Вопрос необходимости сертификации ИТ-руководителей периодически обсуждается в профессиональных сообществах. Мнения высказываются разные, вплоть до отрицания её целесообразности. Согласно профессиональному стандарту «Менеджер информационных технологий», разработанному под эгидой Ассоциации предприятий компьютерных информационных технологий (АП КИТ), деятельность менеджеров по ИТ всех уровней подлежит добровольной сертификации. Это означает, что решение о её целесообразности и о выборе конкретной программы нужно принимать самостоятельно. А принять его не просто ввиду отсутствия общепризнанного подхода к данному вопросу.

«Каждый день, в который вы не пополнили своего образования
хотя бы маленьким, но новым для вас куском знания,
считайте бесплодно и невозвратно для себя погибшим».
К.С. Станиславский

На сегодняшний день большинство программ сертификации в области ИТ, предлагаемых в России, — зарубежные. Национальная ещё только проектируется. Зарубежный опыт справедливо считается источником знаний, на базе которого мы, россияне, традиционно формируем свои системы и методологии. Поэтому сегодня я предлагаю уважаемому сообществу направить свой критический взгляд на сертификацию в области руководства ИТ (CGEIT — Certified in the Governance of Enterprise IT).

В рамках данной статьи мы попробуем ответить на вопрос, представляет ли в условиях российской действительности указанный сертификат какую-либо ценность для ИТ-руководителей. А также для их работодателей — текущих и потенциальных.

Общая информация

Программа сертификации CGEIT была разработана ассоциацией ISACA в 2007 году, а первый экзамен состоялся в 2008-м. По информации с сайта ассоциации ISACA, многие частные и государственные компании в США и Европе рассматривают наличие такого сертификата как обязательное требование к кандидатам на ключевые должности в структуре управления ИТ-службой.

Информация о целях и задачах программы сертификации CGEIT доступна в информационном бюллетене ISACA.

«ИТ-системы непрерывно развиваются. Этому способствует стремление компаний обеспечить свою конкурентоспособность, работать на глобальных рынках и минимизировать влияние факторов внешней среды — таких, как требования регулирующих органов. Следовательно, компаниям требуются профессионалы, способные, с одной стороны, эффективно управлять инфраструктурой и процессами ИТ, а с другой — вносить реальный вклад в развитие своей организации через под­держку процесса принятия решений, принимаемых её учредителями и директорами. Программа сертификации в области руководства корпоративными ИТ CGEIT направлена на обеспечение возрастающих потребностей бизнеса в таких профессионалах. Программа CGEIT является системой подтверждения глубоких знаний и практического опыта». По заявлению ассоциации ISACA, сертификат CGEIT указывает на практическое владение его обладателем современными методологиями управления ИТ — прежде всего такими:

  • Control Objectives for Information and related Technology (COBIT);
  • Information Technology Infrastructure Library (ITIL).

Особый акцент в требованиях сделан на руководство ИТ (IT Governance) — область деятельности, которую ассоциация ISACA считает отличной от управления ИТ (IT Management). Чтобы избежать путаницы в терминологии, далее в статье мы будем опираться на актуальные версии перевода терминов Governance и Management.

«Руководство (Governance) обеспечивает уверенность в достижении целей предприятия путём:

  • сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов;
  • установления направления развития через приоритизацию и принятие решений;
  • постоянного отслеживания соответствия фактической продуктивности и степени выполнения требований установленному направлению и целям предприятия.

Управление (Management) заключается в планировании, построении, выполнении и отслеживании деятельности в соответствии с направлением, заданным органом руководства, для достижения целей предприятия».

Давайте также освежим в памяти определение термина «IT Governance».

«Руководство ИТ (IT Governance) — зона ответст­­­­­­венности высшего руководства компании. Руковод­ство ИТ является неотъемлемой составной частью системы управления компанией и состоит в обеспечении руководящей роли, в создании организационных структур и процессов, обеспечивающих со стороны ИТ поддержку и реализацию стратегии и целей компании».

Как видно из определения, суть концепции IT Governance заключается в словах «зона ответственности высшего руководства». На кого же в таком случае ориентирована сертификация CGEIT?

Высшее руководство определяется уже привычным термином международного делового сленга «C-suite». Получается, что в рамках программы сертифицируется деятельность не только CIO, но и прочих участников C-suite, связанная с ИТ. Следовательно, кроме CIO сертификация CGEIT будет полезна советникам генерального директора по ИТ и вице-президентам, на которых возложена ответственность за работу ИТ-департаментов.

Как получить?

Чтобы получить сертификат CGEIT, кандидат должен:

  • сдать экзамен;
  • согласиться с кодексом профессиональной этики ассоциации и соблюдать его в своей деятельности;
  • иметь пятилетний опыт работы в сфере руководства ИТ;
  • постоянно совершенствоваться.

Эти требования более детально мы рассмотрим чуть ниже. А сейчас попробуем ответить на вопрос, каким образом сертификат CGEIT подтверждает опыт работы у его обладателя.

Ответ прост. Чтобы получить сертификат CGEIT, недостаточно только сдать экзамен! Даже после успешной его сдачи кандидат на получение сертификата… продолжает им оставаться! Вместо сертификата кандидат получает по почте пакет документов с результатами экзамена. А право добавить в свою подпись аббревиатуру «CGEIT» он имеет только после того, как представит в ассоциацию ISACA доказательства опыта работы в сфере руководства ИТ. Какой же именно опыт имеется в виду?

Прежде всего кандидат должен подтвердить, что он имеет не менее одного года опыта работы в области построения системы руководства ИТ (IT Governance Framework). Четвёртая часть вопросов экзамена CGEIT также посвящена ей. Кроме того, кандидат должен обладать знаниями и опытом, связанными с любыми двумя областями деятельности (practice areas) из следующего списка:

1) построение ИТ-стратегии в соответствии со стратегией бизнеса (Strategic Alignment);

2) обеспечение пользы от ИТ (Value Delivery);

3) управление рисками (Risk Management);

4) управление ресурсами (Resource Manage­ment);

5) измерение производительности (Performance Measurement).

Принимаемый в зачёт опыт должен быть приобретён в течение десяти лет, предшествующих сдаче экзамена.

Вместо подобного прямого подтверждения опыта вы можете предъявить другие свидетельства реально имеющегося у вас профессионально багажа, позволяющего вам осуществлять руководство вообще и руководство ИТ-направлением в частности. Этими свидетельствами можно заменить до двух лет опыта. Например, максимально один год опыта вам зачтут, если вы:

  • обладаете управленческим опытом (даже не в ИТ);
  • обладаете другими общепризнанными сертификатами в области управления ИТ, например
    • сертификатами ISACA в области аудита (CISA) или безопасности (CISM);
    • сертификатом IT Service Manager;
    • сертификатом Project Management Profes­sional (PMP);
  • имеете степень Master of Business Administration (MBA).

Экзамен

Сам экзамен проводится два раза в год, в декабре и июне, причём дата является единой для всех представительств ISACA. Принимают его только в письменной форме.

Экзамен состоит из 120 вопросов со множественным выбором ответа. Вопросы разработаны участниками ISACA из разных стран мира. Комитет по сертификации ISACA постоянно следит за актуальностью вопросов, их соответствием текущему уровню развития практик руководства ИТ.

Перечень требований к знаниям кандидатов представлен в книге под названием CGEIT Review Manual, которую можно приобрести на сайте ассоциации. Она содержит ключевые термины и определения, а также перечень областей деятельности, опыт в которых требуется от кандидата. Отдельно можно заказать книги с примерами вопросов, с которыми кандидат может встретиться на экзамене.

Детальнее о требованиях

Рассмотрим более подробно области деятельности из приведенного выше списка.

Построение системы руководства ИТ (IT Governance Framework)
Данная область знаний покрывает вопросы построения и развития системы руководства ИТ (IT Governance).
Кандидат на получение сертификата должен:

  •  уметь внедрять, контролировать и совершенствовать ИТ-процессы;
  • эффективно управлять инвестициями и оптимизировать риски организации, связанные с ИТ;
  • понимать организационно-культурные аспекты внедрения современных подходов к управлению.

Необходимо владение инструментами руководителя ИТ, к которым ассоциация относит следующие своды знаний: CоBIT, Val IT, Risk IT. Кроме того, кандидат должен быть знаком с другими общепризнанными практиками управления ИТ и уметь эффективно (и к месту) применять их в своей работе.

Построение ИТ-стратегии в соответствии со стратегией бизнеса (Strategic Alignment)
Требования данного раздела подразумевают, что кандидат знает и имеет навыки в области стратегического управления ИТ. Он должен понимать:

  • что такое миссия, видение, корпоративная культура;
  • какие бизнес-процессы являются ключевыми;
  • как все эти компоненты стратегии влияют друг на друга и на способность компании достигать своих целей.

От кандидата ожидается умение использовать современные инструменты стратегического планирования в ИТ. К ним в первую очередь относится методика отображения целей бизнеса на целях ИТ, описанная в библиотеке CоBIT.

Помимо этого кандидат должен итметь навыки управления инвестициями, программами и портфелями проектов, а также уметь «продавать» свои решения совету директоров.

Обеспечение пользы от ИТ (Value Delivery)
Данная область знаний охватывает подходы к обеспечению значимого для бизнеса результата инвестиций в ИТ. Сертификат CGEIT указывает на то, что его владелец знаком с современными подходами к оптимизации затрат и управлению инвестициями. А так как оптимизация процессов идёт рука об руку с оптимизацией затрат, от него ожидается глубокое знание библиотеки ITIL и стандарта ISO 20000.

Управление рисками (Risk Management)
От кандидатов на получение сертификата ожида­ются комплексные знания и опыт в управлении риска­ми. Помимо традиционных составляющих различных требований — стандартов и «фреймворков» в области ИТ — они должны разбираться в классификации бизнес-рисков; хорошо знать «контекст» своей организации; понимать угрозы внешней и внутренней среды, характерные для неё; уметь выстраивать цепочки влияния от компонентов и процессов ИТ к бизнес-целям. Владение подходами к оценке и минимизации ИТ-рисков — один из ключевых навы­ков руководителя, чьи компетенции подтверждены сертификатом CGEIT.

Управление ресурсами (Resource Management)
ISACA определяет управление ресурсами следующим образом: «… оптимизация знаний и инфраструктуры… и обеспечение успешной работы ИТ посредством рациональных инвестиций и распределения ИТ-ресурсов (людей, приложений, технологий, средств труда и информации) при обслуживании потребностей организации». Кандидат на статус CGEIT должен:

  •  уметь корректно определить требования к квалификации персонала, необходимого в настоящем и будущем для обеспечения работы ИТ-инфраструктуры;
  • уметь планировать мощности и доступность сервисов;
  • владеть методиками построения систем мониторинга и отчётности по работе этих ресурсов (т. е. людей и технологий).
Измерение производительности (Performance Measurement)

Название раздела наводит на мысли о некоторой избыточности набора областей знаний по руководству ИТ. Ведь мониторинг и отчётность мы только что упомянули в разделе об управлении ресурсами. Но не торопитесь. Одна из основных идей заключается в том, что метрики для измерения производительности всех подразделений, включая ИТ, должны формулироваться с участием высшего менеджмента. Вовлечение руководителей такого уровня необходимо для того, чтобы они сами были уверены: цели, которые они поставили, достигаются и вероятность неприятных сюрпризов, вызванных непониманием «политики партии» на местах, минимизирована. По сути данный раздел вместе со вторым покрывает вопросы стратегического планирования. Соответственно здесь используются аналогичные методики и инструменты. В первую очередь это сбалансированная система показателей (ССП). В контексте раздела эта система рассматривается как каскад ССП — от уровня организации на нижестоящие (уровни подразделений или даже отдельных сотрудников).

Главный постулат данной области знаний — «мы не можем управлять тем, что не можем измерить». Это одна из ключевых истин, которую должен знать и понимать кандидат на получение сертификата CGEIT.

Кодекс профессиональной этики

Кодекс профессиональной этики устанавливает ряд правил, которым члены ISACA и обладатели выданных ею сертификатов должны следовать в своей деятельности.

Так что же они должны делать (или, наоборот, не делать)?

1. Прежде всего обладатели сертификатов ISACA должны способствовать повсеместному внедрению современных стандартов и процедур в системы руководства ИТ. Речь идёт о стандартах в области аудита, контроля, управления безопасностью и рисками.

2. В своей деятельности они должны опираться на профессиональные стандарты.

3. Удовлетворять потребности бизнеса в рамках возможностей, предоставляемых законодательством. И при этом никаким образом не дискредитировать ассоциацию.

4. Соблюдать конфиденциальность в отношении сведений, полученных в связи с выполнением своих профессиональных обязанностей. За исключением случаев, когда выдать сведения требует закон. Ни в коем случае не использовать полученную информацию в личных целях или передавать сторонам, не имеющим права на получение такой информации.

5. Постоянно развивать свои ключевые компетенции. Соглашаться вести только такие виды деятельности, в отношении которых они располагают необходимыми знаниями и опытом.

6. Информировать стороны, заинтересованные в результатах работы ИТ, об этих результатах. Раскрывать всю существенную информацию.

7. Поддерживать профессиональное развитие заинтересованных сторон внутри организации в области руководства и управления ИТ, включая аудит, контроль, управление безопасностью и рисками.

Предостережение на сайте ассоциации гласит, что к участникам, нарушающим кодекс профессиональной этики, применяются дисциплинарные меры. Обладатель сертификата может быть его лишён.

Постоянное профессиональное развитие

Рассматриваемая программа сертификации имеет одну важную особенность, позволяющую работодателю быть уверенным, что он получает действительно передового ИТ-руководителя. Данная особенность состоит в требовании периодически подтверждать свой статус CGEIT. Для этого обладатель сертификата должен регулярно тратить определённое количество часов на профессиональное развитие и отчитываться об этом перед ISACA. Ассоциация называет такие часы «continuing professional education (CPE) hours». Каждый год необходимо отчитаться не менее чем о двадцати CPE, а за трёхлетний период — о ста двадцати CPE.

Под постоянным профессиональным развитием ISACA понимает прежде всего участие в конфе­ренциях и семинарах, проводимых самой ассо­циацией и другими отраслевыми сообществами, например ITSM Forum (itSMF). Кроме того, в зачёт идёт прохождение курсов, аккредитованных ISACA (с таковыми в России пока напряжённо). А также преподавание, публикации в отраслевых изданиях и прочие виды вклада в профессию.

Так нужен или нет?

«Каждый день, в который вы не пополнили своего образования [парой-другой CPE], считайте невозвратно для себя погибшим». Слова знаменитого деятеля культуры, вынесенные в эпиграф к статье, как нельзя лучше подтверждают стратегический подход к профессиональному развитию, заложенный ассоциацией в требованиях программы CGEIT. Так или иначе, профессиональные сертификаты нужны для того, чтобы подтвердить свою квалификацию перед лицом работодателя. Что же увидит работодатель если не в глазах, то хотя бы в документах, представленных соискате­лем? Увидев сертификат CGEIT, работодатель поймёт, что перед ним профессионал своего дела, глубоко знающий современные методики, практики и стандарты управления (и руководства) ИТ; обладающий серьёзным опытом; придерживающийся высоких этических стандартов в отношении работодателя; постоянно повышающий свою квалификацию.

Также сертификация CGEIT потенциально является источником внутреннего душевного равновесия CIO. Ведь если человек всё время «растёт вглубь», его не будут беспокоить беспочвенные разговоры о том, что «Career Is Over».

Сертификат CGEIT несомненно имеет ценность в глазах солидных зарубежных работодателей, предъявляющих высокие требования к квалификации своего персонала в целом и руководителей в частности. В передовых странах уже давно и много пишут и говорят о необходимости более тонкой настройки ИТ на бизнес. В России же, где по-прежнему силён устоявшийся стереотип восприятия ИТ-руководителя как «главного технаря», место бизнес-ориентированной ИТ-сертификации пока вакантно.

С уверенностью можно утверждать, что и у нас необходимость в ИТ-руководителях, понимающих язык бизнеса, умеющих эффективно встраивать ИТ-процессы в контекст организации и применять новые технологии на благо компании, будет только расти.

Так что ответ на вопрос, которым мы задались в начале статьи, прост и очевиден. Конечно же получение сертификата CGEIT выглядит мудрым, стратегическим шагом для лю­бого прогрессивного ИТ-руководителя. А для рабо­тодателя является своего рода лакмусовой бумажкой, позволяющей легко идентифицировать реального профессионала в своей области.

Заключение

Как показывают недавние исследования, проведённые ассоциацией ISACA, в 76 процентах европейских компаний, чьи представители приняли участие в опросе, вовлеченность бизнес-менеджмента в вопросы руководства ИТ оценивается как средняя или высокая. Более половины опрошенных сообщили, что в их компаниях выстроена система руководства ИТ (IT Governance Framework). Это говорит о том, что бизнес всё больше внимания уделяет современным подходам к руководству ИТ. Очевидно, что бурное развитие ИТ-отрасли в нашей стране также будет способствовать более активному проникновению современных практик и подходов в работу ИТ-департаментов. Соответственно и значение систем подтверждения компетенций и квалификации, аналогичных CGEIT, будет расти. С надеждой мы ждём разработки отечественной программы сертификации. Надеждой на то, что она унаследует лучшие черты зарубежных аналогов и привнесёт в отечественную практику национальную специфику в рациональной форме.

А пока сертификация CGEIT выглядит более чем достойной альтернативой.