به طور مستمر وابستگی سازمانها به فناوری اطلاعات افزایش مییابد. با گذشت زمان شمار بیشتری از فرآیندهای کسبوکار با کمک کامپیوتر کنترل میشود و تمرکز آنها بر فناوری اطلاعات خواهد بود. تحقیقات ITGI نشان میدهد که 91% از سازمانها در هر اندازه و فعالیتی بر این باورند که فناوری اطلاعات نقش حیاتی در موفقیت کسبوکاری که آنها ارائه مینماید ایفا میکند.
از سوی دیگر پیچیدگی فناوری اطلاعات روز به روز افزایش مییابد. در این حال بسیاری از سازمانها خدمات فناوری اطلاعات خود را برونسپاری میکنند. در این شرایط فشار مدیران ارشد سازمان جهت کنترل هزینهها و ریسکهای فناوری اطلاعات بیش از پیش افزایش مییابد. به عبارت دیگر میتوان گفت که از یک سو وابستگی سازمانها نسبت به فناوری اطلاعات روز به روز بیشتر میشود و از سوی دیگر پیچیدگیها و فشار پیرامون افزایش هزینههای فناوری اطلاعات رو به فزونی است. در این میان تنها یک راهحل وجود دارد: «فناوری اطلاعات باید با تحت کنترل نمودن هزینهها، ارزش بیشتری برای کسبوکار بیافریند». به عبارت دیگر باید تعادلی بهینه میان میزان ارزش و میزان هزینهها و ریسکهای فناوری اطلاعات وجود داشته باشد و هدف مدیران نیز تحقق این امر خواهد بود. تجربه نشان داده است که سازمانهایی که خدمات فناوری اطلاعات خود را برونسپاری کردهاند، در برخی موارد نتیجه مطلوبی حاصل نشده است و همچنین آن دسته از سازمانها که پروژههای فناوری اطلاعات تعریف نمودهاند، پروژهها آن طور که باید خروجی مطلوبی نداشته و اهداف خود را تحقق نبخشیدهاند.
با توجه به چالشهای فوق مدیران ارشد سازمان سعی در کنترل و حاکمیت بیشتر پیرامون فناوری اطلاعات و عملکرد آن نمودند. حاکمیت فناوری اطلاعات به عنوان فرایندی تلقی میگردد که سازمان را در تحقق استفاده اثربخش و کارآمد فناوری اطلاعات و نیز اهداف و راهبردهای IT هایت میکند. حاکمیت فناوری اطلاعات یکی از مسئولیتهای مهم اعضای هیئت مدیره و مدیران ارشد میباشدو به واسطه آن عملکرد فناوری اطلاعات و میزان انطباق آن با الزامات داخلی و خارجی را تحت کنترل قرار میدهند.
اهداف کلیدی و مهم حاکمیت فناوری اطلاعات عبارتند از:
• همسویی استراتژیهای فناوری اطلاعات با استراتژیهای کسبوکار
• احیای نقش فناوری اطلاعات به عنوان ماهیتی راهبردی در راستای ارزشآفرینی برای کسبوکار
• مدیریت ریسکها و مخاطرات فناوری اطلاعات
• مدیریت منابع فناوری اطلاعات
• مدیریت عملکرد فناوری اطلاعات
• تدوین خطمشیها و رویههای اجرایی فناوری اطلاعات
در راستای پیادهسازی حاکمیت فناوری اطلاعات در سازمان تبعیت از استانداردها و چارچوبهای بینالمللی مسیر را برای سازمانها کوتاهتر خواهد کرد. چرا که ما بر این باوریم که چرخ را دوباره اختراع نکنیم. در عصر حاضر که زمان به عنوان یک مزیت رقابتی مهم به شمار میرود، استفاده از تجربیات موفق دیگران تحقق اهدف سازمان را تسریع میبخشد. چرا سازمان باید زمان خود را صرف ایجاد چارچوبی نماید که وجود دارد؟ به جای ایجاد چارچوب جدید، سازمان باید سعی کند تا از بهروشهای موجود به بهترین نحو استفاده نماید. بهروشهای موجود از سوی افراد برتر و خبره در این حوزه و پیرامون نتیجه تجارب شرکتهای موفق و برتر جهان نگاشته شدهاند و از سوی مراجع جهانی نگهداری و بهروز میشوند و آخرین تغییرات آنها مطابق با نیازهای روز به اطلاع کاربران خواهد رسید.
استانداردهای مهمی که در حوزه حاکمیت فناوری اطلاعات وجود دارند، عبارتند از: Cobit, ITIL, ISMS,. بسیاری از سازمانها گمان میکنند که تنها چارچوب Cobit برای پیادهسازی حاکمیت فناوری اطلاعات وجود دارد، ولی این چارچوب تنها به عنوان استانداردی برای ارزیابی میزان حاکمیت فناوری اطلاعات سازمان مورد استفاده قرار میگیرد و به شرح مجموعهای از بایدها و نبایدها میپردازد و روش تحقق آنها را بیان نمیدارد. چارچوب ITIL روش تحقق مدیریت اثربخش و کارآمد خدمات فناوری اطلاعات را شرح میدهد و ISMS روش تحقق مدیریت امنیت فناوری اطلاعات را سازمان فراهم میآورد. پیادهسازی این مجموعه سه گانه تحقق حاکمیت فناوری اطلاعات را در سازمان تضمین خواهد کرد. نتیجه تحقیقات BSMReview در سال 2008 نشان میدهد که 18% از سازمانها در راستای نیل به اهداف مدیریت حاکمیت فناوری اطلاعات اقدام به پیادهسازی این سه چارچوب نمودهاند و موفقیت آنها در پیادهسازی این چارچوب بیشتر از سایر سازمانهایی بوده است که تنها یک چارچوب را به طور منحصر پیادهسازی میکنند.
سه چارچوب فوق همپوشانیهای فراوانی دارند، بنابراین پیادهسازی آنها با رویکردی انسجامی دوبارهکاریها را کاهش خواهد داد و موفقیت پیادهسازی مدیریت و حاکمیت فناوری اطلاعات را ارتقا میدهد. همچنین پیادهسازی این چارچوبها زمانی بیشترین اثربخشی و کارایی را به ارمغان خواهد آورد که با رویکرد ابزار محور باشد و در محیط ابزار پیادهسازی شوند. بنابراین داشتن ابزارهایی همسو با چارچوبهای فوق که همزمان سه چارچوب را پوشش دهند، نه تنها کارایی و اثربخشی عملکرد حاکمیت فناوری اطلاعات سازمان را افزایش میدهند، بلکه هزینههای سازمان را به شدت کاهش خواهد داد. ابزارهایی مانند Marval از این دسته از ابزارها به شمار میروند.
در معرفی مدلهای مرجع مدیریت فناوری اطلاعات درسازمانها باید از CobiT آغازکرد. استفاده از چارچوب CobiT Control Objectives for information and related Technology به معنی بهکارگیری ابزاری قدرتمند در کنترل اهداف اطلاعات و فناوریهای مرتبط با آن میباشد. CobiT، یک چارچوب فرایندی مرتبط با این حوزه را فراهم کرده، فعالیتهای مورد نیاز در یک ساختار قابل مدیریت و منطقی را ارائه میکند.
تجارب موفق CobiT که بیانگر اجماع و توافق نظر خبرگان در این زمینه است، بیشتر بر کنترل و کمتر بر امور اجرایی متمرکز شده است.
این تجارب، سازمان را در زمینه بهبود سرمایهگذاری در عوامل توانمندساز فناوری اطلاعات، تضمین ارائه خدمات و تدوین روش اندازهگیریای برای شناسایی مواردی که امور بهدرستی کار خود را انجام نمیدهند، یاری میکند.
برای اینکه فناوری اطلاعات در سازمان، خدمات مورد نیاز کسبوکار را با موفقیت ارائه نماید، مدیریت نیازمند سیستمهای کنترل داخلی و یا یک چارچوب میباشد. چارچوب کنترلی CobiT این نیازمندیها را به طرق زیر فراهم میآورد:
- ایجاد ارتباط بین نیازمندیهای کسب و کار
- سازماندهی فعالیتهای فناوری اطلاعات در یک مدل فرایندی عموماً پذیرفتهشده
- شناسایی منابع اصلی فناوری اطلاعات
- تعریف اهداف کنترلی مدیریتی
جهتگیری کسبوکار در CobiT، شامل «برقراری ارتباط بین اهداف کسبوکار با اهداف فناوری اطلاعات»، «تدوین شاخصها و مدلهای بلوغ برای اندازهگیری میزان دستیابی به اهداف» و «شناسایی مسئولیتهای مرتبط متولیان فرایندهای کسبوکار و متولیان فرایندهای فناوری اطلاعات در سازمان میباشد.
با در نظر گرفتن موارد پیشگرفته، از این چارچوب برای استخراج فرایندهای فناوری اطلاعات و متولیان این فناوری در سازمان استفاده میشود. در واقع، از آنجا که CobiT، مجموعهای از فرایندهایی را ارائه میکند که براساس ویژگیهای طبیعی خود دستهبندی شدهاند، استفاده از این الگو، میتواند «برای مدیریت منابع اطلاعاتی سازمان با هدف فراهمسازی اطلاعات مورد نیاز سازمان در دستیابی به اهداف خود»، مثمر ثمر باشد.
مزایای CobiT
مزایای اجرای CobiT بهعنوان یک چارچوب «راهبری فناوری اطلاعات» در سازمان بهطور عمده شامل موارد زیر میباشد:
- تطبیق بهتر با تمرکز بر کسبوکار
- یک دیدگاه قابل درک جهت مدیریت در زمینه فناوری اطلاعات
- تعریف واضح و شفاف متولیان و مسئولان فناوری اطلاعات با تمرکز بر فرایندها
- مقبولیت جامع در نزد پیمانکاران و قانونگذاران
اجزای چارچوب CobiT
این چارچوب نه تنها برای کاربران عادی بلکه مهمتر از آن برای راهنمایی مدیران، ذینفعان فرایندهای کسبوکار ارائه شده است. اصول اساسی CobiT بر پایه اصول کسبوکار (فرایندها) استوار است.
چارچوب CobiT ابزاری است برای ذینفعان فرایندهای کسبوکار در جهت سهولت در انجام مسئولیتهایشان است. این چارچوب با یک اصل و قضیه کلی شروع میشود:
تهیه اطلاعاتی که سازمان برای دستیابی به اهدافش نیاز دارد
منابع فناوری و اطلاعات با مجموعهای از گروه فرآیندها مدیریت میشوند.
این چارچوب با یک مجموعه 34 تایی از اهداف کنترلی سطح بالا را که هر یک متناظر با یکی از فرایندهای فناوری اطلاعات است، در چهار بخش زیر تعریف میشود:
1. برنامهریزی و سازماندهی
2. تهیه و اجرا
3. تحویل و پشتیبانی
4. ارزیابی و پایش
همچنین این ساختار کلیه ابعاد فناوری و اطلاعات را پوشش میدهد.
راهبری فناوری و اطلاعات، ساختاری را فراهم مینماید که فرایندهای فناوری و اطلاعات، منابع فناوری و اطلاعات و اطلاعات را به اهداف و استراتژیهای سازمان پیوند میدهد.
بنابراین، راهبری فناوری و اطلاعات در سازمان این امکان را فراهم میسازد که سازمان کلیه نیازهای اطلاعاتی خود را تهیه نموده و در نتیجه دستیابی به منافع سازمان تسهیل شود که این امر، سودآوری در عرصهی رقابت و افزایش فرصتهای شغلی را در بر خواهد داشت. این چارچوب شامل 4 بخش (domain) اصلی و 34 فرایند (process) اصلی میباشد.
ضرورت وجود یک چارچوب کنترلی برای راهبری IT در سازمان این نیازمندیها را میتوان از سه جنبه اصلی چرا، چه کسی و چه چیز بررسی نمود که در ادامه، به اختصار به این سه جنبه اشاره میشود.
چرا با درک هر چه بیشتر اهمیت جایگاه اطلاعات در سازمان توسط مدیریت ارشد آن، حرکت بهسمت موفقیت سازمان هموارتر خواهد شد. مدیریت، نیازمند افزایش سطح درک روش و رویکردهای فناوری اطلاعات میباشد که در حال حاضر در سازمان بهکار برده میشود و همچنین درک درست از فناوری اطلاعات میتواند اهرمی مناسب در جهت ارتقای سطح رقابتمندی سازمان محسوب گردد؛ بخصوص، اگر مدیریت ارشد این موضوع را درک کند که اگر اطلاعات سازمان مدیریت شوند، موارد زیر قابل حصول خواهد بود:
· دستیابی به اهداف
· حرکت مناسب در جهت یادگیری و انطباق
· تشخیص سطح مدیریت ریسک
· شناسایی مناسب فرصتها و فعالیتها در راستای آنها
سازمانهای موفق، ریسکهای فناوری اطلاعات را میشناسند، از مزایای آن بهرهبرداری میکنند و روشهایی را برای اداره موارد زیر درک و شناسایی نمودهاند:
· همسوسازی راهبردهای فناوری اطلاعات با راهبردهای کسبوکار.
· شکست راهبردهای فناوری اطلاعات و اهداف از بالا به پائین در درون سازمان.
· تدوین ساختارهای سازمانیای که اجرای استراتژی و اهداف را هموار سازد.
· ایجاد ارتباط سازنده و ارتباطات مؤثر میان کسبوکار و فناوری اطلاعات و همکاران بیرونی.
اندازهگیری عملکرد فناوری اطلاعات
سازمانها بدون تطبیق و اجرای یک چارچوب کنترلی و راهبری برای فناوری اطلاعات قادر به ارائه خدمات مؤثری در زمینه نیازمندیهای کسبوکار و راهبری نمیباشند.
· ایجاد ارتباط میان نیازمندیهای مختلف کسبوکار
· ایجاد عملکرد در زمینه شفافسازی نیازمندیها در سازمان
سازماندهی فعالیتها درون یک مدل فرایندی عموماً قابل قبول
· شناسایی منابع اصلی که به عنوان اهرمهای اصلی در سازمان مطرح هستند
تعریف ملاحظات اهداف مدیریتی کنترل
به علاوه، چارچوبهای کنترلی و راهبری بخشی از تجارب مفید مدیریت فناوری اطلاعات است که میتواند عاملی توانمندساز برای ایجاد راهبری فناوری اطلاعات و نیز برآورده کردن الزامات قانونی پیوسته در حال افزایش باشد. براساس تجارب موفق فناوری اطلاعات میتوان اذعان داشت که مدیران نیازمند بدست آوردن اطلاعاتی درخصوص سیستمهای فناوری اطلاعات هستند که اهم آنها به شرح زیر است:
مدیران کسب وکار نیازمند درک بهتری از بازگشت سرمایهگذاری در زمینه فناوری اطلاعات هستند .
نگرانی راجع به افزایش عمومی سطح هزینههای فناوری اطلاعات
به علاوه، چارچوبهای کنترلی و راهبری بخشی از تجارب مفید مدیریت فناوری اطلاعات است که میتواند عاملی توانمندساز برای ایجاد راهبری فناوری اطلاعات و نیز برآورده کردن الزامات قانونی پیوسته در حال افزایش باشد. براساس تجارب موفق فناوری اطلاعات میتوان اذعان داشت که مدیران نیازمند بدست آوردن اطلاعاتی درخصوص سیستمهای فناوری اطلاعات هستند که اهم آنها به شرح زیر است:
مدیران کسب وکار نیازمند درک بهتری از بازگشت سرمایهگذاری در زمینه فناوری اطلاعات هستند
نگرانی راجع به افزایش عمومی سطح هزینههای فناوری اطلاعات
نیاز به برآوردن الزامات قانونی برای کنترل فناوری اطلاعات در حوزههایی از قبیل حریم شخصی و گزارشهای مالی و بخشهای خاص از قبیل حوزههای مالی، داروسازی و بهداشت و درمان
انتخاب تأمینکنندگان خدمات و مدیریت تهیه و برونسپاری خدمات
افزایش پیچیدگی در زمینه ریسکهای مرتبط با فناوری اطلاعات از قبیل امنیت شبکه
ابتکارات راهبری فناوری اطلاعات برای افزایش ارزش و کاهش ریسک کسبوکار که از انطباق چارچوبهای کنترلی و تجارب موفق برای انجام نظارت و بهبود فعالیتهای کلیدی فناوری اطلاعات تشکیل میشود.
نیاز به بهینهسازی هزینهها با پیروی از استانداردها بهجای روشهای تدوین شده خاص؛ در مواردی که امکانپذیر باشد.
§ بلوغ بیشتر و در نتیجه پذیرش چارچوبهای جاافتادهای از قبیلCobit،ITIL، ISO17799 ، ISO9001 ، CMM و 2PRINCE
نیاز سازمانها برای ارزیابی براساس استانداردهای عموما پذیرفتهشده و همکاران خود
§ چه کسی
چارچوب کنترلی و راهبری باید براساس نیازهای خاص زیر به ذینفعان داخلی و خارجی سازمان ارائه خدمت کند:
- ذینفعان در سازمانهایی که تمایل دارند از طریق سرمایهگذاری در زمینه فناوری اطلاعات ایجاد ارزش نمایند:
- افرادی که در زمینه سرمایهگذاری تصمیمگیری میکنند
- افرادی که در مورد نیازمندیها تصمیمگیری میکنند
- افرادی که از خدمات فناوری اطلاعات استفاده میکنند
§ ذینفعان داخلی و خارجی که خدمات فناوری اطلاعات را فراهم میسازند:
افرادی که فرایندها و سازمان فناوری اطلاعات را مدیریت میکنند
- افرادی که قابلیتها را توسعه میدهند
- افرادی که در زمینه ارائه خدمات فعالیت دارند
§ ذینفعان داخلی و خارجی که مسئولیت کنترل و مدیریت ریسک را برعهده دارند
- افرادی که مسئولیت امنیت، حریم شخصی و یا ریسک را برعهده دارند
- افرادی که وظایف ایجاد نظم (موارد قانونی) را برعهده دارند
- افرادی که در زمینه فراهمسازی تضمین خدمات مشغول فعالیت هستند
چه چیز
در جهت پاسخگویی به نیازهای قبلی، یک چارچوب برای راهبری فناوری اطلاعات و کنترل با مشخصات کلی ذیل، باید بهکار گرفته شود:
§ ایجاد تمرکز کسب وکار برای تطابق میان اهداف کسبوکار و اهداف فناوری اطلاعات
§ ایجاد زمینه فرایند محوری برای تعریف محدوده پوشش، بهوسیله تعریف ساختار مناسب
§ مقبولیت کلی برای شروع شامل تجارب مفید و قابل قبول فناوری اطلاعات، استانداردها و فناوریهای خاص مستقل
§ پشتیبانی زبان رایج بهوسیله مجموعهای از اصطلاحات و تعاریفی که بهطور کل قابل درک بهوسیله کلیه ذینفعان باشد
§ کمک در جهت پاسخگویی به نیازمندیهای قانونی شامل استانداردهای راهبری سازمانی پذیرفته شده و کنترل فناوری اطلاعات مورد انتظار توسط بازرسان خارجی و قانونگذارن
تمرکز Cobit بر کسب و کار
جهتگیری کسبوکار به عنوان یکی از اصول اساسی در Cobit مطرح میباشد این اصل نه فقط برای تأمینکنندگان خدمات فناوری اطلاعات مورد نیاز کاربران، بلکه بیشتر، با تمرکز بهعنوان یک راهنمای جامع برای مدیریت و انجام فرایندهای کسبوکار طراحی شده است. چارچوب Cobit مبتنی بر اصولی در جهت فراهمسازی اطلاعاتی است که سازمان برای رسیدن به اهداف خود به آنها نیاز دارد. نیازمندیهای سازمان در زمینه مدیریت و کنترل منابع فناوری اطلاعات به صورت ساخت یافته مورد استفاده قرار میگیرد که شامل مجموعهای از فرایندها جهت تحویل و عرضه خدمات اطلاعاتی مورد نیاز سازمان میباشد. چارچوب Cobit ابزار و زمینه انطباق نیازمندیهای کسبوکار را فراهم میسازد.
معیارهای اطلاعاتی Cobit
در جهت دستیابی به اهداف کسبوکار، باید نیازمندیهای اطلاعاتی منطبق بر معیارهای کنترلی مشخص شود. براساس نیازمندیهای گستردهتر «امنیت، قابلیت اعتماد و کیفیت»، هفت معیار مجزا در این راستا بهصورت زیر تعریف میشوند:
§ اثربخشی: اطلاعات باید بموقع، صحیح، سازگار و قابل استفاده برای کسبوکار باشد
§ کارآیی: کارآیی در ارتباط با فراهمسازی اطلاعات از طریق بهینهسازی (با بهرهوری بیشتر و اقتصادیتر) استفاده از منابع است.
§ محرمانگی در ارتباط با حفاظت از اطلاعات مهم و حساس در برابر افشاء میباشد.
§ یکپارچگی: در ارتباط با صحت و کامل بودن اطلاعات است و مطابق با ارزشها و انتظارات کسبوکار است
§ در دسترس بودن: اطلاعات وقتی که مورد نیاز فرایند کسبوکار باشند، موجود باشند. این عامل همچنین به حراست از منابع ضروری مرتبط است.
§ رعایت : در ارتباط با موارد قانونی و مجموعه قوانین و ترتیبات قراردادی است بهطوری که فرایند کسبوکار موضوع آن میباشد.
§ قابلیت اطمینان: در ارتباط با تهیه اطلاعات مناسب برای مدیریت است در جهت عملیاتی نمودن موجودیت و بهکارگیری اطلاعات قابل اعتماد در انجام وظایف راهبری.
منابع فناوری اطلاعات
سازمان فناوری اطلاعات دستیابی به اهداف کسبوکار و اهداف فناوری اطلاعات را از طریق مجموعهای از فرایندهای بهوضوح تعریف شده دنبال میکند. این فرایندها، مهارتهای افراد و زیرساختهای فناوری را در جهت راهاندازی کاربردهای مکانیزه کسبوکار که خود از اطلاعات کسبوکار استفاده میکند، بهکار میگیرد. این منابع در کنار فرایندها، معماری سازمانی برای فناوری اطلاعات را تشکیل میدهند.
برای پاسخ به نیازمندیهای کسبوکار در زمینه فناوری اطلاعات، سازمان به سرمایهگذاری در زمینه منابع مورد نیاز در جهت ایجاد قابلیت فنی مناسب (بهطور مثال، یک سیستم ERP) برای پشتیبانی از یک قابلیت کسبوکار (اجرای زنجیره تأمین) منجر به خروجی مطلوب و مناسب (افزایش فروش و سود مالی) نیازمند خواهد بود. منابع فناوری اطلاعات شناساییشده در Cobit را میتوان به صورت زیر تعریف کرد:
§ برنامههای کاربردی؛ سیستمهایی جهت مکانیزه شدن فعالیتها میباشد.
§ اطلاعات؛ دادهای است در کلیه اشکال ورودی، پردازش شده و خروجی که توسط سیستمهای اطلاعاتی در کسبوکار مورد استفاده قرار میگیرد.
§ زیرساخت؛ فناوری و تسهیلاتی (سیستم عامل / سختافزار، سیستم مدیریت پایگاه داده شبکه، چند رسانه و. . .) است که امکان پردازش را برنامههای کاربردی مهیا میکنند.
§ افراد؛ شامل پرسنل مورد نیاز برای برنامهریزی، سازماندهی، تهیه، اجرا، تحویل، پشتیبانی، نظارت و ارزیابی خدمت و سیستمهای اطلاعاتی میباشد. افراد ممکن است در داخل سازمان و یا نیروهای خارجی و یا قراردادی باشند.