حاکمیت شرکتی در عصر دیجیتال؛ از دارایی‌های فیزیکی تا داده‌های نامشهود

به گزارش بورس امروز؛ حاکمیت شرکتی چارچوبی برای هدایت و کنترل شرکت‌هاست که هدف آن اطمینان از پاسخگویی، شفافیت، رعایت حقوق ذی‌نفعان و مدیریت اثربخش ریسک است. در این چارچوب، هیئت‌مدیره مسئول نهایی عملکرد سازمان بوده و باید اطمینان یابد که تصمیمات مدیریتی در راستای منافع سهامداران و پایداری سازمان اتخاذ می‌شوند. در عصر دیجیتال امروز، دارایی‌های سازمانی عمدتاً نامشهود و فناورانه‌اند؛ داده، نرم‌افزار و برنامه‌های کاربردی جایگزین دارایی‌های فیزیکی شده‌اند. بنابراین، حاکمیت شرکتی بدون کنترل و نظارت بر داده و فناوری اطلاعات ناقص خواهد بود.

براساس گزارش سال ۲۰۲۴ شرکت IBM، میانگین هزینه نقض داده برای سازمان‌ها به بیش از ۴٫۸۸ میلیون دلار رسیده است. این واقعیت نشان می‌دهد که قدرت دیگر صرفاً در اختیار کسانی نیست که منابع مالی بیشتری دارند، بلکه در دست کسانی است که داده را بهتر می‌فهمند، بهتر مدیریت می‌کنند و بر پایه آن تصمیمات دقیق‌تری می‌گیرند. اگر در گذشته دارایی‌های فیزیکی تعیین‌کننده ارزش شرکت‌ها بودند، امروز داده و اطلاعات تفاوت بین رشد و فروپاشی را رقم می‌زنند. داده‌ها از طلا نیز ارزشمندترند، اما برخلاف طلا می‌توان آن‌ها را بی‌نهایت کپی، دستکاری یا حتی گم کرد. سازمان‌هایی که فاقد ساختارهای مؤثر برای حاکمیت داده و فناوری اطلاعات هستند، نه‌تنها در رقابت عقب می‌مانند بلکه بقای آن‌ها نیز به خطر می‌افتد.

بیش از ۶۰ درصد آسیب‌های ناشی از نقض داده به دلیل ضعف در ساختار حاکمیت داده و فناوری اطلاعات رخ می‌دهد، نه صرفاً ضعف فنی. تهدید اصلی امروز ویروس یا هکر نیست، بلکه فقدان ساختار مناسب است. نمونه بارز آن، شرکت Equifax در آمریکا بود که در سال ۲۰۱۷ قربانی نقض داده شد و اطلاعات شخصی ۱۴۷ میلیون نفر فاش گردید. مشکل اصلی، نبود مسئولیت پاسخگویی بود و نتیجه آن میلیاردها دلار خسارت. پرسش کلیدی اینجاست: در سازمان شما چه کسی مسئولیت حکمرانی داده‌ها را بر عهده دارد؟ هیئت‌مدیره، مدیرعامل، واحد فناوری اطلاعات، حسابرس داخلی یا شاید هیچ‌کس؟ اگر پاسخ روشنی وجود ندارد، دقیقاً همین نقطه آغاز خطر است.

در جهان کسب‌وکار به سرعت در حال تغییر، شرکت‌هایی که تصمیم‌های خود را بر پایه داده و شواهد نمی‌گیرند، در معرض ریسک‌های عملیاتی، فناورانه، مالی و اعتباری قرار دارند. همین واقعیت باعث شده مفهوم جدیدی در ادبیات حکمرانی مطرح شود: «حاکمیت داده‌محور». بر اساس چارچوب سازمان همکاری و توسعه اقتصادی (OECD)، حاکمیت داده‌محور یعنی سیاست‌گذاری، تصمیم‌گیری و کنترل در سازمان بر پایه داده‌های معتبر، تحلیل و شواهد انجام شود، نه بر اساس سلیقه یا حدس. ویژگی‌های این رویکرد شامل تصمیم‌گیری مبتنی بر تحلیل داده، استفاده از داده برای طراحی سیاست‌ها و خدمات، نظارت و بهبود عملیات و ایجاد فرهنگ داده‌محور است؛ فرهنگی که فراتر از فناوری اطلاعات بوده و حوزه‌هایی چون مدیریت، سیاست‌گذاری، اقتصاد و رفتار سازمانی را نیز در بر می‌گیرد.

برای تحقق تصمیم‌گیری داده‌محور، سه زیرساخت کلیدی لازم است: حاکمیت داده، حاکمیت فناوری اطلاعات و مدیریت اطلاعات. حاکمیت داده به معنای مدیریت سازمان‌یافته داده به‌عنوان یک دارایی سازمانی است. این سازوکار شامل مالکیت داده، کیفیت داده، امنیت و دسترسی و خط‌مشی‌ها و استانداردهاست. هر داده باید صاحب مشخص داشته باشد تا تعاریف متفاوت در واحدهای مختلف موجب خطا در تصمیم‌گیری نشود. کیفیت داده نیز حیاتی است؛ داده‌های نادرست یا ناقص، حتی بهترین مدیران را به تصمیمات اشتباه سوق می‌دهند. امنیت و دسترسی باید دقیقاً مشخص کند چه کسی به چه داده‌ای دسترسی دارد، زیرا هرگونه ابهام در این زمینه خطر نفوذ و افشای اطلاعات را افزایش می‌دهد. همچنین وجود خط‌مشی‌ها و استانداردهایی مانند ISO 38505 یا ISO 27001 ضروری است، اما این استانداردها باید در عمل پیاده شوند نه صرفاً روی کاغذ.

کنترل‌های داخلی فناوری اطلاعات در این میان نقشی حیاتی دارند. این کنترل‌ها مجموعه‌ای از سیاست‌ها و رویه‌ها هستند که اطمینان می‌دهند سیستم‌های اطلاعاتی سازمان به‌درستی طراحی، اجرا، نگهداری و پایش می‌شوند. کنترل‌های فناوری اطلاعات به دو دسته اصلی تقسیم می‌شوند: کنترل‌های عمومی (IT General Controls) و کنترل‌های برنامه‌های کاربردی (Application Controls). کنترل‌های عمومی زیرساخت کلی فناوری اطلاعات سازمان را امن، قابل اعتماد و پایدار نگه می‌دارند و شامل مدیریت دسترسی‌ها، تغییرات نرم‌افزار و سیستم‌ها، پشتیبان‌گیری و بازیابی اطلاعات، امنیت شبکه و سرورها و مدیریت نسخه‌ها و به‌روزرسانی‌ها هستند. در مقابل، کنترل‌های برنامه‌های کاربردی در داخل نرم‌افزارها و سامانه‌ها فعال‌اند و برای جلوگیری از خطا، تقلب یا ثبت نادرست داده به کار می‌روند؛ مانند اعتبارسنجی داده‌ها، کنترل کامل بودن ثبت‌ها، محدودیت‌های منطقی و تطابق خودکار. وجود هر دو نوع کنترل ضروری است؛ زیرا اگر کنترل‌های عمومی برقرار نباشند، کنترل‌های برنامه‌های کاربردی نیز قابل اعتماد نخواهند بود.

با این حال، ریسک‌های داده و فناوری اطلاعات در ایران امروز چندلایه و ترکیبی از عوامل ژئوپولیتیکی، اقتصادی، قانونی و فنی هستند. قطعی‌های مکرر اینترنت، محدودیت‌های ناشی از تحریم در دسترسی به فناوری‌های پیشرفته امنیت سایبری، حملات سایبری هدفمند به زیرساخت‌های بانکی و صرافی‌های رمزارزی، ضعف حاکمیت داده و فقدان حسابرسی فناوری اطلاعات، نوسانات اقتصادی و کمبود نیروی انسانی متخصص، همگی تهدیدهای جدی برای سازمان‌ها محسوب می‌شوند. نمونه‌های اخیر مانند حمله گروه IRLeaks به ۲۰ بانک ایرانی و حمله خرداد ۱۴۰۴ به صرافی نوبیتکس نشان دادند که ضعف در کنترل‌ها و حسابرسی می‌تواند به بحران‌های مالی و اعتباری گسترده منجر شود.

جمع‌بندی  

حاکمیت شرکتی در عصر دیجیتال بدون حاکمیت داده و فناوری اطلاعات ناقص است. بقای سازمان‌ها امروز وابسته به اعتماد دیجیتال، کیفیت داده و نظارت هوشمند بر فناوری اطلاعات است. حسابرسی فناوری اطلاعات همان چشم سوم مدیریت است که اطمینان‌بخشی مستقل فراهم می‌کند، ضعف‌ها را شناسایی می‌نماید و مسیر داده‌محور شدن تصمیم‌ها را تضمین می‌کند. در دنیایی که هر کلیک یک تصمیم و هر داده یک ریسک است، بقای سازمان‌ها متعلق به آن‌هایی است که بر داده حکومت می‌کنند، نه آن‌هایی که داده بر آن‌ها حکومت می‌کند. این بقا تنها با کنترل‌های داخلی فناوری اطلاعات و ساختارهای حسابرسی مؤثر تضمین خواهد شد.

نویسنده: بیتا مشایخی – استاد  حسابداری دانشگاه تهران

منبع: شماره 113 نشریه بورس امروز_ آذرماه 1404