چارچوب COBIT ابزاری مناسب برای اندازه گیری بلوغ حاکمیت فنّاوری اطلاعات در سازمانها (مطالعه موردی بانکهای دولتی در ایران)
محورهای موضوعی : فناوری اطلاعات و ارتباطاتمجتبي رئيس صفري 1 , مهدي غضنفری 2 , محمد فتحیان 3
1 - دانشگاه شیراز
2 - دانشگاه علم و صنعت
3 -
کلید واژه: حاکمیت فنّاوری اطلاعات, چارچوب COBIT , بانکهای دولتی,
چکیده مقاله :
امروزه فنّاوری اطلاعات یک بخش مهم واستراتژیک در توسعه کسب وکار و افزایش قدرت رقابتی بانکها میباشد و حاکمیت فنّاوری اطلاعات بخش مهمی از حاکمیت در بانکهاست. نقش کلیدی فنّاوری اطلاعات در رشد و توسعه بانکها بر مدیران ارشد ،پوشیده نیست آنچه که لازم است با دقت مورد توجه قرار گیرد همسویی استراتژیک فنّاوری اطلاعات و کسب وکار دربانکها ست که هدف اولیه حاکمیت فنّاوری اطلاعات میباشد. نتایج تحقیق نشان داده است که میانگین بلوغ حاکمیت فنّاوری اطلاعات در بانکهای دولتی (1،60) است. میزان بلوغ یافتگی دربکارگیری موثر فنّاوری اطلاعات و تطبیق استراتژیهای کسب کار با استراتژیهای فنّاوری اطلاعات در بانکهای دولتی از شرایط مناسبی برخوردار نمیباشد. نوع حاکمیت در بانکهای دولتی به سبب غیر رقابتی بودن صنعت بانکی در ایران و اعمال قوانین دستوری بر نظام بانکی باعث شده است بانکهای دولتی به ضرورت بکارگیری تجارت الکترونیک در فضای کسب وکار خود به عنوان یک ابزار استراتژیک توجه معطوفی نکنند
Abstract Nowadays IT is regarded as one of the most important and strategic section in development of business that has important role in increasing competition power of banks, on the other hand IT governance is an important section in governance of banks. Key role of IT in growth and development of banks is very clear for senior managers and the important point is strategic integrity of IT and business in banks that is first goal of IT Governance. Results of researches show that average maturity of IT Governance in governmental banks is (1, 60). Level of maturity in effective usage of IT and adaptation of strategies of business with strategies of IT in governmental banks does not have good conditions. Kind of governance in governmental banks because bank industry is not competitive issue in Iran and applying mandatory rules and regulations on bank system of Iran has caused that governmental banks will not care to using electronic commerce in their business as an strategic tool.
مهدی غضنفری، محمد فتحیان، مجتبی رئیس صفری فصلنامه فنّاوري اطلاعات و ارتباطات ایران، سال اول، شمارههاي 1و 2، پاييز و زمستان 1387
فصلنامه علمي-پژوهشي فنّاوري اطلاعات و ارتباطات ایران | سال اول، شمارههاي 1و 2، پاييز و زمستان 1387 صص: 55- 65 |
|
چارچوب COBIT ابزاري مناسب براي اندازه گيري بلوغ حاكميت فنّاوري اطلاعات در سازمانها (مطالعه موردي بانكهاي دولتي در ايران)
مهدي غضنفري* محمد فتحيان* مجتبي رئيس صفري**1
*دانشكده مهندسي صنايع، دانشگاه علم وصنعت ایران
**دانشكدهي فناوري اطلاعات، دانشگاه شیراز
چکيده1
امروزه فنّاوري اطلاعات يك بخش مهم واستراتژيك در توسعه كسب وكار و افزايش قدرت رقابتي بانكها ميباشد و حاكميت فنّاوري اطلاعات بخش مهمي از حاكميت در بانكهاست. نقش كليدي فنّاوری اطلاعات در رشد و توسعه بانكها بر مديران ارشد ،پوشيده نيست آنچه كه لازم است با دقت مورد توجه قرار گيرد همسويي استراتژيك فنّاوری اطلاعات و كسب وكار دربانكها ست که هدف اوليه حاكميت فنّاوري اطلاعات میباشد.
نتايج تحقيق نشان داده است كه ميانگين بلوغ حاكميت فنّاوري اطلاعات در بانكهاي دولتي (1،60) است. ميزان بلوغ يافتگي دربكارگيري موثر فنّاوری اطلاعات و تطبيق استراتژيهاي كسب كار با استراتژيهاي فنّاوري اطلاعات در بانكهاي دولتي از شرايط مناسبي برخوردار نميباشد. نوع حاكميت در بانكهاي دولتي به سبب غير رقابتي بودن صنعت بانكي در ايران و اعمال قوانين دستوري بر نظام بانكي باعث شده است بانكهاي دولتي به ضرورت بكارگيري تجارت الكترونيك در فضاي كسب وكار خود به عنوان يك ابزار استراتژيك توجه معطوفي نكنند.
کليد واژگان: حاكميت فنّاوری اطلاعات، چارچوب COBIT ،بانكهاي دولتي
1- مقدمه
در اوايل دهه 60، محققين مشغول بررسي و پرداختن به مفاهيم بنيادين حاكميت فنّاوري اطلاعات بودند، اما اين موضوع تنها در پايان دهه 90 در آن هنگام كه نوشتههايي در مورد چارچوب حاكميتي سيستمهاي اطلاعاتي و بعدها چارچوب حاكميت فنّاوري اطلاعات عرضه شد، رفته رفته و به طور چشمگيري در ادبيات دانشگاهي براي خود جايي پيدا كرد [2]. به دليل محيط كاري پويا و رقابتي دنياي امروز و در جائيكه شركتها 5-3 درصد درآمد ساليانهي خود را صرف فنّاوري اطلاعات ميكنند تا رقابتي باقي بمانند، حاكميت فنّاوري اطلاعات خوب، يك بايد و نه يك شايد به شمار ميرود[17، 21].
درسال 2006، مؤسسه حاكميت فنّاوري اطلاعات نظر سنجياي جهاني با حضور 695 سازمان انجام داد. بر اساس اين نظرسنجي، 87 درصد شركت كنندگان بر اين باور بودند كه فنّاوري اطلاعات براي بيان ديدگاه و استراتژي كاري آنان لازم است [8 ،21].
تحقيقات نشان ميدهد شركتهايي كه در سطح بالا فعاليت ميكنند به ميزان 40 درصد بيشتر از رقباي خود در سرمايهگذاريهاي فنّاوري اطلاعات سود به دست ميآورند. اين مطالعات همچنين نشان ميدهد شركتهايي با حاكميت فنّاوري اطلاعات بيش از حد معمول كه استراتژي خاص و مشابهي مانند صميميت با مشتري را دنبال ميكنند سودي بيش از 20 درصد را در مقايسه با شركتهايي با حاكميت فنّاوري اطلاعات ضعيف كه استراتژي مشابهي را دنبال ميكنند دارا هستند[18،21].
از مهمترين اهداف بکارگيری گسترده فنّاوری اطلاعات در سازمانها و بنگاهها افزايش قدرت رقابتی در بازار میباشد.يکی از بسترهای مهم برای کسب مزایای رقابتي حاصل از سرمايه گذاری در بخش فن آوری اطلاعات و ارتباطات در امور تجاری و تحقق اهداف تجارت الکترونيک، اتحاد استراتژیک بخش کسب وکار با بخش فنّاوري اطلاعات درسازمان میباشد. همراستايي استراتژيهاي كسب وكار با استراتژيهاي فنّاوري اطلاعات درسازمان امكان توسعه كسب وكار بنگاه را از طريق ايجاد پتانسيلها و استفاده از فرصتهاي جديد محيط كسب وكار، فراهم مي آورد.به دليل افزايش پيچيدگي محيط كسب وكار، روشهاي سنتي مديريت فنّاوری اطلاعات در بانكها، امروزه خود به گلوگاه توسعه سازمان تبديل شده است از اين رو، مهمترين چالش پيش روي مديران ارشد بانكها ويكي از حياتيترين فاكتورهاي موفقيت، انتخاب و پيادهسازي مدل مناسب مديريت و حاكميت فنّاوری اطلاعات دربانكها ميباشد.
موارد ارائه شده، نيازمند توجه خاص به حاكميت فنّاوري اطلاعات را تبيين ميكند و اين امر مستلزم تضمين آن است كه سرمايهگذاري در فنّاوري اطلاعات سود آوري لازم را ايجاد كند و خطرات همراه با آن را كاهش دهد [5]. براي اجراي حاكميت فنّاوري اطلاعات مؤثر، بانكها نياز دارند عملكرد كنوني خود را مورد ارزيابي قرار دهند و ميبايست تشخيص دهند اصلاحات كجا و چگونه محقق ميشوند. استفاده از الگوهاي بلوغ اين كار را بسيار ساده ميكند و رويكردي سازمانيافتهاي براي سنجش چگونگي توسعه يك فرآيند حاكميت فنّاوري اطلاعات و فرآيندهاي به كار گرفته شده در فنّاوري اطلاعات را در مقايسه با مقياسي ثابت به دست ميدهد[6]. همچنين الگوهاي بلوغ ميتوانند ابزاري جامع براي محك زدن بانكها طي زمان و در مقايسه با ديگر بانكها با اندازههاي خاص و در بخشها و وضعيتهاي خاص باشند[5].
با توجه به توسعه تجارت الكترونيك دركشور و همچنين فراگيرشدن بانكداري الكترونيك اين سوال مطرح ميشود كه آيا بانكهاي دولتي كشور نسبت به نقش فنّاوری اطلاعات و ارتباطات وتوسعه بانكداري الكترونيك داراي يك رويكرد استراتژيك يكسان هستند؟ آيا توانستهاند استراتژيهاي فنّاوري اطلاعات را با استرا تژيهاي كسب كار سازمان خود منطبق نمايند؟
لذا براساس اين سؤال دراين تحقيق قصد داريم ضمن اندازه گيري بلوغ حاكميت فنّاوري اطلاعات در بانكهاي دولتي ايران وتحليل نتايج بدست آمده با استفاده از چارچوب COBIT به مقايسه و بررسي تفاوت بلوغ بانكهاي دولتي كشور درتطبيق استراتژيهاي كسب وكار با استراتژيهاي فنّاوری اطلاعات بپردازيم.
2- چارچوب نظري تحقيق
2-1- حاكميت فنّاوری اطلاعات
حاكميت فنّاوري اطلاعات با بهرهگيري از اطلاعات و از طريق بكارگيري فنّاوري، به عنوان عامل مهم موفقيت در دستيابي به اهداف شركت شناخته شده است و اين موضوع كه منافع ايجاد شده بوسيله سرمايهگذاريهاي سازماني فنّاوري اطلاعات ، كه مستقيماً تحت تأثير فنّاوري اطلاعات هستند بهطور گستردهاي پذيرفته شده است[15،17]. همانطور كه پيش از اين گفته شد، مطالعات نشان ميدهند شركتهايي با حاكميت فنّاوري اطلاعات بيش از حد متوسط كه استراتژي خاصي را دنبال ميکنند درمقايسه با شركتهايي با حاكميت فنّاوري اطلاعات ضعيف كه همان استراتژي را دنبال ميکنند، بيش از 20 درصد سوددهي دارند[19]. ميتوان اهميت حاكميت فنّاوري اطلاعات را از طريق هزينههاي چشمگير و درحال افزايش فنّاوري اطلاعات مورد تأكيد قرار داد. گزارشات نشان ميدهند كه فنّاوري اطلاعات حدود 75 درصد بودجه عملياتي و تقريباً 4 درصد درآمد ناخالص را تشكيل ميدهد. امروزه، ناكامي يا نقض فنّاوري اطلاعات ميتواند باعث ضرر مالي چشمگير يا توسعه موضوعات و خطرات قانوني جدي براي يك سازمان شود[17]. تحليل ناكاميهاي زيانبارِ ابتكارات فنّاوري اطلاعات نشان دهنده حاكميت ضعيف و فقدان راهنمايي براي كساني است كه وظيفه شان كنترل خطرات همراه با دستيابي به منافع و ارزش ناشي از سرمايهگذاريهاي فنّاوري اطلاعات است [8] مطالعات نشان ميدهند سازمانهاي بزرگ، 50 درصد از سرمايهگذاري اصلي خود يعني پول استفاده شده براي خريد دارايي هاي ثابت را در فنّاوري اطلاعات سرمايهگذاري ميکنند [15،21].
2-2- مفاهيم و تعاريف
ادبيات حاكميت فنّاوري اطلاعات شامل گسترهاي از تعاريف است كه بسته به ديد محقق به طور قابل ملاحظهاي متفاوت هستند [17]. اگرچه تعاريف حاكميت فنّاوري اطلاعات متفاوت هستند اما همگي آنها به موضوعات مشابهي مانند اتحاد فنّاوري اطلاعات با كسب وكار توجه دارند[5]. برخي از تعاريف حاكميت فنّاوري اطلاعات در زير آمده است:
1- مشخص كردن حق تصميم وچارچوب پاسخگويي براي ترغيب پاسخ مطلوب در استفاده از فنّاوري اطلاعات [18].
2- امكانات سازماني به كار گرفته شده از سوي هيئت مديره، مديريت اجرايي و مديريت فنّاوري اطلاعات براي كنترل نمودن تشكيل و اجراي استراتژي فنّاوري اطلاعات و از اين طريق تضمين كردن ادغام استراتژيهاي كسب وكار و فنّاوري اطلاعات است [5].
3- در اين تحقيق، تعريف حاكميت فنّاوري اطلاعات در راستاي تعريف ارائه شده از سوي مؤسسه حاكميت فنّاوري اطلاعات ميباشد كه در آن حاكميت فنّاوري اطلاعات مسئوليت مديران و هيئت مديره است و شامل رهبري، ساختارهاي سازماني و فرآيندهايي است كه تضمين ميکند فنّاوري اطلاعات شركت، استراتژيها و اهداف سازمان را ادامه و گسترش ميدهد [9].
2-3- تفاوت ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات
نمودار1، تفاوت ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات را نشان ميدهد. حوزه مديريت به ميزان خدمات و محصولات مؤثر وكارآمدِ فنّاوري اطلاعات و مديريت فعاليتهاي آن توجه دارد. در نتيجه، حاكميت فنّاوري اطلاعات گستردهتر است و به مشاركت در ارائه فعاليتهاي كاري و عملكرد مي پردازد (توجه دروني) درحاليكه به انتقال و استقرار فنّاوري اطلاعات براي مواجهه با چالش هاي آتي كار توجه دارد (توجه بيروني). بنابراين، حاكميت فنّاوري اطلاعات هم درون گراست و هم برون گرا و چارچوب هاي زماني حال و آينده را تعيين ميکند [21].
ارتباط ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات ميتواند ديدگاهي نظري شكل دهد و ميتواند مانند تصوير1 طرحريزي شود.
جهت گيري زماني |
نمودار1: ارتباط حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات [5]
تصوير1: الگوي نظري ومدل مفهومي ارتباط ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات. [22]
2-4- چارچوبهاي متفاوت براي حاكميت فنّاوري اطلاعات
در سالهاي اخير، چارچوبهاي گوناگوني با هدف تعريف، ارزيابي و بهبود كنترل داخلي سازمانها منتشر شده است. [15] اين چارچوبها همچنين به مديران در كارهاي برآورد و نظارت عملكرد و كارآيي فنّاوري اطلاعات كمك ميکنند[17]. بخشهاي زير، ديدي كلي درمورد چارچوبهاي شناخته شده فراهم ميکنند.
استانداردهاي ISO توسط سازمان بين المللي استانداردسازيISO رسيدگي و بوسيله مجموعههاي اعتبارنامه اي و گواهينامه اي داخلي به مورد اجرا گذاشته ميشوند. ISO شبكه اي متشكل از 157 كشور است كه استانداردهاي بينالمللي را كنترل و سيستم را هماهنگ ميکند؛ دبيرخانه ISO در ژنو واقع در كشور سوئيس است2. استانداردهاي ISO انواع متفاوتي دارند كه به طور گسترده اي توسط ارائه دهندگان خدمات فنّاوري اطلاعات استفاده ميشوند؛ISO 9000 ، ISO/IEC 20000 وISO 27001. اين استانداردها شامل موارد زيرميباشد [21].
1- سيستمهاي مديريت كيفيت (ISO 9000)
2- استاندارد مديريت خدمات فنّاوري اطلاعات
(ISO/IEC 20000)
3- سيستمهاي مديريت امنيت اطلاعات (ISO 27001)
4- مديريت خطر (M-o-R)
5- استاندارد استراليا براي حاكميت شركتي فنّاوری اطلاعات (AS 8015-2005)
6- كتابخانه زيربنايي فنّاوري اطلاعات (ITIL V.3)
7- چهارچوب (COBIT 4.1)
2-5- چارچوب COBIT 4.1
"كنترل اهداف اطلاعات و فنّاوري"چارچوبي است كه به منظور كنترل عملكرد فنّاوري اطلاعات طراحي شده است. اين چارچوب در ابتدا بوسيله بنياد كنترل و حسابرسي سيستمهاي اطلاعاتي3 كه مؤسسه تحقيقاتيِ انجمن كنترل و حسابرسي سيستمهاي اطلاعاتي4 است توسعه يافت، اما بعدها به مجموعهاي مستقل با نام مؤسسه حاكميت فنّاوري اطلاعات5 در داخل مؤسسه تحقيقاتيِ انجمن كنترل و حسابرسي سيستمهاي اطلاعاتي تبديل شد. مدل كنوني COBIT 4.1 در سال 2007 منتشر شد. ITGI بيان ميدارد " چارچوب COBIT الگوي فرآيندي در سطح بالاست كه دامنه وسيعي از فعاليتهاي فنّاوري اطلاعات در 34 فرآيند را سازماندهي ميکند". COBIT ساختاري واحد براي اجرا، فهم و ارزيابي عملكرد، خطرات وقابليتهاي فنّاوري اطلاعات با هدف ابتداييِ برآوردن نيازهاي كاري را فراهم ميکند [21].
زمينههاي مورد توجه حاكميت فنّاوري اطلاعات به توضيح موضوعاتي مي پردازد كه مديريت اجرايي سازمان براي كنترل فنّاوري اطلاعات نياز به رسيدگي آنها دارد.تصوير2 زمينههاي مورد توجه كه بوسيله ITGI در
تصوير2: حوزههاي مورد توجه حاكميت فنّاوري اطلاعات [9]
COBIT 4.1 گنجانده شدهاند تا فرآيندهاي COBIT را توضيح دهند، نشان ميدهد [1،21].
اصول اساسي چارچوب COBIT در مكعب COBIT نشان داده شده است تصوير3. منابع فنّاوري اطلاعات بوسيله فرآيندهاي فنّاوري اطلاعات كنترل ميشوند تا به اهدافي كه به شرايط كاري پاسخ ميدهند دست يابند[9].
COBIT، 34 فرآيند فنّاوري اطلاعات را كه عموماً بوسيله سازمانها استفاده ميشوند را شناسايي كرده است، اگرچه اين فرآيندها در صورت نياز ميتوانند بوسيله سازمان با يكديگر تركيب شوند و نيازي به اعمال همگي آنها نيست. اين فرآيندها به چهار بخش متمايز اما با حوزههايي مرتبط تقسيم شدهاند. اين حوزهها عبارتند از: طراحي و سازمان دهي(PO)، اكتساب و اجرا (AI)، تحويل وحمايت (DS) و نظارت و ارزيابي (ME)(جدول1) [1،21].
تصوير3: مكعب COBIT[9]
الگوي بلوغ COBIT بر شيوه ارزيابي سازمان استوار است، بنابراين ميتوان آن را از سطح بلوغ موهوم (0) تا سطح بلوغ بهينه (5) برآورد كرد. COBIT تعريفي كلي براي مقياس بلوغ و الگويي خاص براي هر يك از 34 فرآيند COBIT دارد. استفاده از الگوهاي بلوغ براي هر يك از فرآيندها، به مديريت اين امكان را ميدهد كه عملكرد واقعي سازمان، جايگاه كنوني صنايع، هدف سازمان براي بهبود و راه رشد مورد نياز ميان جايگاه كنوني و جايگاهي كه بايد در آن باشند را شناسايي كند. اين موضوع در نمودار2 نشان داده شده است[9،21].
[1] 1. نویسنده عهدهدار مکاتبات (mgrd81@gmail.com)
[2] .http://www.iso.org
[3] .Information Systems Audit and Control
Foundation (SACF)
[4] .Information Systems Audit and Control
Association ( ISACA)
[5] .IT Governance Institute( ITGI)
جدول1: فرايند COBIT
طراحي و سازماندهي(PO) | تحويل و حمايت(DS) |
PO1 تعريف طرح استراتژيك IT PO2 تعريف ساختار اطلاعات PO3 تعيين گرايش تكنولوژيكي PO4 تعريف فرآيندهاي IT ، سازمان و روابط PO5 مديريت سرمايهگذاري IT PO6 انتقال اهداف وگرايش مديريت PO7 مديريت منابع انساني PO8 مديريت كيفيت PO9 ارزيابي و مديريت خطوط IT PO10 مديريت پروژهها
| DS1 تعريف و مديريت سطوح خدمات DS 2 مديريت خدمات شخص ثالث DS 3 مديريت عملكرد و قابليت DS 4 تضمين خدمات مستمر DS 5 تضمين امنيت سيستمها DS 6 شناسايي و اختصاص هزينهها DS 7 آموزش استفاده كنندگان DS8 مديريت حوادث و اطلاعات خدمات DS9 مديريت تركيب DS10 مديريت مشكلات DS11 مديريت اطلاعات DS12 مديريت محيط فيزيكي DS13 مديريت كاربردها |
اكتساب و اجرا(AI) | نظارت و ارزيابي(ME) |
AI1 شناسايي راهكارهاي خودكار AI 2 اكتساب و حفظ نرم افزار اجرايي AI 3 اكتساب و حفظ زيربناي فنّاوري AI 4 ممكن ساختن كاربرد و AI 5 استفاده بدست آوردن منابع IT AI 6 مديريت تغييرات AI 7 استقرار و معتبر دانستن تغييرات | ME1 نظارت و ارزيابي عملكرد IT ME2 نظارت و ارزيابي كنترل داخلي ME3 تضمين تطبيق با شرايط خارجي ME4 فراهم آوردن حاكميت IT |
نمودار2: نمايش نموداري الگوي بلوغ [9]
بايد خاطرنشان كرد كه هدف الگوي بلوغ COBIT ، ارزيابي سطح پايبندي به كنترل اهداف نيست. بنابراين، بلوغِ فرآيند مشابه عملكردِ فرآيند نيست [1،21].
3- مدلسازي سازمان فنّاوري اطلاعات و ابزار ارزيابي11
دراين مطالعه ازمدلسازي سازمان فنّاوري اطلاعات و ابزار ارزيابي آن ITOMAT استفاده شده است. ITOMAT بر چارچوب COBIT استوار است و ابزاري براي ارزيابي بلوغ حاكميت IT سازمانهاست. ITOMAT چهار پارامتر كلي با نام پارامترهاي داخلي دارد كه از چارچوب COBIT به ارث برده است. پارامترهاي داخلي عبارتند از: اجراي فعاليت، مسئوليتهاي محول شده، اسناد در جاي خود و نظارت پارامترها. اين پارامترها در زير توضيح داده شده اند [16،21].
1) اجراي فعاليت: بر اساس چارچوب COBIT ، ITOMAT براي هر فرآيند ، تمام فعاليتهايي را كه در آن گنجانده ميشوند، فهرست ميکند و ارزيابي بلوغ در سطح فعاليت را ممكن ميسازد.
2) مسئوليتهاي محول شده: همانطور كه در COBIT گفته شده است، روابط درITOMAT وظايف را با فرآيندها مرتبط مي سازد نه با فعاليتها. از اين گذشته، ITOMAT تنها پنج وظيفه دارد و همانطور كه درCOBIT گفته شده، اين وظايف، 19 وظيفه را دربر ميگيرند (جدول 2). يعني به جاي برنامه ريزيِ 19 وظيفه با حدود 200 فعاليت در COBIT ، ITOMAT پنج وظيفه با 34 فرآيند را برنامهريزي ميکند.
3) اسناد در جاي خود: اسنادي كه نشان دهنده ورودي و خروجي در فرآيندهاي COBIT هستند در ITOMAT فهرست ميشوند. ITOMAT شمار اين اسناد را كه در جاي خود هستند اندازهگيري ميکند.
4) نظارت پارامترها: COBIT پيشنهاد ميکند كه پارامترها ميتوانند براي نظارت پيشرفت هر فرآيند و بلوغ آن به كار روند و اين پارامترها در ITOMAT يكسان هستند.
ارزش بلوغ سازمان با درنظرگرفتن ارزش پارامتر داخلي تعيين ميشود (جدول3). همانطور كه در بالا گفته شد، ITOMAT با استفاده از الگوي بلوغ براي فرآيندهايي كه در COBIT تعريف شده است، ارزيابي بلوغ در سطح فعاليت (اجراي فعاليت) را ممكن ميسازد. سطوح بلوغ براي پارامترهاي مسئوليتهاي محول شده به تعداد روابط RACI كه براي هر فرآيند و وظيفه مشخص شده است و چگونگي اتحاد اين روابط بر اساس چيزي كه در COBIT گفته شده است بستگي دارد. براي پارامترهاي داخليِ اسناد در جاي خود و نظارت پارامترها، فرضيه خطيِ توجه COBIT به كميت در اسناد و نظارت پارامترها به عنوان مبنايي براي الگوي بلوغ استفاده ميشوند [16،21].
نمره بلوغ يك فرآيند به عنوان ميانگين بلوغ چهار پارامتر داخلي محاسبه ميشود. همچنين، بلوغ سازمان ميتواند به عنوان ميانگين بلوغ تمامي 34 فرآيند COBIT محاسبه شود.
4- اهداف تحقيق
هدف از اين تحقيق اندازه گيري و مقايسه بلوغ حاكميت فنّاوري اطلاعات يازده بانك بزرگ دولتي با استفاده ازچارچوب COBIT4.1 ميباشد.
1- اندازه گيري و مقايسه بلوغ حاكميت فنّاوري اطلاعات يازده بانك بزرگ دولتي ايران كه در اين تحقيق شركت داشته اند.
2- مقايسه وتحليل نتايج به دست آمده با استفاده از چارچوب COBIT
5- سوالات و فرضيات تحقيق
بر اساس اهداف تحقيق ميتوان سوال اصلي اين تحقيق را بدين صورت مطرح كرد:
آيا تفاوتي بين بلوغ حاكميت فنّاوري اطلاعات بانك هاي دولتي كشور در تطبيق استراتژيهاي كسب وكار با استراتژيهاي فنّاوری اطلاعات وجود دارد؟
فرضيه اصلي اين تحقيق نيز بدين صورت مطرح ميشود:
"بين بلوغ حاكميت فنّاوري اطلاعات بانك هاي دولتي كشور در تطبيق استراتژيهاي كسب وكار با استراتژيهاي فنّاوری اطلاعات تفاوت وجود دارد."
[1] 1.IT Organization Modeling and Assessment Tool
(ITOMAT)
جدول2: توزيع وظايف در ITOMAT[16]
وظيفه COBIT | وظيفه ITOMAT |
هيئت مديره | مديران اجرايي |
مامور اجرايي ارشد | |
مامور مالي ارشد | |
مدير اجرايي كار | کسب وكار |
صاحب فرآيند كاري | |
مديريت ارشد كار | |
مامور ارشد اطلاعات | مديريت IT |
طراح اصلي | |
پيشرفت اصلي | |
مامور مديريت برنامه | |
عملكرد هاي اصلي | عملكردهاي IT |
استقرار تيم | |
اجراي اصليIT | |
اداره آموزش | |
مديران خدمات | |
مدير حوادث / اطلاعات خدمات | |
مدير تركيب بندي | |
مدير مشكلات | |
کاربران | پيروي، حسابرسي خطر و امنيت |
جدول3: پارامترهاي داخلي ITOMAT (IM) براي ارزيابي بلوغ حاكميت فنّاوري اطلاعات (MI) [16]
سطح بلوغ داخلي | اجراي فعاليت | مسئوليت هاي محول شده | اسناد در | نظارت فيزيك ها |
0 | هيچ آگاهي از اهميت موضوعات مرتبط با فعاليت در دست نيست. هيچ نظارتي اعمال نشده است. هيچ سندي وجود ندارد . هيچ عملي در راستاي بهبود فعاليت صورت نگرفته است. | هيچ رابطه وجود ندارد | %0 | %0 |
1 | مقداري آگاهي از اهميت موضوعات مرتبط با فعاليت در دست است. هيچ نظارتي اعمال نشده است . هيچ سندي وجود ندارد هيچ عملي در راستاي بهبود فعاليت صورت گرفته است. | رابطه R يا A وجود دارد | %20 | %20 |
2 | افراد اطلاعاتي درباره موضوعات مرتبط با فعاليت دارند و مطابق آن اعمالي را انجام ميدهند. هيچ نظارتي اعمال نشده است. هيچ سندي وجود ندارد. هيچ عملي در راستاي بهبود فعاليت صورت نگرفته است. | رابطه R يا A وجود دارد . حداقل %40 روابط در راستاي COBIT هستند | %40 | %40 |
3 | پرسنل تحت تاثير آموزشهايي درباره اسباب و اهداف فعاليت ديدهاند. هيچ نظارتي اعمال نشده است. سند موجود است هيچ عملي در راستاي بهبود فعاليت صورت نگرفته است. | رابطه R يا A وجود دارد . حداقل%60 روابط در راستاي COBIT هستند | %60 | %60 |
4 | پرسنل تحت تاثير آموزش هايي درباره اسباب و اهداف فعاليت ديده اند. هيچ نظارتي اعمال نشده است. سند موجود است. فعاليت تحت بهبود مستمر است. ابزار خودكار به طور محدود و پراكنده استفاده ميشوند . | رابطه R يا A وجود دارد . حداقل %90 روابط در راستاي COBIT هستند | %90 | %90 |
5 | پرسنل تحت تاثير آموزش هايي درباره اسباب و اهداف فعاليت ديده اند . هيچ نظارتي اعمال نشده است . سند موجود است. ابزار خودكار به منظور بهبود كيفيت و اثربخشي فعاليت به طوور منسجم استفاده ميشوند. | رابطه R يا A وجود دارد . حداقل %100 روابط در راستاي COBIT هستند | %100 | %100 |
6- جامعه آماري وشيوه نمونهگيري
جامعه آماري اين تحقيق شامل يازده بانك دولتي كشور ميباشد و با توجه به اينكه در اين تحقيق بحث اندازه گيري بلوغ حاكميت فنّاوري اطلاعات درسطح سازمان ميباشد جامعه آماري متشكل از مديران ارشد سازمان، مديران ارشد بخش كسب وكار سازمان ،مديران ارشد بخش فنّاوري اطلاعات ،مديران عملياتي فنّاوري اطلاعات، و كاربران فنّاوري اطلاعات دريازده بانك دولتي ميباشد.
نمونه آماري در اين تحقيق از رويكردي غيراحتمالي و با شيوهاي غيرتصادفي از ميان جمعيت انتخاب شده اند. در اين مطالعه، نمونهگيري سهميه اي با جامعه آماري 11 بانک دولتي در هر طبقه مورد استفاده قرار گرفته است.
7- جمع آوري اطلاعات
در اين قسمت وظيفه مديريت فنّاوري اطلاعات در بانكهاي متفاوت شناسايي شد. با كمك مدير فنّاوري اطلاعات سازمان، وظايف متفاوت ITOMAT پاسخ دهندگان در بانكها شناسايي شد. سپس، مدير فنّاوري اطلاعات با كمك رهنمودهاي COBIT ، 34 فرآيند را ميان وظايف گوناگون بر اساس شايستگي افراد در پاسخگويي به سؤالاتِ فرآيندهاي خاص COBIT تقسيم نمود [21]. جدول4، وظايف ITOMAT كه مورد مصاحبه قرار گرفته اند و شمار كل مصاحبههاي انجام شده در هر بانك را نشان ميدهد.
8- ابزار گردآوري وتحليل اطلاعات
دو شيوه اغلب رايج كه در تحقيقات علمي مورد استفاده قرار مي گيرند، شيوههاي كمي و كيفي هستند. بنا به گفته پروفسور سيگموند گرونمو1 ، شيوههاي كمي و كيفي مكمل يكديگرند و به ندرت همديگر را ناديده مي گيرند. او تأكيد ميکند هيچ يك از دو شيوه بهتر يا علمي تر از ديگري نيستند[5]. هر دو شيوه كمي و كيفي فوايد و مضرات خود را دارند و ميتوانند در يك مطالعه مورد استفاده قرار گيرند[15،21].
در اين مطالعه، هر دو رويكرد كمي و كيفي براي دستيابي به فهمي بهتر با يكديگر تركيب شده اند. اين عمل در دو مرحله انجام مي گيرد؛ درمرحله ي اول، رويكرد كمي براي گردآوري اطلاعات از طريق مصاحبههاي شخصي بوسيله مدل سازي سازمان فنّاوري اطلاعات و ابزار ارزيابي آنITOMAT مورد
جدول 4: وظايف ITOMAT و تعداد مصاحبه شدگان هر بانك
نام بانك | مدير اجرايي | مديريت كسب وكار | مديريت IT | عملكردي IT | كاربري | شمار مصاحبهها |
مسكن | * | * | * | * | * | 5 |
ملي ايران | - | * | * | * | * | 4 |
ملت | * | * | * | * | * | 5 |
كشاورزي | * | * | * | * | * | 5 |
صادرات ايران | * | * | * | * | * | 5 |
سپه | * | * | * | * | * | 5 |
رفاه | - | * | * | * | * | 4 |
توسعه صادرات | * | * | * | * | * | 5 |
تجارت | * | * | * | * | * | 5 |
پست بانك | * | * | * | * | * | 5 |
صنعت و معدن | * | * | * | * | * | 5 |
استفاده قرار گرفت. سپس، رويكردي كيفي با مصاحبههاي شخصيِ رايج مورد استفاده قرار گرفت و سعي بر آن شد نتايج مرحله اول تحليل شود[21].
9- ارزيابي اعتبار و اطمينان مطالعه
در اين تحقيق، ITOMAT به عنوان ابزار ارزيابي بلوغ حاكميت فنّاوري اطلاعات كه بر الگوي بلوغ COBIT استوار است، مورد استفاده قرار گرفته است و از آنجا كه خود ITOMAT بر COBIT استوار است، اعتبار ساخت براي اين تحقيق مناسب است[21].
10- يافتههاي تحقيق
همانطور كه در نمودار شماره3 نشان داده شده بالاترين ميزان بلوغ حاكميت فنّاوري اطلاعات مربوط به بانك كشاورزي با ميزان بلوغ(1.83) و كمترين ميزان بلوغ مربوط به پست بانك ايران با ميزان بلوغ(1.44) ميباشد.
نمودار4، نتايج هر حوزه و ميانگين بلوغ حاكميت فنّاوري اطلاعات را براي بانكهاي دولتي نشان ميدهد. ميانگين بلوغ حاكميت فنّاوري اطلاعات در بانكهاي دولتي در ايران(1.60) ميباشد كه از وضعيت مناسبي برخوردار نميباشد.
[1] .Sigmund Gronmo
نمودار3: مقايسه بلوغ حاكميت IT در بانكهاي دولتي
نمودار4: بانكهاي دولتي نتايج هرحوزه و ميانگين بلوغ حاكميت فنّاوري اطلاعات
نمودار5: بانكهاي دولتي و نتايج هر فرايند
همانطور كه در نمودار4 مشاهده ميشود حوزه نظارت و ارزيابي(ME) داراي بالاترين بلوغ فرايندي ميباشد. اين حوزه به مديريت ونظارتِ وكنترل فرآيندهاي سازمان و تضمين مستقل كه بوسيله حسابرسي داخلي و خارجي فراهم ميشود، ميپردازد. بلوغ بالاي حوزه نظارت و ارزيابي (ME) بيشتر به دليل نظارت مستمر بانك مركزي و ساير نهاد هاي نظارتي برعملكرد بانكهاي دولتي ميباشد و بانكها بايد از قوانين و مقرارت تصويب شده توسط مراجع فوق تبعيت كنند.وظايف اجرايي بانكهاي دولتي عامل ديگري است كه برحوزه نظارت و ارزيابي تأثير ميگذارد، بدين معني كه اعتبار و تصور عمومي از يك بانك دولتي بسيار با اهميت ميباشد.
نمودار5 نتايج هرحوزه را به تفكيك زير فرايندها نشان ميدهد . همانطور كه مشاهده ميشود بالاترين بلوغ فرايندي مربوط به فرايند(PO1) تعريف طرح استراتژيك فنّاوري اطلاعات ميباشد كه نشان دهنده رويكرد جديد بانكهاي دولتي و توجه مديران اين سازمانها به مزاياي حاصل از بكار گيري فنّاوری اطلاعات و ارتباطات در بانكها تحت عنوان بانكداري الكترونيك ميباشد.دو فرايند(PO9) و(PO10) داراي پائينترين بلوغ فرايندي ميباشند.فرايند (PO9) مربوط به پيشرفت، حفظ امنيت و فرايندهاي امنيتي فنّاوري اطلاعات است اين فرآيند، احتمال و اثر تداخل خدمات اصلي فنّاوري اطلاعات در اعمال و فرآيندهاي اصلي كسب وكار را به حداقل مي رساند. هدف (PO10)، نظارت و ارزيابي كنترل پروژههاي فنّاوري اطلاعات در بانكهاي دولتي ميباشد. نوع فرهنگ، بروكراسي اداري و همچنين عدم رويكرد به برونسپاري به بخش خصوصي باعث عدم مديريت صحيح بر پروژههاي فنّاوري اطلاعات را فراهم آورده است. شايد بتوان بلوغ پايين فرآيندهاي (PO9) و(PO10) را بوسيله نوع حكمراني و نوع نظارت در بانكهاي دولتي توضيح داد.
ميتوان ريشه تفاوت در بلوغِ فرآيندهاي ارزيابي و مديريت خطرات فنّاوري اطلاعات ،(PO9)و تضمين امنيت سيستم (DS5) را در الگوهاي كاري بانكها جستجو كرد. بر اساس وظايف كاري، بانكها بر پايه خطرات عمل ميکنند و خطرات، درون ساز الگوي كاري هستند. بنابراين، بانكها به اعتماد و حسن نيت وابسته هستند[21]. اگر سيستمهاي فنّاوري اطلاعات ايمن نباشند، اين امر ميتواند به فقدان اعتبار و اعتماد عمومي منجر شود.
11- نتيجهگيري وپيشنهادات
نتايج تحقيق حاكي از آن است كه سطح بلوغ يافتگي حاكميت فنّاوري اطلاعات در بانكهاي دولتي از وضعيت مناسبي برخوردار نميباشد و بانكهاي دولتي داراي تفاوت زيادي در بلوغ حاكميت فنّاوری اطلاعات با يكديگر ميباشند، كه نشان ميدهد، بانكهاي دولتي به واسطه نوع ساختار حكمراني ضرورت اتحاد استراتژيك بين كسب وكار با فنّاوري اطلاعات را براي ايجاد مزيت رقابتي و كسب سهم بازاريبيشتر احساس ننمودهاند.
منبع اصلي در بانكهاي دولتي تصور عمومي و اعتماد مشتريان به سازمان است. ماهيت نظام بانكي به نحويست كه بانكها مستقيماً به سمت جامعه به عنوان مشتريان خود متمايل ميشوند. همچنين عامل مهم ديگر در بانكها ، تغيير رفتار مشتريان است. امروزه، اكثر مشتريان، تنها از خدمات بانكداري الكترونيك ازجمله اينترنت بانك، موبايل بانك، دستگاههاي خود پرداز(ATM)، پايانههاي فروش(POS) و... استفاده ميکنند. خدماتي كه بانكها ارائه ميکنند به طور مستمر توسط مشتريان استفاده ميشود و مشتريان تنها به استفاده از اين خدمات ارائه شده تكيه ميکنند. اگر ارائه خدمات كارآيي لازم را نداشته باشند، مشتريان اعتماد خود را به بانكها از دست ميدهند كه اين امر به فقدان حسن نيت و اعتماد عمومي به بانكها منجر خواهد شد. اين امر به خاطر ارزش زماني پول است كه نه تنها باعث ميشود بانك در زمان عملكرد نامناسب سيستمها، پول خود را از دست دهد بلكه باعث ميشود مشتريان را نيز از دست بدهد[21]. بنا به گفته مديران فنّاوري اطلاعات، مشترياني كه پول خود را به خاطر نقص سيستم بانكي ازدست دادهاند، به سختي ميتوانند اعتماد از دست رفته خود را بازيابند. اين موضوع تا حدي ميتواند تفاوت بلوغ در فرآيند تضمين خدمات مستمر (DS4) را توضيح دهد.
فرآيندهاي نظارت و ارزيابي كنترل داخلي (ME2) وتضمين پيروي نظارتي(ME3) تفاوتهاي بلوغ بالايي را در ميان بانكها نشان ميدهند. به طور كلي، بانكها تحت نظارت دائم بانك مركزي هستند و انطباق با قوانين و مقررات موجود بسيار مهم است. بنابراين، برخورداري از كنترل داخلي مناسب، نه تنها به خاطر تقاضاي مقرارات و قوانين نظارتي بانك مركزي است بلكه به خاطر تضمين عدم فقدان اعتماد و حسن نيت عمومي، ضروري است و به رغم آنچه پيش از اين گفته شد، اعتبار منبع اصلي بانكهاست؛ كه اين مسئله با توجه به نوع حاكميت و بروكراسي اداري در بانكهاي دولتي داراي بلوغ بيشتري ميباشد.
مراجع
[1] Bird, F., 2001. Good governance: A philosophical discussion of the responsibilities and practices of organizational governors, Canadian Journal of Administrative Sciences, Vol.18, No.4, p.298-311.
[2] Brown, E.A. & Grant G.G., 2005. Framing the frameworks: A review of IT governance research, Communications of the Association for Information Systems, Vol. 15, p.696-712. Bryman, A., 2002. Samhällsvetenskapliga metoder, Liber ekonomi.
[3] Damianides, M., 2005. Sarbanes-Oxley and IT governance: new guidance and IT control and compliance, IS Management, Vol. 22, No. 1, p. 77-85.
[4] Gill, M., 2002. Corporate Governance after Enron and World Com: Applying Principles of Results-Based Governance, Proceedings of Insight Conference on Corporate Governance, Calgary, Synergy Associates, Inc.
[5] Grembergen, V.W., Haes D.S. & Guldentops, E., 2004. Structures, Processes and Relational Mechanisms for IT Governance, In Grembergen, V.W. (Ed.), Strategies for Information Technology Governance, Idea Group Publishing.
[6] Guldentops, E., 2004. Governing Information Technology through COBIT, In Grembergen, V.W. (Ed.), Strategies for Information Technology Governance, Idea Group Publishing.
[7] Haes D.S. & Grembergen, V.W., 2008. Analysing the Relationship Between IT Governance and Business/IT Alignment Maturity, Proceedings of the 41st Hawaii International Conference on System Sciences.
[8] ITGI, 2006. IT Governance Global Status Report– 2006. IT Governance Institute.
[9] ITGI, 2007. COBIT 4.1, IT Governance Institute.
[10] itSMF, 2006. Frameworks for IT Management, The IT Service Management Forum.
[11] itSMF, 2007(a). IT Service Management Based on ITIL V3 – A Pocket Guide, The IT Service Management Forum.
[12] itSMF, 2007(b). IT Governance based on COBIT 4.0 – A Management Guide, The IT Service Management Forum.
[13] Lee, C-H., Lee, J-H., Park, J-S. & Jeong K-Y., 2008. A Study of the Causal Relationship between IT Governance Inhibitors and Its Success in Korea Enterprises, Proceedings of the 41st Hawaii International Conference on System Sciences.
[14] Peterson, R.R., 2004. Integration Strategies and Tactics for Information Technology Governance, In Grembergen, V.W. (Ed.), Strategies for Information Technology Governance, Idea Group Publishing.
[15] Ridley, G., Young, J. & Carroll P., 2004. COBIT and its Utilization: A framework from the literature, Proceedings of the 37th Hawaii International Conference on System Sciences.
[16] Simonsson, M. & Johnson, P., 2008. The IT organization modeling and assessment tool: Correlating IT governance maturity with the effect of IT, Proceedings of the 41st Hawaii International Conference on System Sciences.
[17] Webb, P., Pollard, C. & Ridley, G., 2006. Attempting to Define IT Governance: Wisdom or Folly?, Proceedings of the 39th Hawaii International Conference on System Sciences.
[18] Weill, P. & Ross, J.W., 2000. IT Governance – How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press.
[19] Weill, P., 2004. Don’t Just Lead, Govern: How Top-Performing Firms Govern IT, MIS Quarterly Executive, Vol. 3, No. 1, p. 1-17.
[20] Yayla, A.A. & Hu, Q., 2008. Determinants of CIO Compensation Structure and Its Impact on Firm Performance, Proceedings of the 41st Hawaii International Conference on System Sciences.
[21] Mirbaha, Michael,2008, IT Governance in Financial Services and Manufacturing,Industrial Information and Control Systems at the Royal Institute of Technology.
[22] Sallé, M., 2004. IT Service Management and IT Governance: Review, Comparative Analysis and their Impact on Utility Computing, HP Labs Technical Report HPL-2004-98.