Überblick
Der Certified Information Systems Auditor (CISA) ist eine der renommiertesten Fachzertifizierungen im Bereich IT-Revision und Informationssicherheits-Compliance. Herausgeber ist ISACA, ein 1969 gegründeter gemeinnütziger Berufsverband, der weltweit Leitlinien und Benchmarks für IT-Governance, Risikomanagement und Informationssicherheit entwickelt. Wer die CISA-Prüfung ablegt, weist nach, dass er Informationssysteme bewerten, Schwachstellen identifizieren, Kontrollmechanismen konzipieren und belastbare Audit-Berichte erstellen kann. Diese Weiterbildung bereitet systematisch auf alle fünf CISA-Domänen vor und vermittelt das Fachwissen, das IT-Revisoren in der täglichen Arbeit mit Unternehmens-IT, Compliance-Anforderungen und internen Kontrollrahmen brauchen.
Kursinhalte & Lernziele
Domain 1 — The Process of Auditing Information Systems Die erste Domäne legt das methodische Fundament der IT-Revision. Sie behandelt, wie Audits geplant, durchgeführt und dokumentiert werden, welche professionellen Standards gelten und wie Ergebnisse kommuniziert werden. Besonders im Fokus steht die risikobasierte Herangehensweise: Nicht alle Systeme und Prozesse erhalten gleiches Prüfungsgewicht, sondern die Audit-Ressourcen fließen dorthin, wo tatsächliche Risiken lauern.
- ISACA-Auditstandards und -leitlinien im Überblick
- Risikobasierte Prüfungsplanung und Scope-Definition
- Beweissicherung und Dokumentation von Prüfungshandlungen
- Berichterstattung und Kommunikation von Audit-Ergebnissen an das Management
- Qualitätssicherung im Revisionsprozess
- Follow-up-Verfahren und Maßnahmenverfolgung
Domain 2 — Governance and Management of IT IT-Governance umfasst die Strukturen, durch die Vorstände und Führungskräfte sicherstellen, dass IT-Investitionen den Unternehmenszielen dienen und Risiken kontrolliert bleiben. Die zweite Domäne betrachtet Steuerungsrahmen wie COBIT, zeigt, wie IT-Strategie mit Unternehmensstrategie verzahnt wird, und erklärt, wie Leistung gemessen und gesteuert wird.
- IT-Governance-Rahmenwerke (insbesondere COBIT)
- IT-Strategieplanung und Ausrichtung an Unternehmenszielen
- IT-Leistungsmessung und Balanced Scorecard im IT-Kontext
- IT-Risikomanagementprozesse und Risikoappetit
- Beschaffungsrichtlinien und Lieferantenmanagement
- Revision von IT-Organisationsstrukturen und Zuständigkeiten
Domain 3 — Information Systems Acquisition, Development and Implementation Neue Systeme schaffen neue Risiken. Diese Domäne befasst sich mit der Prüfung von IT-Projekten und Systementwicklungslebenszyklen. Der Auditor bewertet, ob Projekte ordnungsgemäß genehmigt, getestet und abgenommen werden und ob die eingesetzten Entwicklungsmethoden Sicherheitsaspekte ausreichend berücksichtigen.
- Systementwicklungslebenszyklen (SDLC) und agile Methoden aus Audit-Perspektive
- Kontrollen in der Softwareentwicklung und im Change-Management
- Prüfung von Projektmanagement und Meilensteinkontrollen
- Test- und Abnahmeverfahren für neue Systeme
- Migrationskontrollen beim Übergang von Alt- auf Neusysteme
- Evaluierung von Paketlösungen und SaaS-Beschaffung
Domain 4 — Information Systems Operations and Business Resilience Der laufende IT-Betrieb birgt Risiken durch fehlerhafte Prozesse, ungeplante Ausfälle und mangelnde Wiederherstellungskapazitäten. Die vierte Domäne betrachtet das operative Kontrollumfeld: Wie werden Incidents gehandhabt, wie wird Verfügbarkeit gesichert, und wie gut funktionieren Business-Continuity- und Disaster-Recovery-Pläne tatsächlich?
- IT-Betriebsprozesse und Service-Management nach ITIL-Grundsätzen
- Kapazitäts- und Verfügbarkeitsmanagement
- Incident- und Problemmanagement aus Revisionssicht
- Business-Continuity-Planning und Disaster-Recovery-Konzepte
- Prüfung von Backup-Strategien und Wiederanlaufprozessen
- Physische und umgebungsbedingte Sicherheitskontrollen
Domain 5 — Protection of Information Assets Die fünfte Domäne widmet sich dem Schutz von Informationswerten durch technische und organisatorische Kontrollmaßnahmen. Sie deckt Zugriffssteuerung, Netzwerksicherheit, Kryptografie und Datenschutz aus der Perspektive des IT-Revisors ab. Hier prüft der Auditor, ob die implementierten Sicherheitsmaßnahmen tatsächlich wirksam und verhältnismäßig sind.
- Zugriffssteuerungssysteme und Identitäts- sowie Berechtigungsmanagement
- Netzwerksicherheitsarchitekturen und Firewall-Konzepte
- Kryptografische Verfahren und deren revisionssichere Anwendung
- Sicherheitsbewusstsein und Schulungsmaßnahmen im Unternehmen
- Datenschutz und Datensicherheitsrichtlinien
- Penetrationstest-Grundlagen und Schwachstellenbewertung aus Audit-Sicht
Praxis-Block — Angewandtes Auditieren Die theoretischen Domäneninhalte werden durch praxisnahe Übungen vertieft, in denen Teilnehmende vollständige Audit-Szenarien durcharbeiten.
- Analyse von Fallstudien aus realen IT-Audit-Situationen
- Erstellen von Risikobewertungsmatrizen für konkrete IT-Umgebungen
- Formulierung von Prüfungsfeststellungen und Empfehlungen
- Bewertung von Kontrollnachweisen und Audit-Evidenz
- Diskussion von CISA-typischen Prüfungsaufgaben und Lösungsansätzen
- Erarbeitung von Management-Summary-Berichten zu Audit-Ergebnissen
- Simulation von Abstimmungsgesprächen mit geprüften Einheiten
- Querverbindungen zwischen den fünf Domänen erkennen und in Prüfungshandlungen einbeziehen
- Zeitplanung und Priorisierung in mehrstufigen Audit-Projekten
- Dokumentationspflichten und Aktenführung nach ISACA-Standards
- Anwendung von COBIT-Kontrollzielen in der Prüfungsplanung
- Ableitung von Verbesserungsmaßnahmen und deren Nachverfolgung
Die fünf Domänen bauen inhaltlich aufeinander auf: Wer versteht, wie Governance-Rahmen IT-Entscheidungen steuern, kann IT-Betriebsprozesse und Schutzmaßnahmen im Audit nicht nur formal, sondern sinnhaft bewerten. Diese Verbindung ist für die CISA-Prüfung ebenso entscheidend wie für die spätere Berufspraxis. Über den gesamten Kurs hinweg wechseln sich Erklärungsphasen mit praktischen Übungen ab. Musterlösungen und Diskussionen schärfen das Verständnis dafür, wie ISACA Prüfungsszenarien konstruiert und welche Antwortlogik erwartet wird.
Lernziele:
- Verständnis der Grundprinzipien und Standards der IT-Revision nach ISACA-Richtlinien
- Durchführung risikobasierter Audit-Planung und -Dokumentation
- Beurteilung von IT-Governance-Strukturen und deren Übereinstimmung mit Unternehmenszielen
- Analyse und Bewertung von IT-Betriebsprozessen und Notfallkonzepten
- Bewertung von IT-Beschaffungsprojekten und Systementwicklungsvorhaben
- Erkennen und Dokumentieren von Schwachstellen in Informationssystemen
- Erstellung fundierter Compliance-Berichte und Empfehlungen an das Management
- Implementierung und Überwachung von Kontrollmechanismen zum Schutz von Informationswerten
- Anwendung kryptografischer Konzepte und Netzwerksicherheits-Controls im Audit-Kontext
- Beurteilung von Zugriffssteuerungssystemen und Identitätsmanagement
- Verständnis von Datenschutz- und Sicherheitsrahmenwerken aus Sicht des Prüfers
Zielgruppe & Voraussetzungen
Diese Weiterbildung richtet sich an Fach- und Führungskräfte, die im Bereich IT-Revision, Informationssicherheit oder IT-Compliance tätig sind oder in diese Bereiche wechseln möchten.
- IT-Revisoren und interne Prüfer mit Interesse an international anerkannter Zertifizierung
- Informationssicherheitsbeauftragte, die ihre Kenntnisse in der Audit-Methodik vertiefen wollen
- IT-Compliance-Manager und Risk-Manager in regulierten Branchen
- Systemadministratoren und IT-Projektleiter, die eine Laufbahn in der IT-Governance anstreben
- Externe Berater und Wirtschaftsprüfer im IT-Umfeld
Teilnehmende sollten über eine mehrjährige Berufserfahrung im IT-Umfeld verfügen. ISACA empfiehlt für die Zertifizierungsprüfung selbst mindestens fünf Jahre einschlägige Berufserfahrung, die nach bestandener Prüfung nachzuweisen ist; für die Kursteilnahme sind praktische IT-Kenntnisse und ein grundlegendes Verständnis von IT-Systemen und -Prozessen ausreichend. Erfahrungen in Revision, Qualitätssicherung oder Informationssicherheit sind hilfreich, aber keine zwingende Voraussetzung. Englischkenntnisse auf B2-Niveau sind sinnvoll, da ISACA-Lernmaterialien und die Prüfung selbst auf Englisch verfügbar sind.
Ablauf & Abschluss
Der Kurs findet im Combined-Learning-Format statt, das Präsenzphasen im virtuellen Klassenraum mit eigenständigen Lernphasen verbindet. Dozenten vermitteln die Domäneninhalte in Lehreinheiten und vertiefen das Gelernte durch Beispiele aus der Revisionspraxis. Ergänzend erarbeiten Teilnehmende Fallstudien, lösen Prüfungsaufgaben im CISA-Stil und erhalten Feedback zu ihren Analysen und Berichten. Der Vollzeitunterricht ermöglicht eine zügige und konzentrierte Vorbereitung auf die externe ISACA-Prüfung.
Die Weiterbildung läuft über mehr als einen bis zu drei Monate im Vollzeitformat und deckt alle fünf CISA-Domänen vollständig ab. Der genaue Zeitplan richtet sich nach dem gewählten Starttermin; die modulare Struktur erlaubt es, die Lernintensität an individuelle Vorkenntnisse anzupassen. Die CISA-Prüfung selbst wird separat bei einem autorisierten ISACA-Testcenter abgelegt und ist nicht im Kurs enthalten.
Wer die Prüfung ablegt und besteht, erwirbt die CISA-Zertifizierung von ISACA — ein weltweit anerkannter Berufsnachweis für IT-Revisoren. Zusätzlich erhalten Teilnehmende nach Abschluss der Weiterbildung ein trägerinternes Lehrgangszertifikat. Die CISA-Zertifizierung erfordert nach der Prüfung den Nachweis von fünf Jahren einschlägiger Berufserfahrung sowie die jährliche Erfüllung von Weiterbildungspflichten (Continuing Professional Education, CPE), um aktiv zu bleiben.
Nutzen & Perspektiven
Der CISA-Abschluss öffnet in vielen Branchen Türen, die ohne ihn verschlossen bleiben: Banken, Versicherungen, Pharmaunternehmen, Energieversorger und die öffentliche Verwaltung schreiben IT-Revisoren-Stellen häufig mit der Erwartung aus, dass Kandidaten die CISA-Zertifizierung mitbringen oder kurz vor dem Abschluss stehen. Die Zertifizierung signalisiert, dass der Inhaber nicht nur technische IT-Kenntnisse besitzt, sondern diese in den größeren Zusammenhang von Governance, Risikokontrolle und Compliance einbetten kann — eine Fähigkeit, die IT-Abteilungen und Prüfungsausschüsse gleichermaßen suchen. Wer die CISA-Zertifizierung ablegt, hat zwangsläufig auch ein Gesamtbild von IT-Governance erworben, das über einzelne technische Teilgebiete hinausgeht. Dieser Überblick macht zertifizierte Prüfer zu gefragten Ansprechpartnern, wenn Unternehmen regulatorische Anforderungen wie DORA, NIS-2, SOX oder ISO 27001-Audits umsetzen müssen. Sie können mit dem Management über Risiken sprechen, mit der IT über Kontrollen und mit externen Prüfern über Nachweise — eine Brückenfunktion, die in zunehmend regulierten Märkten kontinuierlich an Wert gewinnt. Für Berufseinsteiger in die IT-Revision oder für erfahrene IT-Fachleute, die den Wechsel in eine Prüfer- oder Compliance-Rolle anstreben, ist der CISA-Vorbereitungskurs eine effiziente Vorbereitung auf eine Zertifizierungsprüfung, die in vielen Unternehmen als Eintrittsbedingung gilt. Die strukturierte Domänengliederung sorgt dafür, dass keine wesentlichen Themenfelder ausgelassen werden und Teilnehmende mit einem vollständigen Verständnis des CISA-Anforderungsrahmens in die Prüfung gehen.
Häufig gestellte Fragen (FAQ)
Was ist der CISA und wer stellt ihn aus?
Der Certified Information Systems Auditor (CISA) ist eine Zertifizierung des internationalen Berufsverbands ISACA, die IT-Revisionskompetenz in fünf Domänen nachweist. ISACA ist kein kommerzieller Anbieter, sondern ein gemeinnütziger Verband mit weltweit über 160.000 Mitgliedern. Die Prüfung wird von ISACA akkreditiert und bei autorisierten Testcentern abgelegt.
Welche Berufserfahrung wird für die CISA-Zertifizierung benötigt?
Für die Prüfungsteilnahme selbst gibt es keine Mindestvorgabe an Berufsjahren. ISACA verlangt jedoch, dass nach bestandener Prüfung mindestens fünf Jahre einschlägige IT-Revisionserfahrung nachgewiesen werden, bevor die Zertifizierung vollständig aktiviert wird. Wer die Prüfung besteht, hat zehn Jahre Zeit, diesen Nachweis zu erbringen.
Welche der fünf CISA-Domänen hat das größte Gewicht?
Alle fünf Domänen sind in der CISA-Prüfung vertreten, wobei Domain 1 (The Process of Auditing Information Systems) und Domain 5 (Protection of Information Assets) erfahrungsgemäß besonders prüfungsrelevant sind. ISACA veröffentlicht regelmäßig aktualisierte Prüfungsgewichtungen im offiziellen CISA Exam Content Outline.
In welcher Sprache findet die CISA-Prüfung statt?
Die CISA-Prüfung wird in mehreren Sprachen angeboten, darunter Englisch und Deutsch. Allerdings stehen viele offizielle Lernmaterialien und Fachliteratur primär auf Englisch zur Verfügung, weshalb Englischkenntnisse auf mindestens B2-Niveau die Vorbereitung erheblich erleichtern.
Muss die CISA-Zertifizierung regelmäßig erneuert werden?
Ja, die CISA-Zertifizierung erfordert jährlich mindestens 20 CPE-Stunden (Continuing Professional Education) sowie 120 CPE-Stunden über drei Jahre. Zudem ist eine jährliche Mitgliedschaftsgebühr an ISACA zu entrichten. Die regelmäßige Rezertifizierungspflicht stellt sicher, dass zertifizierte Prüfer stets auf aktuellem Wissensstand bleiben.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
Berufsbild ist branchenübergreifend einsetzbar. Karrierechancen hängen stark von zusätzlicher Spezialisierung und Region ab.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Unternehmensberatung (grundständig)1.250 Stellen
- Gärtnermeister/Gärtnermeisterin Fachrichtung Friedhofsgärtnerei233 Stellen
- Business-Analyst/Business-Analystin144 Stellen
- IT-Management (grundständig)30 Stellen
- IT-Organisator/IT-Organisatorin21 Stellen
- Assistent/Assistentin für Informatik (Wirtschaftsinformatik)6 Stellen