حاکمیت شرکتی فناوری اطلاعات Corporate Governance of Information Technology

مقدمه

این استاندارد در ارتباط با تعریف حاکمیت شرکتی می باشد که بر مبنای گزارش کمیته در مورد جنبه مالی حاکمیت شرکتی در سال1992 می باشد. گزارش کادبری همچنین تایید پایه ای را در مورد حاکمیت شرکتی در اصول حاکمیت شرکتی OECD در سال 1999 ( که در سال 2004 بازبینی شد) ایجاد می کند. کاربران این استانداردها تشویق می گردند تا خودشان را با گزارش کادبری و اصول OECD از حاکمیت شرکتی آشنا کنند.

نظارت مجزا از مدیریت می باشد، و برای اجتناب از پیچیدگی، این دو مفهوم مشخصا بر مبنای استانداردهایی تعریف می گردند.

در حالی که این استانداردها مقدمتا برای هیات نظارتی مد نظر قرار می گیرند، که به نوبت فعالیت های خاصی را که توسط مدیریت سازمان مد نظر قرار می گیرد، هدایت می کند، آن همچنین باعث می شود که، در بعضی از سازمان ها، اعضای هیات نظارتی می توانند نقش کلیدی در مدیریت داشته باشند. به این ترتیب، این اطمینان حاصل می شود که استاندارد برای تمام سازمان ها از کوچکترین تا بزرگترین، بدون توجه به هدف، طرح، و ساختار مالکیت قابل اجرا می باشد.

هدف این استاندارد، آگاه سازی و مدیریت در طراحی و اجرای سیستم مدیریتی سیاست ها، مراحل و ساختارهایی که به پشتیبانی از این نظارت ها می پردازند، می باشد.

حاکمیت شرکتی فناوری اطلاعات

1 محدوده، کاربرد و اهداف

1.1 محدوده

این استاندارد، دستورالعمل های رهنمودی را برای مدیران سازمان ها ( شامل مالکان، اعضای هیئت مدیره، مدیران، شرکا، مدیران اجرایی ارشد، یا افراد مشابه) در ارتباط با استفاده موثر، کارآمد، و بکارگیری قابل قبول فناوری اطلاعات درون سازمان هایشان ایجاد می کند.

این استاندارد برای نظارت مراحل مدیریتی ( و تصمیمات) در ارتباط با سرویس های اطلاعاتی و ارتباطی که مورد استفاده سازمان ها می باشد، بکار گرفته می شود.

آن همچنین دستورالعمل هایی را برای مشاوره، آگاهی دادن، یا کمک به مدیران ایجاد می کند.

این موارد شامل:

مدیران ارشد

اعضای گروه که به ارزیابی منابع درون سازمان می پردازند؛

کسب و کار خارجی یا متخصصان فنی، همانند بخش های حسابداری، متخصصان، انجمن های جزئی، یا هیات های حرفه ای؛

فروشندگان سخت افزار، نرم افزار، تجهیزات ارتباطی و محصولات فناوری اطلاعات دیگر؛

ارائه دهندگان خدمات داخلی و خارجی ( همانند مشاوران)

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

1.2 کاربرد

این استاندارد برای تمام سازمان ها، همانند شرکت های دولتی و خصوصی، نهادهای دولتی، و نه برای سازمان های سودده کاربردی می باشند. این استاندارد برای سازمان ها با اندازه های مختلف از کوچکترین تا بزرگترین بدون در نظر گرفتن محدوده استفاده فناوری اطلاعات کاربردی می باشد.

1.3 اهداف

هدف از این استاندارد، توسعه موثر، کارآمد و کاربرد قابل قبول فناوری اطلاعات در تمام سازمان ها از طریق موارد زیر می باشد:

اطمینان دادن به سهامداران ( شامل مصرف کننده، سهامدار و کارکنان)، اگر این استانداردها دنبال گردد، آن ها می توانند اطمینانی را در حاکمیت شرکتی ایجاد کنند؛

آگاه سازی و راهنمایی مدیران در مدیریت استفاده از فناوری اطلاعات در سازمان های مربوطه؛

ایجاد مبنایی برای ارزیابی هدفمند حاکمیت شرکتی فناوری اطلاعات.

1.4 مزایای استفاده از این استاندارد

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

این استاندارد اصولی را برای استفاده موثر، کارآمد و مورد قبول فناوری اطلاعات ایجاد می کند.

اطمینان از این مورد که سازمان آن ها از این اصول پیروی می کند، کمکی به مدیران برای ایجاد تعادل در ریسک ها و بالا بردن فرصت های حاصل از کاربرد فناوری اطلاعات می کند.

این استاندارد مدلی را برای نظارت فناوری اطلاعات ایجاد می کند. ریسک مدیرانی که تعهداتشان را انجام نمی دهند با مد نظر قرار گرفتن تمرکزشان به سمت مدل در بکارگیری مناسب اصول کاهش می یابد.

این استاندارد، واژه نامه ای را برای نظارت فناوری اطلاعات ایجاد می کند.

1.4.2 انطباق سازمان

حاکمیت شرکتی مناسب از فناوری اطلاعات کمکی به مدیران در اطمینان از انطباق با تعهدات ( مقررات، قوانین، عرف، فرارداد) در ارتباط با پذیرش استفاده از فناوری اطلاعات می کند.

سیستم های فناوری اطلاعات نامناسب مدیران را در معرض خطر عدم انطباق با قوانین قرار می دهد. برای مثال، در بعضی از قوانین، مدیران می توانند در صورتی که یک سیستم حسابداری نامناسب منجر به مالیات های پرداخت نشده شود، شخصا پاسخگو باشند.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

استانداردهای امنیتی

مقررات حریم شخصی

مقررات هرزنامه ها

مقررات مرتبط به فعالیت تجاری

حقوق مدیریت معنوی، همانند موافقتنامه مجوز نرم افزار؛

ثبت شرایط

مقررات و قوانین محیطی

مقررات ایمنی و بهداشت

مقررات دسترسی

استاندارد مسئولیت اجتماعی

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

1.4.3 عملکرد سازمان

حاکمیت شرکتی مناسب فناوری اطلاعات به مدیران کمک می کند این اطمینان را ایجاد می کند که کاربرد فناوری اطلاعات به طور مثبتی مشارکتی در عملکرد سازمان از طریق زیر دارد:

اجرا و عملیات مناسب شرایط مربوط به فناوری اطلاعات

مشخص شدن مسئولیت ها و پاسخ گویی برای استفاده و تدارک فناوری اطلاعات در رسیدن به اهداف سازمان ها

استمرار و پشتیبانی کسب و کار

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

اختصاص کارامد منابع

نوآوری در خدمات، بازارها و کسب و کار

عملکرد مناسب در ارتباط با سهامداران

کاهش در هزینه سازمان

 

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

1.5 اسناد مرجع

 

 

اسناد زیر در این استاندارد مد نظر می باشند

گزارش کمیته در مورد جنبه های مالی حاکمیت شرکتی. آقای ادرین کادبری ، لندن، 1992، ISBN 0 85258 913 1

اصول OECD در مورد حاکمیت شرکتی، OECD، 1999 و 2004

ISO Guide 73 2002 مدیریت ریسک واژه نامه دستوراتی در مورد کاربرد استانداردها

1.6 تعاریف

در ارتباط با این استانداردها، تعاریف زیر بکار گرفته می شود.

انتظار می رود که سازمان از اصطلاحات بکار گرفته شده در این استانداردها برای انطباق شرایط یا ساختار استفاده کند.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

تامین انتظارات سهامدار که دارای قابلیت به نمایش گذاشته شدن بر مبنای ارزش و منطق می باشد

1.6.2 حاکمیت شرکتی

سیستمی که توسط آن سازمان ها مدیریت و کنترل می گردند. ( بر مبنای کادبری 1992 و OECD 1999)

1.6.3 حاکمیت شرکتی و فناوری اطلاعات

 

سیستمی که توسط آن استفاده کنونی و آینده از فناوری اطلاعات مدیریت و کنترل می گردد.

حاکمیت شرکتی فناوری اطلاعات شامل ارزیابی و مدیریت استفاده از فناوری اطلاعات برای پشتیبانی از سازمان و ارزیابی کاربرد آن ها برای رسیدن به اهداف می باشد. آن شامل استراتژی و سیاست های برای استفاده از فناوری اطلاعات در یک سازمان می باشد.

1.6.4 صلاحیت

شامل ادغام اطلاعات، مهارت های رسمی و غیررسمی، آموزش، تجربه و خصوصیات رفتاری مورد نظر برای اجرای یک فعالیت یا نقش می باشد.

1.6.5 مدیر

اعضای ارشد هیئت نظارتی سازمان. شامل مالکان، اعضای هیات مدیره، شرکا، مدیران اجرایی ارشد یا افراد مشابه و کارمندان مجاز توسط قانون و مقررات می باشد.

1.6.6 عملکرد انسانی

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

نکته:

در مورد فناوری اطلاعات، گروه ها و جوامع بیشماری از افراد وجود دارند، که هر کدام دارای نیازها، امیال و رفتارها می باشند. برای مثال افرادی که از سیستم های اطلاعاتی استفاده می کنند نیازهایی را در ارتباط با قابلیت دسترسی و کارپژوهی و همچنین قابلیت دسترسی و عملکرد ایجاد می کنند. افرادی که نقش آن ها در ارتباط با فناوری اطلاعات تغییر می یابد، نیازهایی را در ارتباط با ارتباط، آموزش، و اطمینان آفرینی نشان می دهند. افرادی که نقشی در ایجاد و عملیات قابلیت فناوری اطلاعات دارند نیازهایی را در ارتباط با شرایط کاری و توسعه مهارت ها ایجاد می کنند.

1.6.7 فناوری اطلاعات (IT)

منابعی برای دستیابی، پردازش، ذخیره سازی، و توزیع اطلاعات مورد نیاز می باشد. این اصطلاح همچنین شامل " فناوری اطلاعات (CT)" و اصطلاح ترکیبی " فناوری اطلاعات و ارتباطات (ICT) می باشد.

1.6.8 سرمایه گذاری

تخصیص سرمایه انسانی و منابع دیگر برای دسترسی به اهداف تعریف شده و مزایای دیگر.

1.6.9 مدیریت

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

1.6.10 سازمان

هر شرکت، سازمان، دولت یا بخش های قانونی دیگر متشکل از هیئت هایی چون انجمن ها، گروه ها، شرکا، نهادهای دولتی، شرکت های لیست شده دولتی، شرکت های خصوصی، و تاجران می باشد که دارای نقش های مختص به خود و فعالیت های اجرایی می باشند.

1.6.11 سیاست

دستورات مشخص و قابل ارزیابی از رفتارها و راهنمایی های مورد نظر برای مشروط کردن تصمیمات گرفته شده درون سازمان.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

مجموعه مزایا، هزینه ها، ریسک ها، فرصت ها، و فاکتورهای دیگری که برای تصمیمات کاربردپذیر می باشند. موارد کسب و کار را مد نظر قرار دهید.

1.6.13 منابع

افراد، رویکردها، نرم افزار، اطلاعات، تجهیزات، کالاهای مصرفی، زیرساخت، سرمایه و وجوه عملیاتی، و زمان.

1.6.14 ترکیب احتمالات یک رویداد و عواقب ان ( دستورات ISO/IEC)

نکته: نتایج بر روی سازمان تاثیرگذار می باشد. آن ها ممکن است در کاربر معمول یا فرصت های معمول، به صورت منفی باشند.

1.6.15 مدیریت ریسک

فعالیت های هماهنگ برای مدیریت و کنترل سازمان با توجه به ریسک ((ISO/IEC Guide 73.

1.6.16 سهامدار

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

1.6.17 طرح کلی سازمان در مورد پیشرفت، به شرح کاربرد اثربخش منابع در پشتیبانی از منابع در فعالیت های آینده اش می پردازد. آن شامل تنظیم اهداف و طرح نوآوری برای فعالیت می باشد.

1.6.18 استفاده از فناوری اطلاعات

برنامه ریزی، طراحی، توسعه، عملیات، مدیریت، و کاربرد فناوری اطلاعات برای تامین نیاز کسب و کار. آن شامل تقاضا، عرضه، خدمات فناوری اطلاعات توسط واحدهای کسب و کار داخلی، واحد فناوری اطلاعات متخصصان، یا ملزومات خارجی و سرویس های کاربردی می باشد ( همانند مواردی که نرم افزار را به عنوان خدمات ایجاد می کند).

چارچوبی برای حاکمیت شرکتی مناسب فناوری اطلاعات

2.1 اصول

این بخش 6 اصل را در مورد حاکمیت شرکتی فناوری اطلاعات مناسب نشان می دهد.

این اصول عملکردهای مطلوب را برای هدایت تصمیم گیری نشان می دهد. شرح هر اصل اشاره ای به آنچه که می بایست روی دهد دارد، اما نشان نمی دهد که چگونه، چه وقت، یا توسط چه کسی این اصول به اجرا در می آیند به این ترتیب این جنبه ها بستگی به ماهیت سازمانی دارد که این اصول را به اجرا در می آورد. مدیران می بایست مد نظر داشته باشند که این اصول بکار گرفته شود.

2.1.1 اصل 1: مسئولیت

افراد و گروه ها درون سازمان به درک و پذیرش مسئولیتشان در ارتباط با عرضه و تقاضا برای فناوری اطلاعات می پردازند. کسانی که دارای مسئولیت این عملکرد می باشند، همچنین دارای مجوزی برای اجرای این فعالیت ها می باشند.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

استراتژی کسب و کار سازمان قابلیت حال و آینده فناوری اطلاعات را تحت تاثیر قرار می دهد؛ طرح استراتژیک برای فناوری اطلاعات، به تامین نیازهای کنونی و آینده استراتژی کسب و کار سازمان می پردازد.

2.1.3 اصل 3: فراگیری

فراگیری فناوری اطلاعات بر مبنای دلایل معتبری می باشد، که بر مبنای تجزیه و تحلیل مناسب و مستمر، به همراه تصمیم گیری مشخص و شفاف می باشد. تعادلی بین مزایا، فرصت ها، هزینه ها، و ریسک ها در موارد کوتاه مدت و بلندمدت وجود دارد.

2.1.4 اصل 4: عملکرد

فناوری اطلاعات بر مبنای اهداف پشتیبانی از سازمان، ایجاد خدمات، سطح خدمات و کیفیت خدمات مورد نیاز برای تامین شرایط کسب و کار آینده و حال می باشد.

2.1.5 اصل 5: انطباق

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

2.1.6 اصل 6: عملکرد انسانی

سیاست فناوری اطلاعات، عملکردها، و تصمیمات به اثبات ملاحظات مربوط به عملکرد انسانی شامل نیازهای کنونی و توسعه یافته تمام افراد در فرایندسازی می باشد.

2.2 مدل

مدیران می بایست نظارتی بر روی فناوری اطلاعات از طریق سه فعالیت اصلی داشته باشند:

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

b) مدیریت اماده سازی و اجرای طرح ها و سیاست ها برای اطمینان از این مورد که استفاده از فناوری اطلاعات اهداف کسب و کار را تامین می کند.

c) ارزیابی انطباق با سیاست ها، و عملکرد در برابر طرح.

شکل 1، مدل نظارتی فناوری اطلاعات را از سیکل ارزیابی مدیریت – نظارت نشان می دهد. متنی که به دنبال شکل 1 آمده است به توضیح عوامل و روابط نشان داده شده می پردازد.

شکل1. مدلی برای حاکمیت شرکتی فناوری اطلاعات

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

مدیران می بایست به بررسی و قضاوت بر روی استفاده حال و آینده از فناوری اطلاعات، شامل استراتژی ها، اهداف و مقدمات تهیه ( به صورت درونی، بیرونی، یا هر دو بپردازند).

در ارزیابی کاربرد فناوری اطلاعات، مدیران می بایست فشارهای داخلی و خارجی را که بر روی کسب و کار وجود دارد، همانند تغییرات فناوری، رویکرد های اجتماعی و اقتصادی، و تاثیرات سیاسی، ارزیابی کنند.

مدیران می بایست ارزیابی مستمر را بر مبنای تغییر فشار مد نظر قرار دهند.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

رهبری

مدیران می بایست مسئولیت ها را مشخص کرده، و به مدیریت اماده سازی و اجرای طرح و سیاست ها بپردازند. طرح ها می بایست مسیر را برای سرمایه گذاری در پروژه های فناوری اطلاعات و عملیات فناوری اطلاعات ایجاد کنند. این سیاست ها می بایست عملکردها را در استفاده از فناوری اطلاعات ایجاد کنند.

مدیران می بایست این اطمینان را ایجاد کنند که انتقال پروژه به وضعیت عملیاتی به صورت مناسبی طراحی و مدیریت می گردد، و همچنین تاثیر کسب و کار و فعالیت های عملیاتی، و همچنین سیستم های فناوری اطلاعات موجود و زیرساخت ها را ملاحظه کنند.

مدیران می بایست به گسترش فرهنگ نظارت دقیق فناوری اطلاعات در سازمانشان با ملزم کردن مدیران برای ایجاد اطلاعات بموقع بپردازند، تا منطبق با این دستورات بوده و دارای انطباقی با شش اصل نظارتی باشند.

در صورت نیاز، مدیران می بایست به مدیریت نظریات و طرح ها به منظور تایید برای مد نظر قرار دادن نیازهای مشخص بپردازند.

نظارت

مدیران می بایست به نظارت عملکرد فناوری اطلاعات از طریق سیستم سنجشی مناسب بپردازند. ان ها می بایست این اطمینان را ایجاد کنند که عملکرد همگام با طرح ها، به ویژه در ارتباط با اهداف کسب و کار باشد.

مدیران همچنین می بایست این اطمینان را ایجاد کنند که فناوری اطلاعات منطبق با تعهدات خارجی ( مقررات، قوانین، عرف، قرارداد) و قعالیت های خارجی باشد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

دستورالعمل های مرتبط به حاکمیت شرکتی فناوری اطلاعات

3.1 کلیات

بخش های بعدی دستورالعمل هایی را برای اصول کلی نظارت فناوری اطلاعات و فعالیت های مورد نیاز برای اجرای اصول فراهم می کند.

فعالیت های توصیف شده جامع نبوده بلکه نقطه شروعی را برای بحث مسئولیت های مدیران برای نظارت فناوری اطلاعات ایجاد می کند. یعنی، فعالیت های شرح داده شده به عنوان دستورالعمل های پیشنهادی برای نظارت فناوری اطلاعات می باشد.

مسئولیت هر سازمان به طور مجزا این می باشد، تا به تعیین فعالیت های خاص برای اجرای اصول پرداخته، و توجهی در ارتباط با ماهیت سازمان، و تجزیه و تحلیل مناسب ریسک ها و و فرصت های استفاده از فناوری اطلاعات داشته باشد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

3.2 اصل 1: مسئولیت

ارزیابی

مدیران می بایست به ارزیابی گزینه های مربوط به تعیین مسئولیت ها در مورد کاربرد آینده و حال فناوری اطلاعات بپردازند. در ارزیابی این گزینه ها، مدیران می بایست اطمینانی را در مورد کاربرد موثر، کارآمد و قابل قبول و ارائه فناوری اطلاعات در پشتیبانی از اهداف کسب و کار حال و آینده ایجاد کنند.

مدیران می بایست به ارزیابی صلاحیت کسانی که مسئولیت تصمیم گیری در مورد فناوری اطلاعات به آن ها داده می شود، بپردازند. معمولا، این افراد به عنوان مدیران کسب و کار می باشند که مسئول اهداف کسب و کار سازمان و عملکرد بوده، که توسط متخصصان فناوری اطلاعات تعیین می گردند که به درک ارزش کسب و کار و فرایندها می پردازند.