استراتژیها طرحهایی هستند که برای دستیابی به اهداف مشخص طراحی میشوند.
COBIT 2019 این امکان را برای متخصصان فراهم میآورد تا کنترلهای استاندارد در زمینه اطلاعات و فناوری (I&T) را در استراتژی حاکمیت سازمانی خود پیادهسازی کنند. نقشهبرداری اهداف کنترلی با استانداردهای بینالمللی مانند ISO/IEC 27001:2013 در زمینه مدیریت امنیت اطلاعات، از طریق چارچوبهای COBIT 5 و COBIT 2019، ابزاری کارآمد برای توسعه استراتژی حاکمیتی است. این نقشهبرداری روابط بین استانداردهای ISO 27001:2013، ISO/IEC 38500:2015 (حاکمیت فناوری اطلاعات) و چارچوبهای COBIT را روشن کرده و به متخصصان کمک میکند تا دادهها، بینشها و نتایج ارزشمندی برای تصمیمگیریهای استراتژیک به دست آورند.
نقشهبرداری هدفمند برای موفقیت سازمانی به فرآیند شناسایی و تعیین اهداف مشخص و استراتژیک اشاره دارد که به سازمان کمک میکند تا به سمت موفقیت حرکت کند. برای انجام این فرآیند به صورت مؤثر، مراحل زیر میتوانند راهگشا باشند:
| مرحله | توضیح |
|---|---|
| تعریف مأموریت و چشمانداز | تعیین مأموریت (Mission) و چشمانداز (Vision) سازمان بر اساس ارزشها و اهداف بلندمدت. |
| شناسایی اهداف استراتژیک | مشخص کردن اهداف قابل اندازهگیری که با چشمانداز سازمان همراستا باشند. |
| تحلیل محیط داخلی و خارجی | بررسی فرصتها و تهدیدهای بازار و ارزیابی نقاط قوت و ضعف داخلی سازمان. |
| تعیین منابع و ابزارها | شناسایی منابع انسانی، مالی و فنی موردنیاز برای اجرای استراتژیها. |
| شناسایی موانع و ریسکها | ارزیابی موانع احتمالی و تدوین برنامههایی برای مدیریت و کاهش ریسکها. |
| الگوهای پیادهسازی استراتژی | استفاده از مدلهای مدیریتی مانند COBIT 2019 برای بهبود اجرای استراتژیها. |
| ارزیابی و پیگیری پیشرفت | استفاده از شاخصهای کلیدی عملکرد (KPIs) برای سنجش و اصلاح مسیر. |
| ارتباطات مؤثر و هماهنگی تیمها | تقویت تعاملات و همکاری تیمی برای اجرای موفق استراتژیها. |
این مراحل به سازمانها کمک میکند تا مسیر مشخصی برای دستیابی به موفقیت پایدار ترسیم کنند.
نیاز به تمرین نقشهبرداری
سوالی که باید دوباره مطرح شود این است که «چگونه میتوان از فناوری اطلاعات و فناوری سازمانی برای افزودن ارزش استفاده کرد؟» تغییر این سوال به متخصصان کمک میکند تا بر ارزش کسبوکار فناوری و فناوری سازمانی، شیوههای بهینهسازی هزینهها، اولویتبندی سرمایهگذاریها و تامین مالی پروژهها تمرکز کنند. اهدافی که نیاز به نقشهبرداری دارند، عبارتند از:
- اندازهگیری عملکرد و ادغام حاکمیت I&T با استراتژیهای کسبوکار از طریق نقشهبرداریهای عینی کنترلها
- نوآوری دانش و استقرار حاکمیت و مدیریت کلی فناوری اطلاعات از طریق EGIT
- توسعه شاخصهای کلیدی عملکرد (KPIs) برای ارزیابی عملکرد در سازمان
چرا سیستمهای حاکمیتی شکست میخورند؟
یکی از دلایل رایج شکست سیستمهای حاکمیتی این است که به درستی مدیریت نمیشوند. برنامههای حاکمیتی باید توسط مدیریت اجرایی آغاز و حمایت شوند و باید اهداف قابل دستیابی تعریف شوند تا شرکت قادر به جذب تغییرات مطابق با برنامه باشد.
| علت شکست | راهکار |
|---|---|
| عدم تطابق با اهداف استراتژیک | همراستایی سیستم حاکمیت با اهداف استراتژیک سازمان از ابتدا، بررسی مداوم و تنظیم مجدد اهداف. |
| نقص در رهبری و مدیریت | تقویت رهبری با آموزشهای تخصصی برای مدیران و مسئولین سیستم حاکمیتی، توسعه مهارتهای مدیریتی. |
| کمبود منابع | تخصیص منابع کافی (مالی، انسانی و فناوری) از ابتدای پروژه و اطمینان از استمرار آن در طول زمان. |
| عدم شفافیت | ارتقاء شفافیت از طریق گزارشدهی منظم و دقیق به ذینفعان و استفاده از ابزارهای نظارتی مؤثر. |
| مقاومت در برابر تغییر | مدیریت تغییر با برگزاری دورههای آموزشی و شفافسازی منافع سیستم حاکمیت برای کارکنان و مدیران. |
| عدم توجه به ریسکها | شناسایی و ارزیابی ریسکهای فناوری و کسبوکار، طراحی برنامههای مدیریت ریسک و انجام ارزیابیهای دورهای. |
| کمبود آموزش و آگاهی | ایجاد برنامههای آموزشی مستمر برای کارکنان و مدیران در خصوص استفاده از سیستمهای حاکمیتی. |
| پشتیبانی ضعیف از طرف ذینفعان | جلب حمایت ذینفعان کلیدی از طریق ارتباطات مؤثر و شفافسازی منافع پروژه برای هر گروه ذینفع. |
| عدم انعطافپذیری | طراحی سیستمهای حاکمیتی انعطافپذیر که بتوانند به تغییرات سریع محیطی و نیازهای جدید واکنش نشان دهند. |
| نقص در ارزیابی و نظارت مستمر | ایجاد فرآیندهای ارزیابی و نظارت مستمر، بررسی دورهای عملکرد و شناسایی مشکلات به موقع. |
حاکمیت I&T
حاکمیت فناوری اطلاعات و فناوری سازمانی به دو هدف اصلی مرتبط است: ارائه ارزش فناوری به کسبوکار و کاهش ریسک فناوری اطلاعات. این اهداف توسط توانمندسازهای تجاری مانند همسویی استراتژیک فناوری با کسبوکار هدایت میشوند. مدیریت عملکرد، منابع و ارزیابی نتایج نیز جزء ضروری این فرآیندها است.
در اینجا جدولی برای حاکمیت فناوری اطلاعات و فناوری (I&T) با یک مثال ساده آورده شده است:
| اجزاء حاکمیت I&T | شرح | مثال |
|---|---|---|
| تعیین مسئولیتها و استراتژی | تصمیمگیری در مورد استفاده از فناوریها و همراستا کردن آنها با اهداف استراتژیک کسبوکار. | بانک تصمیم میگیرد از سیستم کلود برای پردازش تراکنشها استفاده کند که همسو با استراتژی کاهش هزینهها و افزایش سرعت است. |
| ارزیابی ریسکها و امنیت | شناسایی و ارزیابی خطرات مرتبط با فناوری و پیادهسازی تدابیر امنیتی برای حفاظت از اطلاعات حساس. | تیم IT بانک ریسکهای امنیتی سیستم جدید را ارزیابی کرده و تدابیر حفاظتی برای دادههای مشتریان در برابر حملات سایبری میاندیشد. |
| نظارت و ارزیابی عملکرد | ارزیابی منظم و نظارت بر عملکرد سیستمها و تطابق آنها با اهداف سازمانی. | پس از راهاندازی سیستم، مدیران بانک عملکرد سیستم را بررسی میکنند و گزارشهای مربوط به سرعت تراکنشها و رضایت مشتریان دریافت میکنند. |
| شفافیت و گزارشدهی | ارائه گزارشها به مدیران ارشد برای ارزیابی وضعیت پروژه و عملکرد سیستم. | گزارشهای منظم در مورد وضعیت سیستم جدید، هزینهها و نتایج ارزیابیها برای مدیران ارشد ارسال میشود. |
| انطباق با مقررات | اطمینان از رعایت قوانین و مقررات مرتبط با فناوری و اطلاعات در صنعت. | بانک تضمین میکند که سیستم جدید با مقررات حفاظت از دادههای شخصی (مانند GDPR) مطابقت داشته باشد. |
اصول حاکمیت در ISO/IEC 38500
ISO/IEC 38500:2015 شامل 6 اصل راهنما برای حاکمیت خوب فناوری اطلاعات است که باید توسط مدیران اجرا شود: مسئولیت، استراتژی، کسب، عملکرد، انطباق و رفتار انسانی یا فرهنگ سازمانی.
طبق ISO/IEC 38500:2015 ارائه شده است که 6 اصل راهنما برای حاکمیت خوب فناوری اطلاعات را بیان میکند:
| اصل | شرح | فعالیتهای کلیدی |
|---|---|---|
| اصل 1: مسئولیت | مسئولیتهای حاکمیت فناوری اطلاعات باید به وضوح تعریف و تخصیص شوند. | - تعیین و تخصیص مسئولیتهای مربوط به فناوری اطلاعات- اطمینان از داشتن سازوکارهای مناسب برای نظارت و پاسخگویی |
| اصل 2: استراتژی | تصمیمات مربوط به فناوری اطلاعات باید با استراتژیهای کسبوکار همسو باشند. | - ارزیابی همراستایی استراتژی فناوری اطلاعات با استراتژیهای کسبوکار- توسعه استراتژیهای فناوری اطلاعات |
| اصل 3: اکتساب | فناوری اطلاعات باید به شکلی مؤثر و کارآمد اکتساب و پیادهسازی شود. | - ارزیابی ریسکها و فرصتها- انتخاب راهحلهای فناوری اطلاعات با توجه به نیازهای کسبوکار |
| اصل 4: عملکرد | فناوری اطلاعات باید به طور مؤثر عمل کند تا اهداف کسبوکار را پشتیبانی کند. | - نظارت بر عملکرد سیستمهای فناوری اطلاعات- بهینهسازی فرایندها و خدمات فناوری اطلاعات |
| اصل 5: انسانها | باید نیازها و منافع ذینفعان در نظر گرفته شود و برای ارتقاء فرهنگ استفاده از فناوری اطلاعات اقدامات لازم انجام شود. | - مدیریت تغییر و توسعه فرهنگ فناوری اطلاعات- تأمین آموزش و منابع برای کاربران فناوری اطلاعات |
| اصل 6: شفافیت | شفافیت در تصمیمگیریها و عملکردهای فناوری اطلاعات باید تضمین شود. | - فراهم آوردن اطلاعات شفاف و دقیق در مورد استراتژیها، تصمیمات و نتایج فناوری اطلاعات- ایجاد گزارشدهی منظم و مستند |
اهداف حاکمیت در COBIT 2019
COBIT 2019 هدف کلی خود را در ارائه نقشهراه برای استراتژی پایدار کسبوکار از طریق حاکمیت و مدیریت مؤثر فناوری اطلاعات و فناوری سازمانی تعریف میکند. اهداف حاکمیتی در COBIT 2019 در پنج حوزه گروهبندی میشوند:
- EDM (ارزیابی، هدایت و نظارت)
- APO (همسویی، برنامهریزی و سازماندهی)
- BAI (ساخت، اکتساب و پیادهسازی)
- DSS (تحویل، خدمات و پشتیبانی)
- MEA (نظارت، ارزیابی و ارزیابی)
جدول ذیل برای اهداف حاکمیت در COBIT 2019 ارائه شده است که اهداف را به پنج حوزه گروهبندی میکند:
| حوزه | شرح هدف | فعالیتهای کلیدی |
|---|---|---|
| EDM (ارزیابی، هدایت و نظارت) | ارزیابی، هدایت و نظارت بر عملکرد فناوری اطلاعات و تطابق آن با استراتژی سازمان. | - ارزیابی عملکرد فناوری اطلاعات- نظارت بر انطباق و ارزیابی ریسکها- هدایت جهتگیریهای استراتژیک فناوری اطلاعات |
| APO (همسویی، برنامهریزی و سازماندهی) | همسویی استراتژی فناوری اطلاعات با اهداف کسبوکار و برنامهریزی منابع. | - تعریف استراتژیها و برنامههای فناوری اطلاعات- تخصیص منابع و ایجاد طرحهای عملیاتی- مدیریت پورتفولیو فناوری اطلاعات |
| BAI (ساخت، اکتساب و پیادهسازی) | ساخت، اکتساب و پیادهسازی سیستمها و خدمات فناوری اطلاعات. | - مدیریت پروژهها و برنامههای فناوری اطلاعات- نظارت بر پیادهسازی سیستمها- تأمین و اکتساب فناوریهای جدید |
| DSS (تحویل، خدمات و پشتیبانی) | تحویل و پشتیبانی خدمات فناوری اطلاعات به کاربران و مشتریان. | - مدیریت خدمات فناوری اطلاعات- تضمین کیفیت و امنیت خدمات- پشتیبانی از کاربران و مدیریت قراردادهای خدمات فناوری اطلاعات |
| MEA (نظارت، ارزیابی و ارزیابی) | نظارت، ارزیابی و سنجش عملکرد فناوری اطلاعات و میزان تطابق آن با اهداف سازمان. | - ارزیابی و سنجش عملکرد فناوری اطلاعات- نظارت بر فرآیندها و شاخصهای عملکرد- ارزیابی و تحلیل ریسکها و مسائل استراتژیک مرتبط با فناوری اطلاعات |
آبشار اهداف COBIT 2019
آبشار اهداف، فرآیند ترجمه اهداف سازمانی به اولویتهای اهداف همسویی را پشتیبانی میکند. این فرآیند در COBIT 2019 بهروز شده است و اهداف سازمانی و اهداف همسویی بهروزرسانی و سادهسازی شدهاند. این اهداف بهطور مشخص به اولویتبندی اهداف مدیریتی بر اساس اهداف سازمانی کمک میکنند.
در اینجا یک جدول ساده از آبشار اهداف COBIT 2019 آورده شده است که به شما کمک میکند تا فرآیند آبشاری اهداف را به راحتی درک کنید:
| سطح | هدف | مثال |
|---|---|---|
| سطح 1: اهداف استراتژیک سازمان | اهداف کلان سازمانی که با چشمانداز و مأموریت سازمان همراستا هستند. | - افزایش رقابتپذیری- بهبود تجربه مشتری- دستیابی به نوآوری |
| سطح 2: اهداف حاکمیتی و مدیریت | اهداف مربوط به حاکمیت و مدیریت فناوری اطلاعات و تطابق با استراتژی سازمان. | - اطمینان از تطابق با مقررات و قوانین- بهینهسازی منابع فناوری اطلاعات |
| سطح 3: اهداف فرآیندی | اهداف مرتبط با فرآیندها و عملیات داخلی سازمان برای بهبود عملکرد. | - مدیریت تغییرات فناوری اطلاعات- بهینهسازی هزینهها- ارتقاء بهرهوری |
| سطح 4: اهداف عملیاتی | اهداف اجرایی و روزمره برای عملیاتی کردن اهداف فرآیندی و حاکمیتی. | - بهبود کیفیت خدمات فناوری اطلاعات- افزایش کارایی تیمهای عملیاتی |
این جدول نشاندهنده سطوح مختلف اهداف است که در فرآیند "آبشاری" (Cascade) تعریف میشود و نحوه ارتباط آنها را با یکدیگر نشان میدهد. اهداف در سطحهای بالاتر به اهداف دقیقتر و اجراییتر در سطوح پایینتر منتهی میشوند.
چارچوب COBIT 2019 و اختلال دیجیتال
چارچوب COBIT 2019 به متخصصان کمک میکند تا مهارتهای خود را در زمینه فناوری اطلاعات و فناوری سازمانی بهروزرسانی کرده و نیازهای کسبوکار را شناسایی کنند. این چارچوب به سازمانها کمک میکند تا از اختلالات دیجیتال و روندهای استراتژیک فناوری که ممکن است منجر به تغییرات عمده شوند، بهرهبرداری کنند.
اختلال دیجیتال به تغییرات سریع و غیرمنتظرهای گفته میشود که در نتیجه پیشرفتهای فناوری و نوآوریهای دیجیتال در بازار یا صنایع مختلف ایجاد میشود. این اختلالات باعث تغییرات در مدلهای کسبوکار، افزایش رقابت و تغییر در انتظارات مشتریان میشوند. در اینجا یک جدول ساده برای نمایش ارتباط چارچوب COBIT 2019 با اختلال دیجیتال ارائه میشود:
| چالش اختلال دیجیتال | راهکار COBIT 2019 | مثال عملی |
|---|---|---|
| استفاده از فناوریهای نوین (مانند بلاکچین و هوش مصنوعی) | تنظیم فرآیندهای مدیریت فناوری اطلاعات برای استفاده بهینه از فناوریهای جدید | ایجاد فرآیندهای نظارت بر امنیت و کارایی بلاکچین در سازمان |
| دگرگونی در مدلهای کسبوکار | بهینهسازی فرآیندهای حاکمیتی برای تطبیق با مدلهای کسبوکار دیجیتال و نوآورانه | انطباق استراتژیهای حاکمیتی با کسبوکارهای دیجیتال مانند Uber |
| فناوری ابری (Cloud Computing) | تنظیم سیاستهای امنیتی، حاکمیتی و نظارت بر خدمات ابری | انتقال به خدمات ابری و استفاده از COBIT برای نظارت بر امنیت و کارایی دادهها |
نگرانیهای حریم خصوصی و مدیریت دادهها
مدیریت دادهها و امنیت در عصر اینترنت اشیا (IoT) و هوش مصنوعی (AI) جزء اجزای اصلی بقای کسبوکارها شدهاند. ریسکهای مرتبط با دادهها و نگرانیهای حریم خصوصی، میتوانند خسارات مالی و اختلالات تجاری زیادی ایجاد کنند. بنابراین، استفاده از چارچوب COBIT 2019 برای مدیریت دادهها و امنیت بسیار حیاتی است.
در COBIT 2019، نقشهبرداری و فاکتورهای طراحی به سازمانها کمک میکنند تا چارچوب را متناسب با نیازهای خاص خود سفارشیسازی کنند. این فاکتورها، متغیرهایی هستند که بر نحوه اجرای اصول حاکمیت و مدیریت فناوری اطلاعات (I&T) تأثیر میگذارند.
فاکتورهای طراحی COBIT 2019
COBIT 2019 فاکتور طراحی را معرفی میکند که در سفارشیسازی چارچوب نقش دارند:
| فاکتور طراحی | شرح |
|---|---|
| استراتژی و اهداف سازمانی | همراستایی I&T با اهداف کسبوکار |
| مدل کسبوکار | ساختار و نوع کسبوکار (دولتی، خصوصی، استارتاپ و...) |
| اندازه سازمان | شرکتهای کوچک، متوسط و بزرگ نیازهای متفاوتی دارند |
| سطح پذیرش فناوری | میزان بلوغ سازمان در استفاده از فناوریهای نوین |
| روشهای استفاده از فناوری | داخلی، برونسپاری یا ترکیبی |
| محیط مقرراتی | قوانین و استانداردهای موردنیاز مانند GDPR و ISO 27001 |
| ریسک سازمانی | میزان ریسکپذیری در تصمیمگیریها |
| پیچیدگی فناوری | میزان تنوع و گستردگی سیستمهای فناوری اطلاعات |
| مدل حاکمیت موجود | ساختار و فرآیندهای حاکمیتی فعلی |
| فرهنگ سازمانی | نگرش سازمان به تغییر و مدیریت فناوری |
| هدفگذاری حاکمیتی | میزان تمرکز بر حاکمیت و کنترل در مقابل انعطافپذیری |
نقشهبرداری فاکتورها در پیادهسازی
سازمانها بر اساس این فاکتورها، چارچوب COBIT 2019 را بهگونهای طراحی میکنند که متناسب با نیازهایشان باشد. برای مثال، یک سازمان مالی که در محیطی پرریسک فعالیت میکند، نیاز به سطح کنترل بالاتری دارد، درحالیکه یک استارتاپ فناوری به انعطافپذیری بیشتری نیاز دارد.
این فاکتورها به تصمیمگیرندگان کمک میکنند تا نقشه راه حاکمیتی مؤثر را بر اساس اهداف و نیازهای خود تنظیم کنند.
سخن پایانی
COBIT 2019 چارچوبی کامل است که به متخصصان و سازمانها کمک میکند تا استراتژیهای حاکمیتی خود را بهطور مؤثر پیادهسازی کنند و از طریق حاکمیت صحیح فناوری اطلاعات و فناوری سازمانی به اهداف کسبوکار خود دست یابند.
