راهبري فناوري اطلاعات در سازمان

چکيده:
مديران ارشد سازمان تأثير قابل توجهي را که فناوري اطلاعات مي‌تواند روي موفقيت سازمان داشته باشد، درک کرده‌اند. مديران اميدوارند که درک و شناخت خود را از روشهاي مبتني بر فناوري اطلاعات که به کار برده شده است و نيز احتمال به کار بردن موفقيت‌آميز آن را براي کسب مزيت رقابتي افزايش دهند. بنابراين هيئت مديره و مديران اجرايي نياز دارند که مديريت و نظارت روي IT را افزايش دهند، براي اينکه اطمينان يابند که IT سازمان، استراتژيها و هدفهاي سازمان را دنبال مي‌کند و برآورده مي‌سازد. از اينرو راهبري فناوري اطلاعات (IT Governance = ITG) به عنوان بخش جدايي ناپذير مديريت سازمان در نظر گرفته مي‌شود. اين مقاله با هدف معرفي راهبري فناوري اطلاعات و دلايل اهميت آن و آشنايي با چگونگي پياده‌سازي آن تهيه شده است تا مديران را در جهت به کارگيري راهبري فناوري اطلاعات در سازمانها ياري کند. راهبري فناوري اطلاعات عبارتي است که براي توصيف اينکه چطور افراد براي مديريت يک نهاد، فناوري اطلاعات را درسرپرستي، نظارت،کنترل و رهبري مورد توجه قرار مي‌دهند، به کار برده مي‌شود.

مقدمه
در اين مقاله سعي بر آن شده است که رهبري فناوري اطلاعات معرفي شود و دلايل نياز به آن در سازمانها براي نظارت و سرپرستي فعاليتهاي مرتبط با فناوري اطلاعات شرح داده شود.
سازمانها نياز دارند که به سمت فرايندگرايي حرکت کنند و آنچه که به سازمانها در اين راه کمک کرده، آنها را پشتيباني مي‌کند فناوري اطلاعات است. فناوري اطلاعات ستون فقرات مهمي براي فرايندها است. براي اينکه فناوري اطلاعات در سازمانها وارد شود و همينطور براي ايجاد يکپارچگي و بهبود در سازمانها لازم است براي کنترل و نظارت روي آن ، راهبري فناوري اطلاعات پياده‌سازي شود.

وضعيت ساختار IT در سازمانهاي سده بيست و يکم
در سده بيست و يکم، سازمانها به سمت فرايندگرايي حرکت مي‌کنند و توجه مديران روي فرايندهاي شرکت متمرکز شده است، در نتيجه فناوري اطلاعات، يک عامل توانمند براي اين اطلاعات است. سازمانها براي افزايش يکپارچگي و استاندارد کردن فرايندها، افزايش سرعت روند جهاني شدن، بازسازي و تغييرات مکرر تجارت به فناوري اطلاعات نيازمندند. فناوري اطلاعات به فرايندگرا بودن سازمان کمک مي‌کند. در اين مسير چهار فرايند و شش اصل مربوط به فناوري اطلاعات ، سازمان را پشتيباني مي‌کنند. چندين سال پيش، مديران اجرايي IT روي سه فرايند اصلي IT، شامل برنامه‌ريزي، انتقال و عمليات، براي دستيابي به هماهنگيIT با تجارت متمرکز شدند اما تحليل و آناليز امروزه، چهار فرايند اصلي را براي سازمانهاي IT مشخص کرده است که عبارتند از:
– توانايي ايجاد تغييرات سازماني: قابليتهاي متداول فناوري اطلاعات، تکنولوژيهاي وب، بسته‌هاي نرم‌افزاري و … ،
– ارائه راه‌حل براي الزامات استراتژيک: سفارشي کردن، درون سپاري، برون‌سپاري و … ،
– اطمينان يافتن از خدمات زير ساختي که از نظر هزينه‌اي کارآمد مي‌باشند: وجود پايگاه‌هاي داده‌اي متمرکزو… ،
– مديريت سرمايه‌هاي فکري: به کارگيري دانشهاي تخصصي.
شش اصل فناوري اطلاعات که براي عملکرد مؤثر چهار فرايند ياد شده مهم هستند عبارتند از:
– طراحي معماري: معماري IT مشخص مي‌کند که زير ساخت چگونه ايجاد و نگهداري خواهد شد.
– مديريت برنامه: شامل مديريت راه‌حلهاي کاربردي پويا و راه‌حلهايي که باعث افزايش هم افزايي مي‌شود.
– مديريت قراردادها و منابع: واحدهاي فناوري اطلاعات مسئول مذاکره و مديريت قراردادهاي بسته شده با واحدهاي تجاري داخلي و قراردادهاي خارجي هستند.
– تحليل و طراحي فرايند: شرکتها براي فرايندگرا شدن به مکانيزمهايي براي شناسايي، تحليل، ذخيره و ارتباط برقرار کردن فرايندهاي تجاري نياز دارند.
– مديريت تغيير: براي بهبود مستمر فرايندها و پياده‌سازي راه‌حلهاي نرم‌افزاري جديد.
– توسعه منابع انساني ماهر در فناوري اطلاعات: اطمينان يافتن از وجود متخصصين فناوري اطلاعات با مهارتهاي مورد نياز.
با توجه به ساختارهاي پيچيده‌اي که سازمانهاي IT در به کارگيري فناوري اطلاعات داشتند و نيز با توجه به نياز آنها براي به کارگيري استانداردهاي جديد يعني استفاده از استانداردهايي جامع و پيوسته براي فرايندگراتر بودن سازمانها و همچنين براي ايجاد هماهنگي و يکپارچگي بين فرايندها و هم با توجه به نياز به تخصصهاي سيستمهاي اطلاعاتي و آموزش کارکنان، نياز به کنترل و نظارت اقدامات مربوط به فناوري اطلاعات در سازمــان احساس مي‌شد که به اين منــظور راهبري فناوري اطلاعات معرفي شد.

راهبري فناوري اطلاعات چيست؟
راهبري فناوري اطلاعات (ITG) مسئوليت هيئت مديره اجرايي است. راهبري فناوري اطلاعات يک بخش جدايي‌ناپذير مديريت سازمان، شامل راهبري و سازماندهي ساختارها و فرايندها است؛ تا اطمينان حاصل شود که فناوري اطلاعات سازمان، هدفها و استراتژي سازمان را پشتيباني مي‌کند و توسعه مي‌دهد يا نه؟
تجربه‌هاي منفي مديران از به کارگيري اين فناوري، شامل از بين رفتن اعتبار، تأخير در ارائه خدمات، عدم کارايي فرايندهاي اصلي فناوري اطلاعات سازمان و شکست اوليه آن، سازمان را برآن داشت که راهبري فناوري اطلاعات را به کار گيرند و بنا به اين دلايل بود که راهبري فناوري اطلاعات اهميت پيدا کرد و در سازمانها به کار گرفته شد.
راهبري فناوري اطلاعات براي اطمينان يافتن از دستيابي عملکرد فناوري اطلاعات به هدفهاي زير به کار گرفته مي‌شود:
– هماهنگي فناوري اطلاعات با سازمان و تحقق مزاياي وعده داده شده.
– به کارگيري فناوري اطلاعات براي توانمند کردن سازمان براي استفاده از فرصتها و حداکثر کردن مزايا.
– به کارگيري منابع مربوط به فناوري اطلاعات به گونه‌اي مؤثر.
– مديريت مناسب ريسکهاي مرتبط با فناوري اطلاعات.
راهبري فناوري اطلاعات معمولا در لايه‌هاي مختلف، با گزارش‌دهي سرپرستان به مديران و مديران به مديران اجرايي و آنها نيز به هيئت مديره، انحراف از هدفها را مشخص مي‌کنند و در جهت رفع آنها اقدامات و دستورکارهاي لازم با تأييد مديريت انجام مي‌شود. تعاملات هدفها و فعاليتهاي مرتبط با فناوري اطلاعات از ديد راهبري آنها در شکل 1 نمايش داده شده است و مي‌توانند در لايه‌هاي مختلف در سراسر سازمان به کار برده شوند.

چرا راهبري فناوري اطلاعات اهميت دارد؟
علت اينکه راهبري فناوري اطلاعات بسيار اهميت دارد اين است که اغلب، انتظارات با آنچه که در واقعيت رخ مي‌دهد، منطبق نيستند، در نتيجه مديريت روي موارد زير بايد انجام شود:
– به کارگيري امکانات فناوري اطلاعات با کيفيت مناسب و به موقع و با بودجه مناسب.
– کنترل و استفاده از فناوري اطلاعات براي بازگشت ارزشهاي تجاري.
– به کارگيري فناوري اطلاعات براي افزايش بهره‌وري و کارايي در حالي که ريسکهاي فناوري اطلاعات هم کنترل مي‌شوند.
چه کساني در سازمان درگير راهبري فناوري اطلاعات هستند؟
مسئوليت راهبري فناوري اطلاعات در سازمانها در درجه اول به عهده مديران اجرايي و هيأت مديره است و سپس مديران عامل بايد ساختارهاي سازماني را براي پشتيباني از اجرا و پياده‌سازي استراتژي فناوري اطلاعات، تهيه کنند و مديران اطلاعات براي ايجاد پلي بين فناوري اطلاعات و تجارت و نيز کميته‌هاي راهبري فناوري اطلاعات و ساير کميته‌هاي مشابه نيز درگير هستند.
راهبري فناوري اطلاعات چه فعاليتهايي را پوشش مي‌دهد؟
راهبري روي پنج سطح اصلي در سازمان تمرکز دارد که در شکل 2 نشان داده شده است.
دو مورد از پنج سطح اصلي خروجي هستند که عبارتند از:
– انتقال ارزش: تمرکز روي بهينه‌سازي مخارج و ايجاد ارزش فناوري اطلاعات. منظور از انتقال ارزش اعتباري است که سازمان از به کارگيري فناوري اطلاعات کسب مي‌کند.
– مديريت ريسک: حفاظت از دارايي‌هاي مربوط به فناوري اطلاعات، بهبود اشتباهها و عدم انطباقها و پيوستگي و دوام عمليات و استمرار آنها.
سه مورد از پنج سطح اصلي، محرکهايي هستند که براي دستيابي به خروجيها لازمندکه عبارتند از:
– تعيين و تنظيم استراتژي: با تمرکز روي هماهنگي استراتژي فناوري اطلاعات با راه‌حلهاي تجاري.
– مديريت منابع: بهبود دانش و زيرساختهاي فناوري.
– ارزيابي و سنجش عملکرد: پيگيري خروجي پروژه (آنچه که تحويل داده مي‌شود) و نظارت بر خدمات فناوري اطلاعات.
هيچ يک از چهار عامل اول، بدون وجود عامل ارزيابي و سنجش عملکرد نمي‌تواند به خوبي مديريت شود.
پس از معرفي راهبري فناوري اطلاعات به سازمان، براي شروع اجرا و پياده‌سازي راهبري فناوري اطلاعات، براي اينکه مشخص شود که سازمان در چه وضعيتي قرار دارد، استفاده از چک ليستهاي مربوطه که پنج عامل ياد شده را در نظر مي‌گيرد، روش مؤثري است.
براي اجراي کامل راهبري فناوري اطلاعات، استانداردهاي مختلفي مثل: (COBIT= Control ive For Information & Related Technology)i) ,Cadbury وTurnbull وجود دارد که از ميان آنها، COBIT که توسط مؤسسه IT Governance تهيه شده است و به گونه بين المللي به عنوان يک مدل خوب براي کنترل اطلاعات، IT و ريسکهاي مرتبط پذيرفته شده و براي پياده‌سازي و مميزي راهبري فناوري اطلاعات انتخاب شده است.

چارچوب COBIT
در سالهاي اخير بديهي است که به يک چارچوب مرجع براي کنترل و امنيت در خبرهاي فناوري اطلاعات نياز است، همچنين نياز بيشتري وجود دارد براي اينکه کاربران از ارائه خدمات فناوري اطلاعات، از راه مميزي خدمات ارائه شده توسط گروه‌هاي داخلي و شخص ثالث، اطمينان حاصل کنند. همچنين براي دستيابي به مزيت رقابتي و کارآمد بودن از نظر هزينه با تکيه بر تکنولوژي، براي دستيابي به موفقيت در مديريت سازمان و مديريت فناوري اطلاعات و نظارت و ارزيابي بر عملکرد سازمان، براي برآورده کردن هدفها و الزامات تجاري در جهت پاسخگويي به نيازها، از چارچوب مرجع به نام COBIT استفاده مي‌شود.
تعاريفي که در چارچوب COBIT بايد در نظر گرفته شود، عبارتند از:
– کنترل: خط مشي‌ها، روشهاي اجرايي، فعاليتها و ساختارهاي سازماني که طراحي شده‌اند، براي ايجاد اطمينان از اينکه هدفهاي تجاري برآورده خواهند شد و از حوادث نامطلوب جلوگيري کرده، يا کاهش و يا اصلاح خواهند شد.
– هدفهاي کنترل فناوري اطلاعات: بيان نتايج يا طرح مطلوبي که از راه پياده‌سازي روشهاي اجرايي، کنترل يک فعاليت خاص، به دست خواهد آمد.
– راهبري فناوري اطلاعات: ايجاد ارتباطات و فرايندها براي هدايت و کنترل سازمان براي دستيابي به هدفهاي سازمان براي ايجاد ارزش افزوده يا ايجاد تعادل و توازن ريسکهاي حاصل از به کارگيري فناوري اطلاعات و فرايندهاي آن.
هدف اصلي پروژه COBIT، توسعه خط مشيهاي واضح و مدلهاي مناسب براي امنيت و کنترل فناوري اطلاعات، براي تأييد جهاني توسط سازمانهاي تخصصي، دولتي و تجاري است. هدف COBIT برآورده کردن هدفهاي تجاري است.

اصول چارچوب COBIT
COBIT مدلي است براي راهبري فناوري اطلاعات. مفهوم اساسي چارچوب COBIT آن است که کنترل روي فناوري اطلاعات از راه توجه به اينکه اطلاعات بايد هدفها يا الزامات تجاري را پشتيباني کند، ايجاد مي‌شود.
چارچوب COBIT در سه سطح در نظر گرفته شده است: در سطح پايين، فعاليتها و وظايفي وجود دارند که براي دستيابي به نتايج قابل اندازه‌گيري مورد نياز هستند. فعاليتها يک چرخه عمر دارند در حالي که وظايف بيشتر گسسته هستند.

سپس فرايندها در يک لايه بالاتـر به عنوان مجموعه‌اي از فعاليتها و وظايف تعريف شده‌اند. در بالاترين سطح که بيشتر مورد توجه COBIT است، فرايندها در يک حوزه جمع‌آوري شده‌اند.
بنابراين چارچوب COBIT از نظر مفهومي مي‌تواند از سه بعد در نظر گرفته شود: 1- معيارهاي اطلاعات؛ 2- منابع فناوري اطلاعات؛ 3- فرايندهاي مربوط به فناوري اطلاعات. اين سه بعد در مکعب COBIT به صورت شکل 4 نشان داده شده است.
چهار حوزه گسترده‌اي که در COBIT در نظر گرفته شده‌اند عبارتند از: برنامه‌ريزي و سازماندهي، ايجاد و پياده‌سازي، تحويل و پشتيباني، نظارت.
بدين‌گونه که در حوزه برنامه‌ريزي و سازماندهي، استراتژي و تاکتيکها و نگراني‌هاي مربوط به شناسايي IT را مي‌توان براي دستيابي به هدفهاي تجاري به بهترين شکل جمع‌آوري کرد. در حوزه ايجاد و پياده‌سازي براي شناخت و ايجاد استراتژي فناوري اطلاعات، امکانات بايد شناسايي، توسعه يافته و يا ايجاد شوند. در حوزه تحويل و پشتيباني، تحويل به موقع و ارائه خدمات مورد نياز، مورد توجه قرار مي‌گيرد و فرايندهاي پشتيباني مورد نياز بايد راه‌اندازي شوند. در حوزه نظارت، تمامي فرايندهاي IT لازم است که به طور منظم از نظر کيفيت و مطابقت با الزامات کنترل، مورد ارزيابي قرار گيرند.

چگونه COBIT را به سازمان معرفي مي‌کنيد؟
COBIT معمولا فعاليتهاي تأييد شده‌اي را براي مديريت و کنترل منابع اطلاعاتي و فناوري اطلاعات، ايجاد مي‌کند. COBIT براي سه گروه طراحي شده است:
– براي مديران: COBIT کمک مي‌کند که تعادل را بين ريسکهاي سرمايه گذاري و کنترل آنها در اغلب محيطهاي غير قابل پيش‌بيني برقرار مي‌کند.
– براي کاربران: COBIT کمک مي‌کند که اطمينان يافتن از امنيت و کنترل خدمات IT ارائه شده، توسط گروه‌هاي داخلي و شخص ثالث.
– براي مميزان: COBIT کمک مي‌کند که مستند کردن و ارائه نظرات و عقايدشان در مورد کنترلهاي داخلي فناوري اطلاعات براي اطلاع و آگاهي مديران، مؤثر باشد.
در نتيجه براي معرفي COBIT در يک سازمان بايد آن را به سه گروه افراد ياد شده در سازمان معرفي کنيم و آنها را از فوايد COBIT آگاه سازيم.

براي پذيرش COBIT چه کساني بايد تحت تاثير قرار گيرند؟
COBIT در اصل، يک چارچوب براي مديران فناوري اطلاعات و ارتباطات يک سازمان است. بنابراين، مديران به ويژه ايجادکنندگان خط مشي فناوري اطلاعات نقش مهمي را در پذيرش و ايجاد COBIT در سازمان ايفا مي‌کنند.
علاوه بر مديران عامل، مديران اطلاعات و کميته‌هاي راهبردي، افراد کليدي ديگري شامل مديران اجرايي، صاحبان فرايندهاي تجاري و مديران اصلي نيز بايد COBIT را بپذيرند.

چرا يک سازمان بايد COBIT را بپذيرد؟
دلايلي که مديران و تصميم‌گيرندگان اصلي را به پذيرش COBIT تشويق مي‌کند، عبارتند از:
1. به دليل مشکلات تجربه شده توسط سازمانها.
2. نياز مديران به نظارت بر منابع سازمان.
3. با کنترل منابع فناوري اطلاعات، هزينه کل ارائه خدمات آن ممکن است کاهش يابد.
4. COBIT ترس و نگراني و عدم اطمينان مديران را نسبت به برآورده نشدن هدفهاي تجاري کاهش خواهد داد.
5. اطمينان يافتن از اينکه سازمان مطابق با قوانين کاربردي و قابل اجرا است.
6. ايجاد و برقراري ارتباطات بهبود يافته بين مديران، کاربران و مميزان با به کارگيري COBIT.
7. COBIT چارچوبي را براي شناسايي ريسکهاي مرتبط با فناوري اطلاعات و ارزيابي و کنترل آنها ارائه مي‌نمايد.
8. برخي سازمانها با به کارگيري COBIT، مميزيهاي يکپارچه و سراسري، خود را بهبود داده‌اند منبع شماره 4 .

حوزه و محدوديتهاي COBIT چه هستند؟
براي اينکه COBIT به طور موفق اجرا شود، هر کسي بايد بداند که COBIT چيست، براي چه به کار برده مي‌شود و چه کاري مي‌تواند انجام دهد؟ در اين زمينه چندين نکته وجود دارد:
1. COBIT روشي جديد براي تفکر است.
2. COBIT چارچوبي است که بايد متناسب با سازمان باشد.
3. COBIT بايد به عنوان يک منبع مديريت، کنترل و مميزي به کار برده شود.
4. کارکنان اصلي بايد براي دستيابي به يک پياده‌سازي موفق، از COBIT آگاه باشند و آموزش ببينند.

چگونه COBIT را در سازمانتان اجرا کنيد؟
پذيرش موفق COBIT به آموزش احتياج دارد. پس از معرفي COBIT در سازمان، براي اجراي آن، ابتدا مسئولان اصلي بايد آشنايي کامل نسبت به آن داشته باشند و آن را بپذيرند. پس از تأييد، لازم است که COBIT در نظامنامه، خط مشي و روشهاي اجرايي به عنوان يک مدل مناسب مشخص شود و سپس از راه فرمهاي نام برده شده در زير، ارزيابي ريسک و برنامه‌ريزي مميزي انجام گيرد.
فرمها عبارتند از:
– فرم فعاليتهاي پيش مميزي: شناسايي اينکه آيا فعاليتهاي مميزي مرتبط با فرايند فناوري اطلاعات در حوزه پيش از مميزي قرار مي‌گيرد؟ اين فرم توسط تيم مميزي تکميل مي‌شود.
– فرم خلاصه گزارش بخش: شناسايي فرايندهاي مربوط به فناوري اطلاعات که با اهميت بيشتري مورد توجه قرار گيرند. اين فرم توسط مديران بخشها تکميل مي‌شود.
– فرم ارزيابي ريسک: کمک به تيم مميزي در شناسايي فرايندهاي مربوط به فناوري اطلاعات در جايي که ريسک وجود خواهد داشت. اين فرم توسط تيم مميزي يا مديران يا به طور مشترک تکميل مي‌شود.
– فرم گروه‌هاي مسئول: براي شناسايي کساني که هر فرايند مربوط به فناوري اطلاعات را انجام مي‌دهند و کساني که مسئول نهايي هر فرايند هستند. اين فرم توسط تيم مميزي با مشارکت مديران بخش مميزي شونده تکميل مي‌شود.

انجام مميزي با استفاده از COBIT
پس از برنامه‌ريزي، فرايند مميزي براساس گامهاي زير انجام مي‌گيرد:
1. تعيين نوع مميزي: نوع مميزي مورد نياز براي بخشي که بايد مميزي شود را انتخاب کنيد. انواع مميزيهايي که ممکن است انجام شوند، عبارتند از: مالي، عملکرد، مطلوبيت و … .
2. تعيين هدفهاي مميزي: بعد از انتخاب نوع مميزي، زمان آن است که هدفهاي کنترل COBIT براي دستيابي به بينش و آگاهي بيشتر فرايندهاي مربوط به فناوري اطلاعات انتخاب شده براي اين مميزي به کار گرفته شود.
3. توسعه و برنامه‌ريزي مميزي: در صورتي که يک برنامه مميزي وجود داشته باشد، آن برنامه با راهنماي مميزي COBIT مقايسه مي‌شود و اگر برنامه مميزي وجود نداشته باشد، از راه راهنماي مميزي COBIT يک برنامه مميزي تهيه مي‌شود. در اين گام فعاليتهاي زير انجام مي‌شود: مقايسه هدفهاي مميزي با هدفهاي کنترل COBIT، مقايسه برنامه مميزي با برنامه مميزي COBIT، افزودن فعاليتهاي مميزي پيشنهاد شده از راه نظامنامه‌ها و راهنماهاي سازماني و قانوني.
4. انجام مميزي: مميزي مطابق راهنماي مميزي COBIT انجام مي‌گيرد.
5. نوشتن گزارش مميزي: نوشتن نتايج با تمرکز روي هدفهايي که برآورده شده‌اند و هدفهايي که برآورده نشده‌اند (منبع شماره‌4).

نتيجه‌گيري
فناوري اطلاعات يک بخش جدايي ناپذير از تجارت است و راهبري آن يک بخش جدايي ناپذير از مديريت سازمان است. در راهبري فناوري اطلاعات نقشها و مسئوليتها بايد به طور واضح مشخص شوند و کميته‌هايي مثل کميته راهبري (در سطح اجرايي) و کميته استراتژي (در سطح مديريتي) تشکيل شده، سپس يک طرح براي اجرا و پياده‌سازي راهبري، مثل COBIT لازم است. براي انجام راهبري کارهاي زير بايد انجام گيرد:
– تهيه چارچوب سازماني مديران
– هماهنگي استراتژي فناوري اطلاعات با هدفهاي تجاري،
– شناخت ريسکها،
– تعريف و شناسايي سطوح فرايند،
– شناسايي عدم انطباقها و مغايرتها،
– توسعه استراتژيهاي بهبود،
– ارزيابي نتايج.
اين کارها تا بهبود کامل تکرار مي‌شود.

منبع: ماهنامه تدبير-سال نوزدهم-شماره 199

منابع:

.1 Brown, Carol and Jeanne W.Ross, 1999, The IT organization of the 21th century: Moving to a Process-Based orientation.
2. Board Briefing on IT Governance
IT Governance Institute – 2003
3. COBIT 3rd Edition- Audit Guidelines, IT Governance Institute – July 2000
4. COBIT 3rd Edition- Implementation Tool Set , IT Governance Institute – July 2000

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *