Überblick
IT-Audit und Business-Analyse sind zwei Disziplinen, die auf den ersten Blick getrennt erscheinen — bei genauerem Hinsehen aber eng miteinander verwoben sind. Ein IT-Prüfer muss verstehen, welche Anforderungen Systeme erfüllen sollen, bevor er beurteilen kann, ob sie das tun. Ein Business Analyst, der gelernt hat, Systeme mit Audit-Augen zu sehen, liefert von Anfang an revisionssichere Spezifikationen. Dieser Kurs verbindet den CISA-Ausbildungsblock von ISACA — den weltweit anerkannten Standard für IT-Audit-Fachkräfte — mit der EXIN-Certified-Business-Analyst-Ausbildung, die systematische Anforderungsanalyse, Prozessmodellierung und Lösungsbewertung schult.
Kursinhalte & Lernziele
Das Training deckt beide Zertifizierungsgebiete in strukturierten Modulblöcken ab, die so aufgebaut sind, dass Überschneidungsthemen — vor allem rund um Anforderungen, Systembewertung und Risiko — bewusst aus beiden Perspektiven beleuchtet werden. Domäne 1 — Informationssystem-Auditprozess — die erste CISA-Domäne legt das methodische Fundament für alle IT-Prüfungstätigkeiten. Wer versteht, wie Audits strukturiert werden, kann sie später auch führen.
- Standards, Leitlinien und ethische Anforderungen für IT-Prüfer nach ISACA
- Audit-Planung: Risikobasierter Ansatz, Prüfungsumfang, Ressourcenplanung
- Prüfungstechniken: Interviews, Observation, Systemabfragen, Stichproben
- Audit-Dokumentation und Berichtsstruktur
- Follow-up von Audit-Empfehlungen und Managementreaktionen
Domäne 2 — Governance und Management von IT: In der zweiten Domäne geht es um die organisatorischen Strukturen, in denen IT-Entscheidungen getroffen werden.
- IT-Governance-Frameworks (COBIT, ISO 38500) und ihre Prüfungsrelevanz
- IT-Organisationsstrukturen und Kontrollrahmen bewerten
- Strategische IT-Planung und Investitionsentscheidungen prüfen
- IT-Richtlinien und Verfahren auf Vollständigkeit und Aktualität prüfen
Domäne 3 — Informationssystembeschaffung, -entwicklung und -implementierung: Die dritte Domäne prüft den Lebenszyklus von IT-Systemen vom Projekt bis zum Produktivgang.
- Projektmanagement aus Audit-Sicht: Governance, Meilensteine, Risikomanagement
- SDLC-Phasen und zugehörige Kontrollpunkte
- Systemimplementierung: Abnahmetests, Migrationskontrollen, Go-live-Management
- Change Management und Konfigurationsmanagement als Prüfungsgegenstand
Domäne 4 — IT-Betrieb und Ausfallsicherheit: Die vierte Domäne prüft den laufenden Betrieb von IT-Systemen und die Resilienz der Infrastruktur.
- IT-Service-Management aus Audit-Perspektive (ITIL-konforme Prozesse)
- Kapazitäts-, Verfügbarkeits- und Problemmanagement prüfen
- Backup, Wiederherstellung und Business-Continuity-Kontrollen bewerten
- Netzwerksicherheit und Infrastrukturkontrollen im Audit-Fokus
Domäne 5 — Schutz von Informationswerten: Die fünfte Domäne ist die sicherheitsnächste — hier werden Schutzmaßnahmen für Daten und Systeme auf Angemessenheit bewertet.
- Bedrohungslandschaft und Schwachstellenanalyse aus CISA-Sicht
- Logische Zugriffskontrollen und Identitätsmanagement prüfen
- Kryptografie und Datenverschlüsselung als Prüfungsgegenstand
- Sicherheits-Incident-Management und forensische Bereitschaft bewerten
Business-Analyse-Grundlagen und Bedarfsermittlung (EXIN Certified Business Analyst) — der erste BA-Block schult das strukturierte Vorgehen, bevor Systeme bewertet werden.
- Rolle und Aufgaben eines Business Analysts im Projekt und in der Revision
- Business-Analyse-Planung: Ansatz, Stakeholder, Deliverables
- Elicitation-Techniken: Interviews, Workshops, Dokumentenanalyse, Prototyping
- Anforderungen klassifizieren: geschäftlich, stakeholder-seitig, funktional, nicht-funktional
Anforderungsanalyse und Modellierung — der Kern der Business-Analyse-Ausbildung.
- Anforderungsanalyse: Gaps identifizieren, Priorisieren, Strukturieren
- Prozessmodellierung mit BPMN-Grundkonzepten
- Anwendungsfalldiagramme und User Stories im Analysekontext
- Datenmodellierung: Entity-Relationship-Grundkonzepte
- Traceability von Anforderungen über den gesamten Projektverlauf
Lösungsbewertung und Stakeholder-Kommunikation — die abschließenden BA-Kompetenzen.
- Lösungsoptionen analysieren, bewerten und empfehlen
- Nutzenvalidierung: Prüfen ob die umgesetzte Lösung den Anforderungen entspricht
- Stakeholder-Kommunikation und Reporting in Analyseprojekten
Praxisblock — integrierte Übungen aus Audit- und Business-Analyse-Perspektive.
- Anforderungsanalyse für ein IT-System mit anschließender CISA-konformer Risikoabschätzung
- Audit-Plan für ein Systementwicklungsprojekt erstellen
- Prozessmodellierung eines IT-Service-Management-Workflows und Identifikation von Kontrollmängeln
- CISA-Prüfungsübungen aus allen fünf Domänen
- BA-Fallstudie: Elicitation, Modellierung und Anforderungsdokumentation für ein Umsystem-Projekt
- Erstellung eines Audit-Berichts auf Basis einer vorbereiteten Fallstudie
- Lösungsbewertung einer simulierten Systemimplementierung nach BA-Kriterien
- Übungsszenarien im CISA-Prüfungsformat mit 150 Fragen
Lernziele:
Nach Abschluss dieses Trainings beherrschen die Teilnehmenden die fünf CISA-Domänen und können sie auf IT-Prüfungsaufgaben in der Praxis anwenden. Sie können einen IT-Audit-Prozess von der Planung über die Durchführung bis zum Berichtsabschluss strukturieren und dokumentieren. Sie verstehen IT-Governance-Frameworks und können Kontrollstrukturen auf Angemessenheit und Wirksamkeit prüfen. Sie sind in der Lage, Risiken im IT-Betrieb und bei Systementwicklungsprojekten zu identifizieren und zu bewerten. Sie kennen die Grundprinzipien der Business-Analyse nach international anerkannten Standards und können diese strukturiert anwenden. Sie können Stakeholder-Anforderungen erheben, strukturieren und priorisieren. Sie beherrschen gängige Modellierungstechniken für Prozesse und Anforderungen und können sie in Audit- und Analysekontexten einsetzen. Sie verstehen, wie Lösungen systematisch bewertet und validiert werden, um sicherzustellen, dass sie die Anforderungen erfüllen. Sie können den Informationsschutz aus CISA-Sicht beurteilen und technische wie organisatorische Schutzmaßnahmen bewerten. Sie sind auf die CISA-Prüfung von ISACA und die EXIN-Certified-Business-Analyst-Prüfung vorbereitet. Sie können Prüfungsergebnisse verständlich dokumentieren und Empfehlungen zielgruppengerecht formulieren. Sie verstehen, wie Audit-Befunde in Prozessverbesserungen und System-Redesign-Anforderungen überführt werden.
Zielgruppe & Voraussetzungen
Dieser Kurs richtet sich an Fachkräfte aus Revision, Compliance, IT-Governance und Business-Analyse, die ihre Kompetenz in beiden Feldern formell zertifizieren lassen wollen.
- IT-Prüfer/innen und interne Revisoren mit Interesse an Business-Analyse-Methodik
- Business Analysts, die Audit-Grundlagen und IT-Governance-Kenntnisse ergänzen wollen
- Compliance-Manager/innen, die zwischen Prüfung und Anforderungsmanagement wechseln
- IT-Berater/innen, die Governance-Projekte mit Methodik-Tiefe führen
Für den CISA-Teil werden Berufserfahrung in IT, Revision oder Sicherheit sowie analytisches Denkvermögen vorausgesetzt. Für den BA-Teil genügen Erfahrung in der Projektarbeit oder im Anforderungsmanagement. Es sind keine spezifischen Vorzertifizierungen erforderlich. ISACA empfiehlt für die offizielle CISA-Zertifizierung fünf Jahre einschlägige Berufserfahrung; für die Kursteilnahme ist das keine formale Bedingung.
Ablauf & Abschluss
Der Kurs kombiniert erklärende Einheiten mit fallstudienbasiertem Lernen. Für den CISA-Teil stehen Prüfungsübungen im Vordergrund; für den BA-Teil dominieren Analyseübungen und Modellierungsaufgaben. Das Combined-Learning-Format erlaubt Vollzeit- und Teilzeitvarianten. Der Live-Unterricht findet im virtuellen Klassenzimmer statt.
Das Training läuft bei Vollzeitteilnahme über mehr als einen Monat. Die Tiefe des CISA-Stoffes — fünf Domänen mit je umfangreichem Inhalt — und die eigenständige Substanz der BA-Ausbildung begründen den Zeitumfang.
Der Kurs bereitet auf die ISACA CISA-Prüfung und die EXIN Certified Business Analyst-Prüfung vor. Beide Zertifikate werden von den jeweiligen Verbänden ausgestellt und sind international anerkannt. Zusätzlich erhalten die Teilnehmenden ein Lehrgangszertifikat.
Nutzen & Perspektiven
IT-Audit und Business-Analyse stehen in der Praxis näher beieinander, als ihre Stellenbezeichnungen vermuten lassen. Auditoren prüfen Systeme, die Business Analysts spezifiziert haben. Business Analysts liefern Anforderungen, deren Umsetzung Auditoren später prüfen. Wer beide Sichtweisen versteht und in beiden Domänen zertifiziert ist, kann in Revisions- und Analyseprojekten effizienter arbeiten und Brücken bauen, wo sonst Reibung entsteht. Für Unternehmen bedeutet eine Fachkraft mit CISA und EXIN-BA, dass Prüfungsprozesse und Anforderungsarbeit aus einer integrierten Perspektive geführt werden können. Das reduziert Doppelarbeit und verbessert die Qualität von Audit-Empfehlungen, weil diese direkt in Anforderungssprache übersetzt werden können. Für Einzelpersonen eröffnet die Doppelzertifizierung Karrierewege in internen Revisionsabteilungen, bei Prüfungsgesellschaften und in IT-Governance-Beratungen gleichzeitig. Das ist ein Profil, das auf dem Markt gefragt ist — insbesondere dort, wo GRC-Funktion und Entwicklungsorganisation eng zusammenarbeiten.
Häufig gestellte Fragen (FAQ)
Was ist CISA und wer gibt dieses Zertifikat aus?
Der Certified Information Systems Auditor (CISA) ist ein international anerkanntes Zertifikat von ISACA und gilt als Goldstandard für IT-Prüfer und Audit-Fachkräfte. Die Prüfung deckt fünf Domänen ab: IT-Audit-Prozesse, IT-Governance, Systembeschaffung und -entwicklung, IT-Betrieb und IT-Informationsschutz. CISA-Zertifizierte finden sich in internen Revisionen, Big-Four-Prüfungsgesellschaften und Regulierungsbehörden.
Was ist der EXIN Certified Business Analyst?
Der EXIN Certified Business Analyst ist ein von EXIN International ausgestelltes Zertifikat, das die Kompetenz in strukturierter Anforderungsanalyse, Prozessmodellierung und Lösungsbewertung nachweist. Es orientiert sich an international anerkannten Business-Analyse-Rahmenwerken und ist für Fachkräfte geeignet, die systematisch zwischen Geschäftsanforderungen und IT-Lösungen vermitteln.
Was ist die inhaltliche Synergie zwischen CISA und Business Analyst?
CISA-Prüfer analysieren IT-Systeme auf Risiken und Konformität — sie müssen verstehen, wie Systeme aufgebaut sind und welche Anforderungen ihnen zugrunde liegen. Business-Analysten wiederum modellieren Anforderungen und Prozesse, die Audit-relevante Strukturen erzeugen. Wer beide Disziplinen beherrscht, kann Prüfungen fundierter durchführen und Governance-Empfehlungen präziser formulieren.
Für welche Karrierestufe ist dieser Kurs gedacht?
Der Kurs richtet sich an Fachkräfte mit Berufserfahrung in IT, Revision oder Business-Analyse, die eine Doppelqualifikation erwerben wollen. CISA setzt keine formale Vorzertifizierung voraus, ISACA empfiehlt aber fünf Jahre Berufserfahrung in der Informationssicherheit für die offizielle Zertifizierung.
Wie wird die CISA-Prüfung strukturiert?
Die CISA-Prüfung von ISACA umfasst 150 Fragen aus fünf Domänen und hat eine Bearbeitungszeit von vier Stunden. Die Prüfung kann weltweit bei autorisierten Testcentern oder online proctored abgelegt werden. Eine Punktzahl von 450 oder höher (auf einer Skala bis 800) ist für das Bestehen erforderlich.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Business Analyst2.245 Stellen
- IT Security Consultant584 Stellen
- Cyber-Security-Consultant528 Stellen
- Business-Intelligence-Consultant213 Stellen
- Chief-Information-Security-Officer103 Stellen
- IT Auditor72 Stellen