بخشی از مقاله
نتایج بکارگیری مدل مرجع COBIT در عارضه یابی فرآیندهای مدیریت IT شرکت ملی حفاری ایران با رویکرد بلوغ فرآیندی
چکیده:
امروزه اطلاعات از مهمترین داراییها و منابع استراتژیک هر سازمان است. به همین دلیل، نحوه مدیریت فناوری اطلاعات، یکی از ارکان مهم برنامه ریزی سازمانی بوده، نیاز به تضمین ارزش فناوری اطلاعات، مدیریت مخاطرات مرتبط با آن و کنترل اطلاعات، به عنوان عناصر کلیدی در رهبری هر سازمان محسوب می شوند.
در این مقاله، پس از معرفی اجمالی چارچوب کنترل داخلی COBIT، چگونگی استفاده از این چارچوب برای ارزیابی وضعیت موجود فرآیندهای سازمان متولی فناوری اطلاعات در «شرکت ملی حفاری ایران» با کمک مدل بلوغ ۶ سطحی ارایه شده از سوی «مؤسسه مهندسی نرم افزار (SEI)» که COBIT آن را برای انجام مطالعات تطبیقی و شناسایی بهبودهای ضروری در حوزه فناوری اطلاعات مورد استفاده قرار می دهد، ذکر گردیده است. در پایان نیز روشی برای تعیین اهداف و شاخص های کارآیی IT «شرکت ملی حفاری ایران» و نیز راهکاری برای تهیه برنامه ای جهت ارتقای سطح بلوغ فرآیندها و تعیین نقش های لازم برای اجرای این فرآیندها در شرکت و رسیدن به سطح بلوغ مورد انتظار بر اساسر چارچوب مذکوره پیشنهاد گردیده است.
کلمات کلیدی COBIT، حاکمیت فناوری اطلاعات، حاکمیت سازمانی، چارچوب کنترل داخلی، مدل بلوغ، شرکت ملی حفاری ایران، فرآیند Tله هدف T)، شاخص کارآیی IT
۱- مقدمه
امروزه اطلاعات جزو مهمترین دارایی ها و منابع استراتژیک هر سازمان به حساب می آید. به همین دلیل، نحوه مدیریت فناوری اطلاعات، به عنوان یکی از ارکان مهم برنامه ریزی سازمانی محسوب می شود. آنچه که امروزه آن را به عنوان مدیریت فناوری اطلاعات می شناسیم، در واقع طراحی ساختار، تشکیلات، وظایف و مسؤولیتها، فرآیندها و نظام هایی است که اجرای آنها در سازمان برای بهره برداری بهینه از منابع و دارایی های اطلاعاتی و فناوری اطلاعات، ضروریست.
در اغلب سازمان ها و مؤسسات بزرگ، فناوری اطلاعات به عنوان یکی از باارزش ترین دارایی های مجموعه محسوب میگردد. سازمانی موفق است که به ارزش واقعی این دارایی پی برده، بتواند در دستیابی به منافع ذینفعان خود، از آن استفاده کند. نیاز به تضمین ارزش های فناوری اطلاعات، مدیریت مخاطرات مرتبط با آن و کنترل اطلاعات، امروزه به عنوان عناصر کلیدی در حاکمیت سازمانی محسوب می شوند [1]. همین ارزش، ریسک و کنترل، هسته حاکمیت فناوری اطلاعات " را تشکیل می دهند.
حاکمیت فناوری اطلاعات یک جنبه از چارچوب وسیع حاکمیت سازمان - که توسط سازمان همکاری و توسعه اقتصادی " (OECD) در رابطه با حاکمیت اشخاص حقوقی تشریح گردیده است - محسوب می شود [2] حاکمیت فناوری اطلاعات بر عهده مدیران اجرایی سازمان بوده، شامل مدیریت، ساختاردهی به سازمان و فرآیندهایی برای اطمینان از حرکت فناوری اطلاعات در راستای استراتژی ها و اهداف سازمان است [1]. حاکمیت مؤثر فناوری اطلاعات سازمان را در دستیابی به سه هدف حیاتی، یعنی انطباق با قوانین و مقرراته برتری عملیاتی و مدیریت بهینه ریسک ها، قارد میسازد [3] و میتواند سازمان را در زمینه اطمینان از پشتیبانی اهداف توسط IT بهبود سرمایه گذاری در زمینه IT و مدیریت مخاطرات و فرصتهای مرتبط با IT یاری دهد [1]
میدانیم که سازمانها ناگزیر به ارضایی نیازمندیهای کیفیته اعتبار و امنیت اطلاعات خود در رابطه با همه داراییهایشان هستند. همچنین مدیریت سازمان باید به صورت بهینه از منابع در دسترس IT شامل برنامه های کاربردی، اطلاعات، زیرساخت و نیروی انسانی، استفاده نماید [1]. برای انجام این مسؤولیتها و به منظور دستیابی به اهداف مورد نظر، مدیریت سازمان ناگزیر است که به وضعیت معماری سازمان خود از منظر IT واقف بوده، در مورد حاکمیت و کنترل مورد نیاز تصمیم گیری کند.
شرکت ملی حفاری ایران یکی از سازمان های زیرمجموعه وزارت نفت است که با هدف افزایش توان رقابتی خود و ورود به بازارهای جهانی، تصمیم به برنامه ریزی استراتژیک در حوزه های مختلف کسب و کار اصلی و پشتیبانی خود گرفته و یکی از این حوزه ها، حوزه فناوری اطلاعات است. با این نگاه، جایگاه IT در سازمان از یک فراهم کننده اطلاعات به یک جزء ضروری از استراتژی سازمان [4]، ارتقا خواهد یافت. نیاز این شرکت در زمینه فناوری اطلاعات، شناخت و عارضه یابی وضعیت کنونی در ابعاد مختلف فرآیندی، اطلاعاتی، عملیاتی و زیرساختی و همچنین تصویر وضع مطلوب فناوی اطلاعات شرکت و برنامه ریزی برای رسیدن به این وضع بر اساس استراتژی ها و اهداف فتاوری اطلاعات است.
بدین منظور پروژه ای تحت عنوان «تدوین معماری سازمانی فناوری اطلاعات و ارتباطات» توسط این شرکت تعریف و اجرا گردیده که هم اکنون فاز شناخت آن به پایان رسیده است. در حوزه شناسایی وضع موجود و طراحی وضع مطلوب سازمان متولی فناوری اطلاعات در شرکت ملی حفاری ایران، نیاز به مدل مرجعی که بتواند پوشش دهنده همه نیازهای JT شرکت باشد و به عنوان نقشه راه، مورد استفاده قرار گیرد، ضروری بوده، از طرفی این مدل باید بتواند چارچوبی را برای کنترل و ممیزی فعالیتهای مطلوب که در آینده انجام خواهند شد نیز فراهم نماید.
۱-۱- چرا به چارچوب کنترلی نیاز است؟
مدیریت ارشد هر سازمان به طور فزاینده برای تحقق دستاوردهای مهم اطلاعات در موفقیت سازمان خود میکوشد. مدیران به دلایل زیر میخواهند از برآورده شدن اهداف فناوری اطلاعات در سازمانشان آگاه 1) شوند دستیابی به اهداف حصول اطمینان از یادگیری و سازگاری مدیریت خردمندانه مخاطراتی که سازمان با آنها روبروست شناسایی فرصتها و استفاده از آنها سازمان های موفق، علاوه بر شناسایی مخاطرات و بهره گیری از منافع فناوری اطلاعات، راههایی نیز برای انجام موارد زیر مییابند [1]|: هم سو کردن استراتژیهای IT استراتژی های کسب و کار ایجاد اطمینان در سرمایه گذاران و ذینفعان از این بابت که سازمان، مخاطرات آینده ly پیش بیتی نحمودہ است تسری استراتژی ها و اهداف IT در سازمان کسب سود از سرمایه گذاری TT فراهم نمودن ساختارهای سازمانی که پیاده سازی استراتژیها و اهداف را تسهیل می کنند ایجاد روابط سازنده و مؤثر میان کسب و کار و IT با شرکای بیرونی IT اندازه گیری کارایی ۲-۱- چه کسی به چارچوب کنترلی نیاز دارد؟ از خصوصیات یک چارچوب کارآ و مناسب برای حاکمیت و کنترل حوزه مورد نظر، خدمت رسانی به انواع ذینفعان داخلی و خارجی سازمان است. این ذینفعان عبارتند از []|]|: ذینفعان داخلی علاقمند به خلق ارزش از طریق سرمایه گذاری T 1؛ شامل کسانی که در رابطه با سرمایه گذاری تصمیم می گیرند، افرادی که در مورد نیازمندیها تصمیم گیری می کنند و کسانی که سرویس های IT را به کار می برند ذینفعان داخلی و خارجی فراهم کننده سرویس های IT شامل مدیران سازمان و فرآیندهای IT، فراهم کنندگان امکانات و کسانی که سرویس ها را راه اندازی میکنند ذینفعان داخلی و خارجی با نقش های حساس و نظارتی؛ شامل مسؤولان امنیتی، افرادی با دسترسی های خاص و تهیه کنندگان سرویس های امنیتی
۳-۱- ویژگی های یک چارچوب کنترل IT چیست؟
برای پاسخگویی به نیازهای حاکمیت فناوری اطلاعات، چارچوب مورد نظر باید [[]|: برای همسو کردن اهداف IT با کسب و کار، روی کسب و کار تمرکز کند. به منظور تعریف محدوده و ساختار وظایف و اختیارات، فرآیندگرا باشد. با تجارب موفق پیشین و استانداردهای موجود در زمینه IT سازگار باشد. از زبان مشترک و قابل فهم برای تمامی ذینفعان برخوردار باشد. به وسیله تحکم استد انداردهای حاکمیت سازمان، در برآورده ساختن نیازمندیهای قانونی، کمک نماید. با توجه به مطالب یادشده، یکی از نیازهای اساسی هر سازمان - که طبعاً سازمان های داخلی کشور ما نیز از آن مستثنی نیستند - در اختیار گرفتن و استفاده از چارچوب و روشی برای کنترل فناوری اطلاعات در آن سازمان است. پروژه COBIT که امروزه در سراسر جهان توسط سازمانهای مختلفی بکار گرفته میشود - و همین امر مهر تأییدی بر آن است - تجارب موفق مدیریتی را در زمینه امنیت و کنترل فناوری اطلاعات بیان می کند [S] و از این حیث، استفاده از آن برای کنترل حوزه فناوری اطلاعات در سازمان، دارای ارزشی ویژه خواهد بود.
۲- COBIT، یک چارچوب کنترلی
مؤسسه ITGI (با نشانی اینترنتی WWW.itgi.org) در سال ۱۹۹۸ با هدف پیشبرد مطالعات بینالمللی در زمینه هدایت و کنترل فناوری اطلاعات در سازمان ها تأسیس گردیده است. بدین منظور و برای کمک به برآورده ساختن این هدف، مؤسسه ITGI مبادرت به انتشار استانداردها و دستورالعملهایی در قالب یک سری کتب و مقالات، منابع الکترونیکی و مطالعات موردی نموده که یکی از این استانداردها چارچوب COBIT است. ویرایش جدید این استاندارد در سال ۲۰۰۷ و با نام 4.1 COBIT انتشار یافته است. این چارچوب دارای ویژگیهای منحصر به فردیست که آن را از سایر روش ها و چارچوبهای موجود در زمینه مدیریت فناوری اطلاعات، متمایز میسازد. در ادامه، نگاهی گذرا به این ویژگی ها شده است.
۲- ۱- تمرکز روی کسب و کار
اصلیترین خصوصیت COBIT تمرکز آن روی کسب و کار است. IT برای فراهم کنندگان سرویسهای la, 5 3 43 COBT چار چوب کاربران و ممیزان، بلکه بیشتر برای مدیران و طساحبان کسب و کار، طراحی شده است.
همان طور که در شکل (۱) نیز نشان داده شده، چارچوب مذکور بر این پایه استوار است که سازمان باید برای فراهم نمودن اطلاعاتی که برای دستیابی به اهدافش به آنها نیاز دارد، با استفاده از مجموعه ای ساخت یافته از فرآیندها در زمینه مدیریت و کنترل منابع IT، سرمایه گذاری کند، مدیریت و کنترل اطلاعات را می توان قلب این چارچوب دانست! چرا که به سازمان اطمینان می دهند در راستای پاسخگویی به نیازمندیهای کسب و کار خود حرکت کند [1] برای نیل به اهداف کسب و کار، اطلاعات باید با معیارهای کنترلی خاصی تطبیق یابد، این معیارهای اطلاعاتی در COBIT عبارتند از [1]|:
اثربخشی ؛ مربوط به وابستگی اطلاعات به فرآیندهای کسب و کار و ارایه بموقع، صحیح، منسجم و کاربردی اطلاعات کارآیی مرتبط با فراهم کردن اطلاعات از طریق استفاده بهینه (اقتصادی و سودبخش) از منابع محرمانگی ؛ در رابطه با جلوگیری از دسترسی غیر مجاز به اطلاعات حساس یکپارچگی " ؛ مربوط به دقت، صحت و اعتبار اطلاعات مطابق با انتظارات کاری سازمان دسترس پذیری مربوط به در دسترس بودن اطلاعات در زمان مورد نیاز انطباق ؛ مربوط به سازگاری اطلاعات با قوانین، مقررات و سیاستهای سازمان قابلیت اعتماد "؛ مرتبط با فراهم نمودن اطلاعات مناسب برای مدیریت در راستای انجام وظایف مدیریتی
وقتی قرار است فناوری اطلاعات سرویسهایی برای حمایت از استراتژی های سازمان ارایه کند، باید مالکیت و جهت گیری نیازمندیها آشکار بوده، درک روشنی از این سرویسها و چگونگی ارایه آنها، وجود داشته باشد. شکل (۲) نشان میدهد که چگونه استراتژیهای سازمان می توانند به وسیله کسب و کار به اهداف مرتبط با IT ترجمه شوند.
ساختار IT سازمان باید با تعریفی روشن از فرایندها و نیز با استفاده از منابعی نظیر مهارت افراد و زیرساخت های فناوری، در جهت این اهداف توسعه داده شود [1]. در شکل (۳) به طور خلاصه نشان داده شده است که برای دستیابی به اهداف IT چگونه باید منابع IT توسط فرآیندهای IT مدیریت شوند.
۲- ۲- فرآیند گرا
این چارچوب برای پایش و مدیریت فعالیتهای IT یک مدل فرآیندی مرجع و یک زبان قابل فهم را برای تمامی کارکنان سازمان فراهم می کند. همچنین COBIT چارچوبی را برای برقراری ارتباط میان سرویس دهندگان، یکپارچه سازی تجارب موفق مدیریتی و اندازه گیری و پایش کارآیی فناوری اطلاعات، تهیه می نماید. برای رهبری مؤثر فناوری اطلاعات در سازمان لازمست که فعالیت ها و خطرات IT به دقت شناسایی گردند. این موارد عموما در حوزه های برنامه ریزی، ساخت، اجرا و پایش، خود را نشان می دهند [1]. به همین منظور مطابق شکل (۴)، چارچوب COBIT حوزه های زیر را برای بررسی در سازمان پیشنهاد داده است: برنامه ریزی و سازمان دهی " (PO): جهت گیری ارایه راهکار (AI) و سرویسدهی (DS) را تعیین میکند. اکتساب و پیاده سازی " (AI): راهکارهایی را ارایه و آنها را به سرویس تبدیل میکند. تحویل و پشتیبانی " (DS): راهکارها را دریافت و برای کاربران نهایی، قابل استفاده می کند. پایش و ارزیابی" (ME): همه فرآیندها را به منظور اطمینان یافتن از پیروی جهت گیری ارایه شده، پایش می کند،
3-2-- کنترل محور
کنترل به شکل سیاست ها، رویه ها، تجارب و ساختارهای سازمانی طراحی شده برای تضمین دستیابی به اهداف کسب و کار و پیشگیری یا تشخیص و اصلاح رخدادهای نامطلوب در نظر گرفته می شود [1]. با دید کنترل و ممیزی، سازمان ها باید نسبت به استقرار سیستمهای کنترلی در همه ابعاد فناوری اطلاعات خود، نظیر مدیریت امنیت اطلاعات [6] یا مدیریت پروژه و ریسک های ناشی از آن، مبادرت ورزند. پس از این که چنین سیستمهای کنترلی در سازمان مستقر شدند، کارآیی کنترل باید توسط رویه های ممیزی مورد اندازه گیری قرار گیرد .[6] در شکل (۵) مدل استانداردی برای نظارت نشان داده شده است. ایسن مدل بر اساس اصول آشکار این تمثیل بنا شده که وقتی دمای اتاق (استاندارد) برای سیستم گرمایشی (فرآیند) تنظیم شده است، سیستم دایماً دمای پیرامون اتاق (اطلاعات نظارتی) را کنترل می کند (مقایسه) و به سیستم گرمایشی برای بالا یا پایین بردن دما اخطار می دهد (عمل). عمل در واقع می توان COBIT را مدلی برای مدیریت فناوری اطلاعات دانست که بر پایه دو مدل کنترل داخلی اصلی استوار است؛ «مدل کنترل عملیات جامع "» و «مدل کنترل تمرکز بر فناوری اطلاعات "» [0]. این چارچوب با متعادل ساختن ریسک و هدایت و کنترل معیارها و شاخصها، سازمان را در دستیابی به اهدافش یاری می رساند. بر این اساس، سیستم کنترل های داخلی سازمان در سه سطح بر فناوری اطلاعات اثر دارد [1]|:
در سطح «مدیریت اجرایی»، اهداف کسب و کار تعیین شده، سیاستگذاری ها صورت گرفته، راجع به چگونگی استقرار و مدیریت منابع سازمان برای اجرای استراتژی ها تصمیم گیری می شود. در این حالت، کنترل کلی به وسیله یک کمیته تخصصی در سطح سازمان صورت می گیرد. در سطح «فرآیند کسب و کار»، فعالیتهای کسب و کار خاصی کنترل می شوند. برای «پشتیبانی» از فرآیندهای کسب و کار، فناوری اطلاعات به ارایه سرویس های IT (معمولاً سرویس های مشترک میان فرآیندهای کسب و کار) مبادرت میورزد. در این حالت، همه فعالیتهای خدمات IT تحت نظارت قرار می گیرند که این نظارت ها با نام کنترل های عمومی IT شناخته می شوند.
۴-۲- قابل اندازه گیری
نیاز اساسی هر سازمان، شناخت وضعیت سیستمهای IT آن سازمان و تصمیم گیری در رابطه با سطح مدیریت و کنترل لازم می باشد. برای تصمیم گیری assaua این پرسش برای مدیریت مطرح میشود که تا چه حد باید پیش رفت و آیا هزینه های صورت گرفته با سود مورد انتظار، تراز خواهد شد یا نه. هر سازمان باید بداند در چه وضعیتی قرار دارد، در چه جاهایی بهبود لازم است و باید از چه ابزاری برای پایش این بهپبود استفاده کند. چارچوب COBIT با فراهم کردن موارد زیر، به این امور رسیدگی می کند [1]|: مدل های بلوغ برای انجام مطالعات تطبیقی و شناسایی بهبودهای ضروری اهداف و شاخص های کارآیی فرآیندهای IT که نشان می دهند فرآیندها چگونه اهداف IT و کسب و کار را برآورده می سازند اهداف فعالیت برای کارآیی مؤثر فرآیند
۳- معرفی مدل مرجع
فرآیندها در COBIT چنان که گفته شد، «منابع IT توسط فرآیندهای IT و به منظور دستیابی به اهداف IT که پاسخگوی نیازهای کسب و کار هستند، مدیریت می شوند». این عبارت مبنای چارچوب COBIT است و میتوان آن را به صورت مکعبی که در شکل (۶) نشان داده شده، در نظر گرفت. این مکعب به مکعب TآCOB معروف است.
