بسیاری از سازمانها از فناوری اطلاعات به عنوان ابزار اساسی کسب و کار خود بهره می گیرند و بدون استفاده از آن نمی توانند به صورت موثر به حیات خود ادامه دهند. اما از سویی هزینههای مربوط به فناوری اطلاعات، بخش عمده ای از هزینه کردهای مالی و منابع انسانی کل سازمان را به خود اختصاص میدهد. همچنین بازگشت سرمایه گذاری انجام شده بر روی فناوری اطلاعات در اکثر موارد چندان قابل ملاحظه برای سازمان نمی باشد.
دلیل عمده مواجه با این نتایج نا خوشایند، توجه به ابعاد فنی فناوری اطلاعات میباشد و مفهوم استفاده از فناوری اطلاعات در کسب و کار مورد بیتوجهی قرار میگیرد. لذا وجود استانداردی جهت راهبری بهرهگیری از فناوری اطلاعات در سازمانها لازم و ضروری به نظر میرسد. استاندارد ISO 38500، استاندارد حاکمیت فناوری اطلاعات میباشد.
استاندارد ISO 38500 ، استاندارد حاکمیت فناوری اطلاعات میباشد و اصولی را برای ارزیابی، هدایت و پایش بهرهگیری از فناوری اطلاعات در سازمانها را در قالب چارچوبی در اختیار مدیران قرار میدهد.این استاندارد برای تمامی سازمانها اعم از کوچک و بزرگ، و شرکت های دولتی و خصوصی و غیر انتفاعی مناسب میباشد.
این استاندارد اصول راهنمایی را برای مدیران سازمانها (ازجمله مالکان، اعضای هیئتمدیره، مدیران، شرکا، مدیران اجرایی یا موارد مشابه) بر اساس استفاده مؤثر، بهینه و قابلقبول استفاده از فناوری اطلاعات در درون سازمانهایشان فراهم میکند.
مدل حاکمیت فناوری اطلاعات و ارتباطات در این استاندارد در شکل زیر نشان داده شده است.
اصول شش گانه استاندارد ایزو 38500
این بخش شش اصل حاکمیت خوب فناوری اطلاعات را توصیف میکند. این اصول رفتارهای ارجح برای راهنمایی تصمیمگیری را بیان میدارند. توضیح هر اصل منسوب به آنچه اتفاق میافتد است اما چگونگی و زمان آن و این که توصیه میشود چه کسی آن را اجرا کند را تعیین نمیکند. این جنبهها بستگی به ماهیت سازمانی دارد که اصل را اجرا میکند. توصیه میشود نهادهای حاکمیتی ملزم به اجرای این اصول باشند(ISO, 2008).
تخصیص مسئولیتها به افراد ذی صلاح و تعریف حوزه اختیارات آنها در تصمیمگیری و انتخاب مکانیزمهای صحیح راهبری.
افراد یا گروههای درون سازمان مسئولیت خود را با توجه به تأمین و تقاضای فناوری اطلاعات، درک و قبول کنند. کسانی که مسئولیت اقدامات را دارند، اختیار انجام آنها را نیز دارا میباشند.
همسویی فناوری اطلاعات با اهداف سازمان، با توجه به منافع آن.
راهبرد کسبوکار سازمان در ظرفیتهای جاری و آتی فناوری اطلاعات بهحساب آورده میشود. طرحهای استفاده از فناوری اطلاعات نیازهای جاری و پیش روی راهبرد کسبوکار سازمان را تامین میکنند.
سرمایهگذاری مناسب بر فناوری اطلاعات با در نظر گرفتن مخاطرات و ارزش ایجاد شده توسط آنها.
اکتساب فناوری اطلاعات بر مبنای دلایل معتبر و بر اساس تحلیل مناسب و در دست اقدام، به همراه تصمیمگیری روشن و شفاف تعیین میشود. تعادل مناسبی بین منافع، فرصتها، هزینهها و مخاطرههای کوتاهمدت و بلندمدت وجود دارد.
تامین توانایی و ظرفیت فناوری اطلاعات جهت حمایت از کسب و کار و مدیریت مخاطرات.
فناوری اطلاعات با هدف حمایت از سازمان در راستای تأمین خدمات، سطح خدمات و کیفیت مورد انتظارآن بهمنظور برآوردن نیازهای جاری و آتی کسبوکار، مناسب است.
ایجاد کنترلهای داخلی برای رسیدن به الزامات انطباق داخلی و خارجی.
استفاده از فناوری اطلاعات با تمامی قوانین الزامی و مقررات مطابقت دارد. خطمشیها و روشها بهروشنی تعریف، پیادهسازی و الزام شدهاند.
شناسایی رفتارهای انسانی مورد نیاز و گسترش فعالیتهای کاری جهت بهرهگیری مناسب از فناوری اطلاعات.
خطمشیها، روشها و تصمیمات فناوری اطلاعات احترام به رفتار انسانی را نشان میدهد که شامل نیازهای امروزی و در حال پیشرفت تمامی «افراد در فرایند» است.