بخشی از مقاله

الزام و پیاده سازی حاکمیت فناوری اطلاعات در سازمانهای نوین با استفاده از چارچوب COBIT
چکیده
امروزه اطلاعات از مهمترین دارایی ها و منابع استراتژیک هر سازمان است. به همین دلیل بیشتر سازمان ها شروع به پیاده سازی سیستم های نظارت و حاکمیت فناوری اطلاعات نموده اند تا اهداف فناوری اطلاعات و کسب کار با هم همسو گردد. راهبری فناوری اطلاعات در مجموع سیاستها و رویه هایی است که چگونگی استفاده یک سازمان از منابع تکنولوژی اش به منظور تسهیل رهبری و کنترل آن منابع در زمینه تحقق هدفهای تجاری سازمان را مشخص می کند. برای دستیابی به موفقیت در مدیریت سازمان و مدیریت فناوری اطلاعات و نظارت و ارزیابی بر عملکرد سازمان از چارچوب مرجع به نام COBIT استفاده میشود. COBIT یکی از مورد قبول ترین چارچوب های معتبر بین المللی در حوزه IT Governance است که شامل مجموعه ای از بهترین کار کردها (BeSt Practices) برای مدیریت فناوری اطلاعات است . در این مقاله ابتدا به معرفی ونقش حاکمیت فناوری اطلاعات در سازمان های نوین پرداخته و سپس COBIT را بعنوان چارچوبی کنترلی برای حاکمیت فناوری اطلاعات معرفی می کنیم
واژگان کلیدی
حاکمیت فناوری اطلاعات، فناوری اطلاعات، سازمان، COBIT
1 - مقدمه
در سالهای اخیر بدیهی است که به یک چارچوب مرجع برای کنترل و امنیت در مدیریت فناوری اطلاعات نیاز است. COBIT مدلی COBT است برای حاکمیت فناوری اطلاعات. مفهوم اساسی چار چوب امروزه نقش کلیدی فناوری اطلاعات در رشد و توسعه سازمان ها برمدیران ارشد پوشیده نیست و مدیران ارشد سازمان ها تأثیر قابل توجهی را که فناوری اطلاعات می تواند روی موفقیت سازمان داشته باشد، درک کردهاند. مدیران امیدوارند که درک و شناخت خود را از روش های مبتنی بر فناوری اطلاعات که به کار برده شده است و نیز احتمال به کار بردن موفقیتآمیز آن را برای کسب مزیت رقابتی افزایش دهند. به همین دلیل بیشتر سازمان ها شروع به پیادهسازی سیستم های نظارت و حاکمیت فناوری اطلاعات نموده اند تا اهداف فناوری اطلاعات و کسب کار با هم همسو گردد. حاکمیت فناوری اطلاعات در مجموع سیاستها و رویههایی است که چگونگی استفاده یک سازمان از منابع تکنولوژی اش، به منظور تسهیل رهبری و کنترل آن منابع، در زمینه تحقق هدفهای تجاری سازمان را مشخص میکند [23].
آن است که کنترل روی فناوری اطلاعات از راه توجه به اینکه اطلاعات باید هدفها یا الزامات تجاری را پشتیبانی کند، ایجاد می شود [2] COBIT در اصلی، یک چارچوب برای مدیران فناوری اطلاعات و ارتباطات یک سازمان است. چارچوب COBIT نیازمندیهای کسب و کار برای اطلاعات و نظارت را به اهداف توابع سرویس های فناوری اطلاعات پیوند میزند. به طور خلاصه فرایندهای فناوری اطلاعات برای دستیابی به اهداف فناوری اطلاعات منابع فناوری اطلاعات را مدیریت کرده و به نیازمندی های کسب و کار پاسخ می دهد [2.3]
امروزه اطلاعات جزو مهمترین دارایی ها و منابع استراتژیک هر سازمان محسوب می شوند. سازمان ها نیاز دارند که به سمت فرایندگرایی حرکت کنند و آنچه که به سازمان ها در این راه کمک کرده و آنها را پشتیبانی میکند فناوری اطلاعات است. فناوری اطلاعات ستون فقرات مهمی برای فرایندها است. به عبارتی دیگر فناوری اطلاعات به عنوان یکی از باارزش ترین دارایی های مجموعه محسوب می شود. برای اینکه فناوری اطلاعات در سازمان ها وارد شود و همینطور برای ایجاد یکپارچگی و بهبود در سازمان ها و کنترل و نظارت روی آن لازم است حاکمیت فناوری اطلاعات پیادهسازی شود [2,4]. حاکمیت فناوری اطلاعات مسولیت هیئت مدیره و مدیریت اجرایی است. حاکمیت فناوری اطلاعات بخش لاینفک و جدایی ناپذیر مدیریت سازمان، شامل راهبری و سازماندهی ساختارها و فرایندها است؛ تا اطمینان حاصل شود که فناوری اطلاعات سازمان، هدفها و استراتژی های سازمان را پشتیبانی می کند و توسعه می دهد یا نه؟ تجربه های منفی مدیران از بکارگیری این فناوری، شامل از بین رفتن اعتبار، تاخیر در ارائه خدمات، عدم کارایی فرایندهای اصلی فناوری اطلاعات سازمان و شکست اولیه آن، سازمانها را بر آن داشت که حاکمیت فناوری اطلاعات را به کار گیرند و بدین دلیل بود که حاکمیت فناوری اطلاعات اهمیت پیدا کرد و در سازمانها به کار گرفته شد [3]. حاکمیت فناوری اطلاعات برای اطمینان یافتن از دستیابی عملکرد فناوری اطلاعات به هدفهای زیر به کار گرفته میشود: • هماهنگی فناوری اطلاعات با سازمان و تحقق مزایای وعده داده شده.
• به کارگیری فناوری اطلاعات برای توانمند کردن سازمان برای استفاده از فرصتها و حداکثر کردن مزایا
• به کارگیری منابع مربوط به فناوری اطلاعات به گونهای مؤثر۔
• مدیریت مناسب ریسک های مرتبط با فناوری اطلاعات.
2 - اهمیت حاکمیت فناوری اطلاعات
علت اینکه حاکمیت فناوری اطلاعات بسیار اهمیت دارد این است که اغلب، انتظارات با آنچه که در واقعیت رخ می دهد، منطبق نیستند، در نتیجه مدیریت روی موارد زیر باید انجام شود:
• به کارگیری امکانات فناوری اطلاعات با کیفیت مناسب و به موقع و با بودجه مناسب.
• کنترل و استفاده
.3 فناوری اطلاعات برای بازگشت ارزشیهای تجاری
۔ • به کارگیری فناوری اطلاعات برای افزایش بهرهوری و کارایی در حالی که ریسک های فناوری اطلاعات هم کنترل می شوند.
مسؤولیت حاکمیت فناوری اطلاعات در سازمان ها در درجه اول به عهده مدیران اجرایی و هیأت مدیره است و سپس مدیران عامل باید ساختارهای سازمانی را برای پشتیبانی از اجرا و پیادهسازی استراتژی ○マー。 مدیران اطلاعات برای ایجاد پلی s فناوری اطلاعات، تهیه کنند فناوری اطلاعات و تجارت و نیز کمیتههای حاکمیت فناوری اطلاعات و سایر کمیته های مشابه نیز درگیر هستند || 3 ,2 .
3۔ نواحی تمرکز حاکمیت فناوری اطلاعات
حاکمیت فناوری اطلاعات روی پنج سطح اصلی در سازمان تمرکز دارد که در شکل 1 نشان داده شده است. انتقال ارزش و اعتبار (Value Delivery) تمرکز روی بهینه سازی مخارج و ایجاد ارزش فناوری اطلاعات. منظور از انتقال ارزشی، اعتباری است که سازمان از بکارگیری فناوری اطلاعات کسب می کند. مدیریت ریسک (Risk Management) حفاظت از داراییهای مربوط به فناوری اطلاعات، بهبود اشتباه ها و عدد هم انطباق ها 9 پیوستگی و دوام عملیات و استمرار آنها. سه مورد از پنج سطح اصلی، محرک هایی هستند که برای دستیابی به خروجی ها لازمند که عبارتند از: تعیین و تنظیم استراتژی (Strategic Alignment): با تمرکز روی هماهنگی استراتژی فناوری اطلاعات با راه حل های تجاری. مدیریت منابع )Resource Mangement( : بهینهسازی سرمایه گذاری و مدیریت مناسب منابع بحرانی فناوری اطلاعات شامل کاربردها، اطلاعات، زیرساخت و مردم می باشد. ارزیابی و سنجش عملکرد (Performance Management) پیگیری خروجی پروژه (آنچه که تحویل داده می شود) و نظارت بر خدمات فناوری اطلاعات۔ هیچ یک از چهار عامل اول، بدون وجود عامل ارزیابی و سنجش عملکرد نمیتواند به خوبی مدیریت شود. برای رسیدن به یک نظارت کارا و موثر، مجریان بایستی کنترل ها را توسط مدیران عملیاتی، مطابق با یک چارچوب نظارتی مشخص برای همه فرایندها اجرا کنند 4)
در سالهای اخیر بدیهی است که به یک چارچوب مرجع برای کنترل و امنیت در خبرهای فناوری اطلاعات نیاز است و نیاز بیشتری وجود دارد برای اینکه کاربران از ارائه خدمات فناوری اطلاعات، از راه ممیزی خدمات ارائه شده توسط گروههای داخلی و شخص ثالث، اطمینان حاصل کنند. همچنین برای دستیابی به مزیت رقابتی و کارامد بودن از نظر هزینه با تکیه بر تکنولوژی، برای دستیابی به موفقیت در مدیریت سازمان و مدیریت فناوری اطلاعات و نظارت و ارزیابی بر عملکرد سازمان، برای برآورده کردن هدفها و الزامات تجاری در جهت پاسخگویی به نیازها، از چارچوب مرجع به نام COBIT استفاده می شود. COBIT مدلی برای حاکمیت فناوری اطلاعات است. مفهوم اساسی چارچوب COBIT آن است که کنترل روی فناوری اطلاعات از راه توجه به اینکه اطلاعات باید هدفها یا الزامات تجاری را پشتیبانی کنند، ایجاد می شود [5] COBIT در اصل، یک چارچوب برای مدیران فناوری اطلاعات و ارتباطات یک سازمان است، بنابراین مدیران به ویژه ایجاد کنندگان خط مشی فناوری اطلاعات، نقش مهمی را در پذیرش و ایجاد COBIT در سازمان ایفا می کنند. علاوه بر مدیران عامل، مدیران اطلاعات و کمیتههای راهبردی، افراد کلیدی دیگری شامل مدیران اجرایی، صاحبان فرایندهای تجاری و مدیران اصلی نیز باید COBIT را بپذیرند. دلایلی که مدیران و تصمیم گیرندگان اصلی را به پذیرش COBIT تشویق می کند، عبارتند از: آ. مشکلات تجربه شده توسط سازمانها. ۶ نیاز مدیران به نظارت بر منابع سازمان 3. با کنترل منابع فناوری اطلاعات، هزینه کل ارائه خدمات آن ممکن است کاهش یابد. 4 COBIT ترس و نگرانی و عدم اطمینان مدیران را نسبت به برآورده نشدن هدفهای تجاری کاهش خواهد داد. 5 ایجاد و برقراری ارتباطات بهبود یافته بین مدیران، کاربران و ممیزان با به کارگیری COBIT 6 COBIT چارچوبی را برای شناسایی ریسکهای مرتبط با
فناوری اطلاعات و ارزیابی و کنترل آنها ارائه می نماید.
7. برخی سازمانها با به کارگیری COBIT، ممیزیهای یکپارچه و سراسری خود را بهبود دادهاند [25]. پس از تأیید، لازم است که COBIT در نظامنامه خط مشی و روش های اجرایی به عنوان یک مدل مناسب مشخص شود و سپس از راه فرمهای نام برده شده در زیر، ارزیابی ریسک و برنامهریزی ممیزی انجام گیرد. فرم فعالیتهای پیش ممیزی شناسایی اینکه آیا فعالیتهای ممیزی مرتبط با فرایند فناوری اطلاعات در حوزه پیش از ممیزی قرار میگیرد؟ این فرم توسط تیم ممیزی تکمیل میشود. فرم خلاصه گزارش بخش شناسایی فرایندهای مربوط به فناوری اطلاعات که با اهمیت بیشتری مورد توجه قرار گیرند. این فرم توسط مدیران بخشی ها تکمیل می شود. فرم ارزیابی ریسکن کمک به تیم ممیزی در شناسایی فرایندهای مربوط به فناوری اطلاعات در جایی که ریسک وجود خواهد داشت. این فرم توسط تیم ممیزی یا مدیران یا به طور مشترک تکمیل می شود. فرم گروههای مسؤول: برای شناسایی کسانی که هر فرایند مربوط به فناوری اطلاعات را انجام میدهند و کسانی که مسؤول نهایی هر فرایند هستند. این فرم توسط تیم ممیزی با مشارکت مدیران بخش ممیزی شونده تکمیل میشود.
COBT 3. 4-1 - ممیزی استفاده پس از برنامهریزی، فرایند ممیزی براساس گامهای زیر انجام میگیرد: آ. تعیین نوع ممیزی نوع ممیزی مورد نیاز برای بخشی که باید ممیزی شود را انتخاب کنید. انواع ممیزی هایی که ممکن است انجام شوند، عبارتند از: مالی، عملکرد، مطلوبیت و ... . ض تعیین هدفهای ممیزی بعد از انتخاب نوع ممیزی، زمان آن است که هدفهای کنترل COBIT برای دستیابی به بینش و آگاهی بیشتر فرایندهای مربوط په فناوری اطلاعات انتخاب شده برای این ممیزی به کار گرفته شود. 3. توسعه و برنامه ریزی ممیزی در صورتی که یک برنامه ممیزی وجود داشته باشد، آن برنامه با راهنمای ممیزی COBIT مقایسه می شود و اگر برنامه ممیزی وجود نداشته باشد، از راه راهنمای ممیزی COBIT یک برنامه ممیزی تهیه می شود. در این گام فعالیتهای زیر انجام می شود، مقایسه هدفهای ممیزی با هدفهای کنترل COBIT، مقایسه برنامه ممیزی با برنامه ممیزی COBIT، افزودن فعالیتهای ممیزی پیشنهاد شده از راه نظامنامه ها و راهنماهای سازمانی و قانونی. 4 انجام ممیزی ممیزی مطابق راهنمای ممیزی COBIT انجام میگیرد. 5 نوشتن گزارش ممیزی نوشتن نتایج با تمرکز روی هدفهایی که برآورده شده اند s هدفهایی که برآورده نشدهاند. هدف اصلی پروژه COBIT، توسعه خط مشی های واضح و مدلهای مناسب برای امنیت و کنترل فناوری اطلاعات، برای تأیید جهانی توسط سازمان های تخصصی، دولتی و تجاری است. هدف COBIT .2 برآورده کردن هدفهای تجاری است
4 - 2 - چگونگی برآوردن نیازمندیها توسط COBIT .
در پاسخ به نیازمندیهای زیر، چارچوب COBIT با ویژگی های اصلی به وجود آمده است. نیازمندیهای کسب و کار عبارتند از:
• اتحاد استراتژی فناوری اطلاعات با استراتژی کسب و کار.
• اطمینان دادن به سرمایه گذاران و ذینفعان که سازمان از یک استانداردی که ریسک ها را کاهش می دهد استفاده می کند.
• مدل آبشاری از استراتژی و اهداف فناوری اطلاعات در سازمان
• بدست آمدن ارزش و اعتبار از سرمایه گذاریها در فناوری اطلاعات.
• فراهم کردن ساختارهای سازمانی که پیاده سازی استراتژی و اهداف را آسان می کنند
. • ایجاد روابط مفید و مؤثر ما بین کسب و کار و فناوری اطلاعات و شرکای خارجی
۔ • اندازه گیری عملکرد فناوری اطلاعات. در پاسخ به این نیازمندیها چارچوب COBIT با ویژگیهای اصلی زیر به وجود آمده اند: آ. تمرکز بر کسب و کار 2. فرایند گرا 3، کنترل محور 4 قابل اندازہ گیری
4 - 2 - 1 - تمرکز بر کسب و کار
تمرکز بر کسب و کار موضوع اصلی در COBIT است. COBIT به گونه ای تولید شده است که نه تنها توسط فراهم کنندگان خدمات فناوری اطلاعات، کاربران و بازبینی کنندگان استفاده می شود بلکه به منظور هدایت جامع و فراگیر مالکان فرایند کسب وکار و مدیریت نیز به کار میرود. چارچوب COBIT مبتنی بر اصل و قاعده زیر ، مطابق شک ۶ می باشد. برای اینکه سازمان به اهداف خویش دست یابد و پاسخگوی نیازمندی های کسب و کار باشد، نیازمند اطلاعات سازمانی است. بدین منظور لازم است که سازمان در منابع فناوری اطلاعات سرمایه گذاری کند، این منابع نیز توسط یک مجموعه استاندارد از فرایندهای فناوری اطلاعات، مدیریت و کنترل می شوند تا اطلاعات سازمانی را برای پاسخگویی به نیازمندیهای کسب و کار بدست آورند. COBIT در قلب
این اصلی و قاعده قرار گرفته و تضمین میکند که نیازمندیهای کسب و کار پاسخ داده شوند.

معیار های اطلاعاتی COBIT
برای ارضا کردن اهداف و نیازمندیهای کسب و کار و با توجه به نیاز به اطلاعاتی با امنیت و کیفیت و اعتبار بیشتر، 7 شرط اطلاعاتی به صورت زیر تعریف شده اند: اثربخشی (EffectiVeneSS ) در ارتباط با اطلاعاتی است که برای یک فرایند کسب و کار، مناسب و شایسته هستند و نیز در یک روش بجا، صحیح، سازگار و قابل استفاده تحویل داده می شوند. راندمان (ETTiciency) مرتبط با فراهم کردن اطلاعات از طریق استفاده بهینه (پربارترین و اقتصادی ترین) از منابع محرمانگی (Confidenialiy) در رابطه با جلوگیری از دسترسی - های غیر مجاز به اطلاعات حساس یکپارچگی (Integrity) مربوط به صحت و یکپارچگی اطلاعات بعلاوه اعتبار آن است، که بنابر ارزش ها و توقعات و انتظارات کسب و کار سنجیده می شود. دسترس پذیری (AVailability مربوط به قابل استفاده و در دسترس بودن اطلاعات است، زمانی که توسط فرایندهای کسب و کار حال و اینده مورد نیاز می باشند، همچنین در ارتباط با تامین منابع ضروری و امکانات مرتبط و وابسته می باشد. انطباق (Compliance) مربوط به سازگاری اطلاعات با قوانین، مقررات و سیاستهای سازمان است. قابلیت اطمینان (Reliability) مرتبط با تهیه اطلاعات مناسب برای مدیریت، به منظور اداره کردن یک موسسه مستقل و انجام وظایف مدیریتی است.
4 - 2 - 2 - فرابند گرا

در متن اصلی مقاله به هم ریختگی وجود ندارد. برای مطالعه بیشتر مقاله آن را خریداری کنید