رقم المقالة : 202005081284 زيارة : 12206 الصفحة: 55 - 65

نوع المخطوط: المحکّمة

چارچوب COBIT ابزاری مناسب برای اندازه گیری بلوغ حاکمیت فنّاوری اطلاعات در سازمانها (مطالعه موردی بانکهای دولتی در ایران)

الموضوعات :

مجتبي رئيس صفري ¹ , مهدي غضنفری ² , محمد فتحیان ³

1 - دانشگاه شیراز
2 - دانشگاه علم و صنعت
3 -

تاريخ الإرسال : 07 الأحد , شعبان, 1434 تاريخ الإصدار : 11 الجمعة , ربيع الأول, 1441

الکلمات المفتاحية: حاکمیت فنّاوری اطلاعات, چارچوب COBIT , بانکهای دولتی,

ملخص المقالة :

امروزه فنّاوری اطلاعات یک بخش مهم واستراتژیک در توسعه کسب وکار و افزایش قدرت رقابتی بانکها می‌باشد و حاکمیت فنّاوری اطلاعات بخش مهمی از حاکمیت در بانکهاست. نقش کلیدی فنّاوری اطلاعات در رشد و توسعه بانکها بر مدیران ارشد ،پوشیده نیست آنچه که لازم است با دقت مورد توجه قرار گیرد همسویی استراتژیک فنّاوری اطلاعات و کسب وکار دربانکها ست که هدف اولیه حاکمیت فنّاوری اطلاعات می‌باشد. نتایج تحقیق نشان داده است که میانگین بلوغ حاکمیت فنّاوری اطلاعات در بانکهای دولتی (1،60) است. میزان بلوغ یافتگی دربکارگیری موثر فنّاوری اطلاعات و تطبیق استراتژی‌های کسب کار با استراتژی‌های فنّاوری اطلاعات در بانکهای دولتی از شرایط مناسبی برخوردار نمی‌باشد. نوع حاکمیت در بانکهای دولتی به سبب غیر رقابتی بودن صنعت بانکی در ایران و اعمال قوانین دستوری بر نظام بانکی باعث شده است بانکهای دولتی به ضرورت بکارگیری تجارت الکترونیک در فضای کسب وکار خود به عنوان یک ابزار استراتژیک توجه معطوفی نکنند

المصادر:

نص كامل:

فصلنامه علمي-پژوهشي

فنّاوري اطلاعات و ارتباطات ایران

سال اول، شماره‌هاي 1و 2، پاييز و زمستان 1387

صص: 55- 65

$E:\E Drive\logo\iicta Logo0.JPG$

چارچوب COBIT ابزاري مناسب براي اندازه گيري بلوغ حاكميت فنّاوري اطلاعات در سازمانها (مطالعه موردي بانكهاي دولتي در ايران)

مهدي غضنفري* محمد فتحيان* مجتبي رئيس صفري**1

*دانشكده مهندسي صنايع، دانشگاه علم وصنعت ایران

**دانشكده‌ي فناوري اطلاعات، دانشگاه شیراز

چکيده¹

امروزه فنّاوري اطلاعات يك بخش مهم واستراتژيك در توسعه كسب وكار و افزايش قدرت رقابتي بانكها مي‌باشد و حاكميت فنّاوري اطلاعات بخش مهمي از حاكميت در بانكهاست. نقش كليدي فنّاوری اطلاعات در رشد و توسعه بانكها بر مديران ارشد ،پوشيده نيست آنچه كه لازم است با دقت مورد توجه قرار گيرد همسويي استراتژيك فنّاوری اطلاعات و كسب وكار دربانكها ست که هدف اوليه حاكميت فنّاوري اطلاعات می‌باشد.

نتايج تحقيق نشان داده است كه ميانگين بلوغ حاكميت فنّاوري اطلاعات در بانكهاي دولتي (1،60) است. ميزان بلوغ يافتگي دربكارگيري موثر فنّاوری اطلاعات و تطبيق استراتژي‌هاي كسب كار با استراتژي‌هاي فنّاوري اطلاعات در بانكهاي دولتي از شرايط مناسبي برخوردار نمي‌باشد. نوع حاكميت در بانكهاي دولتي به سبب غير رقابتي بودن صنعت بانكي در ايران و اعمال قوانين دستوري بر نظام بانكي باعث شده است بانكهاي دولتي به ضرورت بكارگيري تجارت الكترونيك در فضاي كسب وكار خود به عنوان يك ابزار استراتژيك توجه معطوفي نكنند.

کليد واژگان‌: حاكميت فنّاوری اطلاعات، چارچوب COBIT ،بانكهاي دولتي

1- مقدمه

در اوايل دهه 60، محققين مشغول بررسي و پرداختن به مفاهيم بنيادين حاكميت فنّاوري اطلاعات بودند، اما اين موضوع تنها در پايان دهه 90 در آن هنگام كه نوشته‌هايي در مورد چارچوب حاكميتي سيستم‌هاي اطلاعاتي و بعدها چارچوب حاكميت فنّاوري اطلاعات عرضه شد، رفته رفته و به طور چشمگيري در ادبيات دانشگاهي براي خود جايي پيدا كرد [2]. به دليل محيط كاري پويا و رقابتي دنياي امروز و در جائيكه شركتها 5-3 درصد درآمد ساليانه‌ي خود را صرف فنّاوري اطلاعات مي‌كنند تا رقابتي باقي بمانند، حاكميت فنّاوري اطلاعات خوب، يك بايد و نه يك شايد به شمار ميرود[17، 21].

درسال 2006، مؤسسه حاكميت فنّاوري اطلاعات نظر سنجياي جهاني با حضور 695 سازمان انجام داد. بر اساس اين نظرسنجي، 87 درصد شركت كنندگان بر اين باور بودند كه فنّاوري اطلاعات براي بيان ديدگاه و استراتژي كاري آنان لازم است [8 ،21].

تحقيقات نشان مي‌دهد شركتهايي كه در سطح بالا فعاليت ميكنند به ميزان 40 درصد بيشتر از رقباي خود در سرمايه‌گذاري‌هاي فنّاوري اطلاعات سود به دست ميآورند. اين مطالعات همچنين نشان ميدهد شركتهايي با حاكميت فنّاوري اطلاعات بيش از حد معمول كه استراتژي خاص و مشابهي مانند صميميت با مشتري را دنبال مي‌كنند سودي بيش از 20 درصد را در مقايسه با شركتهايي با حاكميت فنّاوري اطلاعات ضعيف كه استراتژي مشابهي را دنبال مي‌كنند دارا هستند[18،21].

از مهمترين اهداف بکارگيری گسترده فنّاوری اطلاعات در سازمانها و بنگاهها افزايش قدرت رقابتی در بازار می‌باشد.يکی از بسترهای مهم برای کسب مزایای رقابتي حاصل از سرمايه گذاری در بخش فن آوری اطلاعات و ارتباطات در امور تجاری و تحقق اهداف تجارت الکترونيک، اتحاد استراتژیک بخش کسب وکار با بخش فنّاوري اطلاعات درسازمان می‌باشد. همراستايي استراتژي‌هاي كسب وكار با استراتژيهاي فنّاوري اطلاعات درسازمان امكان توسعه كسب وكار بنگاه را از طريق ايجاد پتانسيل‌ها و استفاده از فرصتهاي جديد محيط كسب وكار، فراهم مي آورد.به دليل افزايش پيچيدگي محيط كسب وكار، روشهاي سنتي مديريت فنّاوری اطلاعات در بانكها، امروزه خود به گلوگاه توسعه سازمان تبديل شده است از اين رو، مهمترين چالش پيش روي مديران ارشد بانكها ويكي از حياتي‌ترين فاكتورهاي موفقيت، انتخاب و پياده‌سازي مدل مناسب مديريت و حاكميت فنّاوری اطلاعات دربانكها مي‌باشد.

موارد ارائه شده، نيازمند توجه خاص به حاكميت فنّاوري اطلاعات را تبيين ميكند و اين امر مستلزم تضمين آن است كه سرمايه‌گذاري در فنّاوري اطلاعات سود آوري لازم را ايجاد كند و خطرات همراه با آن را كاهش دهد [5]. براي اجراي حاكميت فنّاوري اطلاعات مؤثر، بانكها نياز دارند عملكرد كنوني خود را مورد ارزيابي قرار دهند و مي‌بايست تشخيص دهند اصلاحات كجا و چگونه محقق مي‌شوند. استفاده از الگوهاي بلوغ اين كار را بسيار ساده مي‌كند و رويكردي سازمان‌يافته‌اي براي سنجش چگونگي توسعه يك فرآيند حاكميت فنّاوري اطلاعات و فرآيندهاي به كار گرفته شده در فنّاوري اطلاعات را در مقايسه با مقياسي ثابت به دست مي‌دهد[6]. همچنين الگوهاي بلوغ مي‌توانند ابزاري جامع براي محك زدن بانكها طي زمان و در مقايسه با ديگر بانكها با اندازه‌هاي خاص و در بخش‌ها و وضعيت‌هاي خاص باشند[5].

با توجه به توسعه تجارت الكترونيك دركشور و همچنين فراگيرشدن بانكداري الكترونيك اين سوال مطرح مي‌شود كه آيا بانكهاي دولتي كشور نسبت به نقش فنّاوری اطلاعات و ارتباطات وتوسعه بانكداري الكترونيك داراي يك رويكرد استراتژيك يكسان هستند؟ آيا توانسته‌اند استراتژيهاي فنّاوري اطلاعات را با استرا تژي‌هاي كسب كار سازمان خود منطبق نمايند؟

لذا براساس اين سؤال دراين تحقيق قصد داريم ضمن اندازه گيري بلوغ حاكميت فنّاوري اطلاعات در بانكهاي دولتي ايران وتحليل نتايج بدست آمده با استفاده از چارچوب COBIT به مقايسه و بررسي تفاوت بلوغ بانكهاي دولتي كشور درتطبيق استراتژي‌هاي كسب وكار با استراتژي‌هاي فنّاوری اطلاعات بپردازيم.

2- چارچوب نظري تحقيق

2-1- حاكميت فنّاوری اطلاعات

حاكميت فنّاوري اطلاعات با بهره‌گيري از اطلاعات و از طريق بكارگيري فنّاوري، به عنوان عامل مهم موفقيت در دستيابي به اهداف شركت شناخته شده است و اين موضوع كه منافع ايجاد شده بوسيله سرمايه‌گذاري‌هاي سازماني فنّاوري اطلاعات ، كه مستقيماً تحت تأثير فنّاوري اطلاعات هستند به‌طور گسترده‌اي پذيرفته شده است[15،17]. همانطور كه پيش از اين گفته شد، مطالعات نشان مي‌دهند شركتهايي با حاكميت فنّاوري اطلاعات بيش از حد متوسط كه استراتژي خاصي را دنبال مي‌کنند درمقايسه با شركتهايي با حاكميت فنّاوري اطلاعات ضعيف كه همان استراتژي را دنبال مي‌کنند، بيش از 20 درصد سوددهي دارند[19]. مي‌توان اهميت حاكميت فنّاوري اطلاعات را از طريق هزينه‌هاي چشمگير و درحال افزايش فنّاوري اطلاعات مورد تأكيد قرار داد. گزارشات نشان مي‌دهند كه فنّاوري اطلاعات حدود 75 درصد بودجه عملياتي و تقريباً 4 درصد درآمد ناخالص را تشكيل مي‌دهد. امروزه، ناكامي يا نقض فنّاوري اطلاعات مي‌تواند باعث ضرر مالي چشمگير يا توسعه موضوعات و خطرات قانوني جدي براي يك سازمان شود[17]. تحليل ناكامي‌هاي زيانبارِ ابتكارات فنّاوري اطلاعات نشان دهنده حاكميت ضعيف و فقدان راهنمايي براي كساني است كه وظيفه شان كنترل خطرات همراه با دستيابي به منافع و ارزش ناشي از سرمايه‌گذاريهاي فنّاوري اطلاعات است [8] مطالعات نشان مي‌دهند سازمانهاي بزرگ، 50 درصد از سرمايه‌گذاري اصلي خود يعني پول استفاده شده براي خريد دارايي هاي ثابت را در فنّاوري اطلاعات سرمايه‌گذاري مي‌کنند [15،21].

2-2- مفاهيم و تعاريف

ادبيات حاكميت فنّاوري اطلاعات شامل گستره‌اي از تعاريف است كه بسته به ديد محقق به طور قابل ملاحظه‌اي متفاوت هستند [17]. اگرچه تعاريف حاكميت فنّاوري اطلاعات متفاوت هستند اما همگي آنها به موضوعات مشابهي مانند اتحاد فنّاوري اطلاعات با كسب وكار توجه دارند[5]. برخي از تعاريف حاكميت فنّاوري اطلاعات در زير آمده است:

1- مشخص كردن حق تصميم وچارچوب پاسخگويي براي ترغيب پاسخ مطلوب در استفاده از فنّاوري اطلاعات [18].

2- امكانات سازماني به كار گرفته شده از سوي هيئت مديره، مديريت اجرايي و مديريت فنّاوري اطلاعات براي كنترل نمودن تشكيل و اجراي استراتژي فنّاوري اطلاعات و از اين طريق تضمين كردن ادغام استراتژيهاي كسب وكار و فنّاوري اطلاعات است [5].

3- در اين تحقيق، تعريف حاكميت فنّاوري اطلاعات در راستاي تعريف ارائه شده از سوي مؤسسه حاكميت فنّاوري اطلاعات مي‌باشد كه در آن حاكميت فنّاوري اطلاعات مسئوليت مديران و هيئت مديره است و شامل رهبري، ساختارهاي سازماني و فرآيندهايي است كه تضمين مي‌کند فنّاوري اطلاعات شركت، استراتژي‌ها و اهداف سازمان را ادامه و گسترش مي‌دهد [9].

2-3- تفاوت ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات

نمودار1، تفاوت ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات را نشان مي‌دهد. حوزه مديريت به ميزان خدمات و محصولات مؤثر وكارآمدِ فنّاوري اطلاعات و مديريت فعاليتهاي آن توجه دارد. در نتيجه، حاكميت فنّاوري اطلاعات گستردهتر است و به مشاركت در ارائه فعاليتهاي كاري و عملكرد مي پردازد (توجه دروني) درحاليكه به انتقال و استقرار فنّاوري اطلاعات براي مواجهه با چالش هاي آتي كار توجه دارد (توجه بيروني). بنابراين، حاكميت فنّاوري اطلاعات هم درون گراست و هم برون گرا و چارچوب هاي زماني حال و آينده را تعيين مي‌کند [21].

ارتباط ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات مي‌تواند ديدگاهي نظري شكل دهد و مي‌تواند مانند تصوير1 طرحريزي شود.

جهت گيري زماني

نمودار1: ارتباط حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات [5]

تصوير1: الگوي نظري ومدل مفهومي ارتباط ميان حاكميت فنّاوري اطلاعات و مديريت فنّاوري اطلاعات. [22]

2-4- چارچوبهاي متفاوت براي حاكميت فنّاوري اطلاعات

در سالهاي اخير، چارچوبهاي گوناگوني با هدف تعريف، ارزيابي و بهبود كنترل داخلي سازمانها منتشر شده است. [15] اين چارچوبها همچنين به مديران در كارهاي برآورد و نظارت عملكرد و كارآيي فنّاوري اطلاعات كمك مي‌کنند[17]. بخشهاي زير، ديدي كلي درمورد چارچوبهاي شناخته شده فراهم مي‌کنند.

استانداردهاي ISO توسط سازمان بين المللي استانداردسازيISO رسيدگي و بوسيله مجموعه‌هاي اعتبارنامه اي و گواهينامه اي داخلي به مورد اجرا گذاشته مي‌شوند. ISO شبكه اي متشكل از 157 كشور است كه استانداردهاي بين‌المللي را كنترل و سيستم را هماهنگ مي‌کند؛ دبيرخانه ISO در ژنو واقع در كشور سوئيس است². استانداردهاي ISO انواع متفاوتي دارند كه به طور گسترده اي توسط ارائه دهندگان خدمات فنّاوري اطلاعات استفاده مي‌شوند؛ISO 9000 ، ISO/IEC 20000 وISO 27001. اين استانداردها شامل موارد زيرمي‌باشد [21].

1- سيستم‌هاي مديريت كيفيت (ISO 9000)

2- استاندارد مديريت خدمات فنّاوري اطلاعات
(ISO/IEC 20000)

3- سيستمهاي مديريت امنيت اطلاعات (ISO 27001)

4- مديريت خطر (M-o-R)

5- استاندارد استراليا براي حاكميت شركتي فنّاوری اطلاعات (AS 8015-2005)

6- كتابخانه زيربنايي فنّاوري اطلاعات (ITIL V.3)

7- چهارچوب (COBIT 4.1)

2-5- چارچوب COBIT 4.1

"كنترل اهداف اطلاعات و فنّاوري"چارچوبي است كه به منظور كنترل عملكرد فنّاوري اطلاعات طراحي شده است. اين چارچوب در ابتدا بوسيله بنياد كنترل و حسابرسي سيستمهاي اطلاعاتي³ كه مؤسسه تحقيقاتيِ انجمن كنترل و حسابرسي سيستم‌هاي اطلاعاتي⁴ است توسعه يافت، اما بعدها به مجموعهاي مستقل با نام مؤسسه حاكميت فنّاوري اطلاعات⁵ در داخل مؤسسه تحقيقاتيِ انجمن كنترل و حسابرسي سيستم‌هاي اطلاعاتي تبديل شد. مدل كنوني COBIT 4.1 در سال 2007 منتشر شد. ITGI بيان مي‌دارد " چارچوب COBIT الگوي فرآيندي در سطح بالاست كه دامنه وسيعي از فعاليتهاي فنّاوري اطلاعات در 34 فرآيند را سازماندهي مي‌کند". COBIT ساختاري واحد براي اجرا، فهم و ارزيابي عملكرد، خطرات وقابليتهاي فنّاوري اطلاعات با هدف ابتداييِ برآوردن نيازهاي كاري را فراهم مي‌کند [21].

زمينه‌هاي مورد توجه حاكميت فنّاوري اطلاعات به توضيح موضوعاتي مي پردازد كه مديريت اجرايي سازمان براي كنترل فنّاوري اطلاعات نياز به رسيدگي آنها دارد.تصوير2 زمينه‌هاي مورد توجه كه بوسيله ITGI در

تصوير2: حوزه‌هاي مورد توجه حاكميت فنّاوري اطلاعات [9]

COBIT 4.1 گنجانده شدهاند تا فرآيندهاي COBIT را توضيح دهند، نشان مي‌دهد [1،21].

اصول اساسي چارچوب COBIT در مكعب COBIT نشان داده شده است تصوير3. منابع فنّاوري اطلاعات بوسيله فرآيندهاي فنّاوري اطلاعات كنترل مي‌شوند تا به اهدافي كه به شرايط كاري پاسخ مي‌دهند دست يابند[9].

COBIT، 34 فرآيند فنّاوري اطلاعات را كه عموماً بوسيله سازمانها استفاده مي‌شوند را شناسايي كرده است، اگرچه اين فرآيندها در صورت نياز مي‌توانند بوسيله سازمان با يكديگر تركيب شوند و نيازي به اعمال همگي آنها نيست. اين فرآيندها به چهار بخش متمايز اما با حوزه‌هايي مرتبط تقسيم شدهاند. اين حوزه‌ها عبارتند از: طراحي و سازمان دهي(PO)، اكتساب و اجرا (AI)، تحويل وحمايت (DS) و نظارت و ارزيابي (ME)(جدول1) [1،21].

تصوير3: مكعب COBIT[9]

الگوي بلوغ COBIT بر شيوه ارزيابي سازمان استوار است، بنابراين مي‌توان آن را از سطح بلوغ موهوم (0) تا سطح بلوغ بهينه (5) برآورد كرد. COBIT تعريفي كلي براي مقياس بلوغ و الگويي خاص براي هر يك از 34 فرآيند COBIT دارد. استفاده از الگوهاي بلوغ براي هر يك از فرآيندها، به مديريت اين امكان را مي‌دهد كه عملكرد واقعي سازمان، جايگاه كنوني صنايع، هدف سازمان براي بهبود و راه رشد مورد نياز ميان جايگاه كنوني و جايگاهي كه بايد در آن باشند را شناسايي كند. اين موضوع در نمودار2 نشان داده شده است[9،21].

[1] 1. نویسنده عهدهدار مکاتبات (mgrd81@gmail.com)

[2] .http://www.iso.org

[3] .Information Systems Audit and Control
Foundation (SACF)

[4] .Information Systems Audit and Control
Association ( ISACA)

[5] .IT Governance Institute( ITGI)

جدول1: فرايند COBIT

طراحي و سازماندهي(PO)	تحويل و حمايت(DS)
PO1 تعريف طرح استراتژيك IT PO2 تعريف ساختار اطلاعات PO3 تعيين گرايش تكنولوژيكي PO4 تعريف فرآيندهاي IT ، سازمان ‌و روابط PO5 مديريت سرمايه‌گذاري IT PO6 انتقال اهداف وگرايش مديريت PO7 مديريت منابع انساني PO8 مديريت كيفيت PO9 ارزيابي و مديريت خطوط IT PO10 مديريت پروژه‌ها	DS1 تعريف و مديريت سطوح خدمات DS 2 مديريت خدمات شخص ثالث DS 3 مديريت عملكرد و قابليت DS 4 تضمين خدمات مستمر DS 5 تضمين امنيت سيستم‌ها DS 6 شناسايي و اختصاص هزينه‌ها DS 7 آموزش استفاده كنندگان DS8 مديريت حوادث و اطلاعات خدمات DS9 مديريت تركيب DS10 مديريت مشكلات DS11 مديريت اطلاعات DS12 مديريت محيط فيزيكي DS13 مديريت كاربردها
اكتساب و اجرا(AI)	نظارت و ارزيابي(ME)
AI1 شناسايي راهكارهاي خودكار AI 2 اكتساب و حفظ نرم افزار اجرايي AI 3 اكتساب و حفظ زيربناي فنّاوري AI 4 ممكن ساختن كاربرد و AI 5 استفاده بدست آوردن منابع IT AI 6 مديريت تغييرات AI 7 استقرار و معتبر دانستن تغييرات	ME1 نظارت و ارزيابي عملكرد IT ME2 نظارت و ارزيابي كنترل داخلي ME3 تضمين تطبيق با شرايط خارجي ME4 فراهم آوردن حاكميت IT

نمودار2: نمايش نموداري الگوي بلوغ [9]

بايد خاطرنشان كرد كه هدف الگوي بلوغ COBIT ، ارزيابي سطح پايبندي به كنترل اهداف نيست. بنابراين، بلوغِ فرآيند مشابه عملكردِ فرآيند نيست [1،21].

3- مدلسازي سازمان فنّاوري اطلاعات و ابزار ارزيابي1¹

دراين مطالعه ازمدل‌سازي سازمان فنّاوري اطلاعات و ابزار ارزيابي آن ITOMAT استفاده شده است. ITOMAT بر چارچوب COBIT استوار است و ابزاري براي ارزيابي بلوغ حاكميت IT سازمان‌هاست. ITOMAT چهار پارامتر كلي با نام پارامترهاي داخلي دارد كه از چارچوب COBIT به ارث برده است. پارامترهاي داخلي عبارتند از: اجراي فعاليت، مسئوليتهاي محول شده، اسناد در جاي خود و نظارت پارامترها. اين پارامترها در زير توضيح داده شده اند [16،21].

1) اجراي فعاليت: بر اساس چارچوب COBIT ، ITOMAT براي هر فرآيند ، تمام فعاليتهايي را كه در آن گنجانده مي‌شوند، فهرست مي‌کند و ارزيابي بلوغ در سطح فعاليت را ممكن مي‌سازد.

2) مسئوليتهاي محول شده: همانطور كه در COBIT گفته شده است، روابط درITOMAT وظايف را با فرآيندها مرتبط مي سازد نه با فعاليتها. از اين گذشته، ITOMAT تنها پنج وظيفه دارد و همانطور كه درCOBIT گفته شده، اين وظايف، 19 وظيفه را دربر ميگيرند (جدول 2). يعني به جاي برنامه ريزيِ 19 وظيفه با حدود 200 فعاليت در COBIT ، ITOMAT پنج وظيفه با 34 فرآيند را برنامه‌ريزي مي‌کند.

3) اسناد در جاي خود: اسنادي كه نشان دهنده ورودي و خروجي در فرآيندهاي COBIT هستند در ITOMAT فهرست مي‌شوند. ITOMAT شمار اين اسناد را كه در جاي خود هستند اندازه‌گيري مي‌کند.

4) نظارت پارامترها: COBIT پيشنهاد مي‌کند كه پارامترها مي‌توانند براي نظارت پيشرفت هر فرآيند و بلوغ آن به كار روند و اين پارامترها در ITOMAT يكسان هستند.

ارزش بلوغ سازمان با درنظرگرفتن ارزش پارامتر داخلي تعيين مي‌شود (جدول3). همانطور كه در بالا گفته شد، ITOMAT با استفاده از الگوي بلوغ براي فرآيندهايي كه در COBIT تعريف شده است، ارزيابي بلوغ در سطح فعاليت (اجراي فعاليت) را ممكن ميسازد. سطوح بلوغ براي پارامترهاي مسئوليتهاي محول شده به تعداد روابط RACI كه براي هر فرآيند و وظيفه مشخص شده است و چگونگي اتحاد اين روابط بر اساس چيزي كه در COBIT گفته شده است بستگي دارد. براي پارامترهاي داخليِ اسناد در جاي خود و نظارت پارامترها، فرضيه خطيِ توجه COBIT به كميت در اسناد و نظارت پارامترها به عنوان مبنايي براي الگوي بلوغ استفاده مي‌شوند [16،21].

نمره بلوغ يك فرآيند به عنوان ميانگين بلوغ چهار پارامتر داخلي محاسبه مي‌شود. همچنين، بلوغ سازمان مي‌تواند به عنوان ميانگين بلوغ تمامي 34 فرآيند COBIT محاسبه شود.

4- اهداف تحقيق

هدف از اين تحقيق اندازه گيري و مقايسه بلوغ حاكميت فنّاوري اطلاعات يازده بانك بزرگ دولتي با استفاده ازچارچوب COBIT4.1 مي‌باشد.

1- اندازه گيري و مقايسه بلوغ حاكميت فنّاوري اطلاعات يازده بانك بزرگ دولتي ايران كه در اين تحقيق شركت داشته اند.

2- مقايسه وتحليل نتايج به دست آمده با استفاده از چارچوب COBIT

5- سوالات و فرضيات تحقيق

بر اساس اهداف تحقيق ميتوان سوال اصلي اين تحقيق را بدين صورت مطرح كرد:

آيا تفاوتي بين بلوغ حاكميت فنّاوري اطلاعات بانك هاي دولتي كشور در تطبيق استراتژي‌هاي كسب وكار با استراتژي‌هاي فنّاوری اطلاعات وجود دارد؟

فرضيه اصلي اين تحقيق نيز بدين صورت مطرح مي‌شود:

"بين بلوغ حاكميت فنّاوري اطلاعات بانك هاي دولتي كشور در تطبيق استراتژيهاي كسب وكار با استراتژي‌هاي فنّاوری اطلاعات تفاوت وجود دارد."

[1] 1.IT Organization Modeling and Assessment Tool
(ITOMAT)

جدول2: توزيع وظايف در ITOMAT[16]

وظيفه COBIT	وظيفه ITOMAT
هيئت مديره	مديران اجرايي
مامور اجرايي ارشد
مامور مالي ارشد
مدير اجرايي كار	کسب وكار
صاحب فرآيند كاري
مديريت ارشد كار
مامور ارشد اطلاعات	مديريت IT
طراح اصلي
پيشرفت اصلي
مامور مديريت برنامه
عملكرد هاي اصلي	عملكردهاي IT
استقرار تيم
اجراي اصليIT
اداره آموزش
مديران خدمات
مدير حوادث / اطلاعات خدمات
مدير تركيب بندي
مدير مشكلات
کاربران	پيروي، حسابرسي خطر و امنيت

جدول3: پارامترهاي داخلي ITOMAT (IM) براي ارزيابي بلوغ حاكميت فنّاوري اطلاعات (MI) [16]

سطح بلوغ داخلي	اجراي فعاليت	مسئوليت هاي محول شده	اسناد در جاي خود	نظارت فيزيك ها
0	هيچ آگاهي از اهميت موضوعات مرتبط با فعاليت در دست نيست. هيچ نظارتي اعمال نشده است. هيچ سندي وجود ندارد . هيچ عملي در راستاي بهبود فعاليت صورت نگرفته است.	هيچ رابطه وجود ندارد	%0	%0
1	مقداري آگاهي از اهميت موضوعات مرتبط با فعاليت در دست است. هيچ نظارتي اعمال نشده است . هيچ سندي وجود ندارد هيچ عملي در راستاي بهبود فعاليت صورت گرفته است.	رابطه R يا A وجود دارد	%20	%20
2	افراد اطلاعاتي درباره موضوعات مرتبط با فعاليت دارند و مطابق آن اعمالي را انجام مي‌دهند. هيچ نظارتي اعمال نشده است. هيچ سندي وجود ندارد. هيچ عملي در راستاي بهبود فعاليت صورت نگرفته است.	رابطه R يا A وجود دارد . حداقل %40 روابط در راستاي COBIT هستند	%40	%40
3	پرسنل تحت تاثير آموزشهايي درباره اسباب و اهداف فعاليت ديدهاند. هيچ نظارتي اعمال نشده است. سند موجود است هيچ عملي در راستاي بهبود فعاليت صورت نگرفته است.	رابطه R يا A وجود دارد . حداقل%60 روابط در راستاي COBIT هستند	%60	%60
4	پرسنل تحت تاثير آموزش هايي درباره اسباب و اهداف فعاليت ديده اند. هيچ نظارتي اعمال نشده است. سند موجود است. فعاليت تحت بهبود مستمر است. ابزار خودكار به طور محدود و پراكنده استفاده مي‌شوند .	رابطه R يا A وجود دارد . حداقل %90 روابط در راستاي COBIT هستند	%90	%90
5	پرسنل تحت تاثير آموزش هايي درباره اسباب و اهداف فعاليت ديده اند . هيچ نظارتي اعمال نشده است . سند موجود است. ابزار خودكار به منظور بهبود كيفيت و اثربخشي فعاليت به طوور منسجم استفاده مي‌شوند.	رابطه R يا A وجود دارد . حداقل %100 روابط در راستاي COBIT هستند	%100	%100

6- جامعه آماري وشيوه نمونهگيري

جامعه آماري اين تحقيق شامل يازده بانك دولتي كشور مي‌باشد و با توجه به اينكه در اين تحقيق بحث اندازه گيري بلوغ حاكميت فنّاوري اطلاعات درسطح سازمان مي‌باشد جامعه آماري متشكل از مديران ارشد سازمان، مديران ارشد بخش كسب وكار سازمان ،مديران ارشد بخش فنّاوري اطلاعات ،مديران عملياتي فنّاوري اطلاعات، و كاربران فنّاوري اطلاعات دريازده بانك دولتي مي‌باشد.

نمونه آماري در اين تحقيق از رويكردي غيراحتمالي و با شيوهاي غيرتصادفي از ميان جمعيت انتخاب شده اند. در اين مطالعه، نمونهگيري سهميه اي با جامعه آماري 11 بانک دولتي در هر طبقه مورد استفاده قرار گرفته است.

7- جمع آوري اطلاعات

در اين قسمت وظيفه مديريت فنّاوري اطلاعات در بانكهاي متفاوت شناسايي شد. با كمك مدير فنّاوري اطلاعات سازمان، وظايف متفاوت ITOMAT پاسخ دهندگان در بانكها شناسايي شد. سپس، مدير فنّاوري اطلاعات با كمك رهنمودهاي COBIT ، 34 فرآيند را ميان وظايف گوناگون بر اساس شايستگي افراد در پاسخگويي به سؤالاتِ فرآيندهاي خاص COBIT تقسيم نمود [21]. جدول4، وظايف ITOMAT كه مورد مصاحبه قرار گرفته اند و شمار كل مصاحبه‌هاي انجام شده در هر بانك را نشان مي‌دهد.

8- ابزار گردآوري وتحليل اطلاعات

دو شيوه اغلب رايج كه در تحقيقات علمي مورد استفاده قرار مي گيرند، شيوه‌هاي كمي و كيفي هستند. بنا به گفته پروفسور سيگموند گرونمو¹ ، شيوه‌هاي كمي و كيفي مكمل يكديگرند و به ندرت همديگر را ناديده مي گيرند. او تأكيد مي‌کند هيچ يك از دو شيوه بهتر يا علمي تر از ديگري نيستند[5]. هر دو شيوه كمي و كيفي فوايد و مضرات خود را دارند و مي‌توانند در يك مطالعه مورد استفاده قرار گيرند[15،21].

در اين مطالعه، هر دو رويكرد كمي و كيفي براي دستيابي به فهمي بهتر با يكديگر تركيب شده اند. اين عمل در دو مرحله انجام مي گيرد؛ درمرحله ي اول، رويكرد كمي براي گردآوري اطلاعات از طريق مصاحبه‌هاي شخصي بوسيله مدل سازي سازمان فنّاوري اطلاعات و ابزار ارزيابي آنITOMAT مورد

جدول 4: وظايف ITOMAT و تعداد مصاحبه شدگان هر بانك

نام بانك	مدير اجرايي	مديريت كسب وكار	مديريت IT	عملكردي IT	كاربري	شمار مصاحبه‌ها
مسكن	*	*	*	*	*	5
ملي ايران	-	*	*	*	*	4
ملت	*	*	*	*	*	5
كشاورزي	*	*	*	*	*	5
صادرات ايران	*	*	*	*	*	5
سپه	*	*	*	*	*	5
رفاه	-	*	*	*	*	4
توسعه صادرات	*	*	*	*	*	5
تجارت	*	*	*	*	*	5
پست بانك	*	*	*	*	*	5
صنعت و معدن	*	*	*	*	*	5

استفاده قرار گرفت. سپس، رويكردي كيفي با مصاحبه‌هاي شخصيِ رايج مورد استفاده قرار گرفت و سعي بر آن شد نتايج مرحله اول تحليل شود[21].

9- ارزيابي اعتبار و اطمينان مطالعه

در اين تحقيق، ITOMAT به عنوان ابزار ارزيابي بلوغ حاكميت فنّاوري اطلاعات كه بر الگوي بلوغ COBIT استوار است، مورد استفاده قرار گرفته است و از آنجا كه خود ITOMAT بر COBIT استوار است، اعتبار ساخت براي اين تحقيق مناسب است[21].

10- يافته‌هاي تحقيق

همانطور كه در نمودار شماره3 نشان داده شده بالاترين ميزان بلوغ حاكميت فنّاوري اطلاعات مربوط به بانك كشاورزي با ميزان بلوغ(1.83) و كمترين ميزان بلوغ مربوط به پست بانك ايران با ميزان بلوغ(1.44) مي‌باشد.

نمودار4، نتايج هر حوزه و ميانگين بلوغ حاكميت فنّاوري اطلاعات را براي بانكهاي دولتي نشان مي‌دهد. ميانگين بلوغ حاكميت فنّاوري اطلاعات در بانكهاي دولتي در ايران(1.60) مي‌باشد كه از وضعيت مناسبي برخوردار نمي‌باشد.

[1] .Sigmund Gronmo

نمودار3: مقايسه بلوغ حاكميت IT در بانكهاي دولتي

نمودار4: بانكهاي دولتي نتايج هرحوزه و ميانگين بلوغ حاكميت فنّاوري اطلاعات

نمودار5: بانكهاي دولتي و نتايج هر فرايند

همانطور كه در نمودار4 مشاهده مي‌شود حوزه نظارت و ارزيابي(ME) داراي بالاترين بلوغ فرايندي مي‌باشد. اين حوزه به مديريت ونظارتِ وكنترل فرآيندهاي سازمان و تضمين مستقل كه بوسيله حسابرسي داخلي و خارجي فراهم مي‌شود، ميپردازد. بلوغ بالاي حوزه نظارت و ارزيابي (ME) بيشتر به دليل نظارت مستمر بانك مركزي و ساير نهاد هاي نظارتي برعملكرد بانكهاي دولتي مي‌باشد و بانكها بايد از قوانين و مقرارت تصويب شده توسط مراجع فوق تبعيت كنند.وظايف اجرايي بانكهاي دولتي عامل ديگري است كه برحوزه نظارت و ارزيابي تأثير ميگذارد، بدين معني كه اعتبار و تصور عمومي از يك بانك دولتي بسيار با اهميت مي‌باشد.

نمودار5 نتايج هرحوزه را به تفكيك زير فرايندها نشان مي‌دهد . همانطور كه مشاهده مي‌شود بالاترين بلوغ فرايندي مربوط به فرايند(PO1) تعريف طرح استراتژيك فنّاوري اطلاعات مي‌باشد كه نشان دهنده رويكرد جديد بانكهاي دولتي و توجه مديران اين سازمانها به مزاياي حاصل از بكار گيري فنّاوری اطلاعات و ارتباطات در بانكها تحت عنوان بانكداري الكترونيك مي‌باشد.دو فرايند(PO9) و(PO10) داراي پائين‌ترين بلوغ فرايندي مي‌باشند.فرايند (PO9) مربوط به پيشرفت، حفظ امنيت و فرايندهاي امنيتي فنّاوري اطلاعات است اين فرآيند، احتمال و اثر تداخل خدمات اصلي فنّاوري اطلاعات در اعمال و فرآيندهاي اصلي كسب وكار را به حداقل مي رساند. هدف (PO10)، نظارت و ارزيابي كنترل پروژه‌هاي فنّاوري اطلاعات در بانكهاي دولتي مي‌باشد. نوع فرهنگ، بروكراسي اداري و همچنين عدم رويكرد به برونسپاري به بخش خصوصي باعث عدم مديريت صحيح بر پروژه‌هاي فنّاوري اطلاعات را فراهم آورده است. شايد بتوان بلوغ پايين فرآيندهاي (PO9) و(PO10) را بوسيله نوع حكمراني و نوع نظارت در بانكهاي دولتي توضيح داد.

مي‌توان ريشه تفاوت در بلوغِ فرآيندهاي ارزيابي و مديريت خطرات فنّاوري اطلاعات ،(PO9)و تضمين امنيت سيستم (DS5) را در الگوهاي كاري بانكها جستجو كرد. بر اساس وظايف كاري، بانكها بر پايه خطرات عمل مي‌کنند و خطرات، درون ساز الگوي كاري هستند. بنابراين، بانكها به اعتماد و حسن نيت وابسته هستند[21]. اگر سيستم‌هاي فنّاوري اطلاعات ايمن نباشند، اين امر مي‌تواند به فقدان اعتبار و اعتماد عمومي منجر شود.

11- نتيجهگيري وپيشنهادات

نتايج تحقيق حاكي از آن است كه سطح بلوغ يافتگي حاكميت فنّاوري اطلاعات در بانكهاي دولتي از وضعيت مناسبي برخوردار نمي‌باشد و بانكهاي دولتي داراي تفاوت زيادي در بلوغ حاكميت فنّاوری اطلاعات با يكديگر مي‌باشند، كه نشان مي‌دهد، بانكهاي دولتي به واسطه نوع ساختار حكمراني ضرورت اتحاد استراتژيك بين كسب وكار با فنّاوري اطلاعات را براي ايجاد مزيت رقابتي و كسب سهم بازاريبيشتر احساس ننمودهاند.

منبع اصلي در بانكهاي دولتي تصور عمومي و اعتماد مشتريان به سازمان است. ماهيت نظام بانكي به نحويست كه بانكها مستقيماً به سمت جامعه به عنوان مشتريان خود متمايل مي‌شوند. همچنين عامل مهم ديگر در بانكها ، تغيير رفتار مشتريان است. امروزه، اكثر مشتريان، تنها از خدمات بانكداري الكترونيك ازجمله اينترنت بانك، موبايل بانك، دستگاه‌هاي خود پرداز(ATM)، پايانه‌هاي فروش(POS) و... استفاده مي‌کنند. خدماتي كه بانكها ارائه مي‌کنند به طور مستمر توسط مشتريان استفاده مي‌شود و مشتريان تنها به استفاده از اين خدمات ارائه شده تكيه مي‌کنند. اگر ارائه خدمات كارآيي لازم را نداشته باشند، مشتريان اعتماد خود را به بانكها از دست مي‌دهند كه اين امر به فقدان حسن نيت و اعتماد عمومي به بانكها منجر خواهد شد. اين امر به خاطر ارزش زماني پول است كه نه تنها باعث مي‌شود بانك در زمان عملكرد نامناسب سيستم‌ها، پول خود را از دست دهد بلكه باعث مي‌شود مشتريان را نيز از دست بدهد[21]. بنا به گفته مديران فنّاوري اطلاعات، مشترياني كه پول خود را به خاطر نقص سيستم بانكي ازدست داده‌اند، به سختي مي‌توانند اعتماد از دست رفته خود را بازيابند. اين موضوع تا حدي مي‌تواند تفاوت بلوغ در فرآيند تضمين خدمات مستمر (DS4) را توضيح دهد.

فرآيندهاي نظارت و ارزيابي كنترل داخلي (ME2) وتضمين پيروي نظارتي(ME3) تفاوتهاي بلوغ بالايي را در ميان بانكها نشان مي‌دهند. به طور كلي، بانكها تحت نظارت دائم بانك مركزي هستند و انطباق با قوانين و مقررات موجود بسيار مهم است. بنابراين، برخورداري از كنترل داخلي مناسب، نه تنها به خاطر تقاضاي مقرارات و قوانين نظارتي بانك مركزي است بلكه به خاطر تضمين عدم فقدان اعتماد و حسن نيت عمومي، ضروري است و به رغم آنچه پيش از اين گفته شد، اعتبار منبع اصلي بانكهاست؛ كه اين مسئله با توجه به نوع حاكميت و بروكراسي اداري در بانكهاي دولتي داراي بلوغ بيشتري مي‌باشد.

مراجع

[1] Bird, F., 2001. Good governance: A philosophical discussion of the responsibilities and practices of organizational governors, Canadian Journal of Administrative Sciences, Vol.18, No.4, p.298-311.

[2] Brown, E.A. & Grant G.G., 2005. Framing the frameworks: A review of IT governance research, Communications of the Association for Information Systems, Vol. 15, p.696-712. Bryman, A., 2002. Samhällsvetenskapliga metoder, Liber ekonomi.

[3] Damianides, M., 2005. Sarbanes-Oxley and IT governance: new guidance and IT control and compliance, IS Management, Vol. 22, No. 1, p. 77-85.

[4] Gill, M., 2002. Corporate Governance after Enron and World Com: Applying Principles of Results-Based Governance, Proceedings of Insight Conference on Corporate Governance, Calgary, Synergy Associates, Inc.

[5] Grembergen, V.W., Haes D.S. & Guldentops, E., 2004. Structures, Processes and Relational Mechanisms for IT Governance, In Grembergen, V.W. (Ed.), Strategies for Information Technology Governance, Idea Group Publishing.

[6] Guldentops, E., 2004. Governing Information Technology through COBIT, In Grembergen, V.W. (Ed.), Strategies for Information Technology Governance, Idea Group Publishing.

[7] Haes D.S. & Grembergen, V.W., 2008. Analysing the Relationship Between IT Governance and Business/IT Alignment Maturity, Proceedings of the 41st Hawaii International Conference on System Sciences.

[8] ITGI, 2006. IT Governance Global Status Report– 2006. IT Governance Institute.

[9] ITGI, 2007. COBIT 4.1, IT Governance Institute.

[10] itSMF, 2006. Frameworks for IT Management, The IT Service Management Forum.

[11] itSMF, 2007(a). IT Service Management Based on ITIL V3 – A Pocket Guide, The IT Service Management Forum.

[12] itSMF, 2007(b). IT Governance based on COBIT 4.0 – A Management Guide, The IT Service Management Forum.

[13] Lee, C-H., Lee, J-H., Park, J-S. & Jeong K-Y., 2008. A Study of the Causal Relationship between IT Governance Inhibitors and Its Success in Korea Enterprises, Proceedings of the 41st Hawaii International Conference on System Sciences.

[14] Peterson, R.R., 2004. Integration Strategies and Tactics for Information Technology Governance, In Grembergen, V.W. (Ed.), Strategies for Information Technology Governance, Idea Group Publishing.

[15] Ridley, G., Young, J. & Carroll P., 2004. COBIT and its Utilization: A framework from the literature, Proceedings of the 37th Hawaii International Conference on System Sciences.

[16] Simonsson, M. & Johnson, P., 2008. The IT organization modeling and assessment tool: Correlating IT governance maturity with the effect of IT, Proceedings of the 41st Hawaii International Conference on System Sciences.

[17] Webb, P., Pollard, C. & Ridley, G., 2006. Attempting to Define IT Governance: Wisdom or Folly?, Proceedings of the 39th Hawaii International Conference on System Sciences.

[18] Weill, P. & Ross, J.W., 2000. IT Governance – How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business School Press.

[19] Weill, P., 2004. Don’t Just Lead, Govern: How Top-Performing Firms Govern IT, MIS Quarterly Executive, Vol. 3, No. 1, p. 1-17.

[20] Yayla, A.A. & Hu, Q., 2008. Determinants of CIO Compensation Structure and Its Impact on Firm Performance, Proceedings of the 41st Hawaii International Conference on System Sciences.

[21] Mirbaha, Michael,2008, IT Governance in Financial Services and Manufacturing,Industrial Information and Control Systems at the Royal Institute of Technology.

[22] Sallé, M., 2004. IT Service Management and IT Governance: Review, Comparative Analysis and their Impact on Utility Computing, HP Labs Technical Report HPL-2004-98.

شارک

عنوان URL للمقالة

چارچوب COBIT ابزاری مناسب برای اندازه گیری بلوغ حاکمیت فنّاوری اطلاعات در سازمانها (مطالعه موردی بانکهای دولتی در ایران)

رایمگ

الروابط

المراكز ذات الصلة

دعامة

الصفحات الرسمية