بخشی از مقاله
ارائه مدلی جهت ارزیابی ITIL با استفاده از استاندارد COBIT
چکیده
در چند سال اخیر کارکردهای های فناوری اطلاعات به سمت خدمت گرا شدن حرکت کردند تا با اهداف کسب و کار همسو شوند. مدیریت خدمات فناوری اطلاعات به سازمان ها از طریق فراهم کردن مزایایی حقیقی مانند تطابق پذیری و انعطاف پذیری بیشتر، اثربخشی در هزینه ها، و سرویس گرا شدن ،کمک می کند. یکی از پذیرفته شده ترین و رایج ترین چارچوب های مدیریت خدمات فناوری اطلاعات در دنیا،کتابخانه زیرساخت فناوری اطلاعات (ITIL 1)می باشد. ITIL برترین تجارب را برای برنامه ریزی و اجرای برنامه مدیریت خدمات فناوری اطلاعات جهت بهبود کیفیت، کاهش هزینه و ریسک را ارائه می دهد. یکی از مهمترین استانداردها، چارچوب اهداف کنترل اطلاعات و فناوریهای وابسته به آن مشهور بهCOBIT 2 است. COBIT متمرکز بر تمامی مواردی است که برای دستیابی به مدیریت و کنترل درست مورد نیاز بوده و در بالاترین سطح حاکمیت قرار میگیرد. COBIT با سایر استانداردها و بهروشهای مورد نیاز در حوزه حاکمیت فناوری اطلاعات همراستا و هماهنگ شده و در واقع نقش یکپارچهساز برای انواع استانداردها و اصول راهنما را برعهده دارد. به بیان دیگر، با توجه به اینکه این چارچوب با تعریف اهداف کنترلی، ساختارهای سازمانی، سنجههای عینی و ابزارهای مدیریتی، کنترل و مدیریت حاکمیت فناوری اطلاعات را برعهده میگیرید. با توجه به جذابیت های موجود در مزایایی که در پیاده سازی ITIL مانند افزایش بهره وری و کارایی ، کاهش زمان های وفقه و... وجود دارد سازمان ها بیشتر و بیشتر به سوی این چارچوب و پیاده سازی آن می روند. در این پژوهش بدنبال روشی جهت ارزیابی ITIL با استفاده از استاندارد COBIT می باشیم. در این پژوهش از روش ANP 4- Dematl3 برای ارزیابی پارامترهای کاربردی استفاده شده است. از این طریق به اهمیت هر یک از پارامترها پی ببریم.
کلمات کلیدی: Demate, ANP ,ITIL ,COBIT
-2 مقدمه
کتابخانه زیرساخت فناوری اطلاعات یا ITIL، چارچوبی از بهترین به روش ها را برای مدیریت خدمات فناوری اطلاعات ارائه میدهد و از زمانی که ITIL بهوجود آمده بیشترین کاربرد را در مدیریت خدمات فناوری اطلاعات در جهان داشته است. چارچوب ITIL بین سالهای 1989 و 1995 در انگلستان به نمایندگی از طرف آژانس ارتباطات و مخابرات مرکزی1 که در حال حاضر در دفتر تجارت دولتی2 قرار گرفته است منتشر شد. اولین کاربرد آن نیز در محدوده انگلستان و نروژ بود. نسخه دوم ITIL در مجموعهای اصلاح شده بین سالهای 2000 تا 2004 انتشار یافت. نسخه دوم مورد اقبال بسیاری از سازمانها در کشورهای دنیا واقع شد. نسخه سوم ITIL که شامل پنج جلد کتاب است در سال 2007 مطرح شد. چارچوب ITIL مرجع مناسبی برای مدیریت خدمات است. برای اطلاع از ماهیت مدیریت خدمات باید از ماهیت خدمات و چگونگی ارتباط مدیریت خدمات با فراهمکنندگان خدمات اطلاع پیدا کرد. خدمات بهمعنای ارائه ارزش به مشتریان است که از طریق تسهیل نتایج مورد انتظار مشتریان انجام میشود. دستیابی به خدمات بدون صرف هزینههای خاص و ریسک برای مشتریان مطلوب است. برای استفاده از این خدمات، مجموعهای از قابلیتهای سازمانی ویژه به شکل خدمات مورد استفاده قرار میگیرند که مدیریت خدمات نامیده میشود. مدیریت خدمات بهمنظور فراهمکردن ارزش برای مشتریان بکار میرود. هر یک از 5 جلد کتاب نسخه سوم ITIL، شامل یکی از مراحل چرخه حیات خدمات است که در زیر نشان داده شده است.
شکل -1-1 چرخه حیات ITIL (تیلور و همکاران-( 2007
چارچوب ITIL شامل 5 جزء زیر است:
راهبرد خدمات3
طراحی خدمات4،
انتقال خدمات5،
اجرای خدمات6،
صفحه 2
بهبود مستمر خدمات.1
از تعاریف اولیه و تحلیل نیازمندیهای کسبوکار در راهبرد و طراحی خدمات استفاده میشود. انتقال خدمات تا اجرای خدمات در طول مهاجرت به محیط واقعی و بهبود مستمر خدمات نیز در محیط واقعی مورد استفاده قرار میگیرند. نیازمندیهای شناساییشده در توافق با مرحله راهبرد خدمات، طراحی میشوند. سپس همه ملزومات برای اتخاذ خدمات در طول مراحل باقیمانده در چرخه حیات، خدمات را به مرحله انتقال میرساند. خدمات در مرحله انتقال، ارزیابی، تست و اعتبارسنجی میشوند. سپس خدمات به محیط واقعی منتقل میشوند و این مرحله نقطه ورود به مرحله اجرای خدمات است. در هر موقعیتی ممکن است مشکلی وجود داشته باشد که شناسایی و اصلاح ضعفها یا خطاها در هر مرحله از چرخه حیات بر عهده بهبود مستمر خدمات است. چارچوب ITIL چارچوبی برای حاکمیت فناوری اطلاعات ارائه میدهد که شامل مجموعه خدمات، تمرکز ارزیابی مداوم و پیادهسازی کیفیت خدمت فناوری اطلاعات ارائه شده از دو چشمانداز کسبوکار و مشتری است. این تمرکز، عامل اصلی موفقیت در گستره جهانی ITIL است و منافع کلیدی برای سازمانهایی که این تکنیکها و فرایندها را بکارگرفتهاند به همراه میآورد. از این منافع، میتوان به مواردی از قبیل افزایش رضایت کاربر و مشتری از خدمات فناوری اطلاعات، ارتقاء دسترسپذیری خدمات، جهتگیری مناسب برای افزایش سود حاصل از کسبوکار و نوآوری، ذخیره سرمایه حاصل از کاهش کار اضافی، از دست دادن زمان، ارتقا مدیریت منابع و کاربرد، بهبود زمان تسخیر بازار برای محصولات و خدمات جدید و نیز ارتقاء تصمیمگیری و بهبود ریسک در سازمان اشاره کرد. نیازمندیهای کسبوکار، فعالیتها و راهکارهای خدمات را تعیین میکنند. راهبردها و سیاستهای سازمان فراهمکننده خدمات در مفاهیم ITIL منعکس میشوند. راهنماییهای ارائه شده در ITIL بهطور جامع قابل اجرا هستند و برای همه سازمانهای فناوری اطلاعات صرفنظر از اندازه و فناوری، کاربرد دارند. همچنین کاغذبازی ندارد و سودمندی محسوسی در شناخت نیازهای کسبوکار سازمان ارائه میدهد (کارتلیدگ و همکاران (2010
-2-1 طرح موضوع
در فناوری اطلاعات، حاکمیت توسط گارتنر این گونه تعریف شده است:" تعیین حقوق تصمیم گیری و چارچوب پاسخگویی برای تشویق رفتار مطلوب در استفاده از فناوری اطلاعات ." همان طور که در شکل مشخص است، چارچوب های متفاوتی برای تعریف، ارزیابی و گزارش گیری برای بهبود کنترل داخلی فناوری اطلاعات در سازمان وجود دارد. علاوه بر مدیریت زیرساخت فناوری اطلاعات، بسیاری از سازمان ها از چارچو ب هایی مانند COBIT ،2CMMI و ISO 9001 استفاده می کنند. دیگر چارچوب های مرتبط شش سیگما3،کارت امتیاز متوازن4 ، 5PMBOK، Prince 2 می باشد.
صفحه 3
شکل -2-1 چارچوب های مرتبط با عملکردهای فناوری اطلاعات (تیلور و همکاران-( 2007
در سالهای گذشته به دنبال دستیابی به همسویی استراتژیک فناوری اطلاعات و کسب و کار ،کارکردهای فناوری اطلاعات به سمت خدمت گرا شدن حرکت کرد. مدلهای مدیریت خدمات یک پارادایم شیفت برای تمرکز کارکردهای فناوری اطلاعات روی کیفیت خدمات فناوری اطلاعات ارائه کردند. شواهد قوی و مستدلی وجود دارد که پیاده سازی ITIL و داشتن تفکر سیستمی به دنبال آن باعث افزایش و حفظ مزیت رقابتی می شود.اهداف کنترلی برای اطلاعات و فناوری وابسته مجموعهای از بهترین روشها(چارچوب) برای مدیریت فناوری اطلاعات است که توسط انجمن بازرسی و کنترل سیستمهای اطلاعاتی (ISACA1) در سال 1992 ایجاد شد. COBIT در ابتدا توسط جوامع IT منتشر و استفاده شد. بعدا رهنمودهای مدیریت اضافه شد و COBIT چارچوب پذیرفته شده جهانی برای نظارت و کنترل IT شد. برای اجرای موفق فناوری اطلاعات با هدف پوشش نیازمندیهای کسبوکار، مدیریت باید سیستم کنترل داخلی یا چارچوبی مناسب را در نظر بگیرد. چارچوب کنترل COBIT برای رفع نیازهای زیر ایجاد شده است (تیلور و همکاران-:( 2007
▪ ایجاد ارتباط با نیازمندیهای کسبوکار
▪ سازماندهی فعالیتهای فناوری اطلاعات به مدل عمومی فرایندی قابل قبول
▪ شناسایی منابع اصلی فناوری اطلاعات برای افزایش سود
▪ تعریف اهداف کنترلی مدیریتی که باید درنظر گرفته شوند.
بعد کسبوکار COBIT عبارت است از ایجاد ارتباط میان اهداف کسبوکار با اهداف فناوری اطلاعات، ارائه سنجهها و مدلهای بلوغ برای اندازهگیری میزان موفقیت، و شناسایی مسئولیتهای مالکان کسبوکار و فرایندهای فناوری اطلاعات.
صفحه 4
در COBIT مدیران، ناظران و کاربران IT را با مجموعهای از مقیاسها، شاخصها، فرآیندها و بهترین روشهای مقبول برای مساعدت آنها در بیشینه کردن مزایای منتج از استفاده از فناوری اطلاعات و نظارت و کنترل IT در خور توسعه در یک شرکت روبرو میکند. آخرین نسخهی COBIT، 34 هدف سطح بالا دارد که در چهار بعد را پوشش میدهد: طرحریزی و سازماندهی، حصول و پیادهسازی، تحویل و پشتیبانی و نظارت و ارزیابی.
مأموریت COBIT پژوهش، توسعه، آگهی و ترویج و بهروزرسانی مجموعه بین المللی از اهداف کنترلی فناوری اطلاعات عموما پذیرفته شده برای استفاده روز به روز توسط مدیران کسب و کار و ناظران است. مدیران، ناظران و کاربران از پیشرفت COBIT سود میبرند؛ چون به آنها کمک میکند تا سیستمهای IT خود را دریابند و درباره سطح امنیتی و کنترلی که برای حفظ دارایی شرکتها از طریق پیشرفت یک مدل نظارت IT لازم است، تصمیمگیری کنند. با توجه به اینکه روش مشخصی در ITIL برای ارزیابی وجود ندارد. پس از پیاده سازی به دنبال ارزیابی از طریق استانداردCOBIT می باشیم .
ITIL -2-2-1 در مقایسه با COBIT
استاندارد COBIT اینکه چه کارهایی باید انجام شود را در بر میگیرد و چارچوب ITIL با جزییات توضیح میدهد چگونه این کارها باید انجام شوند. نقطه قوت ITIL در روشی است که فرآیندها با فعالیتها و نمودارهای مختلف توصیف شدهاند تا برای پیادهسازی هدف استفادهشوند. همچنین مسائل مربوط به هزینه فایده و پیادهسازی شرح داده شدهاند و رهنمودهایی برای تجدید نظر در سیستم طراحی شده و عوامل کلیدی موفقیت آن دارد ولی این مسائل در COBIT بهتر شرحدادهشده اند. ابتدا COBIT توسط انجمن بازرسی IT به عنوان یک چارچوب بسیار مناسب برای اعتبار تعریف شد. COBIT وقتی برای تعیین پیامدهای مدیریتی بکار میرود از ITIL قویتر عمل میکند. زیرا در این سیستم عوامل کلیدی موفقیت در ارتباط با شاخصهای اهداف کلیدی و شاخصهای عملکرد کلیدی و مدلهای بلوغ قابلیت((CMM1 تعریف میشوند. هنگامی که ITIL با COBIT سنجیده میشود, با توجه به اینکه فرآیندهای COBIT مانند آخرین نسخه اش بر مبنای ITIL هستند. مشخص میشود که آنها به شدت به هم مرتبطند. با وجود لغات مختلف که برای مسائل یکسان استفاده شده، هر دو آنها مشکلات یکسانی را پوشش میدهند. تنها برای مدیریت رویداد در ITIL است که معادلی در COBIT وجود ندارد. البته این به این معنی نیست که این مورد هرگز پوشش داده نشده است؛ در عوض ممکن است در بخشهای دیگر چارچوب یا با یک روش دیگر پوشش داده شده است. بنابراین بهتر است برای طراحی یک استاندارد جامع، مفاهیم یا فرآیند فعالیتها،هزینه سود و طرحریزی برای پیادهسازی از استاندارد ITIL و بازرسی از استاندارد COBIT اخذ شود. در محیط اقتصاد محور امروز در سازمان ها علاوه بر دارایی ها مشهود، دارایی های نامشهود نقش کلیدی را در راستای موفقیت هرچه بیشتر سازمان ها به عهده دارند و هر سازمانی در جهت توسعه یک اقتصاد و سیستم دانش محور در تلاش است زیرا این منابع جزئی از منابع بی پایان و از عناصر کلیدی موفقیت هر سازمان هستند و در این میان سرمایه فکری از مهمترین دارایی های نامشهود سازمان است و آن را ابزاری ارزشمند برای توسعه دارایی های کلیدی سازمان می دانند سرمایه فکری زاده عرصه علم و دانش است و می توانند نقش بسیار موثری در راستای موفقیت مستمر سازمان ایفا نماید. یکی از مشکلات حسابداری سنتی، ناتوانی آن در اندازه گیری سازمان های دانش محور است(اندرسون ،(2004 از این رو در عصر کنونی که در آن سرمایه فکری زیربنای اصلی برای پویایی و موفقیت آتی شرکت است، لازم است منابع کلیدی و محرک های عملکرد سرمایه فکری در سازمان ها توسط مدیران تعیین گردند زیرا به شرکت ها کمک می کند تا کارآمدتر، موثر تر، اثر بخش تر، پربازده تر، و نوآورتر باشند. علاوه بر این، کسب مزیت رقابتی شرکتها به میزان کمتری تخصیص منابع مالی و فیزیکی و به میزان بیشتری سرمایه فکری بستگی دارد.علاوه بر این از آن جا که سرمایه فکری مورد علاقه
صفحه 5
گروههای متعددی همچون سهامداران ،مدیران وپژوهش گران وسیاستمداران است لذا اهمیت این پژوهش برجسته کردن نقش عواملی است که بر عملکرد سرمایه فکری در بانکهای پذیرفته شده در بورس اوراق بهادار تهران تاثیر گذار هستند تا بدین وسیله مدیران بانکی بتوانند در طراحی وپیاده سازی استراتژ ی های سرمایه فکری وهدایت بانکها برای دستیابی به معیارهایشان در توسعه به منظور ایجاد ارزش در شرکت از این پژوهش استفاده نمایند.دلیل انتخاب بخش بانکداری برای پژوهش این است که سرمایه فکری نسبت به سرمایه فکری نسبت به سرمایه فیزیکی در بخش بانکداری نسبت به سایر بخش ها در عملکرد سازمانی اهمیت بیشتری دارد.
-3-1 بیان مسئله
چارچوبهای مدیریت خدمات فناوری اطلاعات, یکی از پرکاربردترین و پذیرفته شدهترین در دنیا می باشد. امروز حدود 5000 نفر از متخصصان فناوری اطلاعات مدارک ITIL را دارند و حدود 24/1 از مدیران فناروی اطلاعات در سازمانهای بزرگ با این چارچوب آشنا هستند. گزارشها نشان دادهاند که شرکتها و سازمانهایی که از ITIL در مدیریت IT استفاده کردهاند تا حدی قابل قبول و معنادار، در هزینه و سرعت پاسخگویی به مشتری و میزان بازدهی و سوددهی شرکت، به نتایجی مثبت دست یافتهاند. سازمانها با استفاده از ITIL در حوزه مدیریت خدمات فناوری اطلاعات، به دنبال آن هستند که دیدگاه فرایند محور را جایگزین دیدگاه سنتی وظیفه محور کرده و از طریق پیادهسازی فرایندها، رویهها، نقشها و وظایف، تحرک و انعطافپذیری بالایی را در ارائه خدمات فناوری اطلاعات به مشتریان و کاربران درون و برون سازمانی فراهم آورد. با وجود اینکه پیاده سازی ITIL در عملیات فناوری اطلاعات ضروری می شود ، بسیاری از سازمانها در پیاده سازی و ارزیابی آن مشکل دارند ، بنابراین نیاز قطعی برای پژوهش تشخیص داده می شود. پژوهشات دانشگاهی کمی مرتبط با نحوه ارزیابی از نتایج حاصل از آن وجود ندارد. در این پژوهش به دنبال ارائه مدلی جهت ارزیابی ITIL می باشیم.
-4-1 چارچوب COBIT
COBIT، به عنوان چارچوبی کاربردی برای کمک به سه دسته از مخاطبان طراحی شده که عبارتند از: (1 مدیران، که موظف به ایجاد تعادل بین ریسکها و سرمایهگذاری قابل کنترل در محیط غیرقابل پیشبینی فناوری اطلاعات هستند، (2 کاربران، که نیاز به کسب اطمینان در مورد امنیت و کنترلهای خدمات فناوری اطلاعات دارند، (3 ممیزان که میتوانند از COBIT برای تعیین دقیقتر گزینههای ممیزی خود و ارائه پیشنهاد به مدیران برای کنترلهای داخلی استفاده نمایند. (فراهانی (1388
چارچوب COBIT با برخورداری از ویژگیهایی از جمله (ساله (2004
▪ تمرکزروی کسب وکار
▪ فرایندگرابودن
▪ کنترل محور بودن
▪ قابلیت اندازهگیری
به عنوان یک چارچوب و استاندارد برای حاکمیت فناوری اطلاعات مطرح شده است.
همانطور که در شکل مشاهده میشود چارچوب COBIT بر این پایه استوار است که سازمان باید برای فراهم نمودن اطلاعات مورد نیاز برای دستیابی به اهدافش, با استفاده از مجموعهای ساختیافته از فرایندها در زمینه مدیریت و کنترل منابع فناوری اطلاعات سرمایهگذاری کند . به بیان دیگر، این چارچوب در قالب مدیریت و کنترل اطلاعات قرار میگیرد؛ زیرا حرکت در این چارچوب به سازمان اطمینان میدهد که در راستای پاسخگویی به نیازمندیهای کسب و کار خود حرکت میکند.
صفحه 6
شکل -3-1 تمرکز چارچوب COBIT بر کسبوکار (جی(2004
-2-4-1 وجوه چارچوب COBIT
چارچوب مفهومی COBIT شامل سه وجه »فرایندهای فناروی اطلاعات«، »معیارهای اطلاعات« و »منابع اطلاعات« است.
-1-2-4-1 وجه اول: فرآیندهای فناوری اطلاعات
چارچوبCOBIT به منظور پایش و مدیریت فعالیتهای فناوری اطلاعات، یک مدل فرایندی مرجع و یک زبان قابل فهم را برای تمامی کارکنان سازمان فراهم میکند. همچنینCOBIT چارچوبی را برای برقراری ارتباط میان ارائهدهندگان خدمات، یکپارچهسازی بهروشهای مدیریتی و نیز اندازهگیری و پایش کارایی فناوری اطلاعات ارائه میدهد. برای حاکمیت مؤثر فناوری اطلاعات در سازمان لازم است که فعالیتها و ریسکهای فناوری اطلاعات به دقت شناسایی شوند. این مواردعموماً در حوزههای برنامهریزی، سازماندهی، اجرا و پایش، خود را نشان میدهند (ساله .(2004 به همین منظور مطابق شکل چارچوب COBIT چهار حوزه زیر را برای بررسی در سازمان پیشنهاد داده است (ساله .(2004
شکل -4-1 فرایندگرا بودن چارچوب COBIT و وابستگی حوزههای چهارگانه (ساله (2004
صفحه 7
-2-2-4-1 وجه دوم: معیارهای اطلاعات
برای موفقیت و نیل به اهداف حاکمیت فناوری اطلاعات, باید اطلاعات را با معیارهای کنترلی خاصی تطابق داد .[33] چارچوب COBIT به نیازهای امنیت، کنترل و کیفیت پاسخ میدهد. لذا COBIT در پاسخ به این نیازها، هفت معیار اطلاعاتی را در مقابل "آنچه سازمان از فناوری اطلاعات میخواهد"، پیشنهاد میدهد (ساله (2004
▪ اثربخشی؛ مربوط به وابستگی اطلاعات به فرایندهای کسب و کار و ارایه بهموقع، صحیح، منسجم و کاربردی اطلاعات
▪ کارایی؛ مرتبط با فراهم کردن اطلاعات از طریق استفاده بهینه اقتصادی و سودبخش از منابع
▪ محرمانگی؛ در رابطه با جلوگیری از دسترسی غیر مجاز به اطلاعات حساس
▪ یکپارچگی؛مربوط به دقت، صحت و اعتبار اطلاعات مطابق با انتظارات کاری سازمان
▪ دسترسپذیری؛ مربوط به قابلیت در دسترس بودن اطلاعات در زمان مورد نیاز
▪ تطابق؛ مربوط به سازگاری اطلاعات با قوانین، مقررات و سیاستهای سازمان
▪ قابلیت اطمینان؛ مرتبط با ارائه اطلاعات مناسب به مدیریت در راستای انجام وظایف مدیریتی
همانطور که گفته شد چارچوب COBIT کنترلمحور است و به شکل سیاستها، رویهها, تجارب و ساختارهای سازمانی طراحی شده برای تضمین دستیابی به اهداف کسب و کار، پیشگیری یا تشخیص و اصلاح رخدادهای نامطلوب در نظر گرفته میشود. از دید کنترل و ممیزی، سازمانها باید نسبت به استقرار سیستمهای کنترلی در همه ابعاد فناوری اطلاعات خود، نظیر مدیریت امنیت اطلاعات یا مدیریت پروژه و ریسکهای ناشی از آن، مبادرت ورزند. پس از استقرار این سیستمهای کنترلی در سازمان ، کارایی نظام کنترل باید توسط رویههای ممیزی مورد اندازهگیری قرار گیرد.
شکل -5-1 کنترل محور بودن چارچوب COBIT (ساله (2004
در پاسخ به نیاز اساسی هر سازمان، شناخت وضعیت سیستمهای فناوری اطلاعات آن سازمان و تصمیمگیری در رابطه با سطح مدیریت و کنترل آن سیستمها، لازم است. برای تصمیمگیری صحیح، این پرسش برای مدیریت مطرح میشود که تا چه حد باید پیش رفت و آیا هزینههای صورت گرفته با سود مورد انتظار، تراز خواهد شد یا نه. سازمان باید بداند در چه وضعیتی قرار دارد، در چه جاهایی بهبود لازم است و باید از چه ابزاری برای پایش این بهبود استفاده کند. چارچوب COBIT با فراهم کردن موارد زیر به این امور رسیدگی میکند:
▪ مدلهای بلوغ برای انجام مطالعات تطبیقی و شناسایی موارد اصلاحی ضروری؛
