انجمن انفورماتیک ایران انجمن انفورماتیک ایران انجمن انفورماتیک ایران
گزارش کامپیوتر شماره 234, ویژه مرداد و شهریور ماه 96 منتشر شد. دوشنبه  ٢٩/٠٨/١٣٩٦ ساعت ١٠:٥٨
 

مقدمه‌ای بر راهبری فناوری اطلاعات
IT Governance

بتول ذاکری

مشاور ارشد فناوری اطلاعات

پست الکترونیکی: bzakeri2000@yahoo.com


 

مقدمه

مفهوم راهبری فناوری اطلاعات در سازمان‌ها، مفهوم نسبتا جدیدی است که هر روز بر اهمیت آن افزوده می‌شود، به طوری که در سال‌های اخیر سازمان‌ها و موسسات معتبر دنیا و دانشمندان محقق به تعریف و  تدوین سازوکارهای مرتبط با آن پرداخته اند، ازجمله سازمان بین المللی استاندارد (ISO ) در سال 2008  استاندارد جهانی جدیدی ( ISO/IEC38500-2000 ) به نام Corporate Governance of IT منتشر کرده است.  ITGI (IT Governance Institute ) موسسه تحقیقاتی پیشرو در این زمینه(از 1998)، راهبری فناوری اطلاعات را فرایندی مستمر  می‌داند که مستلزم تغییرات سازمانی و ایجاد فرایندهای جدید تعاون، همکاری و ارتباطات سازمانی است. در این مجموعه مقدمه‌ای بر مفاهیم پایه، دلایل اهمیت، حوزه‌های تمرکز  و ساختار لازم ارائه شده و برخی چارچوب‌های موجود  برای راهبری فناوری اطلاعات معرفی می‌شود.

راهبری فناوری اطلاعات IT Governance: IT Gov چیست؟

سازمان‌ها و مراجع معتبر حرفه‌ای و دانشمندان محقق پیشرو تعاریف مختلفی از راهبری فناوری اطلاعات ارائه کرده‌اند که به برخی از آن‌ها در اینجا اشاره می‌شود. موسسه ITGI راهبری فناوری اطلاعات را چنین تعریف می‌کند:
«راهبری فناوری اطلاعات (IT Gov ) مسئولیت هیئت مدیره ومدیریت ارشد سازمان و بخشی یکپارچه از راهبری سازمان می‌باشد که شامل هدایت و راهبری، ساختار سازمانی و فرایندهایی است که اطمینان حاصل می نماید فناوری اطلاعات، اهداف و راهبردهای سازمان را برآورده می‌سازد و آن را گسترش می‌دهد.» این تعریف درواقع تفکیکی بین مدیریت فناوری اطلاعات و راهبری فناوری اطلاعات قایل می‌شود.
استاندارد AS8015 استرالیا در خصوص راهبری فناوری اطلاعات توسط کسب و کار،  آن را چنین تعریف می‌کند:
«سیستمی که به وسیله آن استفاده‌های جاری و آتی فناوری اطلاعات در سازمان هدایت و کنترل می شود.IT Gov مستلزم ارزیابی و هدایت برنامه‌های استفاده از فناوری اطلاعات برای پشتیبانی سازمان و پایش این استفاده برای حصول به اهداف برنامه‌هاست. راهبری فناوری اطلاعات راهبرد‌ها و سیاست‌های لازم برای استفاده فناوری اطلاعات در سازمان را ارائه می‌کند.»
Peter Weil  و Jean Ross  محققان دانشمند، تعریف نسبتا متفاوتی دارند:
«راهبری فناوری اطلاعات چارچوبی برای حقوق تصمیم‌گیری و پاسخگویی برای تشویق رفتار مطلوب استفاده از فناوری اطلاعات است»
بررسی تعاریف فوق نشان می دهدکه  :IT Governance   

  • هدایت سازمانی فناوری اطلاعات است.
  •  اساساً فرایند تصمیم‌گیری در مورد سرمایه‌گذاری‌های فناوری اطلاعات است( Caraig Symon 29/3/2005)
  • به همه سازمان مربوط می شود ( نه فقط به واحد فناوری اطلاعات )
  • واژه ای است برای تشریح آن که چگونه افرادی که مورد اعتماد راهبری سازمان هستند، در کارهای نظارت، پایش و کنترل و جهت‌گیری‌های سازمان از فناوری اطلاعات استفاده می‌کنند.
  • چار چوبی است مشتمل بر فرایند ها و ساختارهای مشخص برای تعیین این که:
  • چه کسی در مورد اهداف، سیاست‌ها و سرمایه‌گذاری‌های مرتبط با فناوری اطلاعات تصمیم‌گیری می‌کند؟
  • چه کسی ورودی‌های این تصمیمات را فراهم و مشکلات و منازعات مرتبط با آن را حل و فصل می‌کند؟
  • چه کسی مسئول و چه کسی پاسخگوی تصمیمات کلیدی فناوری اطلاعات است؟
  • چگونه تصمیمات مرتبط با فناوری اطلاعات اتخاذ، اجرا و مدیریت می‌شود؟
  • چگونه  نتایج  عملکرد این تصمیمات پایش و اندازه‌گیری می‌شود؟

تفاوت راهبری فناوری اطلاعات  با مدیریت فناوری اطلاعات  

لازم است بین راهبری فناوری اطلاعات و مدیریت فناوری اطلاعات تفاوت قائل شد. Weilو Ross (2004) معتقدندکه راهبری فناوری اطلاعات تعیین می‌کند که چه کسی در سازمان باید در مورد فناوری اطلاعات تصمیم‌گیری کند در حالی که  مدیریت فناوری اطلاعات، فرایند تصمیم‌گیری و اجرای آن تصمیمات است. به عبارت دیگر مدیریت فناوری اطلاعات تصمیم‌گیری‌های جاری و روزمره را انجام می‌دهد و فعالیت‌های اجرایی مدیریت فناوری اطلاعات به استفاده کسب و کار ازفناوری اطلاعات  مربوط می‌شود.
به عقیده Petersonدر  Grembergen (2004)، مدیریت فناوری اطلاعات بر عرضه و تامین موثر خدمات و محصولات فناوری اطلاعات (داخلی) و مدیریت عملیات جاری متمرکز است، در حالی که در راهبری فناوری اطلاعات مسئولیت گسترده‌تر بوده و بر عملکرد و تغییر و تحولات فناوری اطلاعات در سازمان به نحوی که بتواند نیازهای جاری و آتی کسب و کار (داخلی) و مشتریان کسب و کار ( خارجی) را بهتر تامین و پشتیبانی نماید، تمرکز دارد.

چرا IT Gov مهم است؟

چرا راهبری فناوری اطلاعات مهم است و چرا سازمان‌ها به آن نیاز دارند؟ موارد زیر برخی دلایل هستند که موجب توجه ویژه به راهبری فناوری اطلاعات در سازمان‌ها می‌شود:

  • امروز غالبا فناوری اطلاعات توسط اغلب کارکنان شرکت‌ها و سازمان‌ها استفاده می‌شود.
  • فرایندهای مهم کسب و کار بیش از پیش به فناوری اطلاعات و سیستم‌های اطلاعاتی وابسته است.
  • سرمایه‌گذاری‌های مرتبط با فناوری اطلاعات بخش مهمی از بودجه سازمان‌ها /شرکت‌ها را تشکیل می‌دهد.
  •  وابستگی سازمان‌ها به تامین‌کنندگان و عرضه‌کنندگان خدمات فناوری اطلاعات روز به روز بیشتر می‌شود.
  • برای موثر بودن، سرمایه‌گذاری‌ها و خدمات مرتبط با فناوری اطلاعات می‌بایست توسط نیازهای کسب و کار هدایت شود.
  • آگاهی مدیران نسبت به ریسک‌های مرتبط با فناوری اطلاعات ( امنیتی، انطباق با قوانین و مقررات، پروژه‌ها،...) افزایش یافته است.
  • انطباق با بسیاری از قوانین و مقررات غالبا بستگی به کنترل‌های موثر فناوری اطلاعات دارد.
  • فناوری اطلاعات  نقش موثری در پشتیبانی از تغییرات روزافزون سازمانی و کسب و کارها،  لزوم ایجاد فرصت‌های جدید کسب و کار و کاهش هزینه‌ها ایفا می‌کند و اغلب پیشران این تغییرات است.
  • شکست پروژه‌های فناوری اطلاعات بر وجهه و شهرت سازمان‌ها اثر منفی می‌گذارد.
حوزه‌های تمرکز راهبری فناوری اطلاعات

 ITGI پس از مطالعه روند بازار و بررسی مطالعات انجام شده توسط محققان پیشرو در راهبری فناوری اطلاعات، حوزه‌های کلیدی زیر را به عنوان حوزه‌های تمرکز راهبری فناوری اطلاعات معرفی می‌کند:

  • همسویی راهبردی فناوری اطلاعات فناوری اطلاعات با اهداف و راهبرد‌های سازمان
  • ایجاد (ارائه ) ارزش
  • مدیریت منابع فناوری اطلاعات  
  • مدیریت ریسک
  • ارزیابی و اندازه‌گیری عملکرد

1. همسویی راهبردی ‏ فناوری اطلاعات با اهداف و راهبردهای سازمان

همسویی راهبردی فناوری اطلاعات اطمینان حاصل می‌کند که خدمات و سرمایه‌گذاری‌های فناوری اطلاعات اهداف سازمان را که حاصل برنامه‌ریزی راهبردی کسب و کار است، همراهی و پشتیبانی می‌کند. همسویی فناوری اطلاعات وقتی اتفاق می‌افتد که مدیریت فناوری اطلاعات تخصیص منابع و اجرای پروژه‌های ‏فناوری اطلاعات را هماهنگ و در راستای برنامه‌های راهبردی سازمان انجام می‌دهد. این همسویی فقط زمانی امکان‌پذیر است که سازمان دارای برنامه‌ریزی راهبردی باشد.

2. ایجاد(ارائه ) ارزش

واحد فناوری اطلاعات در سازمان زمانی می‌تواند ارزش کار خود را نشان دهد که پروژه‌های وعده داده شده در مقابل برنامه راهبردی سازمان را به موقع و در محدوده بودجه پیش‌بینی شده کامل کند، و انتظارات کاربر را برآورده نماید.
برای ارائه ارزش، هزینه‌ها و سرمایه‌گذاری‌های فناوری اطلاعات و بازگشت سرمایه‌های صرف شده در این حوزه باید مدیریت و ارزیابی شود. استفاده از نظام‌های مدیریت پروژه، مدیریت تغییر، استانداردسازی کاربردها و خدمات، موثر کردن پیشخوان خدمت، قراردادهای توافق بر سطح خدمات ... از جمله مواردی است که به این حوزه کمک می‌کند.

3. مدیریت ریسک

با توجه به وابستگی زیاد سازمان‌ها به فناوری اطلاعات، ریسک‌های فناوری اطلاعات ریسک‌های سازمان خواهد بود. بنابراین مدیریت ریسک فناوری اطلاعات از اهمیت بالایی برخوردار است. فناوری اطلاعات ریسک‌های مختلفی مانند شکست پروژه‌ها، قطع خدمات، خرابکاری در اطلاعات و داده‌ها، تعریف ضعیف نیازها و محدوده پروژه‌ها، ریسک‌های امنیتی،... دارد. این ریسک‌ها می‌تواند به دوباره‌کاری‌های پرهزینه، افزایش زمان و هزینه، کاهش درآمد، مشتری ناراضی و عدم انطباق با قوانین و مقررات منجر بشود. تشخیص به موقع این ریسک‌ها، و کنترل و اقدام به موقع موجب کاهش این ریسک‌ها خواهد شد.

4. مدیریت منابع

با افزایش سرمایه‌گذاری در فناوری اطلاعات مدیریت صحیح منابع فناوری اطلاعات اهمیت خاصی پیدا کرده است. منابع فناوری اطلاعات شامل کاربردها، اطلاعات، زیرساخت‌ها، و افراد است که در سال‌های اخیر ارتباطات با کاربران و تأمین‌کنندگان نیز به این فهرست افزوده شده است. مدیریت این منابع مستلزم انجام وظایف مختلفی مانند مدیریت دارایی‌ها (نگهداری و کنترل موجودی دارایی‌ها)، مدیریت پیکربندی، مدیریت مجوّز نرم‌افزارها، مدیریت مالی و قیمت تمام شده دارایی‌ها، مدیریت کارکنان، مدیریت پروژه‌هاو... می‌باشد.

5. اندازه‌گیری عملکرد

اندازه‌گیری عملکرد نشان می‌دهد واحد فناوری اطلاعات تا چه حد به  اهداف تعیین شده دست یافته است و موارد پایین‌تر از حد انتظار را تعیین می‌کند. اندازه‌گیری عملکرد، بهبود مداوم و مستمر سازمان را امکان‌پذیر می‌کند. برای دستیابی به اهداف، کسب و کار می‌بایست برای واحد فناوری اطلاعات برنامه مدیریت عملکرد تهیه کند. به منظور پشتیبانی از چشم‌انداز، ماموریت، اهداف و برنامه‌های سازمان، این برنامه باید شامل اهداف راهبردی، مالی، کیفی، عملیاتی و موثر بودن خدمات فناوری اطلاعات، ... باشد.

مزایای راهبری فناوری اطلاعات در سازمانها

تحقیقات CISR درMIT نشان می‌دهد سازمان‌هایی کهIT Gov  موثر دارند، 20% سودآوری بیشتری نسبت به رقبای خود دارند. با توجه به حوزه‌های تمرکز و کاری راهبری فناوری اطلاعات، به کارگیری نظام راهبری فناوری اطلاعات می‌تواند مزایای زیر را برای سازمان در بر داشته باشد:

  • فناوری اطلاعات نقش راهبردی دارد و پشتیبان و پیشران اهداف و راهبردهای سازمان است و به تحقق آن‌ها مستقیماً کمک می‌کند.
  • تصمیم‌گیری‌های مرتبط با فناوری اطلاعات به همسویی بهتر فناوری اطلاعات و کسب و کار منجر می‌شود
  • فناوری اطلاعات ارزش بیشتری برای سازمان ایجاد می‌کند.
  • منابع فناوری اطلاعات به نحو مسئولانه‌تری استفاده می‌شود.
  • ریسک‌های فناوری اطلاعات به نحو مناسب‌تری مدیریت می‌شود.
ساختار راهبری فناوری اطلاعات

ساختار راهبری فناوری اطلاعات به سازوکار‌های سازمانی ایجاد شده برای حصول اطمینان از این که فناوری اطلاعات  ماموریت و اهداف سازمان را پشتیبانی می‌کند و با آن همسو است، مربوط می‌شود. ساختار راهبری شامل ارتباطات، گزارش‌دهی، پست‌های سازمانی خاص وکمیته‌ها و گروه‌های کاری لازم برای انجام وظایف راهبری است.

1. ارتباطات گزارش‌دهی

یکی از ساختارهای موثر راهبری فناوری اطلاعات گزارش‌دهی CIO (مدیر ارشد اطلاعات) به CEO (مدیر ارشد اجرایی) است. زیرا این ساختار اطمینان می‌دهد که فناوری اطلاعات بخشی است از تیم راهبری و ارشد سازمان، جایی که در مورد راهبرد‌ها تصمیم‌گیری می‌شود. بدون این جایگاه در تیم مدیریت ارشد، فناوری اطلاعات همیشه نقش  پشتیبانی و پشت صحنه خواهد داشت تا نقش توانمندساز و پیشبرنده سازمان.

2. پست‌های سازمانی خاص

برخی سازمان‌های بزرگ برای راهبری فناوری اطلاعات، پست سازمانی ایجاد می‌کنند که به CIO گزارش می‌دهد و با این کار به مجموعه  سازمان پیغامی جدی می‌دهند که فرایند راهبری فناوری اطلاعات برای آن‌ها اهمیت دارد و با تخصیص منابع سازمانی به آن به طور مستمر بر آن متمرکزند. پست دیگر که نقش مهمی در راهبری فناوری اطلاعات دارد، مدیر ارتباطات فناوری اطلاعات است. این مدیر رابطی است بین سازمان و واحد فناوری اطلاعات و اثرات راهبری فناوری اطلاعات را به کسب و کار و نیازهای کسب و کار را  به فناوری اطلاعات منتقل می‌کند. مدیر ارتباطات زمانی موفق خواهد بود که مزایای راهبری سازمان را به زبان کسب و کار بیان کند و نشان دهدکه راهبری فناوری اطلاعات چگونه به سازمان ارزش ارائه می‌کند.

3. کمیته‌ها و کارگروه‌های کاری  

حجم کار زیاد راهبری فناوری اطلاعات از طریق ایجاد کمیته ها و کارگروه‌های تخصصی انجام می‌شود. گاهی این کمیته‌ها در سازمان وجود دارند و در این صورت وظایف مرتبط با راهبری فناوری اطلاعات به شرح وظایف آن‌ها اضافه می‌شود و گاه اختصاصاً به این منظور ایجاد می‌شوند. کمیته‌های راهبری فناوری اطلاعات، باید جامع و فراگیر باشند و ترکیب مناسبی از مدیران سطوح بالا، اعضای واحدهای سازمانی و اعضای واحد فناوری اطلاعات باشند.
شورای معاونین،کمیته معماری سازمانی، کمیته امنیت، کمیته زیرساخت‌ها و فناوری، کمیته خدمات و کاربردهای فناوری اطلاعات، کمیته سرمایه‌گذاری فناوری اطلاعات، کمیته استانداردها، ... مثال‌هایی از کمیته‌ها و کارگروه‌های راهبری فناوری اطلاعات است. تعداد و نوع این کمیته‌ها به اندازه سازمان، ساختار، فرهنگ سازمانی و موضوعات دیگر بستگی دارد و لزوما همه سازمان‌ها همه آن‌ها را ندارند.

چارچوب‌های راهبری فناوری اطلاعات

مفهوم چارچوب در راهبری فناوری اطلاعات (به نقل از Bill Pankey در مطالعه‌ای از ISACA ): «راهی است  برای سازماندهی فعالیت‌های راهبرد فناوری اطلاعات (راهبرد، تاکتیک‌ها، اهداف، کنترل‌ها سنجه‌ها، ارزیابی‌ها، ارتباطات، مسئولیت‌ها و پاسخگویی‌ها، ممیزی‌ها، ...).»
در سال‌های اخیر چارچوب‌های متعددی برای راهبری فناوری اطلاعات توسعه یافته است. مثلا:

  • CobIT ( (The Control Objectives for Information and Related Technology   تدوین  شده  توسط موسسه ISACF  در سال 1996 که بعدا به ISACA  تبدیل شد
  • ITIL (  IT Infrastructure Library  ) توسعه یافته توسط Office of Government Commerce (OGC) در سال‌های 1999-2004
  • ، series ISO27000 ،  تدوین و منتشر شده توسط International Organisation for Standardisation(ISO)  و  International Electrical Commission(IEC)
  • ISO38500  -  IT Governance standard
  • CMM (1993)و CMMI (2000)، تدوین شده توسط Software Engineering Institute(SEI)
  • PMBOK (A Guide to the Project Management Body of Knowledge ) 2004،
  •  COSO (Internal Control – Integrated Framework, 1994 و  Enterprise Risk Management  ,integrated framework 2004 )

نمونه‌هایی از این چارچوب‌ها هستند. تشریح موارد استفاده این چارچوب‌ها خود نیازمند بحثی جداگانه است . نکته قابل توجه در مورد این چارچوب‌ها آن است که  اغلب مکمل یکدیگر هستند تا رقیب، به طوری که هریک  نقاط قوتی در حوزه‌های متفاوت با دیگری دارد. بنابراین در صورت تمایل به استفاده از چارچوب‌های رایج، اتخاذ رویکرد ترکیبی (با اطمینان از وجود یکپارچگی در اجزای آن‌ها) می‌تواند مفید باشد. سازمان‌ها می‌توانند چارچوب و مدل راهبری خود را داشته باشند، اما اکثرا  ترجیح می‌دهند که از چارچوب‌های معتبر موجود حداکثر کمک  را بگیرند. جدول زیر نمونه‌ای از گستره کاربرد برخی از این  چارچوب‌هاست.

حوزه تمرکز

نوع

چارچوب قابل استفاده

راهبری فناوری اطلاعات

تمرکز بر مدیریت موثر فناوری اطلاعات و ارتباطات

CobIT ، ValIT

مدیریت خدمات

چگونه مدیریت فناوری اطلاعات سازماندهی و اجرا شود مانندارائه سرویس و پشتیبانی سرویس

ITIL

مدیریت کیفیت

استاندارد های کیفیت و امنیت

ISO9000 ، ISO20000 ، ISO27001

مدیریت کیفیت

بهبود فرایند ها یا عملکرد

IT BSC ، CMMI ، Six -Sigma

مدیریت پروژه

مدیریت بسته های برنامه و پروژه

PMBOK ، MSP ،PRINCE2

مدیریت ریسک

تعیین ریسک ها و کاهش اثرات آن‌ها

RiskIT ، AS/NZ4360

اقتباس از Tunitas Group 2010 : IT Governance Frameworks

 

  • منابع و مراجع
  • Board Briefing on IT Governance, 2nd Edition, ITGI , 2007
  • Enterprise value governance  of IT Investment ,Getting Started with Value Management based on CobIT, 2008
  • COBIT4.1 , The IT Governance Institute® , 2007
  • IT Governance Frameworks Written by Louis J. Taborda, 2009
  • IT Governance and Business Outcome- A shared Responsibility between IT and Business Leadership, NASCIO, 2008
  • How IT Governance Works           http://www.utexas.edu/cio/ITgovernance/
  • IT Governance Framework, by Craig Symons   March 29, 2005
  • IT Governance, Developing a successful governance strategy, by National computing center(NCC) 2005
  • Calder-Moir , IT Governance Framework, http://www.ITgovernance.co.uk/calder_moir.aspx
  • IT governance Roundtable: IT Governance Frameworks ,   2008 ITGI
  • IT Governance Committees | Office of the CIO , http://cio.ubc.ca/IT-governance-commITtees
  • Best Practices for Information Technology Governance, a report from the city auditor September 2005
  • Why IT Governance Matters, By Thomas Kay
  • How IT Governance benefits the Organizations  by Padilla Jr., Tech Republic,2005
  • IT Governance,  Center for Information Systems Research, http://cisr.mit.edu/research/research-overview/classic-topics/IT-governance/
  • Recipe for Good Governance by, Jeanne Ross and Peter Weill, CIO, 2004
  • IT Governance: Determine Who Decides, Andrew H. Clark, Sydney University ,2005

 

  • درباره نویسنده

بتول ذاكری فوق لیسانس در رشته تجزیه و تحلیل سیستم‌ها از دانشگاه استون- انگلیس، مولف اولین کتاب روش‌های ساخت‌یافته تجزیه و تحلیل و طراحی سیستم‌ها ( 1372)، دارای 27 سال سابقه کار درحوزه فناوری اطلاعات در زمینه‌های مشاوره، اجرا و نظارت بر طرح‌های جامع اطلاعاتی، معماری سازمانی (EA ) جمع‌آوری و تنظیم متدولوژی‌ها، استانداردها و چارچوب‌های طراحی و توسعه، مدیریت و کیفیت پروژه‌های نرم‌افزاری است. به موازارت کار حرفه‌ای، 20 سال نیز  به تدریس در دانشگاه‌ها و مراکز آموزش عالی و حرفه‌ای به صورت پاره وقت در زمینه‌های مختلف فناوری اطلاعات (از برنامه‌ریزی و معماری تا  طراحی و توسعه سیستم‌ها، بهبود و مهندسی مجدد فرایندهای سازمان، تا مدیریت و راهبری فناوری اطلاعات) پرداخته است. تمرکز کاری و آموزشی ایشان در سال‌های اخیر بر معماری سازمانی، بهبود و مدیریت فرایندهای کسب و کار (BPI و BPM )، تدوین راهبرد‌ها، طراحی ساختار و فرایندهای واحدهای فناوری اطلاعات سازمان‌ها براساس چارچوب‌های راهبری  COBIT و مدیریت خدمات ITIL بوده است.