کوبیت (COBIT) و راهبری فناوری اطلاعات (IT Governance)
چكيده
مديران ارشد سازمان تأثير قابل توجهي را که فناوري اطلاعات ميتواند روي موفقيت سازمان داشته باشد، درک کردهاند. مديران اميدوارند که درک و شناخت خود را از روشهاي مبتني بر فناوري اطلاعات که به کار برده شده است و نيز احتمال به کار بردن موفقيتآميز آن را براي کسب مزيت رقابتي افزايش دهند.
بنابراين هيئت مديره و مديران اجرايي نياز دارند که مديريت و نظارت روي IT را افزايش دهند، براي اينکه اطمينان يابند که IT سازمان، استراتژيها و هدفهاي سازمان را دنبال ميکند و برآورده ميسازد. از اينرو راهبري فناوري اطلاعات (IT Governance = ITG) به عنوان بخش جدايي ناپذير مديريت سازمان در نظر گرفته ميشود. اين مقاله با هدف معرفي راهبري فناوري اطلاعات و دلايل اهميت آن و آشنايي با چگونگي پيادهسازي آن تهيه شده است تا مديران را در جهت به کارگيري راهبري فناوري اطلاعات در سازمانها ياري كند.
راهبري فناوري اطلاعات عبارتي است که براي توصيف اينکه چطور افراد براي مديريت يک نهاد، فناوري اطلاعات را درسرپرستي، نظارت،کنترل و رهبري مورد توجه قرار ميدهند، به کار برده ميشود.
مقدمه
در اين مقاله سعي بر آن شده است كه رهبري فناوري اطلاعات معرفي شود و دلايل نياز به آن در سازمانها براي نظارت و سرپرستي فعاليتهاي مرتبط با فناوري اطلاعات شرح داده شود.
سازمانها نياز دارند که به سمت فرايندگرايي حرکت کنند و آنچه که به سازمانها در اين راه کمک كرده، آنها را پشتيباني ميكند فناوري اطلاعات است. فناوري اطلاعات ستون فقرات مهمي براي فرايندها است. براي اينکه فناوري اطلاعات در سازمانها وارد شود و همينطور براي ايجاد يکپارچگي و بهبود در سازمانها لازم است براي کنترل و نظارت روي آن ، راهبري فناوري اطلاعات پيادهسازي شود.
وضعيت ساختار IT در سازمانهاي سده بيست و يکم
در سده بيست و يکم، سازمانها به سمت فرايندگرايي حرکت ميکنند و توجه مديران روي فرايندهاي شرکت متمرکز شده است، در نتيجه فناوري اطلاعات، يک عامل توانمند براي اين اطلاعات است. سازمانها براي افزايش يکپارچگي و استاندارد کردن فرايندها، افزايش سرعت روند جهاني شدن، بازسازي و تغييرات مکرر تجارت به فناوري اطلاعات نيازمندند. فناوري اطلاعات به فرايندگرا بودن سازمان کمک ميکند. در اين مسير چهار فرايند و شش اصل مربوط به فناوري اطلاعات ، سازمان را پشتيباني ميكنند. چندين سال پيش، مديران اجرايي IT روي سه فرايند اصلي IT، شامل برنامهريزي، انتقال و عمليات، براي دستيابي به هماهنگيIT با تجارت متمرکز شدند اما تحليل و آناليز امروزه، چهار فرايند اصلي را براي سازمانهاي IT مشخص کرده است که عبارتند از:
– توانايي ايجاد تغييرات سازماني: قابليتهاي متداول فناوري اطلاعات، تکنولوژيهاي وب، بستههاي نرمافزاري و … ،
– ارائه راهحل براي الزامات استراتژيک: سفارشي کردن، درون سپاري، برونسپاري و … ،
– اطمينان يافتن از خدمات زير ساختي که از نظر هزينهاي کارآمد ميباشند: وجود پايگاههاي دادهاي متمرکزو… ،
– مديريت سرمايههاي فکري: به کارگيري دانشهاي تخصصي.
شش اصل فناوري اطلاعات که براي عملکرد مؤثر چهار فرايند ياد شده مهم هستند عبارتند از:
– طراحي معماري: معماري IT مشخص ميکند که زير ساخت چگونه ايجاد و نگهداري خواهد شد.
– مديريت برنامه: شامل مديريت راهحلهاي کاربردي پويا و راهحلهايي که باعث افزايش هم افزايي ميشود.
– مديريت قراردادها و منابع: واحدهاي فناوري اطلاعات مسئول مذاکره و مديريت قراردادهاي بسته شده با واحدهاي تجاري داخلي و قراردادهاي خارجي هستند.
– تحليل و طراحي فرايند: شرکتها براي فرايندگرا شدن به مکانيزمهايي براي شناسايي، تحليل، ذخيره و ارتباط برقرار کردن فرايندهاي تجاري نياز دارند.
– مديريت تغيير: براي بهبود مستمر فرايندها و پيادهسازي راهحلهاي نرمافزاري جديد.
– توسعه منابع انساني ماهر در فناوري اطلاعات: اطمينان يافتن از وجود متخصصين فناوري اطلاعات با مهارتهاي مورد نياز.
با توجه به ساختارهاي پيچيدهاي که سازمانهاي IT در به کارگيري فناوري اطلاعات داشتند و نيز با توجه به نياز آنها براي به کارگيري استانداردهاي جديد يعني استفاده از استانداردهايي جامع و پيوسته براي فرايندگراتر بودن سازمانها و همچنين براي ايجاد هماهنگي و يکپارچگي بين فرايندها و هم با توجه به نياز به تخصصهاي سيستمهاي اطلاعاتي و آموزش کارکنان، نياز به کنترل و نظارت اقدامات مربوط به فناوري اطلاعات در سازمــان احساس ميشد که به اين منــظور راهبري فناوري اطلاعات معرفي شد.
راهبري فناوري اطلاعات چيست؟
راهبري فناوري اطلاعات (ITG) مسئوليت هيئت مديره اجرايي است. راهبري فناوري اطلاعات يک بخش جداييناپذير مديريت سازمان، شامل راهبري و سازماندهي ساختارها و فرايندها است؛ تا اطمينان حاصل شود که فناوري اطلاعات سازمان، هدفها و استراتژي سازمان را پشتيباني ميکند و توسعه ميدهد يا نه؟
تجربههاي منفي مديران از به کارگيري اين فناوري، شامل از بين رفتن اعتبار، تأخير در ارائه خدمات، عدم کارايي فرايندهاي اصلي فناوري اطلاعات سازمان و شکست اوليه آن، سازمان را برآن داشت که راهبري فناوري اطلاعات را به کار گيرند و بنا به اين دلايل بود که راهبري فناوري اطلاعات اهميت پيدا کرد و در سازمانها به کار گرفته شد.
راهبري فناوري اطلاعات براي اطمينان يافتن از دستيابي عملکرد فناوري اطلاعات به هدفهاي زير به کار گرفته ميشود:
– هماهنگي فناوري اطلاعات با سازمان و تحقق مزاياي وعده داده شده.
– به کارگيري فناوري اطلاعات براي توانمند کردن سازمان براي استفاده از فرصتها و حداکثر کردن مزايا.
– به کارگيري منابع مربوط به فناوري اطلاعات به گونهاي مؤثر.
– مديريت مناسب ريسکهاي مرتبط با فناوري اطلاعات.
راهبري فناوري اطلاعات معمولا در لايههاي مختلف، با گزارشدهي سرپرستان به مديران و مديران به مديران اجرايي و آنها نيز به هيئت مديره، انحراف از هدفها را مشخص ميکنند و در جهت رفع آنها اقدامات و دستوركارهاي لازم با تأييد مديريت انجام ميشود. تعاملات هدفها و فعاليتهاي مرتبط با فناوري اطلاعات از ديد راهبري آنها در شكل 1 نمايش داده شده است و ميتوانند در لايههاي مختلف در سراسر سازمان به کار برده شوند.
چرا راهبري فناوري اطلاعات اهميت دارد؟
– به کارگيري امكانات فناوري اطلاعات با کيفيت مناسب و به موقع و با بودجه مناسب.
– کنترل و استفاده از فناوري اطلاعات براي بازگشت ارزشهاي تجاري.
– به کارگيري فناوري اطلاعات براي افزايش بهرهوري و کارايي در حالي که ريسکهاي فناوري اطلاعات هم کنترل ميشوند.
چه کساني در سازمان درگير راهبري فناوري اطلاعات هستند؟
مسئوليت راهبري فناوري اطلاعات در سازمانها در درجه اول به عهده مديران اجرايي و هيأت مديره است و سپس مديران عامل بايد ساختارهاي سازماني را براي پشتيباني از اجرا و پيادهسازي استراتژي فناوري اطلاعات، تهيه كنند و مديران اطلاعات براي ايجاد پلي بين فناوري اطلاعات و تجارت و نيز کميتههاي راهبري فناوري اطلاعات و ساير کميتههاي مشابه نيز درگير هستند.
راهبري فناوري اطلاعات چه فعاليتهايي را پوشش ميدهد؟
راهبري روي پنج سطح اصلي در سازمان تمرکز دارد که در شکل 2 نشان داده شده است.
دو مورد از پنج سطح اصلي خروجي هستند که عبارتند از:
– انتقال ارزش: تمرکز روي بهينهسازي مخارج و ايجاد ارزش فناوري اطلاعات. منظور از انتقال ارزش اعتباري است که سازمان از به کارگيري فناوري اطلاعات کسب ميکند.
– مديريت ريسک: حفاظت از داراييهاي مربوط به فناوري اطلاعات، بهبود اشتباهها و عدم انطباقها و پيوستگي و دوام عمليات و استمرار آنها.
سه مورد از پنج سطح اصلي، محرکهايي هستند که براي دستيابي به خروجيها لازمندکه عبارتند از:
– تعيين و تنظيم استراتژي: با تمرکز روي هماهنگي استراتژي فناوري اطلاعات با راهحلهاي تجاري.
– مديريت منابع: بهبود دانش و زيرساختهاي فناوري.
– ارزيابي و سنجش عملکرد: پيگيري خروجي پروژه (آنچه که تحويل داده ميشود) و نظارت بر خدمات فناوري اطلاعات.
هيچ يک از چهار عامل اول، بدون وجود عامل ارزيابي و سنجش عملکرد نميتواند به خوبي مديريت شود.
پس از معرفي راهبري فناوري اطلاعات به سازمان، براي شروع اجرا و پيادهسازي راهبري فناوري اطلاعات، براي اينکه مشخص شود که سازمان در چه وضعيتي قرار دارد، استفاده از چک ليستهاي مربوطه که پنج عامل ياد شده را در نظر ميگيرد، روش مؤثري است.
براي اجراي کامل راهبري فناوري اطلاعات، استانداردهاي مختلفي مثل: (COBIT( Control Objective For Information & Related Technology ,Cadbury وTurnbull وجود دارد که از ميان آنها، COBIT که توسط مؤسسه IT Governance تهيه شده است و به گونه بين المللي به عنوان يک مدل خوب براي کنترل اطلاعات، IT و ريسکهاي مرتبط پذيرفته شده و براي پيادهسازي و مميزي راهبري فناوري اطلاعات انتخاب شده است.
چارچوب COBIT
در سالهاي اخير بديهي است که به يک چارچوب مرجع براي کنترل و امنيت در خبرهاي فناوري اطلاعات نياز است، همچنين نياز بيشتري وجود دارد براي اينکه کاربران از ارائه خدمات فناوري اطلاعات، از راه مميزي خدمات ارائه شده توسط گروههاي داخلي و شخص ثالث، اطمينان حاصل كنند. همچنين براي دستيابي به مزيت رقابتي و کارآمد بودن از نظر هزينه با تکيه بر تکنولوژي، براي دستيابي به موفقيت در مديريت سازمان و مديريت فناوري اطلاعات و نظارت و ارزيابي بر عملکرد سازمان، براي برآورده کردن هدفها و الزامات تجاري در جهت پاسخگويي به نيازها، از چارچوب مرجع به نام COBIT استفاده ميشود.
تعاريفي که در چارچوب COBIT بايد در نظر گرفته شود، عبارتند از:
– کنترل: خط مشيها، روشهاي اجرايي، فعاليتها و ساختارهاي سازماني که طراحي شدهاند، براي ايجاد اطمينان از اينکه هدفهاي تجاري برآورده خواهند شد و از حوادث نامطلوب جلوگيري كرده، يا کاهش و يا اصلاح خواهند شد.
– هدفهاي کنترل فناوري اطلاعات: بيان نتايج يا طرح مطلوبي که از راه پيادهسازي روشهاي اجرايي، کنترل يک فعاليت خاص، به دست خواهد آمد.
– راهبري فناوري اطلاعات: ايجاد ارتباطات و فرايندها براي هدايت و کنترل سازمان براي دستيابي به هدفهاي سازمان براي ايجاد ارزش افزوده يا ايجاد تعادل و توازن ريسکهاي حاصل از به كارگيري فناوري اطلاعات و فرايندهاي آن.
هدف اصلي پروژه COBIT، توسعه خط مشيهاي واضح و مدلهاي مناسب براي امنيت و کنترل فناوري اطلاعات، براي تأييد جهاني توسط سازمانهاي تخصصي، دولتي و تجاري است. هدف COBIT برآورده کردن هدفهاي تجاري است.
اصول چارچوب COBIT
COBIT مدلي است براي راهبري فناوري اطلاعات. مفهوم اساسي چارچوب COBIT آن است که کنترل روي فناوري اطلاعات از راه توجه به اينکه اطلاعات بايد هدفها يا الزامات تجاري را پشتيباني كند، ايجاد ميشود.
چارچوب COBIT در سه سطح در نظر گرفته شده است: در سطح پايين، فعاليتها و وظايفي وجود دارند که براي دستيابي به نتايج قابل اندازهگيري مورد نياز هستند. فعاليتها يک چرخه عمر دارند در حالي که وظايف بيشتر گسسته هستند.
سپس فرايندها در يک لايه بالاتـر به عنوان مجموعهاي از فعاليتها و وظايف تعريف شدهاند. در بالاترين سطح که بيشتر مورد توجه COBIT است، فرايندها در يک حوزه جمعآوري شدهاند.
بنابراين چارچوب COBIT از نظر مفهومي ميتواند از سه بعد در نظر گرفته شود: 1- معيارهاي اطلاعات؛ 2- منابع فناوري اطلاعات؛ 3- فرايندهاي مربوط به فناوري اطلاعات. اين سه بعد در مکعب COBIT به صورت شكل 4 نشان داده شده است.
چهار حوزه گستردهاي که در COBIT در نظر گرفته شدهاند عبارتند از: برنامهريزي و سازماندهي، ايجاد و پيادهسازي، تحويل و پشتيباني، نظارت.
بدينگونه که در حوزه برنامهريزي و سازماندهي، استراتژي و تاکتيکها و نگرانيهاي مربوط به شناسايي IT را ميتوان براي دستيابي به هدفهاي تجاري به بهترين شکل جمعآوري کرد. در حوزه ايجاد و پيادهسازي براي شناخت و ايجاد استراتژي فناوري اطلاعات، امكانات بايد شناسايي، توسعه يافته و يا ايجاد شوند. در حوزه تحويل و پشتيباني، تحويل به موقع و ارائه خدمات مورد نياز، مورد توجه قرار ميگيرد و فرايندهاي پشتيباني مورد نياز بايد راهاندازي شوند. در حوزه نظارت، تمامي فرايندهايIT لازم است که به طور منظم از نظر کيفيت و مطابقت با الزامات کنترل، مورد ارزيابي قرار گيرند.
چگونه COBIT را به سازمان معرفي ميکنيد؟
COBIT معمولا فعاليتهاي تأييد شدهاي را براي مديريت و کنترل منابع اطلاعاتي و فناوري اطلاعات، ايجاد ميکند. COBIT براي سه گروه طراحي شده است:
– براي مديران: COBIT کمک ميکند که تعادل را بين ريسكهاي سرمايه گذاري و کنترل آنها در اغلب محيطهاي غير قابل پيشبيني برقرار ميکند.
– براي کاربران: COBIT کمک ميکند که اطمينان يافتن از امنيت و کنترل خدمات IT ارائه شده، توسط گروههاي داخلي و شخص ثالث.
– براي مميزان: COBIT کمک ميکند که مستند کردن و ارائه نظرات و عقايدشان در مورد کنترلهاي داخلي فناوري اطلاعات براي اطلاع و آگاهي مديران، مؤثر باشد.
در نتيجه براي معرفي COBIT در يک سازمان بايد آن را به سه گروه افراد ياد شده در سازمان معرفي كنيم و آنها را از فوايد COBIT آگاه سازيم.
براي پذيرش COBIT چه کساني بايد تحت تاثير قرار گيرند؟
COBIT در اصل، يک چارچوب براي مديران فناوري اطلاعات و ارتباطات يک سازمان است. بنابراين، مديران به ويژه ايجادکنندگان خط مشي فناوري اطلاعات نقش مهمي را در پذيرش و ايجاد COBIT در سازمان ايفا ميکنند.
علاوه بر مديران عامل، مديران اطلاعات و كميتههاي راهبردي، افراد کليدي ديگري شامل مديران اجرايي، صاحبان فرايندهاي تجاري و مديران اصلي نيز بايد COBIT را بپذيرند.
چرا يک سازمان بايد COBIT را بپذيرد؟
دلايلي که مديران و تصميمگيرندگان اصلي را به پذيرش COBIT تشويق ميکند، عبارتند از:
1. به دليل مشکلات تجربه شده توسط سازمانها.
2. نياز مديران به نظارت بر منابع سازمان.
3. با کنترل منابع فناوري اطلاعات، هزينه کل ارائه خدمات آن ممکن است کاهش يابد.
4. COBIT ترس و نگراني و عدم اطمينان مديران را نسبت به برآورده نشدن هدفهاي تجاري کاهش خواهد داد.
5. اطمينان يافتن از اينکه سازمان مطابق با قوانين کاربردي و قابل اجرا است.
6. ايجاد و برقراري ارتباطات بهبود يافته بين مديران، کاربران و مميزان با به کارگيري COBIT.
7. COBIT چارچوبي را براي شناسايي ريسکهاي مرتبط با فناوري اطلاعات و ارزيابي و کنترل آنها ارائه مينمايد.
8. برخي سازمانها با به کارگيري COBIT، مميزيهاي يکپارچه و سراسري، خود را بهبود دادهاند منبع شماره 4 .
حوزه و محدوديتهاي COBIT چه هستند؟
براي اينکه COBIT به طور موفق اجرا شود، هر کسي بايد بداند که COBIT چيست، براي چه به کار برده ميشود و چه کاري ميتواند انجام دهد؟ در اين زمينه چندين نکته وجود دارد:
1. COBIT روشي جديد براي تفکر است.
2. COBIT چارچوبي است که بايد متناسب با سازمان باشد.
3. COBIT بايد به عنوان يک منبع مديريت، کنترل و مميزي به کار برده شود.
4. کارکنان اصلي بايد براي دستيابي به يک پيادهسازي موفق، از COBIT آگاه باشند و آموزش ببينند.
چگونه COBIT را در سازمانتان اجرا کنيد؟
پذيرش موفق COBIT به آموزش احتياج دارد. پس از معرفي COBIT در سازمان، براي اجراي آن، ابتدا مسئولان اصلي بايد آشنايي کامل نسبت به آن داشته باشند و آن را بپذيرند. پس از تأييد، لازم است که COBIT در نظامنامه، خط مشي و روشهاي اجرايي به عنوان يک مدل مناسب مشخص شود و سپس از راه فرمهاي نام برده شده در زير، ارزيابي ريسک و برنامهريزي مميزي انجام گيرد.
فرمها عبارتند از:
– فرم فعاليتهاي پيش مميزي: شناسايي اينکه آيا فعاليتهاي مميزي مرتبط با فرايند فناوري اطلاعات در حوزه پيش از مميزي قرار ميگيرد؟ اين فرم توسط تيم مميزي تکميل ميشود.
– فرم خلاصه گزارش بخش: شناسايي فرايندهاي مربوط به فناوري اطلاعات که با اهميت بيشتري مورد توجه قرار گيرند. اين فرم توسط مديران بخشها تکميل ميشود.
– فرم ارزيابي ريسک: کمک به تيم مميزي در شناسايي فرايندهاي مربوط به فناوري اطلاعات در جايي که ريسک وجود خواهد داشت. اين فرم توسط تيم مميزي يا مديران يا به طور مشترک تکميل ميشود.
– فرم گروههاي مسئول: براي شناسايي کساني که هر فرايند مربوط به فناوري اطلاعات را انجام ميدهند و کساني که مسئول نهايي هر فرايند هستند. اين فرم توسط تيم مميزي با مشارکت مديران بخش مميزي شونده تکميل ميشود.
انجام مميزي با استفاده از COBIT
پس از برنامهريزي، فرايند مميزي براساس گامهاي زير انجام ميگيرد:
1. تعيين نوع مميزي: نوع مميزي مورد نياز براي بخشي که بايد مميزي شود را انتخاب کنيد. انواع مميزيهايي که ممکن است انجام شوند، عبارتند از: مالي، عملکرد، مطلوبيت و … .
2. تعيين هدفهاي مميزي: بعد از انتخاب نوع مميزي، زمان آن است که هدفهاي کنترل COBIT براي دستيابي به بينش و آگاهي بيشتر فرايندهاي مربوط به فناوري اطلاعات انتخاب شده براي اين مميزي به کار گرفته شود.
3. توسعه و برنامهريزي مميزي: در صورتي که يک برنامه مميزي وجود داشته باشد، آن برنامه با راهنماي مميزي COBIT مقايسه ميشود و اگر برنامه مميزي وجود نداشته باشد، از راه راهنماي مميزي COBIT يک برنامه مميزي تهيه ميشود. در اين گام فعاليتهاي زير انجام ميشود: مقايسه هدفهاي مميزي با هدفهاي کنترل COBIT، مقايسه برنامه مميزي با برنامه مميزي COBIT، افزودن فعاليتهاي مميزي پيشنهاد شده از راه نظامنامهها و راهنماهاي سازماني و قانوني.
4. انجام مميزي: مميزي مطابق راهنماي مميزي COBIT انجام ميگيرد.
5. نوشتن گزارش مميزي: نوشتن نتايج با تمرکز روي هدفهايي که برآورده شدهاند و هدفهايي که برآورده نشدهاند (منبع شماره4).
نتيجهگيري
فناوري اطلاعات يک بخش جدايي ناپذير از تجارت است و راهبري آن يک بخش جدايي ناپذير از مديريت سازمان است. در راهبري فناوري اطلاعات نقشها و مسئوليتها بايد به طور واضح مشخص شوند و کميتههايي مثل کميته راهبري (در سطح اجرايي) و کميته استراتژي (در سطح مديريتي) تشکيل شده، سپس يک طرح براي اجرا و پيادهسازي راهبري، مثل COBIT لازم است. براي انجام راهبري كارهاي زير بايد انجام گيرد:
– تهيه چارچوب سازماني مديران
– هماهنگي استراتژي فناوري اطلاعات با هدفهاي تجاري،
– شناخت ريسکها،
– تعريف و شناسايي سطوح فرايند،
– شناسايي عدم انطباقها و مغايرتها،
– توسعه استراتژيهاي بهبود،
– ارزيابي نتايج.
اين كارها تا بهبود کامل تکرار ميشود.
منابع:
2. Board Briefing on IT Governance, IT Governance Institute – 2003
3. COBIT 3rd Edition- Audit Guidelines, IT Governance Institute – July 2000
4. COBIT 3rd Edition- Implementation Tool Set , IT Governance Institute – July 2000
دوره COBIT 5 Foundation – چارچوب کنترل و ارزیابی فناوری اطلاعات
این کارگاه آموزشی دو روزه را از دست ندهید. دوره ای کاربردی که با هدف بررسی یکی از کاملترین و شناخته شده ترین چارچوبهای حوزه کنترل و ارزیابی فناوری اطلاعات (COBIT 5) در کنار محتوای آموزشی معتبر از شرکت ITpreneurs هلند و با ارائه شیوای جناب آقای مهندس هادی برای علاقه مندان این حوزه برنامه ریزی شده است. برای کسب اطلاعات بیشتر اینجا کلیک نمایید.
برچسب:COBIT, IT Governance, حاکمیت فناوری اطلاعات, مقالات تخصصی, کوبیت
نظر بدهید
برای نوشتن دیدگاه باید وارد بشوید.
1 نظر
ممنون از مطالب خوبتون