Überblick
CISA und TOGAF werden selten in einem Atemzug genannt — dabei ergänzen sie sich ausgezeichnet. CISA gibt IT-Prüfern das methodische Rüstzeug, um Informationssysteme, Kontrollen und IT-Prozesse unabhängig zu bewerten; TOGAF liefert den architektonischen Rahmen, der erklärt, in welcher Gestaltungslogik diese Systeme entstanden sind. Wer als Auditor TOGAF kennt, kann Architekturentscheidungen nicht nur feststellen, sondern fachlich einordnen. Wer als Architekt CISA kennt, gestaltet Systeme von Anfang an mit Blick auf die Kriterien, nach denen sie geprüft werden. Dieser Kurs baut beide Kompetenzen gleichzeitig auf und schlägt damit eine Brücke, die in der Praxis häufig fehlt.
Kursinhalte & Lernziele
CISA-Domäne 1 — IS-Auditprozess und Prüfungsstandards Die erste CISA-Domäne legt das methodische Fundament für jede IS-Prüfung. Sie reicht von der risikobasierten Prüfungsplanung über die Beweiserhebung bis zur Dokumentation und Berichterstattung. Auditmethodik ist keine Bürokratie, sondern eine strukturierte Erkenntnismethode — dieser Block vermittelt das entsprechende Handwerkszeug.
- ISACA IS-Audit-Standards, Leitlinien und Prozeduren als normativer Rahmen
- Risikobasierte Prüfungsplanung: Wesentlichkeit, inhärentes Risiko, Kontrollrisiko und Entdeckungsrisiko
- Interne Kontrollrahmen als Bezugssystem: COSO, COBIT 2019 und deren Auditierbarkeit
- Prüfungsbeweise: Typen, Gütegrade, Erhebungsmethoden und Dokumentationsstandards
- Berichterstattung: Befundformulierung, Empfehlungen, Management-Response und Follow-up
- IS-Audit in modernen IT-Umgebungen: Cloud, agile Entwicklungszyklen, DevOps aus Prüfersicht
CISA-Domäne 2 — IT-Governance und -Management Governance-Prüfungen sind die anspruchsvollsten Teile des CISA-Curriculums, weil sie nicht nur das Vorhandensein von Kontrollen, sondern deren Wirksamkeit und strategische Ausrichtung bewerten. Für TOGAF-Architekten ist diese Domäne besonders aufschlussreich: Architecture Governance nach TOGAF und IT-Governance-Prüfung nach CISA sprechen denselben Sachverhalt aus unterschiedlichen Winkeln an.
- IT-Governance-Frameworks: COBIT 2019 und ISO 38500 aus Audit- und Architekturperspektive
- IT-Strategie und deren Ausrichtung an Unternehmenszielen — Prüfungsfragen und Architekturanforderungen
- Organisationsstrukturen, Rollen und Verantwortlichkeiten im IT-Bereich
- Performance-Management: IT-Kennzahlen, Balanced Scorecard und deren Auditierbarkeit
- Compliance-Mechanismen für IT-Richtlinien und deren Prüfung
- Drittanbieter-Governance und Lieferkettenmanagement aus Auditperspektive
CISA-Domäne 3 — IS-Beschaffung, Entwicklung und Implementierung Diese Domäne prüft den Lebenszyklus von Informationssystemen vom ersten Anforderungsdokument bis zum produktiven Betrieb. Für TOGAF-Architekten ist sie besonders relevant: Die ADM-Phasen E bis G betreffen dieselben Übergänge — von der Planung zur Implementierung bis zum Governance-Monitoring — die hier aus Auditperspektive bewertet werden.
- Software-Entwicklungslebenszyklen (SDLC) und ihre Audit-Kontrollpunkte
- Agile und DevOps-Entwicklungsmodelle aus Prüfersicht
- Change-Management und Konfigurationsmanagement — Kontrollanforderungen
- Testing-Prozesse: Unit Tests, Integrationstests und User-Acceptance-Testing aus Audit-Sicht
- Datenmigration und Systemabnahmekriterien: Sicherheitsanforderungen prüfen
- Vertragsmanagement und Beschaffungsprozesse für Software und IT-Dienste
CISA-Domäne 4 — IT-Betrieb und Resilienz Im laufenden Betrieb prüft CISA, ob IT-Systeme zuverlässig, sicher und effizient funktionieren. Die Domäne schließt Verfügbarkeitsmanagement, Incident-Handling und Katastrophenschutz ein — Themen, die in TOGAF Phase G (Implementation Governance) und Phase H (Architecture Change Management) strukturell verankert sind.
- IT-Betriebsprozesse: Monitoring, Change Control, Release-Management aus Prüfersicht
- Kapazitäts- und Verfügbarkeitsmanagement — Audit-Anforderungen und Nachweise
- Incident- und Problem-Management-Prozesse auf Angemessenheit prüfen
- Physische Sicherheit, Umgebungskontrollen und Rechenzentrumsaudit
- Backup-, Recovery- und Archivierungsprozesse auf Vollständigkeit und Wirksamkeit prüfen
CISA-Domäne 5 — Informationsvermögensschutz Der Schutz von Informationsvermögen ist die letzte und zunehmend zentrale CISA-Domäne. Datenschutzkontrollen, Verschlüsselung, Identitätsmanagement und Netzwerksicherheit werden hier aus der Auditperspektive betrachtet — und bilden gleichzeitig typische Architecture Building Blocks in TOGAF-Sicherheitsarchitekturen.
- Datenschutzkontrollen und DSGVO-Compliance aus Auditperspektive
- Verschlüsselung, Schlüsselverwaltung und Kryptographie-Audit
- Zugriffskontrollmechanismen und Identity-Management — Überprüfungsmethoden
- Netzwerksicherheitskontrollen und deren Auditierbarkeit
- Datenverlustprävention (DLP) und Exfiltrationsrisiken aus Prüfersicht
TOGAF — Enterprise Architecture mit Audit- und Governance-Fokus TOGAF strukturiert den Entwurf und das Management von Unternehmensarchitekturen und bringt dabei explizit Governance-Mechanismen mit, die IT-Auditoren als Prüfgegenstände interessieren. In diesem Kursblock wird der TOGAF Standard (Version 10) aus der Doppelperspektive Architektur und Audit erarbeitet.
- TOGAF-Überblick: Framework-Komponenten, ADM-Zyklus, Architecture Content Framework
- Preliminary Phase und Phase A: Architecture Capability einrichten, Stakeholder analysieren, Architecture Vision entwickeln
- Phasen B bis D: Business Architecture, Information Systems Architecture (Data und Application), Technology Architecture
- Phasen E bis H: Opportunities und Solutions, Migration Planning, Implementation Governance, Architecture Change Management
- Architecture Building Blocks (ABBs) und Solution Building Blocks (SBBs) aus Audit-Sicht bewerten
- Enterprise Continuum: Foundation Architecture, Common Systems, Industry-spezifische und organisationsspezifische Architekturen
- Architecture Repository: Governance Log, Standards Information Base, Architecture Landscape für Compliance-Nachweise
- Architecture Governance: Board, Compliance Reviews, Architecture Contracts und Dispensation-Prozesse
- Stakeholder-Viewpoints und -Views für Audit-Anforderungen strukturieren
- Audit-Empfehlungen in Architecture Decision Records überführen
- TOGAF Foundation (Level 1) Prüfungsvorbereitung: Closed-Book-Format und Kernkonzepte
- TOGAF Certified (Level 2) Szenarientraining: Architekturentscheidungen in komplexen Fallbeispielen
Lernziele:
- Den IS-Auditprozess nach ISACA-Standards vollständig durchführen: von der risikobasierten Planung bis zum Management-Reporting
- IT-Governance-Strukturen und Managementrahmen auf Effektivität und Regelkonformität beurteilen
- IS-Risikomanagementprozesse und zugehörige Kontrolllandschaften aus Auditperspektive prüfen und bewerten
- Systembeschaffungs-, Entwicklungs- und Implementierungsprojekte auf Kontrollanforderungen und Sicherheitsprinzipien prüfen
- IT-Betriebsprozesse, Kapazitätsmanagement und Resilienzmaßnahmen aus Prüfersicht bewerten
- Informationsvermögen klassifizieren und zugehörige Schutzmaßnahmen auf Angemessenheit prüfen
- Den TOGAF ADM-Zyklus von der Preliminary Phase bis zu Phase H strukturiert anwenden
- Business-, Data-, Application- und Technology-Architektur mit Auditfokus entwickeln und dokumentieren
- Architecture Governance-Mechanismen einsetzen: Compliance Reviews, Architecture Contracts, Architecture Board
- Das TOGAF Architecture Repository für Compliance-Nachweise und Governance-Dokumentation nutzen
- Audit-Empfehlungen in den Kontext von TOGAF-Architecture-Decision-Records einordnen
- Auf CISA (ISACA), TOGAF Foundation (Level 1) und TOGAF Certified (Level 2) systematisch vorbereitet sein
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an IT-Fachkräfte an der Schnittstelle von Audit, Governance und Architektur.
- IT-Auditoren, die Architekturentscheidungen fachlich einordnen und bewerten wollen
- Enterprise Architects, die ihre Entwürfe governance-seitig fundieren und auditierbar gestalten wollen
- IT-Governance-Verantwortliche in regulierten Branchen — Finanzwesen, Gesundheitswesen, öffentliche Verwaltung
- Security Architects mit Compliance- und Prüfungsverantwortung
- IT-Führungskräfte, die strategische Audit- und Architekturentscheidungen auf derselben Grundlage treffen wollen
Praktische Erfahrung im IT-Bereich ist eine gute Ausgangsbasis; ein spezifischer Vorabkurs ist nicht erforderlich. Für die CISA-Zertifizierung verlangt ISACA fünf Jahre Berufserfahrung in IS-Revision oder IT-Sicherheit — der Kurs liefert das theoretische Fundament unabhängig davon, ob diese Erfahrung bereits vollständig vorliegt. Für TOGAF Certified (Level 2) muss TOGAF Foundation (Level 1) bestanden sein; beide Stufen werden gemeinsam vorbereitet.
Ablauf & Abschluss
Der Unterricht findet als Live-Kurs im virtuellen Klassenzimmer statt — mit Dozenten aus Audit- und Enterprise-Architecture-Praxis. CISA-Domänen werden durch prüfungsorientierte Fallszenarien erarbeitet, in denen Auditoren-Sichtweisen auf reale IT-Situationen angewendet werden. TOGAF-Einheiten arbeiten mit Architekturdiagrammen, ADM-Worksheets und Architecture Decision Records als praktischen Materialien. Der Unterricht verbindet bewusst beide Qualifikationswelten: CISA-Befunde werden als Architekturinput gerahmt, und TOGAF-Entwürfe werden auf ihre Auditierbarkeit hin bewertet. Teilnehmende an Standorten nutzen Dual-Monitor-Arbeitsplätze; Home-Office-Teilnahme ist ebenfalls möglich.
Beide Zertifizierungspfade erfordern substanziellen Lernaufwand: CISA umfasst fünf breite Prüfungsdomänen; TOGAF Foundation und Certified setzen das Verstehen des ADM-Zyklus in der Tiefe voraus. Die individuelle Modulauswahl bestimmt die Gesamtdauer. Prüfungen bei ISACA und The Open Group werden nach eigenem Zeitplan abgelegt.
Der Kurs bereitet auf drei externe Prüfungen vor: CISA von ISACA sowie TOGAF Foundation (OG0-091) und TOGAF Certified (OG0-092) von The Open Group. Das CISA-Zertifikat setzt neben dem Prüfungsbestehen den von ISACA geprüften Berufserfahrungsnachweis voraus; TOGAF-Zertifizierungen sind unbefristet gültig. Alle drei sind global anerkannte Qualifikationsnachweise. Ergänzend erhalten Teilnehmende eine Teilnahmebescheinigung des Bildungsträgers.
Nutzen & Perspektiven
Der praktische Wert dieser Kombination liegt in ihrer Gegenseitigkeit: IT-Auditoren mit TOGAF-Kenntnissen können Architekturentscheidungen nicht nur als Prüfgegenstand registrieren, sondern sachkundig bewerten und fundierte Verbesserungsempfehlungen formulieren. Ohne Architekturverständnis bleibt ein Auditbericht häufig bei Symptomen stehen; mit TOGAF-Hintergrund lässt sich ein Kontrollendefizit bis auf Architekturebene zurückverfolgen und systemisch beheben. Umgekehrt profitieren Enterprise Architects erheblich von CISA-Kenntnissen: Sie verstehen, nach welchen Kriterien ihre Entwürfe geprüft werden, und können bereits im Architekturprozess sicherstellen, dass Kontrollen nachweisbar und revisionsfest dokumentiert sind. Das reduziert Nacharbeiten nach internen und externen Audits erheblich. In regulierten Branchen wie dem Finanzwesen, im Gesundheitswesen und in der öffentlichen Verwaltung ist die Kombination aus CISA und TOGAF eine seltene und entsprechend gesuchte Qualifikation. Positionen wie Head of IT Audit, IT-Governance-Manager oder Security Architect in Großunternehmen erfordern zunehmend genau diese Verbindung aus Prüfungskompetenz und Architekturverständnis.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CISA von CISM?
CISA (Certified Information Systems Auditor) ist die Auditoren-Qualifikation: CISA-Zertifizierte prüfen und bewerten unabhängig, ob IT-Systeme und -Kontrollen funktionieren. CISM (Certified Information Security Manager) ist die Manager-Qualifikation: CISM-Zertifizierte bauen und steuern aktiv Sicherheitsprogramme. Der Unterschied liegt in der Perspektive — prüfend versus gestaltend.
Warum ist TOGAF für IT-Auditoren wertvoll?
IT-Auditoren, die TOGAF verstehen, können Architekturentscheidungen fachlich einordnen und Audit-Empfehlungen architekturgerecht formulieren. Ohne Architekturverständnis bleibt ein Audit auf Symptomebene — mit TOGAF-Kenntnissen lässt sich ein Kontrollendefizit bis auf Architekturebene zurückverfolgen und im richtigen Kontext bewerben.
Wie viel Berufserfahrung brauche ich für CISA?
ISACA verlangt mindestens fünf Jahre nachgewiesene Berufserfahrung in der IS-Revision, IT-Sicherheit oder IT-Governance. Unter bestimmten Bedingungen können bis zu drei Jahre durch qualifizierte Hochschulabschlüsse oder andere Zertifizierungen ersetzt werden. Der Kurs bereitet fachlich vor; die Zulassung zur Prüfung regelt ISACA individuell.
Welche TOGAF-Prüfungsstufen werden vorbereitet?
Der Kurs bereitet auf TOGAF Foundation (Level 1, Prüfung OG0-091) und TOGAF Certified (Level 2, Prüfung OG0-092) vor. Foundation ist Closed Book und prüft konzeptionelles TOGAF-Verständnis; Certified ist Open Book mit Szenariofragen zur Anwendung des ADM. Level 1 muss vor Level 2 bestanden werden.
Ist dieser Kurs auch ohne Auditorenhintergrund geeignet?
Ja. Die CISA-Domänen — IT-Governance, Risikomanagement, Systembeschaffung, IT-Betrieb und Informationsvermögensschutz — sind auch für IT-Governance-Manager und Security Architects wertvolle Orientierungsrahmen. In Kombination mit TOGAF eignet sich der Kurs für alle, die IT-Systeme governance-seitig bewerten und architektonisch gestalten wollen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheitskoordinator/IT-Sicherheitskoordinatorin547 Stellen
- Cyber-Security-Consultant528 Stellen
- Chief-Information-Security-Officer103 Stellen
- Informationssicherheitsmanager/in32 Stellen
- IT-Auditor/in0 Stellen
- Enterprise-Architekt/in0 Stellen