Каждый день, в который вы не пополнили своего образования хотя бы маленьким, но новым для вас куском знания... считайте бесплодно и невозвратно для себя погибшим.
К.С. Станиславский
Вопрос необходимости сертификации ИТ-руководителей периодически обсуждается в профессиональных сообществах. Мнения высказываются разные, вплоть до сомнений в её целесообразности. Согласно профессиональному стандарту "Менеджер информационных технологий", разработанному под эгидой Ассоциации предприятий компьютерных информационных технологий (АП КИТ)1, деятельность менеджеров по ИТ всех уровней подлежит добровольной сертификации. Это означает, что решение об её целесообразности и о выборе конкретной программы нужно принимать самостоятельно. А принять его непросто ввиду отсутствия общепризнанного подхода к данному вопросу.
На сегодняшний день большинство программ сертификации в области ИТ, предлагаемых в России, - зарубежного производства. Национальная программа сертификации ИТ-руководителей ещё только проектируется2. Зарубежный опыт справедливо считается источником знаний, на базе которого мы, россияне, традиционно формируем свои системы и методологии. Поэтому сегодня я и предлагаю уважаемому сообществу направить свой критический взгляд на сертификацию в области руководства ИТ (CGEIT - Certified in the Governance of Enterprise IT®).
В рамках статьи мы попробуем ответить на вопрос, представляет ли в условиях российской действительности указанный сертификат какую-либо ценность для ИТ-руководителей. А также для их работодателей - текущих и потенциальных.
Общая информация
Программа сертификации CGEIT была разработана ассоциацией ISACA в 2007 году, а первый экзамен состоялся в 2008. По информации с сайта ассоциации ISACA3, многие частные и государственные компании в США и Европе рассматривают наличие сертификации CGEIT в качестве обязательного требования к кандидатам на ключевые должности в структуре управления ИТ-службой.
Информация о целях и задачах программы сертификации CGEIT доступна в информационном бюллетене ISACA.
"ИТ-системы непрерывно развиваются. Этому способствует стремление компаний обеспечить свою конкурентоспособность, работать на глобальных рынках и минимизировать влияние факторов внешней среды - таких, как требования регулирующих органов. В этой связи компаниям требуются профессионалы, способные, с одной стороны, эффективно управлять инфраструктурой и процессами ИТ, а с другой - вносить реальный вклад в развитие компании через поддержку процесса принятия решений её учредителями и директорами. Программа сертификации в области руководства корпоративными ИТ (Certified in the Governance of Enterprise IT®, CGEIT®) направлена на обеспечение возрастающих потребностей бизнеса в таких профессионалах. Программа CGEIT является системой подтверждения глубоких знаний и практического опыта". Certified In the governance of enterprise IT, 2013 Bulletin of Information, ISACA.
По заявлению ассоциации ISACA, сертификат CGEIT указывает на практическое владение его обладателем современными методологиями управления ИТ. Прежде всего это:
- Control Objectives for Information and related Technology (COBIT);
- Information Technology Infrastructure Library (ITIL).
Особый акцент в требованиях сделан на руководство ИТ4 (IT Governance) - область деятельности, которую ассоциация ISACA считает отличной от управления ИТ (IT Management). Следовательно, степень CGEIT указывает, что её обладатель, как минимум, в курсе актуальных идей и тенденций в этой области. Включая варианты перевода этого термина на русский язык, раз уж мы говорим о России. Оригинальное определение весьма неохотно поддаётся переводу, что открывает возможности для различного толкования концепции IT Governance. Поэтому отдельной благодарности заслуживают усилия ряда уважаемых соотечественников, направленные не просто на перевод, а на адаптацию оригинальных текстов и терминов с целью сделать их интуитивно понятными российскому читателю.
Чтобы избежать путаницы в терминологии, далее по тексту настоящей статьи мы будем опираться на актуальные версии перевода терминов Governance и Management6.
"Руководство (Governance) обеспечивает уверенность в достижении целей предприятия путём:
- сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов;
- установления направления развития через приоритезацию и принятие решений;
- постоянного мониторинга соответствия фактической продуктивности и степени выполнения требований установленным направлению и целям предприятия.
Управление (Management) заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия"7.
Также давайте освежим в памяти определение термина "IT Governance".
"Руководство ИТ (IT Governance) - зона ответственности Высшего Руководства Компании. Руководство ИТ является неотъемлемой составной частью системы управления Компанией и состоит в обеспечении руководящей роли, создании организационных структур и процессов, обеспечивающих со стороны ИТ поддержку и реализацию Стратегии и целей Компании"8.
Как видно из определения, суть концепции IT Governance заключается в словах "зона ответственности Высшего Руководства". На кого же, в таком случае, ориентирована сертификация CGEIT?
Под высшим руководством мы понимаем так называемую "C-suite". Получается, что в рамках программы сертифицируется не только деятельность CIO, но и деятельность прочих участников C-suite, связанная с ИТ. Следовательно, кроме CIO, сертификация CGEIT будет полезна Советникам Генерального Директора по ИТ и Вице-президентам, на которых возложена ответственность за работу ИТ-департаментов.
Как получить?
Чтобы получить сертификат CGEIT, кандидат должен:
- сдать экзамен;
- согласиться с Кодексом Профессиональной Этики ассоциации и соблюдать его в своей деятельности;
- иметь 5 лет опыта работы в сфере руководства ИТ;
- постоянно совершенствоваться.
Эти требования мы рассмотрим более детально чуть ниже. А сейчас попробуем ответить на вопрос, каким образом сертификат CGEIT подтверждает наличие опыта работы у его обладателя? Ответ прост. Для получения сертификата CGET недостаточно просто сдать экзамен! Даже после успешной сдачи экзамена кандидат на получение сертификата... продолжает им оставаться! Вместо сертификата кандидат получает по почте пакет документов с результатами экзамена. А право добавить в свою подпись аббревиатуру "CGEIT" кандидат получает только после того, как представит в ассоциацию ISACA доказательства наличия опыта работы в сфере руководства ИТ. Какой же именно опыт имеется в виду?
Прежде всего кандидат должен подтвердить наличие не менее одного года опыта работы в области построения системы руководства ИТ (IT Governance Framework). Четвёртая часть вопросов экзамена CGEIT также посвящена ей.
Кроме того, кандидат должен обладать знаниями и опытом, связанными с любыми двумя областями деятельности (practice areas) из следующего списка9:
- построение ИТ-стратегии в соответствии со стратегией бизнеса (Strategic Alignment);
- обеспечение пользы от ИТ (Value Delivery);
- управление рисками (Risk Management);
- управление ресурсами (Resource Management);
- измерение производительности (Performance Measurement).
Принимаемый в зачёт опыт должен быть приобретён в течение 10 лет, предшествующих сдаче экзамена.
Также, вместо опыта вы можете предъявить другие свидетельства, подтверждающие ваши знания и опыт в области руководства вообще и руководства ИТ в частности. Эти свидетельства могут заменить до двух лет опыта. Например, максимально один год опыта вам зачтут, если вы:
- обладаете управленческим опытом (даже не в ИТ);
- обладаете другими общепризнанными сертификатами в области управления ИТ, например
- сертификатами ISACA в области аудита (CISA) или безопасности (CISM);
- сертификатом IT Service Manager;
- сертификатом Project Management Professional (PMP);
- имеете степень Master of Business Administration (MBA).
Экзамен
Сам экзамен проводится два раза в год, в декабре и июне. Дата экзамена является единой для всех представительств ассоциации ISACA. Принимают его только в письменной форме.
Экзамен состоит из 120 вопросов с множественным выбором ответа. Вопросы разработаны участниками ассоциации ISACA из различных стран мира. Комитет по сертификации ISACA постоянно следит за актуальностью требований и состава вопросов. За их соответствием текущему уровню развития практик руководства ИТ.
Перечень требований к знаниям кандидатов представлен в книге под названием CGEIT Review Manual10, которую можно приобрести на сайте ассоциации. Эта книга содержит ключевые термины и определения, а также перечень областей деятельности, в которых кандидат и должен располагать опытом. Отдельно можно заказать книги с примерами вопросов, с которыми кандидат может встретиться на экзамене. Пренебрегать этими дополнительными материалами не стоит, так как вопросы довольно каверзные. Примеры экзаменационных вопросов представлены далее в разделах, посвящённых областям знаний по руководству ИТ.
Построение системы руководства ИТ (IT Governance Framework)
Данная область знаний покрывает вопросы построения и развития системы руководства ИТ (IT Governance). Кандидат на получение сертификата должен:
- уметь внедрять, контролировать и совершенствовать процессы ИТ;
- эффективно управлять инвестициями и оптимизировать риски организации, связанные с ИТ;
- понимать организационно-культурные аспекты внедрения современных подходов к управлению.
Необходимо владение инструментами руководителя ИТ, к которым ассоциация относит следующие своды знанийCOBIT, Val IT, Risk IT. Кроме того, кандидат должен быть знаком с другими общепризнанными практиками управления ИТ и уметь эффективно (и к месту) применять их в своей работе. К этим практикам, в числе прочих, относятся:
- библиотека ITIL;
- стандарты
- по информационной безопасности - ISO 27001;
- по корпоративному управлению ИТ - ISO 38500;
- по управлению качеством - ISO 9000;
- по управлению ИТ-услугами - ISO 20000 ;
- модель оценки зрелости процессов CMMI (Capability Maturity Model Integration);
- Сбалансированная Система Показателей (Balanced Scorecard);
- свод знаний по управлению проектами PMBOK;
- модель Шести Сигм для управления качеством.
Как видно из списка, требования охватывают широкий спектр современного инструментария, доступного ИТ-руководителю.
Пример вопроса на экзамене Какая из перечисленных областей руководства является ключевой в системе руководства организацией (Enterprise governance), в дополнение к корпоративному руководству (Corporate governance)?
Правильный ответ C. Руководство бизнесом (Business governance) и корпоративное руководство (Corporate governance) являются ключевыми компонентами модели руководства организацией (Enterprise governance). |
Построение ИТ-стратегии в соответствии со стратегией бизнеса (Strategic Alignment)
Требования данного раздела подразумевают наличие у кандидата знаний и навыков в области стратегического управления ИТ. Кандидат должен понимать:
- что такое миссия, видение, корпоративная культура;
- какие бизнес-процессы являются ключевыми;
- как все эти компоненты стратегии влияют друг на друга и на способность компании достигать своих целей.
От кандидата ожидается умение использовать современные инструменты стратегического планирования в ИТ. К ним, в первую очередь, относится методика каскадирования целей бизнеса в цели ИТ, описанная в библиотеке COBIT.
Кандидат должен обладать навыками управления инвестициями, программами и портфелями проектов, а также уметь "продавать" свои решения совету директоров.
Директора, в свою очередь, будут ожидать от обладателя приставки CGEIT широкого кругозора в области современных ИТ-технологий и перспективах их дальнейшего развития. А также способности определять технологии, которые помогут организации более эффективно достигать своих целей.
Пример вопроса на экзамене Какой из перечисленных компонентов архитектуры организации являются ключевым?
Правильный ответ D. Архитектура бизнеса является ключевым компонентом архитектуры (организации), ориентированной на удовлетворение потребностей бизнеса. |
Обеспечение пользы от ИТ (Value Delivery)
Данная область знаний охватывает подходы к обеспечению значимого для бизнеса результата от инвестиций в ИТ. Сертификат CGEIT указывает на то, что его владелец знаком с современными подходами к оптимизации затрат и управлению инвестициями. А так как оптимизация процессов идёт рука об руку с оптимизацией затрат, от кандидата ожидается глубокое знание библиотеки ITIL и стандарта ISO 20000.
Пример вопроса на экзамене Каково основное преимущество управления инвестициями в ИТ с использованием бизнес-ориентированного подхода к инвестированию?
Правильный ответ B. |
Управление рисками (Risk Management)
Управление рисками - область широкая и ответственная. Во всяком случае, в США и Западной Европе. Ввиду важности темы ISACA даже предлагает отдельную сертификацию под названием Certified in Risk and Information Systems Control (CRISC) . В нашей стране, где "авось", зачастую, является основной методологией управления рисками в изменчивой бизнес-среде, внимание к этому аспекту деятельности ИТ не так велико. Однако всё больше организаций признают важность осознанного управления влиянием, которое ИТ-риски оказывают на жизнеспособность организации.
Если мы внимательнее посмотрим на требования, предъявляемые ISACA к кандидатам на титул CGEIT, мы увидим, что от него ожидаются комплексные знания и опыт в управлении рисками. Помимо традиционных составляющих различных требований - стандартов и "фреймворков" в области ИТ, - кандидат должен разбираться в классификации бизнес-рисков; хорошо знать "контекст" своей организации; понимать угрозы внешней и внутренней среды, характерные для неё; уметь выстраивать цепочки влияния от компонент и процессов ИТ к бизнес-целям. Владение подходами к оценке и минимизации ИТ-рисков - один из ключевых навыков руководителя, чьи компетенции подтверждены наличием сертификата CGEIT.
Пример вопроса на экзамене Какой из перечисленных подходов к минимизации рисков, связанных с ИТ, можно охарактеризовать, как наиболее проактивный?
Правильный ответ A . Деятельность по снижению рисков является проактивной, состоит во внедрении инструментов контроля. |
Управление ресурсами (Resource Management)
ISACA определяет управление ресурсами следующим образом :
"...оптимизация знаний и инфраструктуры...и обеспечение успешной работы ИТ посредством рациональных инвестиций и распределения ИТ-ресурсов (людей, приложений, технологий, средств труда и информации) при обслуживании потребностей организации."
Кандидат на статус CGEIT должен:
- уметь корректно определить требования к квалификации персонала, необходимого в настоящем и будущем для обеспечения работы ИТ-инфраструктуры;
- уметь планировать мощности и доступность сервисов;
- владеть методиками построения систем мониторинга и отчётности по работе этих самых ресурсов (т.е. людей и технологий).
Пример вопроса на экзамене Какие цели следует в первую очередь учитывать при разработке стратегии ИТ в области человеческих ресурсов (HR)?
Правильный ответ B. Реально эффективная HR-стратегия должна в первую очередь учитывать потребности бизнеса. |
Измерение производительности (Performance Measurement)
Название раздела наводит на мысли о некоторой избыточности набора областей знаний по руководству ИТ . Ведь мониторинг и отчётность мы только что упомянули в разделе про управление ресурсами. Но не торопитесь. Одна из основных идей заключается в том, что метрики для измерения производительности всех подразделений, включая ИТ, должны формулироваться с участием высшего менеджмента. Вовлечение руководителей такого уровня необходимо для того, чтобы они же сами были уверены, что цели, которые они поставили, достигаются. Что вероятность неприятных сюрпризов, вызванных непониманием "политики партии" на местах, минимизирована. По сути, данный раздел, вместе со вторым, покрывает вопросы стратегического планирования. Соответственно, здесь используются аналогичные методики и инструменты. В первую очередь это уже упомянутая Сбалансированная Система Показателей (ССП). В контексте раздела эта система рассматривается, как каскад ССП - от уровня организации на нижестоящие (уровни подразделений или даже отдельных сотрудников).
Главный постулат данной области знаний - "мы не можем управлять тем, что не можем измерить". Это - одна из ключевых истин, которую должен знать и понимать кандидат на получение сертификата CGEIT.
Пример вопроса на экзамене Что конкретно показывают метрики, которые используются для измерения отдачи от ИТ на уровне организации?
Правильный ответ B. Метрики, сформулированные в привязке к целям, конкретизируют ожидания бизнеса от ИТ и подходы к измерению результатов деятельности ИТ. |
Кодекс Профессиональной Этики
Кодекс профессиональной этики устанавливает ряд правил, которым члены ассоциации ISACA и обладатели выданных ею сертификатов должны следовать в своей деятельности.
Так что же они должны делать (или, наоборот, не делать)?
- Прежде всего, обладатели сертификатов ISACA должны способствовать повсеместному внедрению современных стандартов и процедур в системы руководства ИТ. Речь идёт о стандартах в области аудита, контроля, управления безопасностью и рисками.
- В своей деятельности они должны опираться на профессиональные стандарты.
- Удовлетворять потребности бизнеса в рамках возможностей, предоставляемых законодательством. И при этом никаким образом не дискредитировать ассоциацию ISACA.
- Соблюдать конфиденциальность в отношении сведений, полученных в связи с выполнением своих профессиональных обязанностей. За исключением случаев, когда выдать сведения требует закон. Не имеют права использовать полученную информацию в личных целях или передавать сторонам, не имеющим права на получение такой информации.
- Постоянно развивать свои ключевые компетенции. Соглашаться на осуществление только таких видов деятельности, в отношении которых они располагают необходимыми знаниями и опытом.
- Информировать стороны, заинтересованные в результатах работы ИТ, об этих результатах. Раскрывать всю существенную информацию.
- Поддерживать профессиональное развитие заинтересованных сторон внутри организации в области руководства и управления ИТ, включая аудит, контроль, управление безопасностью и рисками.
Предостережение на сайте ассоциации гласит, что к участникам, нарушающим Кодекс Профессиональной Этики, применяются дисциплинарные меры. Обладатель сертификата может быть его лишён.
Интересная деталь - кодекс переведён с оригинального (английского) на 12 языков. Беглый взгляд на список доступных локализованных версий кодекса на сайте ассоциации позволяет сделать вывод, что ассоциация ISACA - действительно международная. Осталось добавить и наш вариант кодекса, на русском.
Постоянное профессиональное развитие
Рассматриваемая программа сертификации имеет одну важную особенность, позволяющую работодателю быть уверенным, что он получает действительно передового ИТ-руководителя. Особенность состоит в требовании периодически подтверждать свой статус CGEIT. Для этого обладатель сертификата должен регулярно тратить определённое количество часов на профессиональное развитие и отчитываться в этих часах перед ISACA. Ассоциация называет эти часы "continuing professional education (CPE) hours". Каждый год необходимо отчитаться не менее чем в 20 CPE,а за трёхлетний период - в 120 CPE.
Под постоянным профессиональным развитием ISACA понимает, прежде всего, участие в конференциях и семинарах, проводимых ISACA и другими отраслевыми сообществами, например, ITSM Forum (itSMF)16. Кроме того, в зачёт идёт прохождение курсов, аккредитованных ISACA (с таковыми в России пока напряжённо). А также преподавание, публикации в отраслевых изданиях и прочие виды вклада в профессию.
Так нужен или нет?
"Каждый день, в который вы не пополнили своего образования..." парой-другой CPE, "считайте ... невозвратно для себя погибшим". Слова знаменитого деятеля культуры, вынесенные в эпиграф к статье, как нельзя лучше подтверждают стратегический подход к профессиональному развитию, заложенный ассоциацией в требованиях программы CGEIT. Так или иначе, профессиональные сертификаты нужны для того, чтобы подтвердить свою квалификацию перед лицом работодателя. Что же увидит работодатель, если не в глазах, то хотя бы в документах, представленных соискателем? Увидев сертификат CGEIT, работодатель поймёт , что перед ним профессионал своего дела, обладающий глубокими знаниями современных методик, практик и стандартов управления (и руководства) ИТ; обладающий серьёзным опытом; придерживающийся высоких этических стандартов в отношении работодателя; постоянно повышающий свою квалификацию.
Также сертификация CGEIT потенциально является источником внутреннего душевного равновесия CIO. Ведь если человек всё время "растёт вглубь", его не будут беспокоить беспочвенные разговоры о том, что "Career Is Over"18.
Сертификат CGEIT несомненно имеет ценность в глазах солидных зарубежных работодателей, предъявляющих высокие требования к квалификации своего персонала в целом и руководителей в частности. В передовых странах уже давно и много пишут и говорят о необходимости более тонкой настройки ИТ на бизнес. В нашей же стране, где по-прежнему силён устоявшийся стереотип восприятия ИТ-руководителя как "главного технаря", место бизнес-ориентированной ИТ-сертификации пока вакантно.
С уверенностью можно утверждать, что и у нас необходимость в ИТ-руководителях, понимающих язык бизнеса, умеющих эффективно встраивать ИТ-процессы в контекст организации и применять новые технологии на благо компании, будет только расти.
Так что ответ на вопрос, которым мы задались в начале статьи, прост и очевиден. Конечно же, получение сертификата CGEIT выглядит мудрым, стратегическим шагом для любого прогрессивного ИТ-руководителя. А для работодателя является "лакмусовой бумажкой", позволяющей легко идентифицировать реального профессионала в своей области.
Заключение
Как показывают недавние исследования, проведённые ассоциацией ISACA , в 76-ти процентах европейских компаний, чьи представители приняли участие в опросе, вовлеченность бизнес-менеджмента в вопросы руководства ИТ оценивается, как средняя или высокая. Более, чем половина опрошенных сообщила, что в их компаниях выстроена система руководства ИТ (IT Governance Framework). Это говорит о том, что бизнес уделяет всё большее внимание современным подходам к руководству ИТ. Очевидно, что бурное развитие ИТ-отрасли в нашей стране также будет способствовать всё более активному проникновению современных практик и подходов в работу ИТ-департаментов. Соответственно, и значение систем подтверждения компетенций и квалификации, аналогичных CGEIT, будет расти. С надеждами мы ждём разработки отечественной программы сертификации. С надеждами на то, что она унаследует лучшие черты зарубежных аналогов и привнесёт национальную специфику в рациональной форме.
А пока сертификация CGEIT выглядит более чем достойной альтернативой.
Сноски
- Подробнее об этом на сайте АП КИТ: http://www.apkit.ru/committees/education/meetings/standarts.php
- Подробнее об этом на сайте GlobalCIO: http://www.globalcio.ru/workshops/74/
- Ассоциация ISACA (http://www.isaca.org/) известна в нашей стране, в основном, благодаря продвигаемым ею программам сертификации аудиторов информационных систем (CISA) и менеджеров по информационной безопасности (CISM). Ассоциация также является разработчиком известной библиотеки COBIT, новый виток внимания к которой вызвал состоявшийся недавно выпуск новой, 5-й версии.
- В российских источниках представлены следующие варианты перевода термина "IT Governance": "Управление ИТ", "Руководство ИТ", "Корпоративное управление сферой ИТ", "Стратегическое управление ИТ", "Руководство корпоративными ИТ". В рамках статьи используется вариант перевода "Руководство ИТ".
- Разделение Руководства и Управления является одним из пяти основополагающих принципов COBIT5.
- Вариант перевода заимствован из готовящегося к публикации русского издания COBIT5.
- COBIT 5, A Business Framework for the Governance and Management of Enterprise IT, ISACA, 2012.
- Board Briefing on IT Governance, 2nd Edition, IT Governance Institute, USA, 2003. Перевод (с) Виктор Голубев, ISACA.
- С 2013 года области деятельности в экзаменационных материалах будут сгруппированы следующим образом: - система руководства корпоративными ИТ (Framework for the Governance of Enterprise IT); - стратегический менеджмент (Strategic Management); - реализация преимуществ (Benefits Realization); - оптимизация рисков (Risk Optimization); - оптимизация ресурсов (Resource Optimization).
- Статья подготовлена по CGEIT Review Manual 2012.
- Статья Описание и назначение стандарта ISO/IEC 38500
- Статья Описание и назначение стандарта ISO/IEC 20000
- Подробнее о сертификации CRISC можно прочитать на сайте ISACA
- Board Briefing on IT Governance, 2nd Edition, IT Governance Institute, USA, 2003.
- Справедливости ради следует отметить, что в 5-ой версии COBIT данная область знаний "размазана" между остальными пятью.
- Сайт российского отделения ITSM Forum находится по адресу: http://www.itsmforum.ru
- Безусловно, требуется обширная просветительская работа среди представителей бизнес-менеджмента. Но ведь всё в наших руках!
- Career Is Over (карьера окончена) - популярный сатирический вариант расшифровки аббревиатуры CIO
- 2012 Governance of Enterprise IT (GEIT) Survey, EMEA Edition, ISACA, USA, 2012