چارچوب C O B I T و I T I L - قسمت اول - گردآوری: محمد نقی سلیمی

چارچوب COBIT و ITIL

قسمت اول

مقدمه

مدیران ارشد سازمان تأثیر قابل توجهی را که فناوری اطلاعات میxadتواند روی موفقیت سازمان داشته باشد، درک کردهxadاند. مدیران امیدوارند که درک و شناخت خود را از روش های مبتنی بر فناوری اطلاعات که به کار برده شدهxadاست و نیز احتمال به کار بردن موفقیتxadآمیز آن را برای کسب مزیت رقابتی افزایش دهند.

بنابراین هیئت مدیره و مدیران اجرایی نیاز دارند که مدیریت و نظارت روی IT را افزایش دهند، برای اینکه اطمینان یابند که IT سازمان، استراتژیها و هدفهای سازمان را دنبال میxadکند و برآورده میxadسازد. از اینرو راهبری فناوری اطلاعات (IT Goveance=ITG) به عنوان بخش جداییxadناپذیر مدیریت سازمان در نظر گرفته میxadشود. راهبری فناوری اطلاعات عبارتیxadاست که برای توصیف اینکه چطور افراد برای مدیریت یک نهاد، فناوری اطلاعات را در سرپرستی، نظارت، کنترل و رهبری مورد توجه قرار میxadدهند، به کار برده میxadشود.

چارچوب COBIT

در سالهای اخیر بدیهی است که به یک چارچوب مرجع برای کنترل و امنیت در خبرهای فناوری اطلاعات نیاز است، همچنین نیاز بیشتری وجود دارد برای اینکه کاربران از ارائه خدمات فناوری اطلاعات، از راه ممیزی خدمات ارائه شده توسط گروهxadهای داخلی و شخص ثالث، اطمینان حاصل کنند. همچنین برای دستیابی به مزیت رقابتی و کارآمد بودن از نظر هزینه با تکیه بر تکنولوژی، برای دستیابی به موفقیت در مدیریت سازمان و مدیریت فناوری اطلاعات و نظارت و ارزایبی بر عملکرد سازمان، برای برآورده هدفها و الزامات تجاری در جهت پاسخگویی به نیازها، از چارچوب مرجع به نام COBIT استفاده میxadشود. تعاریفی که در چارچوب COBIT باید در نظر گرفته شود، عبارتند از:

• کتنرل: خطxadمشیxadها، روشهای اجرایی، فعالیتها و ساختارهای سازمانی که طراحی شدهxadاند، برای ایجاد اطمینان از اینکه هدفهای تجاری برآورده خواهند شد و از حوادث نامطلوب جلوگیری کرده، یا کاهش و یا اصلاح خواهند شد.
• هدفهای کنترل فناوری اطلاعات: بیان نتایج یا طرح مطلوبی که از راه پیادهxadسازی روشهای اجرایی، کنترل یک فعالیت خاص، به دست خواهدآمد.
• راهبری فناوری اطلاعات: ایجاد ارتباطات و فرایندها برای هدایت و کنترل سازمان برای دستیابی به هدفهای سازمان برای ایجاد ارزش افزوده یا ایجاد تعادل و توازن ریسکهای حاصل از به کارگیری فناوری اطلاعات و فرایندهای آن. هدف اصلی پروژه COBIT، توسعه خطxadمشیهای واضح و مدلهای مناسب برای امنیت و کنترل فناوری اطلاعات، برای تایید جهانی توسط سازمانهای تخصصی، دولتی و تجاری است. هدف COBIT برآورده کردن هدفهای تجاری است.

اصول چارچوب COBIT

COBIT مدلی است برای راهبری فناوری اطلاعات. مفهوم اساسی چارچوب COBIT آن است که کنترل روی فناوری اطلاعات از راه توجه به اینکه اطلاعات باید هدفها یا الزامات تجاری را پشتیبانی کند، ایجاد میxadشود.

چارچوب COBIT در سه سطح در نظر گرفته شدهxadاست: در سطح پایین، فعالیتها و وظایفی وجود دارند که برای دستیابی به نتایج قابل اندازهxadگیری مورد نیاز هستند. فعالیتها یک چرخه عمر دارند در حالی که وظایف بیشتر گسسته هستند سپس فرایندها در یک لایه بالاتر به عنوان مجموعهxadای از فعالیتها و وظایف تعریف شدهxadاند. در بالاترین سطح که بیشتر مورد توجه COBIT است، فرایندها در یک حوزه جمعxadآوری شدهxadاند.

بنابراین چارچوب COBIT از نظر مفهومی میxadتواند از سه بعد در نظر گرفته شود: 1- معیارهای اطلاعات؛ 2- منابع فناوری اطلاعات؛ 3- فرایندهای مربوط به فناوری اطلاعات. چهار حوزه گستردهxadای که در COBIT در نظر گرفته شدهxadاند عبارتند از: برنامهxadریزی و سازماندهی، ایجاد و پیادهxadسازی، تحویل و پشتیبانی، نظارت.

بدینxadگونه که در حوزه برنامهxadریزی و سازماندهی، استراتژی و تاکتیکها و نگرانیxadهای مربوط به شناسایی IT را میxadتوان برای دستیابی به هدفهای تجاری به بهترین شکل جمعxadآوری کرد. در حوزه ایجاد و پیادهxadسازی برای شناخت و ایجاد استراتژی فناوری اطلاعات، امکانات باید شناسایی، توسعهxadیافته و یا ایجاد شوند. در حوزه تحویل و پشتیبانی، تحویل به موقع و ارائه خدمات مورد نیاز، مورد توجه قرار میxadگیرد و فرایندهای پشتیبانی مورد نیاز باید راهxadاندازی شوند. در حوزه نظارت، تمامی فرایندهای IT لازم است که به طور منظم از نظر کیفیت و مطابقت با الزامات کنترل، مورد ارزیابی قرار گیرند.

(سایت دانشگاه فنی حرفه ای1394)

راهبری فناوری اطلاعات چیست؟

راهبری فناوری اطلاعات (ITG) مسئولیت هیئت مدیره اجرایی است. راهبری فناوری اطلاعات یک بخش جدایی ناپذیر مدیریت سازمان، شامل راهبری و سازماندهی ساختارها و فرایندها است؛ تا اطمینان حاصل شود که فناوری اطلاعات سازمان، هدف ها و استراتژی سازمان را پشتیبانی می کند و توسعه میدهد یا نه؟ تجربههای منفی مدیران از به کارگیری این فناوری، شامل از بین رفتن اعتبار، تأخیر در ارائه خدمات، عدم کارایی فرایندهای اصلی فناوری اطلاعات سازمان و شکست اولیه آن، سازمان را برآن داشت که راهبری فناوری اطلاعات را به کار گیرند و بنا به این دلایل بود که راهبری فناوری اطلاعات اهمیت پیدا کرد و در سازمانها به کار گرفته شد.راهبری فناوری اطلاعات برای اطمینان یافتن از دستیابی عملکرد فناوری اطلاعات به هدفهای زیر به کار گرفته میشود:

– هماهنگی فناوری اطلاعات با سازمان و تحقق مزایای وعده داده شده.
– به کارگیری فناوری اطلاعات برای توانمند کردن سازمان برای استفاده از فرصتها و حداکثر کردن مزایا.
– به کارگیری منابع مربوط به فناوری اطلاعات به گونهای مؤثر.
– مدیریت مناسب ریسکهای مرتبط با فناوری اطلاعات.

راهبری فناوری اطلاعات معمولا در لایههای مختلف، با گزارشدهی سرپرستان به مدیران و مدیران به مدیران اجرایی و آنها نیز به هیئت مدیره، انحراف از هدفها را مشخص میکنند و در جهت رفع آنها اقدامات و دستورکارهای لازم با تأیید مدیریت انجام میشود. تعاملات هدفها و فعالیتهای مرتبط با فناوری اطلاعات از دید راهبری آنها در شکل 2 نمایش داده شده است و می توانند در لایههای مختلف در سراسر سازمان به کار برده شوند.

چرا راهبری فناوری اطلاعات اهمیت دارد؟

علت اینکه راهبری فناوری اطلاعات بسیار اهمیت دارد این است که اغلب، انتظارات با آنچه که در واقعیت رخ میدهد، منطبق نیستند، در نتیجه مدیریت روی موارد زیر باید انجام شود:

– به کارگیری امکانات فناوری اطلاعات با کیفیت مناسب و به موقع و با بودجه مناسب.
– کنترل و استفاده از فناوری اطلاعات برای بازگشت ارزشهای تجاری.
– به کارگیری فناوری اطلاعات برای افزایش بهرهوری و کارایی در حالی که ریسکهای فناوری اطلاعات هم کنترل میشوند.

چه کسانی در سازمان درگیر راهبری فناوری اطلاعات هستند؟

مسئولیت راهبری فناوری اطلاعات در سازمانها در درجه اول به عهده مدیران اجرایی و هیأت مدیره است و سپس مدیران عامل باید ساختارهای سازمانی را برای پشتیبانی از اجرا و پیادهسازی استراتژی فناوری اطلاعات، تهیه کنند و مدیران اطلاعات برای ایجاد پلی بین فناوری اطلاعات و تجارت و نیز کمیتههای راهبری فناوری اطلاعات و سایر کمیتههای مشابه نیز درگیر هستند.

راهبری فناوری اطلاعات چه فعالیتهایی را پوشش میدهد؟

راهبری روی پنج سطح اصلی در سازمان تمرکز دارد.
دو مورد از پنج سطح اصلی خروجی هستند که عبارتند از:

– انتقال ارزش: تمرکز روی بهینهسازی مخارج و ایجاد ارزش فناوری اطلاعات. منظور از انتقال ارزش اعتباری است که سازمان از به کارگیری فناوری اطلاعات کسب میکند.

– مدیریت ریسک: حفاظت از داراییهای مربوط به فناوری اطلاعات، بهبود اشتباهها و عدم انطباقها و پیوستگی و دوام عملیات و استمرار آنها.

سه مورد از پنج سطح اصلی، محرکهایی هستند که برای دستیابی به خروجیها لازمندکه عبارتند از:

– تعیین و تنظیم استراتژی: با تمرکز روی هماهنگی استراتژی فناوری اطلاعات با راهحلهای تجاری.

– مدیریت منابع: بهبود دانش و زیرساختهای فناوری.

– ارزیابی و سنجش عملکرد: پیگیری خروجی پروژه (آنچه که تحویل داده میشود) و نظارت بر خدمات فناوری اطلاعات.

هیچ یک از چهار عامل اول، بدون وجود عامل ارزیابی و سنجش عملکرد نمیتواند به خوبی مدیریت شود.پس از معرفی راهبری فناوری اطلاعات به سازمان، برای شروع اجرا و پیادهسازی راهبری فناوری اطلاعات، برای اینکه مشخص شود که سازمان در چه وضعیتی قرار دارد، استفاده از چک لیستهای مربوطه که پنج عامل یاد شده را در نظر میگیرد، روش مؤثری است.
برای اجرای کامل راهبری فناوری اطلاعات، استانداردهای مختلفی مثل: (COBIT( Control Objective For Information & Related Technology,Cadbury وTubull وجود دارد که از میان آنها، COBIT که توسط مؤسسه IT Goveance تهیه شده است و به گونه بین المللی به عنوان یک مدل خوب برای کنترل اطلاعات، IT و ریسکهای مرتبط پذیرفته شده و برای پیادهسازی و ممیزی راهبری فناوری اطلاعات انتخاب شده است.

چارچوب COBIT

در سالهای اخیر بدیهی است که به یک چارچوب مرجع برای کنترل و امنیت در خبرهای فناوری اطلاعات نیاز است، همچنین نیاز بیشتری وجود دارد برای اینکه کاربران از ارائه خدمات فناوری اطلاعات، از راه ممیزی خدمات ارائه شده توسط گروههای داخلی و شخص ثالث، اطمینان حاصل کنند. همچنین برای دستیابی به مزیت رقابتی و کارآمد بودن از نظر هزینه با تکیه بر تکنولوژی، برای دستیابی به موفقیت در مدیریت سازمان و مدیریت فناوری اطلاعات و نظارت و ارزیابی بر عملکرد سازمان، برای برآورده کردن هدفها و الزامات تجاری در جهت پاسخگویی به نیازها، از چارچوب مرجع به نام COBIT استفاده میشود.تعاریفی که در چارچوب COBIT باید در نظر گرفته شود، عبارتند از:

– کنترل: خط مشیها، روشهای اجرایی، فعالیتها و ساختارهای سازمانی که طراحی شدهاند، برای ایجاد اطمینان از اینکه هدفهای تجاری برآورده خواهند شد و از حوادث نامطلوب جلوگیری کرده، یا کاهش و یا اصلاح خواهند شد.

– هدفهای کنترل فناوری اطلاعات: بیان نتایج یا طرح مطلوبی که از راه پیادهسازی روشهای اجرایی، کنترل یک فعالیت خاص، به دست خواهد آمد.

– راهبری فناوری اطلاعات: ایجاد ارتباطات و فرایندها برای هدایت و کنترل سازمان برای دستیابی به هدفهای سازمان برای ایجاد ارزش افزوده یا ایجاد تعادل و توازن ریسکهای حاصل از به کارگیری فناوری اطلاعات و فرایندهای آن.

هدف اصلی پروژه COBIT، توسعه خط مشیهای واضح و مدلهای مناسب برای امنیت و کنترل فناوری اطلاعات، برای تأیید جهانی توسط سازمانهای تخصصی، دولتی و تجاری است. هدف COBIT برآورده کردن هدفهای تجاری است.

منابع:

1. سایت دانشگاه فنی حرفه ای 1394
2. سایت MBA دانشگاه صنعتی شریف به نقل از 4 منبع ذیل:

(.1 Brown, Carol and Jeanne W. Ross, 1999, The IT organization of the 21th century: Moving to a Process-Based orientation.
2. Board Briefing on IT Goveance, IT Goveance Institute – 2003
3. COBIT 3rd Edition- Audit Guidelines, IT Goveance Institute – July 2000
4. COBIT 3rd Edition- Implementation Tool Set , IT Goveance Institute – July 2000)

3- Sarah K. White By Sarah K. White

Senior Writer, CIO | JANUARY 15, 2019

https://www.cio.com

4 - سایت نرمافزاری پیراسیس، شرکت ارائه دهنده خدمات پشتیبانی شبکه - با نام تجاری مهندسی فناوری اطلاعات و ارتباطات تروند رایا سپهر https://www.pirasys.com

( Sarah k White and Lynn Greener CIO | January 18, 2019)5-

https://www.cio.com

6- Douglas Exum-2015- Technology & Operations Manager at University of Wisconsin-Madison- Brodhead, Wisconsin

https://www.linkedin.com

ارزیابی چالشهای پیاده سازی سیستم های هوشمند آ...