اگر فناوری اطلاعات را ستون فقرات سازمانهای عصر تحول دیجیتال بدانیم، نمیتوان نسبت به شیوههای حاکمیت و مدیریت آن بیتفاوت بود. تصمیمهای استراتژیک درباره فناوری، تنها به مدیران فناوری مربوط نمیشود؛ هیئتمدیره، مدیران ارشد و سیاستگذاران نیز باید در جایگاهی باشند که بتوانند بر استفاده از فناوری اطلاعات نظارت کنند. اینجاست که استاندارد ISO/IEC 38500 وارد میدان میشود. این استاندارد، یک چراغ راهنما برای شما است تا مسیر تصمیمگیریهای کلان در مورد فناوری اطلاعات در سازمانتان را مشخص کند.
در این مقاله، به صورت مختصر با استاندارد ISO/IEC 38500، به عنوان یک استاندارد بینالمللی برای حاکمیت شرکتی فناوری اطلاعات و ارتباطات (ICT) آشنا میشویم و برخی از بخشهای آن را بررسی میکنیم.
استاندارد ISO/IEC 38500 چیست؟
استاندارد ISO/IEC 38500 یک چارچوب بینالمللی در حوزه حاکمیت شرکتی فناوری اطلاعات و ارتباطات است. دو نهاد معتبر یعنی سازمان بینالمللی استانداردسازی (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC) این استاندارد را تدوین و منتشر کردهاند.
این استاندارد ابزار راهبردی در اختیار اعضای هیئتمدیره، مدیران ارشد و دیگر ذینفعان سازمان قرار میدهد. هدف آن، کمک به این افراد برای هدایت، ارزیابی و نظارت مؤثر بر استفاده از فناوری اطلاعات در سازمان است. بهکمک این چارچوب، مدیران میتوانند تصمیمهایی بگیرند که آگاهانه، مسئولانه و همراستا با اهداف کلان سازمان باشند.
تدوین اولیه این استاندارد در سال ۲۰۰۵ و با نام AS 8015 در کشور استرالیا انجام شد. این سند، نخستین استاندارد ملی در زمینه حاکمیت فناوری اطلاعات به شمار میرفت. با افزایش توجه جهانی به موضوع حکمرانی فناوری، ISO و IEC این استاندارد را در سال ۲۰۰۸ بهصورت رسمی پذیرفتند و آن را در سطح بینالمللی منتشر کردند. نسخههای بعدی آن نیز طی سالهای بعد منتشر شدند. آخرین نسخه رسمی آن در سال ۲۰۲۴ منتشر شده است.
در حال حاضر، این استاندارد در دل یک مجموعه گستردهتر با عنوان ISO/IEC 38500 series قرار گرفته است. این مجموعه اسناد تکمیلی مهمی مانند ISO/IEC TR 38502 (برای مدلهای حکمرانی) و ISO/IEC 38505 (برای حاکمیت داده) را نیز در بر میگیرد. به همین دلیل، استاندارد 38500 را میتوان بهعنوان چارچوب مادر حاکمیت دیجیتال در سازمانها در نظر گرفت.
ماهیت استاندارد: راهنما، نه الزام
معمولا میتوانیم استانداردها را به دو دسته تقسیم کنیم:
مشخصه (Specification) یعنی استانداردهایی که دقیقاً توضیح میدهند یک کار باید چطور انجام شود. این نوع استانداردها معمولاً برای ممیزی و دریافت گواهی مناسباند. مثلاً استاندارد ISO 9001 یا ISO/IEC 27001 از این نوعاند و سازمانها میتوانند با رعایت کامل آنها، گواهی رسمی بگیرند.
در مقابل، کد عملی (Code of Practice) مجموعهای از توصیهها و راهنماهای غیرالزامی است. این استانداردها الزام فنی ندارند، بلکه مجموعهای از بهترین شیوهها را پیشنهاد میدهند تا سازمانها بتوانند بر اساس شرایط خود، تصمیمگیری کنند. نمونه معروف آن، چارچوب ITIL است.
استاندارد ISO/IEC 38500 هم از نوع کد عملی است. یعنی برای آن گواهی صادر نمیشود و ابزار ممیزی رسمی نیست. این استاندارد بیشتر نقش یک راهنما را دارد؛ چارچوبی اصولمحور که به مدیران کمک میکند استفاده از فناوری اطلاعات را در جهت اهداف کلان سازمان هدایت، ارزیابی و پایش کنند—بدون آنکه درگیر الزامات سفتوسخت یا فرآیندهای رسمی گواهیدهی شوند.
سه ابزار کلیدی در استاندارد ISO/IEC 38500
برای تحقق حاکمیت مؤثر فناوری اطلاعات، این استاندارد بر سه مؤلفه اصلی تأکید دارد:
1. اصول (Principles)
این اصول، چارچوبی اخلاقی و استراتژیک برای تصمیمگیری درباره فناوری اطلاعات فراهم میکنند. با پیروی از این اصول، سازمانها میتوانند از IT بهگونهای مسئولانه، شفاف و منطبق با منافع سازمانی استفاده کنند.
2. مدل حاکمیت (Governance Model)
مدل حاکمیت، نقشها و تعاملات کلیدی میان تصمیمگیران را مشخص میسازد. این مدل تضمین میکند که مسئولیتها بهدرستی تعریف شدهاند و هماهنگی میان سطوح مدیریتی مختلف وجود دارد.
3. چارچوب اجرایی (Framework)
چارچوبی کاربردی برای اجرای اقدامات حاکمیتی در سطح سازمانی است. این چارچوب به مدیریت ریسک، انطباقپذیری، و تضمین عملکرد کمک میکند.
مقاله پیشنهادی: آشنایی با استاندارد امنیت سایبری IEC 62443
اصول دهگانه حکمرانی فناوری اطلاعات در ISO/IEC 38500:2024
در سال ۲۰۲۴، سازمان بینالمللی استانداردسازی (ISO) و کمیسیون بینالمللی الکتروتکنیک (IEC)، نسخه جدیدی از استاندارد ISO/IEC 38500 را منتشر کردند. این استاندارد چارچوبی استراتژیک برای حکمرانی فناوری اطلاعات در سازمانها ارائه میدهد و در نسخه جدید، بازنگری عمیقی در اصول بنیادی آن انجام شده است. اگر با نسخه ۲۰۱۵ این استاندارد آشنا باشید، احتمالاً متوجه میشوید که نسخه ۲۰۲۴ نهتنها جامعتر، بلکه با الزامات دنیای دیجیتال امروز هماهنگتر شده است.
در نسخه ۲۰۲۴، اصول حکمرانی از ۶ اصل به ۱۰ اصل ساختاریافته توسعه یافتهاند. این اصول از بندهای ۵.۳ تا ۵.۱۲ استاندارد آمدهاند و هر یک جنبهای کلیدی از تصمیمگیری، رهبری، ارزشآفرینی و مسئولیتپذیری در حوزه فناوری اطلاعات را نمایندگی میکنند.
فهرست اصول دهگانه در ISO/IEC 38500:2024
| شماره | عنوان فارسی | شرح مختصر |
|---|---|---|
| ۵.۳ | خلق ارزش (Value generation) | فناوری اطلاعات باید در خدمت ایجاد ارزش پایدار برای سازمان و ذینفعان باشد. |
| ۵.۴ | استراتژی (Strategy) | تصمیمات مرتبط با فناوری باید با اهداف کلان و مسیر راهبردی سازمان همراستا باشد. |
| ۵.۵ | نظارت (Oversight) | فرآیندهای IT باید تحت نظارت دائمی قرار گیرند تا شفافیت و کنترل حفظ شود. |
| ۵.۶ | پاسخگویی (Accountability) | مسئولیتها باید روشن، مستند و قابل ارزیابی باشند. |
| ۵.۷ | درگیرسازی ذینفعان (Stakeholder engagement) | دیدگاهها و نیازهای ذینفعان باید بهصورت فعال در تصمیمگیریها لحاظ شود. |
| ۵.۸ | رهبری (Leadership) | رهبری اثربخش نقش کلیدی در هدایت، الهامبخشی و فرهنگسازی دارد. |
| ۵.۹ | داده و تصمیمگیری (Data and decisions) | تصمیمها باید بر اساس دادههای قابل اتکا و تحلیل دقیق انجام شوند. |
| ۵.۱۰ | حاکمیت ریسک (Risk governance) | ریسکهای فناوری باید شناسایی، ارزیابی و بهدرستی مدیریت شوند. |
| ۵.۱۱ | مسئولیت اجتماعی (Social responsibility) | حکمرانی IT باید با ملاحظات اجتماعی، اخلاقی و زیستمحیطی همراه باشد. |
| ۵.۱۲ | پایداری و عملکرد در گذر زمان (Viability and performance over time) | عملکرد فناوری اطلاعات باید در طول زمان پایدار، سازگار و مقاوم باشد. |
نسخه ۲۰۲۴ استاندارد ISO/IEC 38500 تلاش دارد تا پاسخگوی نیازهای عصر تحول دیجیتال، پیچیدگیهای نوین دادهمحور، الزامات ESG و الزامات تابآوری سازمانی باشد. امروزه فناوری اطلاعات صرفاً یک پشتیبان نیست، بلکه یک محرک راهبردی برای بقا، رشد و نوآوری سازمانهاست. این اصول، مسیر حرکت بهسوی حکمرانی دیجیتال مؤثر را روشنتر از همیشه ترسیم میکنند.
مراحل کلیدی در پیادهسازی استاندارد ISO/IEC 38500:2024
۱. طراحی چارچوب حکمرانی
ساختار حکمرانی را بر اساس اصول استاندارد طراحی کنید. این چارچوب باید شامل نقشها، ساختارهای تصمیمگیری، تعامل میان مدیریت و هیئتمدیره، و مرزهای مسئولیت باشد.
۲. تعریف اهداف و راهبرد
اهداف کلیدی و سیاستهای راهبردی فناوری اطلاعات را مشخص کرده و اطمینان حاصل کنید که با اهداف کلان سازمان هماهنگ هستند.
۳. تعیین مسئولیتها
در سطوح مختلف سازمان، افراد مسئول برای تصمیمگیری، اجرا و نظارت بر فرآیندهای مرتبط با فناوری اطلاعات را معرفی کرده و شرح وظایف شفاف ارائه دهید.
۴. توسعه سیاستها و فرآیندها
سیاستها، دستورالعملها و فرآیندهایی را تدوین کنید که پشتیبان تحقق اصول حکمرانی باشند. این سیاستها باید حوزههایی مانند مدیریت ریسک، امنیت، انطباق و حاکمیت داده را پوشش دهند.
۵. استقرار کنترلها و شاخصهای سنجش
برای پایش عملکرد حکمرانی، کنترلهای داخلی و شاخصهای کلیدی عملکرد (KPIs) را تعریف و اجرا کنید. حسابرسی، گزارشگیری و بازبینی دورهای بخشی از این مرحلهاند.
۶. تأمین منابع و پشتیبانی اجرایی
اطمینان حاصل کنید که منابع انسانی، مالی، فنی و مدیریتی کافی برای اجرای چارچوب حکمرانی وجود دارد. آموزش و توانمندسازی تیمها نیز حیاتی است.
۷. آموزش و ترویج فرهنگ حکمرانی
فرهنگ حکمرانی فناوری اطلاعات باید در سازمان نهادینه شود. با آموزش، ارتباطات داخلی و مشوقهای مدیریتی، آگاهی کارکنان را افزایش دهید.
۸. نظارت و بهبود مستمر
اثربخشی ساختار حکمرانی را بهطور منظم پایش کرده و در صورت نیاز بهروزرسانی کنید. بازخوردها، تغییرات فناوری و ریسکهای جدید باید به بهبود ساختار منجر شوند.
۹. مدیریت روابط ذینفعان
حاکمیت IT بدون تعامل با ذینفعان کلیدی ناقص خواهد بود. اطمینان حاصل کنید که دیدگاههای هیئتمدیره، مدیران میانی، مشتریان و حتی شرکا در طراحی و اجرا لحاظ میشود.
۱۰. نهادینهسازی بهبود مستمر
در نهایت، استاندارد ISO/IEC 38500 از شما انتظار دارد که ساختار حکمرانی بهصورت پویشی دائمی تکامل یابد. هر تجربه، بحران یا پروژه، فرصتی برای یادگیری و بهبود است.
هماهنگی با سایر چارچوبها و استانداردها
استاندارد ISO/IEC 38500 بهصورت مستقل قابل اجراست، اما در بسیاری از سازمانها، بهعنوان چارچوب حاکمیتیِ بالادستی در کنار سایر استانداردها و مدلهای اجرایی مانند:
-
COBIT (چارچوب کنترل و مدیریت فناوری اطلاعات)
-
ISO/IEC 20000 (مدیریت خدمات فناوری اطلاعات)
-
ITIL (کتابخانه زیرساخت فناوری اطلاعات)
مورد استفاده قرار میگیرد. این همافزایی باعث میشود تا هم حکمرانی (Governance) و هم مدیریت (Management) فناوری اطلاعات بهصورت یکپارچه و اثربخش اجرا شوند.
استاندارد 38500 بهویژه برای سازمانهای دولتی، بینسازمانی، شرکتهای بزرگ و نهادهای حساس که نیازمند شفافیت، پاسخگویی و عملکرد پایدار هستند، ابزاری قابل اعتماد و مقیاسپذیر بهشمار میرود.
جمعبندی: چرا ISO/IEC 38500 اهمیت دارد؟
استاندارد ISO/IEC 38500:2024 نه فقط یک سند رسمی، بلکه یک راهنمای کاربردی برای حکمرانی درست فناوری اطلاعات در عصر دیجیتال است. این استاندارد به سازمانها کمک میکند تا:
-
نقش فناوری را در تصمیمگیریهای کلان بهتر درک کنند،
-
ریسکها را بهموقع شناسایی و کنترل کنند،
-
از منابع IT بهصورت مسئولانه و اثربخش استفاده نمایند،
-
و مهمتر از همه، ارزش واقعی از فناوری خلق کنند.
اصول دهگانهای که در این استاندارد آمدهاند، نگاه ما به حکمرانی را متحول میکنند. آنها یادآوری میکنند که موفقیت فناوری در سازمان، فقط به ابزار و نرمافزار وابسته نیست، بلکه به تصمیمگیری درست، شفافیت، مسئولیتپذیری، و درگیر بودن همه ذینفعان بستگی دارد.
چه در یک سازمان کوچک کار میکنید و چه در یک نهاد بزرگ، این استاندارد میتواند به شما کمک کند تا فناوری را نهفقط مدیریت، بلکه حکمرانی کنید—و این دقیقاً تفاوت میان بقا و رشد در دنیای امروز است.
