim Internecie stosują tę sztuczkę w celu uzyskania dostępu do kont e-

mail. Kontrola nad pocztą elektroniczną użytkowników pozwala cyberprzestępcom na
uzyskanie dostępu do danych osobowych ofiary na innych serwisach internetowych poprzez
żądanie nowych haseł dla tych serwisów.

Kolejną popularną metodą przechwytywania haseł do poczty elektronicznej jest wysyłanie
wiadomości, w których oferuje się uzyskanie hasła innego użytkownika z wykorzystaniem
"luki w systemie tworzenia kopii zapasowych haseł". W celu uzyskania dostępu do cudzego
konta odbiorca takiego spamu musi wysłać login ofiary oraz swoje własne hasło na podany
adres i w określonym formacie. Nie trzeba mówić, że gdy taki "łowca haseł" skorzysta z tego
typu oferty, sam stanie się ofiarą cyberprzestępców.

Celem ataków phishingowych są głównie zachodnie systemy płatności online oraz banki
online posiadające dużą liczbę klientów. Obecnie jednak phisherzy wzięli na swój celownik
również banki online w rosyjskojęzycznym Internecie.

Najlepszym tego przykładem jest atak na klientów banku Alfa Bank. Cyberprzestępcy działali
według standardowego planu: podszywając się pod administrację banku, wysłali wiadomości
zawierające odsyłacz do fałszywej strony internetowej, na której użytkownicy proszeni byli o
wprowadzenie swojego loginu i hasła w celu uzyskania dostępu do systemu bankowości
internetowej. Strona wyglądała identycznie jak strona banku Alfa Bank. Użytkowników,
którzy byli na tyle nieostrożni, że kliknęli odsyłacz czekała kolejna niespodzianka - na ich
komputer pobierał się szkodliwy program. Tej samej metody użyto podczas przeprowadzania
ataku na systemy WebMoney oraz Yandex.Money. Celem ataków phishingowych byli
również klienci Citibanku.

Ponadto cyberprzestępcy wielokrotnie podszywali się pod administrację rosyjskiego systemu
e-mail, prosząc użytkowników o podanie ich loginów i haseł.

Wyłudzanie pieniędzy przy pomocy spamu

Oprócz phishingu cyberprzestępcy stosują wiele innych sztuczek. Spamerzy najczęściej
żerują na naiwności ofiary, na ich słabości do prezentów - cechach ludzkich, które
wykorzystują wszyscy oszuści. Aby osiągnąć swoje cele, cyberprzestępcy opracowali różne
techniki.



Nigeryjski szwindel

Jak sugeruje nazwa, technika ta została wymyślona przez Nigeryjczyków, obecnie jednak
wykorzystywana jest przez cyberprzestępców na całym świecie.

Klasyczny nigeryjski szwindel zwykle opiera się na tym samym scenariuszu: spamerzy
wysyłają wiadomości, w których podszywają się pod przedstawiciela bogatej rodziny
(zazwyczaj afrykańskiej), która straciła swoją pozycję w wyniku wojny domowej, zamachu
stanu, kryzysu gospodarczego lub represji politycznych. Autor prosi - zwykle słabym
angielskim - o pomoc w odzyskaniu dużej sumy pieniędzy poprzez dokonanie przelewu
pieniężnego z jednego konta bankowego na inny. W zamian za pomoc oferowany jest udział
w odzyskanym majątku - zwykle odsetek przelanej kwoty. Podczas takiej "misji" niezbędny
jest pomocnik ochotnik, który zapłaci wymagane opłaty (pokryje koszty przelewu lub opłaty
prawne itd.). Kwota, jaką trzeba zapłacić, jest stosunkowo niewielka w porównaniu z
obiecywaną nagrodą, jednak po dokonaniu transakcji wszelki kontakt z "wdową po obalonym

dyktatorze" lub "synem zmarłego zdymisjonowanego premiera" urywa się. Czasami gdy
ofiara czeka na obiecany przelew, dostaje dalsze prośby o więcej pieniędzy na pokonanie
nieprzewidzianych trudności.

Niekiedy oszust podaje się za wysokiej rangi skorumpowanego urzędnika państwowego,
który dokonał defraudacji i został postawiony przed sądem, dlatego nie może wywieźć
pieniędzy z kraju. Aby przelać skradzione pieniądze, musi posiadać dostęp do jakiegoś konta
bankowego. Odbiorcy takiej wiadomości proponuje się odsetek przelanej kwoty w zamian za
pomoc. Jednak gdy tylko cyberprzestępca przejmie kontrolę nad jego kontem, wykrada z
niego wszystkie pieniądze.

Historie wymyślane przez nigeryjskich scamerów są tak twórcze, że w 2005 roku zostały
nawet wyróżnione Anty-Noblem w dziedzinie literatury. Tego typu scam pojawił się również
w Rosji. W 2005 roku krążyły wiadomości w języku angielskim pochodzące rzekomo od
przyjaciół i krewnych zdymisjonowanego oligarchy Mikhaila Khodorkovsiego. Była to
jedyna wyraźna rosyjska odmiana scamu; inne w niczym nie różniły się od powszechnie
wykorzystywanych taktyk.

Istnieje też romantyczny wariant nigeryjskiego oszustwa polegający na wysyłaniu
wiadomości - rzekomo od panny młodej z egzotycznego kraju - wraz z załączonym zdjęciem
afrykańskiej piękności. Celem scamerów są głównie osoby zarejestrowane na internetowych
portalach randkowych. Jeśli odbiorca takiej wiadomości rozpocznie wymianę korespondencji,
zostanie poczęstowany wzruszającą historię będącą świetnym materiałem na scenariusz opery
mydlanej: moi krewni zostali zabici; nie wolno mi wyjechać z kraju; tak naprawdę jestem
bogatą dziedziczką... W trzecim e-mailu dziewczyna poprzysięga już dozgonną miłość,
prosząc swego "wybawcę", aby pomógł jej opuścić kraj wraz z jej milionami - oczywiście w
zamian za hojną nagrodę. Ta romantyczna historia służy jako przykrywka standardowego
nigeryjskiego oszustwa. Nie trzeba już chyba mówić, że "wybawca" musi opłacić pewne
koszty wstępne, które mogą wynosić tysiące, a nawet dziesiątki tysięcy dolarów. Aby uczynić
historię bardziej przekonującą, w całej sprawie uczestniczy "pastor" lub "adwokat". W
ostatnim etapie historii występują sfałszowane papiery.



Fałszywe wygrane na loterii

Jest to rodzaj scamu podobny do oszustwa nigeryjskiego. Polega na wysyłaniu fałszywych
powiadomień o wygranej na loterii, w której zwycięzców losuje są spośród adresów e-mail
lub numerów telefonu, i oferowaniu im "darmowych" prezentów jako nagrody. Aby
wiadomość wyglądała bardziej przekonująco, scamerzy załączają zdjęcie nagrody, numer
losu, certyfikat rejestracji/licencji oraz inne nieprawdziwe informacje. Podobnie jak w
poprzednim rodzaju oszustwa, aby otrzymać nagrodę, "zwycięzca" musi dokonać przelewu
pieniędzy na wskazane w wiadomości konto.
Pojawiły się również rosyjskojęzyczne wersje takich wiadomości. Ich treść została
przetłumaczona z angielskiego oryginału przy pomocy translatora online.

Odbiorcy takich wiadomości powinni pamiętać, że udział w loterii nie jest możliwy bez
zgody uczestnika. Jeśli nie wyraziłeś zgody (i nic nie wiesz na temat loterii, w której rzekomo
wygrałeś), najprawdopodobniej jesteś celem oszustów, którzy próbują wyłudzić pieniądze od
ciebie i innych użytkowników Internetu.



"Błędy" w systemach płatności, "magiczne fundusze", generatory kodów

Ten rodzaj spamu polega na informowaniu odbiorcy wiadomości o luce w zabezpieczeniach
wykrytej w systemie płatności, na której można "zarobić". Spamerzy opisują lukę i
wyjaśniają, w jaki sposób można ją wykorzystać do zarobienia pieniędzy. Metoda ta
zazwyczaj polega na wysłaniu określonej sumy do "magicznego funduszu". Użytkownik ma
dostać ponad dwukrotność przelanej sumy. Oczywiście "magiczny fundusz" należy do
cyberprzestępców, a użytkownik nigdy nie ujrzy nie tylko swoich pieniędzy, ale również
obiecanej zapłaty. Co więcej, istnieje niewielkie prawdopodobieństwo, że ofiary powiadomią
o oszustwie organy ścigania.

Innym rodzajem oszustwa jest oferowanie generatorów kart kredytowych - systemów
służących do wyciągania pieniędzy z kont innych osób. Ten rodzaj scamu opiera się na
przekonaniu osób, skuszonych wizją otrzymania prezentu, do podania swojego numeru karty
kredytowej (lub karty wykorzystywanej do płatności elektronicznych) oraz hasła w celu
aktywowania programu do generowania kart kredytowych. Programy te zwykle są płatne,
jednak użytkownik dowiaduje się, że będzie mógł wyciągnąć pieniądze z 1 do 3 kont za
darmo. Gdy próbuje wykraść pieniądze z kont innych osób, wprowadzone przez niego dane
wędrują do cyberprzestępców, którzy przy ich pomocy mogą uzyskać dostęp do jego konta.

Odmianą tego oszustwa jest oferowanie generatorów kart, przy pomocy których można
zapłacić za usługi telefonii komórkowej lub internetowe. W tym przypadku do "generatora
kart" należy wprowadzić kod nieaktywowanej karty. Kod ten będzie czymś w rodzaju modelu
do "powielenia". Podobnie jak w przypadku kart kredytowych, wprowadzone dane wpadają w
ręce cyberprzestępców, podczas gdy program imituje proces kalkulacyjny. Gdy ofiara czeka
na wyniki, cyberprzestępcy wykorzystują jej kartę do opłacenia swoich rachunków.



Dziurawe kasyna

Inny rodzaj scamu polega na wysyłaniu wiadomości o następującej treści: "Po wielu
godzinach gry wykryliśmy dziurę w skrypcie, która pozwala na wygranie w kasynie online.
Administratorzy jeszcze jej nie zauważyli!" Następnie umieszczany jest szczegółowy opis
strategii umożliwiającej "wygranie" oraz odsyłacz do strony kasyna. W rzeczywistości
wiadomości te nie są wysyłane z pobudek altruistycznych, a rzekoma luka w skrypcie nie
istnieje. Oszuści realizują następujący plan: użytkownik klika zawarty w wiadomości
odsyłacz i wchodzi na stronę kasyna, a spamer otrzymuję pewną część kwoty, którą przegra.
Inne wiadomości wysyłane w ramach takiego oszustwa oferują pobranie (czasem zakup) i
zainstalowania programu umożliwiającego wykorzystanie takiej luki w zabezpieczeniu. W
rzeczywistości program ten to spyware.



Pokusa szybkiego zysku

Tego typu scam zwykle rozpoczyna się od następujących słów: "To nie jest spam. Mamy dla
ciebie propozycję zarobienia pieniędzy, którą trudno odrzucić. Wiadomość ta zostanie
wysłana do ciebie tylko raz, jeśli ją zignorujesz, do końca życia będziesz żałował straconej
szansy". Opisany dalej plan przypomina typową piramidę finansową: użytkownik musi
zapłacić autorowi określoną sumę pieniędzy, a następnie przesłać wiadomość innej osobie,
aby otrzymać tę samą kwotę wraz z częścią zysku od osób na niższym szczeblu. Uczestniczy
kuszeni są wizją osiągnięcia bajecznych zysków, w rzeczywistości jednak tracą na całym
interesie własne pieniądze.

Skuteczniejszym sposobem wyłudzenia pieniędzy są oferty pracy. Oszuści udają
pracodawców i obiecują "potencjalnym pracownikom" wysokie dochody praktycznie za nic.
Kwalifikacje nie są wymagane, a po nawiązaniu kontaktu z potencjalną ofiarą, oszuści proszą
ją o opłacenie kosztów uzyskania bardziej szczegółowych informacji oraz pokrycie opłat
pocztowych. Użytkownicy mają to zrobić możliwie jak najszybciej, ponieważ wakat może
objąć ktoś inny.

Czasami scamerzy przeprowadzają ataki na konkretne cele, wysyłając "atrakcyjne oferty" na
adresy użytkowników zarejestrowanych na portalach z ofertami pracy. Otrzymują propozycje
pracy w rzeczywistych międzynarodowych firmach zajmujących się wydobyciem złota lub
diamentów, wytwarzaniem sprzętu medycznego, produkcją chemikaliów i szczepionek lub
działających w branży bankowości inwestycyjnej czy budowlanej. Oferowana praca zwykle
odpowiada obszarowi działalności aplikanta i wymaga jego kwalifikacji i doświadczenia. W
trakcie wynikają jednak "koszty administracyjne" i pieniądze ofiary lądują w kieszeni
scamera.



Szantaż

W celu wyłudzenia pieniędzy spamerzy wykorzystują nie tylko atrakcyjne oferty, ale również
uciekają się do gróźb. Groźby najczęściej wyrażane są w następujący sposób: przestaniemy
wysyłać spam tylko wtedy, gdy nam zapłacisz. Zdarzają się jednak bardziej przerażające
groźby, takie jak wiadomości od "zabójcy", który żąda pieniędzy w zamian za życie ofiary.



Oszustwa przez SMS

Oprócz klasycznych sztuczek pochodzących z zachodniego segmentu Sieci popularnością w
rosyjskim Internecie cieszy się obecnie oszustwo, w którym przekonuje się użytkowników do
wysłania wiadomości tekstowych na krótkie kody. Krótkie kody są wydzierżawiane przez
operatorów telefonii komórkowych, a osoby wysyłające na nie wiadomości obciąża się
opłatami. Większość pieniędzy pobieranych w ramach opłaty za teksty wysyłane na krótkie
kody przekazywana jest stronie wydzierżawiającej kod.

Scamerzy stosują różne sposoby, aby nakłonić swoje ofiary do wysłania wiadomości na krótki
kod, od oferowania darmowego dostępu do Internetu i wszelkiego rodzaju nagród, do
otwartych gróźb zablokowania jego skrzynki pocztowej, jeśli nie wyśle wiadomości SMS.

W jednej z takich masowych wysyłek oferowano nawet opcję zrezygnowania z otrzymywania
dalszych wiadomości. Spamer zapewniał, że chce być "praworządnym obywatelem" i
powołując się na rosyjską ustawę o reklamie z 1 lipca 2007 roku poprosił użytkowników, aby
usunęli swoje adresy ze spamerskiej bazy danych, wysyłając "darmową" wiadomość SMS.
Spamer twierdził, że po wysłaniu wiadomości SMS użytkownicy otrzymają odsyłacz do
strony internetowej zawierającej spamerskie bazy danych, z których będą mogli usunąć dane
dotyczące swojego konta e-mail. Nie trzeba mówić, że prawdziwy cel tych wiadomości nie
miał nic wspólnego z przestrzeganiem prawa.

Bardziej zaawansowane odmiany oszustwa z wykorzystaniem SMS-ów mogą obejmować
odsyłacz do specjalnej strony internetowej, na której użytkownik proszony jest o wysłanie
wiadomości SMS na krótki kod. Tak wyrafinowany plan ma na celu złapanie nawet
najostrożniejszych użytkowników.

Podpis elektroniczny

Zgodnie  z  polską  ustawą  przez  podpis  elektroniczny  należy  rozumieć  dane  w  postaci
elektronicznej,  które  wraz  z  innymi  danymi,  do  których  zostały  dołączone  lub  z  którymi  są
logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Klucz zarówno prywatny jak i publiczny to nic innego jak ciąg bitów, którego postać zależy
jednak od podpisywanej wiadomości i oczywiście od osoby, która go podpisuje. Może on
przybrać postać ciągu tekstowego

Funkcje e-podpisu

•

funkcja uwierzytelniająca – pozwala stwierdzić czy podpis został utworzony z
użyciem klucza prywatnego odpowiadającego kluczowi publicznemu.

•

gwarancja niezaprzeczalności – umożliwia stwierdzenie na zasadzie domniemania, że
pod danym dokumentem podpisała się osoba, na która wystawiono klucz prywatny.

•

gwarancja integralności danych – polega ona na ochronie wiadomości przed
wprowadzeniem do niej zmian przez osoby do tego nieupoważnione.

•

funkcja identyfikacyjna – polega na potwierdzeniu tożsamości nadawcy wiadomości.
Pozwala stwierdzić kto jest zarejestrowany jako właściciel danego klucza prywatnego.

•

gwarancja poufności – ma ona zapewnić ochronę danych przed ingerencją osób
trzecich.

Rodzaje podpisu elektronicznego wyróżniane przez UE

•

podpis elektroniczny, czyli deklaracja tożsamości autora złożona w formie
elektronicznej pod dokumentem. Może to być na przykład podpis pod emailem lub
zeskanowany podpis odręczny wklejony w dokument PDF.

•

zaawansowany  (bezpieczny)  podpis  elektroniczny,  czyli  podpis,  który  za  pomocą
odpowiednich  środków  technicznych  (kryptograficznych)  jest  jednoznacznie  i  w
sposób  trudny  do  sfałszowania  związany  z  dokumentem  oraz  autorem.  Kategoria  ta
odnosi się do większości systemów tradycyjnie nazywanych podpisem elektronicznym
i wykorzystujących różne algorytmy kryptograficzne dla zapewnienia bezpieczeństwa.

•

kwalifikowany podpis elektroniczny, czyli taki podpis zaawansowany, który został
złożony przy pomocy certyfikatu kwalifikowanego oraz przy użyciu bezpiecznego
urządzenia do składania podpisu.

Dokument  opatrzony  podpisem  elektronicznym  może  być  –  przy  spełnieniu  dodatkowych
przesłanek  –  równoważny  pod  względem  skutków  prawnych  dokumentowi  opatrzonemu
podpisem  własnoręcznym.  Podpis  elektroniczny  będzie  mógł  być  uznany  za  równoważny
podpisowi  własnoręcznemu  jeśli  spełnia  warunki  umożliwiające  uznanie  go  za  podpis
elektroniczny bezpieczny.

Zgodnie z ustawą bezpieczny podpis elektroniczny to podpis elektroniczny, który:

•

jest przyporządkowany wyłącznie do osoby składającej ten podpis,

•

jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej
podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu
elektronicznego i danych służących do składania podpisu elektronicznego,

•

jest powiązany z danymi, do których został dołączony, w taki sposób, że
jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

Funkcja  „skrótu”,  funkcja  mieszająca  lub  funkcja  haszująca  -  funkcja,  która
przyporządkowuje  dowolnie  dużej  liczbie  (wiadomości)  krótką,  zwykle  posiadającą  stały
rozmiar,quasi-losową  wartość  (tzw.  „skrót”  nieodwracalny  wiadomości).  W  informatyce
funkcje skrótu pozwalają na ustalenie krótkich i łatwych do weryfikacji sygnatur dla dowolnie
dużych  zbiorów  danych.  Takie  sygnatury  mogą  chronić  m.in.  przed  przypadkowymi  lub
celowo wprowadzonymi modyfikacjami danych (sumy kontrolne).

Zastosowanie podpisu elektronicznego

•

handel elektroniczny

•

zdalna praca

•

transport

•

sektor finansowy

•

sektor publiczny

•

administracja rządowa i samorządowa

•

księgi notarialne i księgi wieczyste

•

rejestry znaków towarowych i patentów

•

usługi pocztowe

•

sądownictwo

•

publiczna opieka zdrowotna

Jak powstaje i działa podpis elektroniczny?

•

Nadawca tworzy dokument elektroniczny, dla którego odpowiednim programem
tworzony jest skrót gwarantujący integralność danych.

•

Podpis cyfrowy generowany jest w procesie szyfrowania skrótu wiadomości przy
wykorzystaniu klucza prywatnego zapisanego na karcie.

Zakupy elektroniczne na rynku przedsiębiorstw

Handel przez platformy e-commerce B2B w Polsce stanowi 5% wszystkich transakcji
zawieranych

pomiędzy

firmami

–

donosi

blog

Ideas

Action

(

http://ideas2action.pl/2011/10/20/jak-wyglada-sprzedaz-b2b-w-polsce/

Jednocześnie

wartość wymiany handlowej w segmencie B2B szacuje się obecnie na 120 mld złotych
rocznie, co oznacza, że jest to 8 razy więcej niż wartość transakcji konsumenckich
zawieranych przez handel internetowy B2C.

WYKORZYSTANIE NARZĘDZI ELEKTRONICZNYCH W PROCESIE ZAKUPU

Źródło: Prezentacja „Aukcje elektroniczne”, Z.B. Danek

SYSTEM ZAKUPOWY (E-PROCUREMENT)

Sposób  organizacji  procesu  zaopatrzeniowego  w  oparciu  o  rozwiązania  systemowe.
Charakteryzuje  się  zautomatyzowanym  obiegiem  dokumentów  pomiędzy  kupującym  a
dostawcami.
Pracownicy  we  wszystkich  jednostkach  organizacji  mają  dostęp  do  jednolitego  systemu
obsługującego  proces  zakupów,  który  obejmuje  cały  proces  od  momentu  zgłoszenia
zapotrzebowania aż do sprawdzenia płatności.

CECHY FIRM ODNOSZĄCYCH NAJWIĘKSZE KORZYŚCI Z ZASTOSOWANIE
SYSTEMU E-PROCUREMENT:

•

rozbudowaną i rozproszoną geograficznie strukturą organizacyjną,

•

wysokimi kosztami zakupów, które stanowią znaczącą pozycję w budżecie (np.
zakłady produkcyjne),

•

dużą liczbą dostawców,

•

różnorodnością zakupywanych produktów.