تقریباً همه سازمان ها به طور قابل توجهی به فناوری اطلاعات وابسته هستند. حتی کوچکترین شرکتها برای برقراری ارتباطات، ردیابی تراکنشها، انجام تحقیقات و یا دسترسی به خدمات دولتی و خصوصی به خدمات وابسته با فناوری اطلاعات نیاز دارند. اهمیت مقوله ی فناوری اطلاعات به این معنی است که سازمان ها باید نسبت به سرمایه گذاری خود در این حوزه توجه ویژه ای نموده و همچنین خطرات ناشی از استفاده نادرست یا سوء استفاده های احتمالی را به دقت بررسی کنند. امروزه در شرکت ها تصمیمات مربوط به تعیین راهبردهای قانون گذاری سازمانی در حوزه فناوری اطلاعات (IT) به دست متخصصان فناوری اطلاعات سپرده نمی شود بلکه بالاترین سطوح رهبری در این حوزه تصمیم گیر می باشند. اکنون به این موضوع می پردازیم که قانون گذاری سازمانی در حوزه ی IT به چه معناست و چگونه سازمانها میتوانند از طریق به کارگیری چارچوب های قانون گذاری سازمانی صحیح در حوزه ی IT، اهداف کلی کسب و کارشان را برآورده سازند.
امروزه سازمانهای پیشرو در دنیا در جهت رفع نیازهای خود و طی کردن مسیر رشد برنامهریزی شده، از یک قانونگذاری مدون در حوزه گردش اطلاعات بهرهمند هستند. این قانونگذاری در واقع یک استراتژی یکپارچه در زمینه بکارگیری ابزارهای فن آوری در مسیر اهداف سازمانی است.
این استراتژی برای تنظیم و نظارت پنج محور مدیریتی مرتبط با فن آوری اطلاعات تبیین میگردد.
به بیان دیگر قانون گذاری فنآوری اطلاعات یکی از مؤلفههای قانونگذاری در سازمانهاست که در صدد بالا بردن کیفیت مدیریت اطلاعات و فنآوری در سازمان است تا از این طریق ارزش سرمایه گذاری در سازمان را افزایش دهد. چهارچوب کارکردی قانونگذاری فن آوری اطلاعات به سازمان این قدرت را خواهد داد که مخاطرات این حوزه را کاهش داده و اطمینان حاصل کند که کلیه فعالیتها و عملکردهای مرتبط با اطلاعات و فن آوری، با اهداف کلی کسب و کار و سازمان منطبق هستند.
ارزیابی: ارزیابی نیازها، شرایط و گزینه های ذینفعان به منظور تعیین اهداف متوازن و توافق شده در شرکت شامل بررسی عملکرد کسب و کار در گذشته، توجه و بررسی الزامات آینده و همچنین مدل سازی محیط عملیاتی فعلی و آینده.
هدایت: هدایت و مدیریت سازمان از طریق اولویت بندی اهداف و تصمیم گیری های صحیح. این امر معمولاً در چارچوب استراتژی ها، سیاست ها و همچنین ایجاد مقررات کنترل کننده، میسر می گردد.
نظارت: نظارت بر عملکرد و انطباق آن با جهت گیری مقررات تعیین شده و اهداف مورد توافق سازمان. این امر معمولاً از طریق ممیزی انطباق و گزارش عملکرد انجام می شود.
در اکثر سازمان ها، قانون گذاری در شرکت بر عهده هیئت مدیره است، اما مسئولیت های حاکمیتی و قانون گذاری خاص ممکن است به ساختارهای مشخص در سطحی مناسب (به ویژه برای واحدهای پیچیده بزرگ) محول شود. یک نهاد راهبری فناوری اطلاعات ممکن است زیر مجموعه ای از هیئت مدیره ای با دانش فناوری اطلاعات بوده، یا از گروهی از مدیران ارشد حوزه ی فناوری اطلاعات که مستقیماً بر تأمین مالی، مدیریت و استفاده از مقوله ی فناوری اطلاعات نظارت می کنند، تشکیل شده باشد.
حاکمیت تابعی از رفتار انسان است. بنابراین، وقتی صحبت از قانون گذاری مناسب در مقابل قانون گذاری نامناسب مطرح می شود، نتیجه به دو امر زیر وابسته است:
در مواردی که نهاد حاکمیت آگاهانه عمل نکرده یا کاملا متعهد نباشد، این احتمال وجود دارد که مدیریت در حوزه ی فناوری اطلاعات به سمتی هدایت شود که منجر به آسیب و یا ضرر و زیان به سازمان گردد. به عنوان نمونه، سوء استفاده از اطلاعات شخصی کاربران یا عدم تلاش مناسب در جهت حفظ و نگه داری از اطلاعات سازمانی که به عنوان مهمترین سرمایه هر شرکتی شناخته می شود در برخی از سازمانها منجر به جریمههای نظارتی شدید و آسیب به شهرت مجموعه گشته و در نهایت ضررهای مادی و معنوی زیادی را حاصل کرده است.
مسئولیت پذیری: همه افراد مشغول در یک سازمان مسئولیت های خود در حوزه ی فناوری اطلاعات را درک کرده، می پذیرند و صلاحیت پاسخگویی به آنها را دارند.
استراتژی: راهبرد های تعیین شده در یک کسبوکار، قابلیتهای فعلی و آینده فناوری اطلاعات را در نظر گرفته و خدمات IT به کار گرفته شده در سازمان باید از استراتژی های تجاری جاری و آینده پشتیبانی کند.
نقشه راه: تمام سرمایه گذاری های انجام شده در زمینه فناوری اطلاعات، بر مبنای دلایل معتبر و منطقی و بر اساس تحلیل های مرتبط و تصمیم گیری شفاف و همچنین ایجاد تعادل متناسب میان منافع، هزینه ها و خطرات سازمان انجام می شود.
کارایی: فناوری اطلاعات متناسب با اهداف سازمانی است و خدماتی را ارائه می دهد که از نظر کیفیت با الزامات تجاری مطابقت دارد و نتایج آن ملموس است.
انطباق: استفاده از سیستم های فناوری اطلاعاتی که منطبق بر تمام قوانین و مقررات اجرایی و همچنین سیاست ها و شیوه های سازمانی بوده و همچنین باید به خوبی تبیین گشته و اجرا گردد.
رفتار انسانی: احترام به رفتار انسانی باید در تعیین سیاستها، شیوهها و تصمیمات قانون گذاری سازمانی در حوزه ی فناوری اطلاعات نشان داده شود، به خصوص زمانی که نیازها در میان تمامی ذینفعان مشترک است.
قانون گذاری سازمانی مناسب در حوزه ی IT رویکردی جامع را اتخاذ کرده و تضمین میکند که همه ذینفعان درگیر در سازمان، متعهد به قرار دادن تمام عناصر لازم برای ایجاد و حفظ یک چارچوب حاکمیتی مؤثر می باشند. برخی از مولفه های موثر در این حوزه عبارت اند از: فرآیندها، ساختارهای سازمانی، سیاست ها و رویه ها، جریان اطلاعات، فرهنگ و رفتارها، مهارت ها و زیرساخت ها.
نیاز به تسهیل مدیریت بهتر فناوری اطلاعات منجر به ایجاد و اتخاذ چارچوبهایی خاص در این حوزه گشته است. برخی از این ساختار ها عبارت اند از:
• اهداف کنترلی در فناوری اطلاعات (COBIT)
• کتابخانه زیرساخت فناوری اطلاعات (ITIL)
• یکپارچهسازی مدل بلوغ قابلیت (CMMI)
• تحلیل عاملی ریسک اطلاعات (FAIR)
این چارچوب ها به استانداردسازی بهترین شیوه های قانون گذاری سازمانی در حوزه ی فناوری اطلاعات و تقویت مدیریت خوب کمک می کند.
اهداف کنترلی در فناوری اطلاعات (COBIT)
COBIT محبوب ترین نمونه چارچوب IT Governance است. این ساختار شرکت ها را قادر می سازد تا هزینه ها را کاهش دهند، استانداردهای حفظ حریم خصوصی را ایجاد و به کار گیرند و به مدیران در سازماندهی و نظارت بر فرآیندهای فناوری اطلاعات کمک کنند. ساختار مدیریت فناوری اطلاعات COBIT به سی و هفت فرآیند فناوری اطلاعات اشاره می کند که بر ورودی ها، خروجی ها، اهداف و معیارهای عملکرد تمرکز دارد.
COBIT 2019 برای همگامی با نیازها و چالش های در حال تغییر دنیای فناوری، بر شش اصل زیر متمرکز است:
کتابخانه زیرساخت فناوری اطلاعات (ITIL)
ITIL به عنوان یکی از ساختارهای قانون گذاری سازمانی در حوزه ی IT شهرتی جهانی یافته است. این چارچوب بر استفاده موثر از امکانات فناوری اطلاعات در جهت رشد، توسعه و تحول کسب و کار تمرکز داشته و بهترین روش ها را در این مسیر ارائه میدهد.
ITIL 4 (آخرین نسخه موجود) در ابتدای امر به حل و فصل چالش های جاری در یک سازمان می پردازد و در عین حال توانایی سازگار نمودن خود با فرآیند های جدیدتر (مانند فناوری های ابری) را دارا است. این ساختار، مدیران را قادر می سازد تا با ارزیابی دقیق نتایج قانون گذاری سازمانی در حوزه ی فناوری اطلاعات، نسبت به ساده کردن و هموار سازی فرآیندهای عملیاتی اهتمام ورزند.
ساختار ITIL به هنگام به کارگیری در یک سازمان، در چهار بعد تاثیرگذاری و اثر بخشی خود را تضمین می کند:
• بر تعریف دقیق نقش ها، وظایف و مسئولیت ها در یک سازمان (میان کارکنان و مدیران) تمرکز دارد.
• بر امنیت به کارگیری فناوری های جدید در سازمان تاکید داشته و از نفوذ و یا نشر اطلاعات جلوگیری می کند.
• این چارچوب، همکاری بخشی از شرکا و تامین کنندگان را میسر می کند.
• این چارچوب، در نقش یک هماهنگ کننده میان بخشی از شرکا و تامین کنندگان سازمان ظاهر شده و شیوه های همکاری میان آن ها را بازتعریف می کند.
• این ساختار به واسطه ی ایجاد یک مدل عملیاتی و قابل اجرا، گردش کار هر بخش، سطوح دسترسی و کنترلی در هر قسمت و به طور کلی اهداف نهایی مجموعه را تعریف می کند. فرآیندهای موجود در این چارچوب یک مدل عملیاتی ایجاد می کنند که گردش کار، سطوح کنترل و اهداف را تعریف می کند.
یکپارچهسازی مدل بلوغ قابلیت (CMMI)
مدل یکپارچهسازی بلوغ قابلیت ها چارچوبی است که شرکتها را قادر میسازد تا فرآیندها را سادهسازی کنند و فرهنگ سازمانی کارآمد را بهبود بخشند. CMMI اغلب بر کاهش خطرات در حوزه ی توسعه محصول و خدمات تمرکز دارد.
CMMI از 5 مقیاس برای ارزیابی میزان بلوغ سازمان ها استفاده می کند. سطوح 4 و 5 (اندازه گیری و بهینه سازی) رده هایی اند هستند که شرکت ها برای قرارگرفتن در آن تلاش می کنند. شرکت هایی که در این دو سطح قرار گرفته اند به عنوان شرکت های به بلوغ رسیده معرفی می شوند و در واقع این سطوح نشان دهنده ی پیشرفت مستمر و انعطافپذیری آنها در برابر ذینفعان و نیازهای مشتریان می باشد.
تحلیل عاملی ریسک اطلاعات (FAIR)
در حقیقت، این ساختار چارچوبی است که عوامل مولد ریسک و تقویت کننده آن را شناسایی کرده و روشهای در هم تنیده شدن و ادغام آنان را نیز ارزیابی میکند. هدف اولیه ساختار FAIR محافظت از سازمان ها در برابر تهدیدات امنیت سایبری و رویدادهایی هایی است که منجر به از دست رفتن داده ها و اطلاعات سازمان می شود. این ساختار همچنین ارائه دهنده بینش های لازم برای تصمیم گیری در حوزه ی قانون گذاری سازمانی است.
FAIR عمدتاً بر اندازهگیری احتمال وقوع خطرات و ریسک های احتمالی تمرکز دارد تا شرکتها بتوانند مشکلات را کاهش داده و مخاطرات را پیشبینی نمایند.
در نهایت می توان بیان داشت که توجه به کارکرد فناوری اطلاعات در شرکت ها و کسب و کارهای مختلف و قانون گذاری سازمانی مناسب در حوزه ی IT بر مبنای چارچوب های قانون گذاری سازمانی موجود در حوزه فناوری اطلاعات، این قدرت را به سازمان ها خواهد داد که مخاطرات این حوزه را کاهش داده و اطمینان حاصل کنند که کلیه فعالیتها و عملکردهای مرتبط با اطلاعات و فن آوری، با اهداف کلی کسب و کار و سازمان منطبق می باشد.
گروه بین المللی نسیم اطلس از طریق ساختار ایجاد شده در شرکت نسیم اطلس راهکار یک نسخه محلی، کاربردی و قابل اجرا از مفهوم قانون گذاری فن آوری اطلاعات را بر مبنای استاندار ها و مدل های تمرین شده و تایید شده در دنیا طراحی کرده و در تلاش است تا با آزمون های عملی و دستیابی به تجربه و سلیقه کاربری، مفاهیم به روزتر و جامعتری در این مقوله به سازمان های خرد و کلان داخلی و بین المللی ارائه نماید.
برای این مطلب هیچ نظری ثبت نشده است. شما اولین نظر را ثبت کنید.
0 نظر