چکیده
امروزه با گسترش فناوری اطلاعات در سازمانها و بهرهگیری گسترده از خدمات آن، کنترل کارکرد صحیح این فناوری در تمام سطوح سازمانی، از اهمیت ویژهای برخوردار است. با شکلگیری و استفاده از سیستمهای اطلاعاتی یکپارچه در سازمانها و ارتباط تنگاتنگ این سیستمها با سایر فرایندهای سازمانی، بقای سازمانها تا حد زیادی وابسته به عملکرد مناسب این سیستمها شده است. همچنین به دلیل وجود زیرساختهای الکترونیکی مشترک و وابستگی فناورانه سازمانها به یکدیگر که آنها را در یک زنجیره شبکهای واحد قرار داده است، نیاز به کنترل و ممیزی فناوری اطلاعات به عنوان یک سازوکار حساس برای تضمین کارایی سیستمهای اطلاعاتی سازمانها بیشتر از هر زمان دیگری احساس میشود. در عین حال، با وجود فوایدی که ممیزی فناوری اطلاعات برای سازمانها دارد، اما همچنان چالشهای جدی در این حوزه در کشورمان وجود دارد که در این مقاله، مورد بررسی قرار میگیرند.
پیشرفت روز افزون فناوری اطلاعات به همراه رشد سریع دادهها و اطلاعات در سازمانها که شکلگیری موج جدیدی از دادهها به نام بزرگ دادهها را در پی داشته است، موجب شده است که نیاز به ممیزی از خدمات فناوری اطلاعات سازمان و سنجش جهتگیری آن در راستای اهداف کسب و کار سازمانی، از ضرورت ویژهای برخودار شود. ممیزی فناوری اطلاعات با هدف اطمینان از اینکه آیا کنترلهای داخلی، به صورت مناسب و قابل اطمینان تعریف شدهاند و آنچنان که انتظار میرود، اجرایی هستند یا خیر، و یا اینکه اجزای آنها دارای شیوهای کارامد و مؤثر که متناسب با ساختار سازمان باشد، ایجاد شده است.
با وجود تمام کارکردهای صحیح ممیزی، متأسفانه ممیزی فناوری اطلاعات با چالشها و مشکلات متعددی در کشورمان مواجه است که در این مقاله به آنها اشاره میشود.
چالشهای ممیزی در کشور
2-1: عدم وجود سازمانهای گواهیکننده حایز صلاحیت
یکی از مهمترین چالشهای نظام ممیزی فناوری اطلاعات در کشور، عدم وجود سازمانهای ممیزی است که مورد تأیید دولت باشند. شرکتهایی که هماکنون اقدام به ممیزی فناوری اطلاعات از سازمانها مینمایند علاوه بر اینکه از هیچگونه تأیید بخش دولتی به عنوان قویترین بازوی اجرایی کشور برخوردار نیستند، در بسیاری از موارد هم با محدودیتهایی که از طرف دولت به اجرا گذاشته میشود، مواجه هستند. از سوی دیگر، گواهیهایی که این شرکتها صادر مینمایند از اعتبار دولتی برخوردار نیستند و حتی در بین بخشهای کوچک خصوصی نیز آنچنان که باید، به رسمیت شناخته نمیشوند. شفاف نبودن تعرفههای ممیزی و عدم وجود تعرفههای مشخص که امکان ایجاد تخلفات مالی را برای سازمانهای ممیزی کننده فراهم میکند، و همچنین فقدان چکلیستهای استاندارد ممیزی که ممکن است فرایند ممیزی را به سمتهای سختگیرانه یا اهمالگیرانه جهتدهی کند، از دیگر مسایل مطرح در این حوزه است که به دلیل عدم نبود سازمانهای گواهی کننده رسمی و نظارتهای کافی دولتی به وجود آمده است.
2-2: عدم وجود ممیزان حایز صلاحیت
از دیگر مشکلات نظام ممیزی فناوری اطلاعات در کشورمان، عدم وجود ممیزانی است که شایستگی و توانایی علمی و عملی آنها به منظور اجرا یا شرکت در فرایندهای ممیزی، به اثبات رسیده باشد. استفاده از ممیزانی که شناخت کافی از پیچیدگیهای فنی و تکنولوژیکی خدمات فناوری اطلاعات و پودمانهای ارتباطی جدید ندارند از مشکلات جدی در این حوزه است. در بعضی از موارد هم به دلیل حساسیت بسیار بالای سازمان ممیزی شونده (مثلاً یک سازمان حیاتی یا سازمانهای نظامی)، ممیزان شخص سومی که از اعتبار امنیتی لازم برای حضور در این سازمانها برخوردار باشند، وجود ندارند. عدم وجود دورههای آموزشی استاندارد و خاص در کشور که ممیزان جهت عضویت در تیمهای ممیزی، ملزم به گذراندن آنها باشند، از مشکلات دیگر است. همچنین به علت وجود نداشتن انجمنهای حرفهای ممیزی در کشورمان، عملاً هیچگونه نظام ارزشیابی و نیز امکان نظارت بر روی عملکرد ممیزان وجود ندارد. عدم آشنایی ممیزان با اصول و تکنیکهای لازم برای ممیزی بخشهای مختلف فناوری اطلاعات سازمانها از جمله زیرساختها، مراکز داده و ارتباطات نیز همچنان بر مشکلات این حوزه افزوده است. در ضمن، نگرانی سازمانهای ممیزیشونده نسبت به خروج اسناد یا اطلاعات از سازمان توسط ممیزان و عدم اطمینان از رازداری آنها، از جمله چالشهایی است که میتوان به آنها اشاره کرد.
2-3: تبدیل شدن فرایند ممیزی به بازرسی
تبدیل شدن فرایند ممیزی به رویکرد بازرسیگرایانه و با هدف کشف و افشاگری تخلفات احتمالی، از دیگر چالشهای مطرح در نظام ممیزی فناوری اطلاعات در کشور است. فرایند ممیزی که در راستای کمک به سازمان ممیزی شونده برای شناخت بهتر خود به منظور اجرای صحیح عملکردها و کنترلهای فناوری اطلاعات و همچنین تعیین میزان تطابق کنترلهای بکار گرفته شده در این سازمان با کنترلهای استاندارد است، در مرحله اجرا، در بعضی از سازمانها به کنکاش و کنترلهای داخلی بازرسیمحور تبدیل شده که موجب نارضایتی شدید مدیران و کارکنان گردیده است. این مسئله در درازمدت، به لحاظ نگرش منفی که از ممیزی به وجود آمده است، اقبال از فرایند ممیزی فناوری اطلاعات را در بین سازمانهای ایرانی به شدت کاهش داده است.
2-4: عدم وجود استانداردها و چارچوبهای بومی ممیزی
یکی دیگر از مشکلات ممیزی فناوری اطلاعات، نداشتن یک استاندارد ملی در خصوص ممیزی است که بر اساس الزامات ملی و اسناد مرجع بالادستی کشورمان بومیسازی شده باشد. استفاده از بهترین شیوههای اجرایی و تجارب سایر کشورها که در برخی از حوزهها سنخیتی با فضای کسب و کار و فناوری کشور و همچنین ساختار فرهنگی، اجتماعی و اعتقادی حاکم بر سازمانهای ایرانی ندارند، علاوه بر اینکه نتوانسته است از کمبودهای موجود در این بخش بکاهد، بر مشکلات آن نیز افزوده است. از طرف دیگر، به علت عدم وجود استانداردها و چارچوبهای ملی ممیزی فناوری اطلاعات در کشور، امکان اینکه اثربخشی کنترلهای بکار گرفته شده توسط سازمانها، به خوبی مورد سنجش قرار گیرند، در عمل وجود ندارد.
2-5: گواهیمحور بودن ممیزی
فقط ملاک قراردادن دریافت گواهینامه، بدون توجه به نتایج ممیزی، چالش دیگر کشور در نظام ممیزی فناوری اطلاعات است. تعدادی از سازمانها به دلایلی همچون الزام نهادهای بالادستی، پرستیژ سازمانی، اهداف تبلیغاتی و غیره، صرفاً هدفشان از ممیزی، دریافت گواهینامه آن است.
2-6: عدم تداوم خدمات ممیزی
چالش دیگر در حوزه ممیزی فناوری اطلاعات در کشور، عدم استمرار و تداوم خدمات ممیزیمحور به سازمانهای متقاضی، تا دستیابی به نتایج مورد قبول است. در حال حاضر، سازمان متقاضی، بنا به تمایل یا ضرورت، درخواستی را مبنی بر ممیزی به سازمان ممیزی کننده میدهد و پس از انجام فرایند ممیزی و ارایه گزارش نهایی، عملاً این ارتباط پایان میپذیرد. چنانچه عدم انطباقاتی هم در این گزارش به ممیزی شونده اعلام شده باشد، اقدامهای جدی برای رفع آنها صورت نمیگیرد. ممیزیهای مراقبتی نیز به طور معمول، یا اصلاً یا اجرا نمیشوند و یا در بازههای زمانی مشخص شده از قبل انجام نمیشوند. در بعضی از سازمانها نیز، مدیریت ارشد سازمان ممیزی شونده، آنچنان که باید، حمایت جدی و همه جانبهای نسبت به بکارگیری توصیههای ممیزی کننده و انجام بازنگریهای مدیریتی در سازمان مورد طبعیت خویش ندارد. بنابراین پس از خاتمه فرایند ممیزی، اینطور تصور میشود که هیچ اتفاق جدیدی در سازمان متقاضی به جز اتلاف وقت کارکنان و صرف هزینههای کلان نیافتاده است و ممیزی شونده، بیجهت در این خصوص هزینه کرده است.
2-7: عدم وجود زیرساختهای مناسب در سازمانهای ممیزی شونده
از دیگر مشکلات ممیزی فناوری اطلاعات، وجود نداشتن زیرساختهای مناسب فنی یا انسانی در سازمانهای ممیزی شونده، جهت اجرای مؤثر فرایند ممیزی است. به دلیل عدم وجود زیرساختهای کافی تکنولوژیکی در کشور به خصوص در فناوریهای نوظهور (که معمولاً فناوری وارد میشود و سپس زیرساختهای لازم برای آن ایجاد میشود) و همچنین عدم آمادگی عوامل انسانی در بعضی از سازمانهای متقاضی؛ در بسیاری از موارد، ممیزی شونده در زمان اجرای فرایند ممیزی، از آمادگیهای سازمانی لازم برای اجرای صحیح ممیزی برخوردار نیست و مقاومتهای بسیار شدید سازمانی مانع از اجرای اصولی فرایند ممیزی در آن سازمان میشود.
2-8: عدم وجود مراکز حل دعاوی واجد صلاحیت
عدم وجود سازمانها و مراکز تخصصی آشنا به مباحث ممیزی فناوری اطلاعات که در صورت وقوع دعاوی بین سازمانهای ممیزی شونده و ممیزی کننده، از جایگاه قانونی لازم برای رفع اختلاف میان آنها برخوردار باشد از دیگر مسایلی است که در نظام ممیزی فناوری اطلاعات کشور مطرح است. در بیشتر قراردادهای فعلی ممیزی، به دلیل عدم وجود یک مرجع حل اختلاف رسمی بیطرف که بتواند بر اساس الزامات قانونی و قراردادی حاکم بر فضای فناوری اطلاعات کشور تصمیمگیری نماید؛ سازمان فناوری اطلاعات ایران به عنوان مرجع بدوی حل اختلاف در نظر گرفته میشود، در صورتیکه هنوز چنین ساختاری در این سازمان شکل نگرفته است.
2-9: عدم وجود مدل بومی ارزیابی بلوغ فناوری اطلاعات
عدم وجود یک مدل بومی ارزیابی بلوغ فناوری اطلاعات در کشور، یکی دیگر از چالشهای مهم نظام ممیزی فناوری اطلاعات است. با توجه به چرخه عمر فناوری در کشور، این امکان وجود دارد که سازمان ممیزی شونده، در زمان اجرای ممیزی، هنوز به مرحله بلوغ فرایندهای فناوری اطلاعات خود نرسیده باشد که این مسئله میتواند بر تحلیل و آنالیز شکاف ممیزی شونده و همچنین سنجش میزان تحقق نیازمندیهای کسب و کار بر اساس سطح بلوغ فرایندهای فناوری اطلاعات آن اثرگذار باشد.
2-10: ریسکمحور بودن بیش از حد فرایند ممیزی
ریسکمحور بودن ممیزی و توجه بیش از اندازه به مفهوم ریسک فناوری اطلاعات، یکی دیگر از مشکلات نظام ممیزی کشور است. به دلیل اینکه مدل مناسبی برای مدیریت مخاطرات فناوری اطلاعات در کشورمان وجود ندارد، توجه بیش از حد به مفهوم ریسک، ممیزی فناوری اطلاعات را در سازمانها با مشکلات عدیدهای که ناشی از عدم شناسایی ریسکهای نوظهور، برآورد و ارزیابی صحیح این مخاطرات فناوری است مواجه ساخته است.
2-11: عدم شفاف بودن ارتباط سازمان ممیزی شونده با ذینفعان بیرونی
چالش دیگر در حوزه ممیزی فناوری اطلاعات که میتوان به آن اشاره کرد، عدم شفاف بودن ارتباط سازمان ممیزی شونده با ذینفعان شخص سوم و بیرونی است. در زنجیره فرایندهای فناوری اطلاعات سازمانهای ممیزی شونده معمولاً تأثیر ذینفعان و بازیگران بیرونی بر روی فرایندهای سازمانی در نظر گرفته نمیشود یا به علت پیچیدگی روابط میان آنها، تشخیص و واکاوی اثرگذاریشان بر فرایندها بسیار سخت و تا حدودی ناشدنی است که این مسئله موجب کاهش کارایی فرایند ممیزی در آن سازمان خواهد شد.
2-12: عدم تناسب بین استراتژی فناوری اطلاعات سازمان و استراتژی کسب و کار آن
همسو نبودن استراتژی فناوری اطلاعات سازمانها با استراتژی کسب و کار آنها در عمل، که باعث پیچیدهتر و سختترشدن فرایند ممیزی میشود مشکل دیگر کشور در حوزه ممیزی فناوری اطلاعات است. در ممیزی از فناوری اطلاعات، این بخش باید به عنوان جزئی از کل سیستم در نظر گرفته شود و همراستا بودن اهداف کلان منتج شده فناوری اطلاعات با اهداف کلان تعریف شده کسب و کار، به عنوان بخشی از فرایندهای ممیزی، مورد بررسی دقیق قرار گیرد.
2-13: ضعف در انتخاب سازمان ممیزی کننده
ضعف سازمانهای ممیزی شونده در انتخاب مناسب سازمان ممیزی کننده، نداشتن معیارهای صحیح در این خصوص، عدم توجه به اصول و شاخصهای شایسته سالاری در انتخاب ممیزی شونده، اسناد ضعیف و غیرشفاف مناقصه و سایر مستندات، از دیگر چالشهای نظام ممیزی فناوری اطلاعات در کشور محسوب میشود.
نتیجهگیری
در اين مقاله، در ابتدا با بیان اهمیت ممیزی فناوری اطلاعات در کشور به منظور راهبری صحیح آن در سازمانهای ایرانی، به مشکلات و چالشهایی که در این حوزه از ابعاد فنی و انسانی وجود دارد، اشاره شد. اگرچه مشکلات ذکر شده در این مقاله، از جمله مسایل مطرح در نظام ممیزی فناوری اطلاعات کشور است اما با بکارگیری تدابیر صحیح از سوی دولت به عنوان متولی اصلی و سازمانهای ممیزی شونده و ممیزی کننده، در مقام ذینفعان و بهرهبرداران، تا حدود زیادی قابل حل است.
لازم به ذکر است از آنجا که رویکرد اصلی در این مقاله، تنها بررسی چالشهای ممیزی فناوری اطلاعات در ایران است از ارایه مدل مرجع در هر یک از حوزههای ذکر شده، خودداری شده است.