إستراتيجية تقنية المعلومات - سعيد حميدان

 إستراتيجية تقنية المعلومات

سعيد حميدان

صادرة من المدقق الداخلي مجلة متخصصة صادرة عن جمعية المراجعين الداخليين اليمنية

العدد الثالث

بينما يتم التدقيق على التطبيقات والبنية التحتية وأنظمة الرقابة العامة بشكل اعتيادي، يتم إغفال عنصر أساسي بصورة أو بأخرى هو إستراتيجية تقنية المعلومات

إن العنصر الأساسي لنجاح أي مؤسسة تتمثل في وجود رؤية وإستراتيجية واضحة وموثقة حيث تؤمن كل إدارة وكل موظف بتلك الرؤية ويعملون معاً لتحقيق أهدافها وغاياتها. لا بد أن يكون لكل إدارة إستراتيجية خاصة بها. وينطبق ذلك أيضاً على إدارة تقنية المعلومات التي تلعب دوراً مهماً في تحقيق أهداف المنشأة وأهداف نموها. ومثل أية إستراتيجية، هناك مخاطر متعلقة بإستراتيجية تقنية المعلومات. يتمثل دور التدقيق الداخلي في إستيعاب مفهوم إستراتيجية تقنية المعلومات من أجل التدقيق على هذه المخاطر.

مناهج التخطيط الإستراتيجي لتقنية المعلومات

في العديد من الأماكن- ومن بينها بعض الشركات في الشرق الأوسط- لا ينظر إلى تقنية المعلومات كعنصر إستراتيجي من عناصر نمو المنشأة، بينما تراها أماكن أخرى كأساس لأعمال المنشأة (مثل مواقع إيباي، وأمازون، وإي تريد، وغيرها) وتُعد الرابط الأساسي بينها وبين عملائها. وبغض النظر عن مكانة تقنية المعلومات في المنشأة، لا يمكن أن تعمل دائرة تقنية المعلومات يوماً بيوم فقط وتنفيذ مشاريع وخدمات معدة لأغراض محددة عند طلبها. بل يجب أن يكون لإدارة تقنية المعلومات إستراتيجيتها الخاصة سواء كانت أو لم تكن للمنشأة إستراتيجية موثقة.

ولكن ما هي إستراتيجية تقنية المعلومات؟ هي خارطة طريق ترسم مستقبلاً لتنظيم إدارة تقنية المعلومات وطاقتها الاستيعابية وأفرادها وموازنتها وذلك للوفاء بمتطلبات الأعمال وتحقيق الإستراتيجية العامة للمنشأة. دعونا نتعرف على احتمالين: الأول عندما يكون للشركة إستراتيجية مؤسسية موثقة والثاني عندما لا يكون للمنشأة إستراتيجية مؤسسية موثقة (الذي غالباً ما نجده في الشرق الأوسط).

- الاحتمال الأول: يمكن وضع إستراتيجية لتقنية المعلومات عن طريق ترجمة الإستراتيجية المؤسسية إلى أهداف وغايات محددة لتقنية المعلومات وإعداد مبادرات لتحقيقها. لنأخذ على سبيل المثال بنكاً يرغب في توسيع نطاق أعماله في دولة جديدة في إطار الإستراتيجية المؤسسية. كيف يترجم ذلك إلى إستراتيجية لتقنية المعلومات؟ تحتاج إدارة تقنية المعلومات أن تعرف إذا ما كان البنك يخطط لدخول سوق خدمات الأفراد أو سوق خدمات الشركات أو غيرها، وكذلك النمو المتوقع خلال الأعوام القادمة. بناءً على ذلك، تقوم إدارة تقنية المعلومات بالتخطيط لتنظيم إدارتها ومواردها (البنية التحتية، والموظفين، والموازنة) لصياغة الإستراتيجية وتحدد أولوية المهام على أساس مواعيد إنجاز الأعمال. ويُعد هذا مثالاً على واحدة من عدة مبادرات في إستراتيجية تقنية المعلومات.

- الاحتمال الثاني: لنفترض أن المنشأة ليس لديها إستراتيجية موثقة. تحتاج إدارة تقنية المعلومات إلى دراسة أولويات المنشأة وتقديم مقترح بما يمكن أن تقوم به إدارة تقنية المعلومات من جانبها. على سبيل المثال، تركز شركة عائلية على تخفيض التكاليف. يمكن أن يكون أحد المقترحات المقدمة من إدارة تقنية المعلومات إنشاء مركز مشترك للخدمات أو الاستعانة بمصادر خارجية لتغطية جوانب معينة في مجال تقنية المعلومات، ومن هنا يمكن تطوير إستراتيجية تقنية المعلومات. ويوضح هذا السيناريو أن عدم وجود إستراتيجية مؤسسية لا يُعد مبرراً لعدم وجود إستراتيجية لتقنية المعلومات.

وفي كلتا الحالتين، تعمل إدارة تقنية المعلومات من خلال عدة مبادرات مختلفة. يكون بعضها على نطاق المنشأة ككل ويكون أساسياً للمنشأة مثل الحوسبة السحابية والتقنيات المتنقلة أو استخدام الأجهزة الإلكترونية الشخصية في العمل. ويكون البعض الآخر محور تركيز إدارة تقنية المعلومات مثل تدريب الموظفين وإجراء التحسينات وغيرها، بينما تكون باقي المبادرات محددة المهام كالتطبيقات. عند اختيار المبادرات، يكون التوافق الإستراتيجي بين أهداف الأعمال وأهداف تقنية المعلومات مهماً للمنشآت، وتكون الخطة الإستراتيجية لتقنية المعلومات أداة لتحقيق التوافق الإستراتيجي.

خمس خطوات عملية لتطوير استراتيجية لتقنية المعلومات

- حدد رؤية إدارة تقنية المعلومات: إستوعب رؤية المنشأة وتوقعات أصحاب المصالح للوصول إلى الرؤية والأهداف الإستراتيجية لإدارة تقنية المعلومات بما يتوافق مع الإستراتيجية المؤسسية.

- قم بإجراء تقييم للوضع الحالي: قيم إمكانات تقنية المعلومات وأداءها، وأيضاً نقاط قوتها وضعفها والفرص المتاحة أمامها والتهديدات التي تواجهها.

- ضع مبادرات إستراتيجية: اختر مبادرات ملائمة لتحقيق الأهداف الإستراتيجية مع أخذ الوضع الحالي لإدارة تقنية المعلومات في الحسبان. حدد الموارد المطلوبة وعين القائمين بالعمل وحدد المواعيد النهائية لإنجاز العمل.

- وثِّق إستراتيجية تقنية المعلومات واعتمدها وأعلنها: وثق الإستراتيجية واعتمدها من الرئيس التنفيذي وأعلنها لكل أصحاب المصالح المعنيين.

- قِسِ الأداء: حدد التقدم المحرز مقارنة بالركائز الإستراتيجية الأساسية. تواصل مع أصحاب المصالح وقم بتحديث إستراتيجية تقنية المعلومات حسبما يقتضي.

ماذا عن التدقيق الداخلي؟

إلى أي مجالات يدخل المدققون الداخليون؟ بصفتي رئيساً لإدارة تقنية المعلومات، فأني أتلقى دائماً تقارير التدقيق الخاصة بالأمن والتطبيقات المختلفة والشبكات، وفي بعض الأحيان أتلقى تقريراً عن حوكمة تقنية المعلومات. على مدار مسيرتي المهنية التي تزيد عن ٢٠ عاماً، قلما رأيت تقرير تدقيق يتناول إستراتيجية تقنية المعلومات.

تتطلب معايير التدقيق الداخلي (٢١٢٠.أ ١ و ٢١٣٠ .أ ١) قيام المدققين الداخليين بتقييم المخاطر المحتملة التي تؤثر على الأهداف الإستراتيجية وأيضاً فعالية الأنظمة الرقابية المتعلقة بها. وبذلك، يفترض أن تكون إستراتيجية تقنية المعلومات إحدى عناصر هذه المتطلبات.

وفي حالة عدم إجراء تدقيق لإستراتيجية تقنية المعلومات، يضيع المدققون الداخليون فرصة النظر إلى الصورة كاملة. يرحب رؤساء تقنية المعلومات الواثقون من أنفسهم بأعمال التدقيق على إستراتيجية تقنية المعلومات والمخاطر الإستراتيجية المحيطة بها، سواء كانت مراجعة مستقلة أو كجزء من تدقيق يقيم الالتزام بإطار كوبيت ٥ الصادر عن اتحاد تدقيق ومراقبة نظم المعلومات. يجب ألا يتجنب المدققون الداخليون إجراء مثل هذا التدقيق.

لإجراء تدقيق فعال للمخاطر الإستراتيجية لتقنية المعلومات، من إستراتيجية المؤسسة يحتاج المدققون الداخليون إلى فهم كلّ ومبادئ تقنية المعلومات.

من جهة التدقيق لا يعد كافياً حصر التقييم على وجود أو عدم وجود إستراتيجية تقنية المعلومات فقط، فلا بد أن يتطرق المدققون الداخليون إلى التفاصيل. ولكن على المدققين توخي الحذر! يتمثل عمل المدققين الداخليين في التدقيق على عملية التخطيط الإستراتيجي لتقنية المعلومات وعلى كيفية إدارة المخاطر المتعلقة بالخطة الإستراتيجية. لا يمكن للمدققين أن يعلقوا على مدى ملاءمة الإستراتيجيات التي اختارتها الإدارة لتحقيق أهدافها ويجب أن يترك هذا الأمر للإدارة التنفيذية لأتخاد القرار المناسب. يكون أي تعليق من المدققين الداخليين بمثابة رأي ليس مبني على خبرات عملية.

تتضمن مجالات إستراتيجية تقنية المعلومات التي يمكن أن يضيف المدققون الداخليون إليها قيمة على سبيل المثال:

- مراجعة عملية التخطيط الإستراتيجي لتقنية المعلومات: تحديد الامتثال مع سياسة التخطيط الإستراتيجي. تقييم إذا ما كانت الخطة تتضمن العناصر المطلوبة (الرؤية، الأهداف، الغايات، المبادرات، مقاييس الأداء) البحث في أمر التوافق مع أهداف المنشأة.

- التحقق من اعتماد الإستراتيجية والإعلان عنها. التحقق من تحديد الأنشطة التفصيلية مع المسؤولين عن العمل وتحديد المواعيد النهائية لإنجاز العمل.

- التحقق من إدراج التكاليف ومتطلبات الموارد. تقييم مدى تحديد المخاطر الخاصة بالإستراتيجية وكيفية إدارتها.

- مراجعة التقدم المحرز مقارنة بالإستراتيجية: تقييم أداء إدارة تقنية المعلومات مقارنة بالخطة الإستراتيجية (ماذا حققت إدارة تقنية المعلومات؟) التأكد من اطِّلاع أصحاب المصالح على تقارير الأداء ومدى صحة البيانات المدرجة بها.

- التدقيق/ الاستشارات المتعلقة بالمبادرات الإستراتيجية لتقنية المعلومات: تتباين هذه المبادرات من حيث طبيعتها وقد تتنوع بدءً من تطبيق برنامج كمبيوتر جديد أو فتح مركز جديد للبيانات وصولاً إلى تطبيق معايير معينة لشهادة الأيزو.

وحتى يكون تدقيق إستراتيجية تقنية المعلومات فعالاً، لا بد أن يجريه مدققون داخليون على علم بالإستراتيجية وحوكمة تقنية المعلومات بدرجة كبيرة. ويُعد ذلك من المهارات اللازمة للمدقق الداخلي المعين لإجراء التدقيق التي ستحدد نجاح أعمال هذا التدقيق.

الخلاصة

تُعد إستراتيجية تقنية المعلومات أساسية للمنشآت بغض النظر عن مجال عملها. ولا بد من وضعها في إطار من الحوكمة الملائمة فضلاً عن إسناد المسؤوليات بطريقة صحيحة بدءً من الإدارة العليا وصولاً إلى أصغر الوظائف على أن تكون العمليات المسندة لهم ملائمة وذلك للنجاح في تأدية مهامها والاستفادة من الموارد بصورة صحيحة ومراقبة العمليات على نحو مناسب. يحتاج المدققون الداخليون إلى تخصيص جزء من خطة تدقيق أعمال تقنية المعلومات لتدقيق المخاطر الإستراتيجية المتعلقة بتقنية المعلومات ولتدقيق إستراتيجية تقنية المعلومات بعينها. وبذلك، يتمكن المدققون الداخليون من إضافة قيمة حقيقية للأعمال والخروج من دائرة إصدار تقارير حول الامتثال فحسب.