Сертифікат CISA: умови навчання, вартість іспиту та відмінність від АСРМ

Аудитори можуть бути як багатопрофільними фахівцями, так і працювати в окремій галузі. Наприклад, є фахівці з податкового аудиту, з фінансового аудиту, з екологічного аудиту, є ті, що, спеціалізуються на боротьбі з корпоративним шахрайством тощо. А є окремо IT-аудитори, які відповідають за інформаційну безпеку компаній. І для них існує своя сертифікація — CISA (Certified Information Systems Auditor), яку видає міжнародна асоціація ISACA.

Фахівці з сертифікатом CISA мають попит на ринку праці. Цей документ часто згадують у вакансіях для аудиторів, ризик-менеджерів, керівників IT-відділів, а також менеджерів з продажів IT-інфраструктури. Що ж особливого в цій сертифікації? Як її отримати та чим вона відрізняється від сертифікаційної програми ACPM з внутрішнього аудиту?

В статті ви дізнаєтесь:

• Про сертифікат CISA та організацію ISACA
• Які теми охоплює програма та іспит CISA
• Як отримати сертифікат CISA — вимоги та етапи
• Реєстрація та вартість іспиту CISA
• Як проходить підготовка до іспиту
• Як підтримувати сертифікацію CISA
• Чим CISA відрізняється від сертифіката ACPM з внутрішнього аудиту

Про сертифікат CISA та організацію ISACA

CISA (Certified Information Systems Auditor) або Сертифікований аудитор інформаційних систем — це всесвітньо відомий стандарт для фахівців, що здійснюють аудит, контроль та оцінку ІТ-систем організацій. Видає сертифікат міжнародна асоціація професіоналів ISACA, яка займається корпоративним управлінням, безпекою та аудитом в ІТ.

Існує асоціація ISACA (Information Systems Audit and Control Association) з 1969 року. Наразі представлена у 188 країнах, має 225 представництв по всьому світу, а також три офіси у Сполучених Штатах, Європі та Китаї. Займається розробкою стандартів, навчанням та проведенням іспитів для фахівців з ІТ-аудиту, безпеки та контролю.

З моменту свого заснування, ISACA видала понад 108 000 сертифікатів CISA. І як запевняють в самій організації, популярність цієї сертифікації зумовлена тим, що вона демонструє не тільки знання з IT-аудиту, але й здатність фахівців ефективно оцінювати ризики в інформаційних системах підприємств.

Окрім цього диплому, ISACA видає й інші сертифікати для менеджерів з інформаційної безпеки (CISM), для фахівців з управління корпоративними ІТ (CGEIT), для спеціалістів з контролю ризиків в IT (CRISC) тощо. Також асоціація відома своїм стандартом COBIT, який допомагає підприємствам налаштовувати IT-системи, керувати інформацією та технологіями.

Які теми охоплює програма та іспит CISA

Сертифікаційна програма CISA містить теорію та практику роботи IT-аудитора. Під час підготовки до іспиту фахівці вивчають роль ІТ-аудиту у системах внутрішнього контролю, ефективні підходи до планування й виконання аудиторських завдань, опановують навички оцінки та реагування на ризики, опису ІТ-контролю та інше.

Сам іспит на сертифікат CISA складається зі 150 запитань, які охоплюють 5 сфер професійної діяльності:

• процес аудиту інформаційних систем (21%);
• управління та менеджмент інформаційних технологій (17%);
• придбання, розробка та впровадження інформаційних систем (12%);
• операції інформаційних систем і стійкість бізнесу (23%);
• захист інформаційних активів (27%).

Іспит можна скласти на комп’ютері в авторизованих центрах тестування PSI або дистанційно. Триває іспит 4 години (240 хвилин). Проходить у вигляді тесту та опорних завдань, які засновані на реальному досвіді фахівців-практиків.

Як отримати сертифікат CISA — вимоги та етапи

Сертифікат CISA можуть отримати далеко не всі фахівці. Він призначений для досвідчених менеджерів та спеціалістів, які відповідають за безпеку IT-інфраструктури на підприємствах. А також для фахівців з інформаційної безпеки та внутрішнього контролю, які мають досвід або вже працюють в IT-аудиті.

Щоб отримати цей сертифікат, потрібно відповідати кваліфікаційним вимогам — мати професійний досвід в галузі не менше 5 років. Сюди входить практика у внутрішньому аудиті та контролі або управлінський досвід, що стосується безпеки інформаційних технологій.Щоб підтвердити досвід, потрібно заповнити заявку на сайті.

А також потрібно виконати певні дії та дотримуватись додаткових вимог.

• Зареєструватись в ISACA як учасник або як член асоціації. Реєстрація в MyISACA платна, після подачі заявки треба сплатити комісію за її обробку в розмірі 50 $.
• Дотримуватись Кодексу професійної етики, який ISACA встановила для своїх членів та власників сертифікатів. Невиконання цієї вимоги може призвести до анулювання результатів іспиту та скасування сертифіката.
• Дотримуватись Політики безперервної професійної освіти. Сертифікацію потрібно щороку підтверджувати — проходити навчання в асоціації та отримувати за нього кваліфікаційні години (необхідно набрати мінімум 20 годин CPE за рік і загалом 120 CPE протягом 3-річного періоду).
• Відповідати стандартам аудиту інформаційних систем, прийнятих в ISACA. Почитати їх можна на безкоштовному ресурсі від асоціації.

По суті досвід роботи від 5 років в галузі — це основні кваліфікаційні вимоги. Але для підготовки до іспиту потрібно також володіти англійською мовою на рівні В1 і вище, бо навчання та іспит проходять англійською мовою.

Після реєстрації в ISACA та підтвердження досвіду роботи, можна подавати заявку на іспит. Зареєструватись на іспит можна як учасник, тобто з безкоштовного акаунту, так і в якості члена асоціації. Різниця лише в тому, що членство в ISACA, окрім можливості отримати сертифікацію, надає багато переваг:

• доступ до навчальних ресурсів, безкоштовні вебінари;
• підтримка від професійної мережі;
• кар’єрні пропозиції та знижки на продукти асоціації.

Членство в ISACA платне і передбачає три тарифи: професійне — 145 $ на рік, для випускників 65 $ і для студентів — 25 $. Подробиці про кожен тариф доступні на сайті асоціації.

Реєстрація та вартість іспиту CISA

Реєстрація на іспит CISA безперервна, можна записатись на нього вже через 48 годин після повної оплати реєстраційних зборів. Але запис на сам іспит CISA доступний лише за 90 днів. Тобто обрати найближчу дату іспиту можна не раніше, ніж через 3 місяці.

Плата за реєстрацію на іспит залежить від статусу членства в ISACA на момент подання заявки:

• для членів ISACA іспит коштує 575 $;
• для інших кандидатів на диплом — 760 $.

Скласти іспит можна протягом 12 місяців після оплати, але не пізніше, інакше право на іспит, як і реєстраційний внесок за нього, буде втрачено. Також не можна запізнюватись на іспит — гроші за нього і саму спробу буде втрачено, якщо запізнитись на тестування більш, ніж на 15 хвилин. За потреби іспит можна перенести без штрафних санкцій, але це треба зробити завчасно — щонайменше за 48 годин до запланованого часу іспиту.

Як правильно зареєструватись на іспит або його перенести, можна подивитись в спеціальному посібнику від ISACA. Кандидати, що склали успішно іспит, мають п’ять років, щоб подати заявку на отримання сертифіката CISA.

Як проходить підготовка до іспиту

ISACA пропонує різноманітні ресурси для підготовки до іспиту CISA, включаючи групове або самостійне навчання та навчальні ресурси різними мовами (англійська, іспанська, китайська, турецька). Також є онлайн-спільнота Engage, де можна від колег отримати вказівки та поради щодо іспиту.

Вартість навчання та підготовки до іспиту CISA

При покупці навчальних матеріалів потрібно враховувати актуальність програми та дату іспиту. Як пишуть на сайті асоціації, з 1 серпня 2024 року зміст іспиту CISA (ECO) буде оновлено, а підготовчий матеріал за новою програмою вийде лише у травні 2024 року. При цьому курси та матеріали, які кандидати придбали раніше, оновлюватися не будуть.

Як підтримувати сертифікацію CISA

Щоб підтримувати кваліфікацію фахівця рівня CISA, необхідно постійно навчатись. За навчання асоціація нараховує години (CPE). Для підтримки сертифікації CISA треба щонайменше отримати 20 CPE за один рік і 120 CPE загалом протягом 3 років.

Отримати CPE можна за допомогою різноманітних програм і заходів, зокрема:

• участь у конференціях — до 32 CPE;
• вебінари та онлайн-навчання — до 36 CPE на рік;
• навчання на курсах — до 28 CPE за курс;
• волонтерство — до 20 CPE на рік тощо.

Про накопичені години потрібно звітувати щороку і ці години не можна застосовувати для підтвердження інших сертифікацій. Якщо не звітувати та не проходити щорічний аудит CPE, сертифікат та позначення CISA-особи буде скасовано.

Також ще потрібно сплачувати щорічну плату за обслуговування CISA — це 45 $ для членів асоціації та 85 $ для інших власників сертифікатів. Це необхідно робити щороку до 1 січня та поновлювати протягом наступного календарного року. Вже починаючи з вересня на електронну пошту приходить сповіщення від ISACA з рахунком-фактурою для оплати обслуговування.

Чим CISA відрізняється від сертифіката ACPM з внутрішнього аудиту

Сертифікація CISA доволі вузькоспрямована, бо готує не просто аудиторів, а саме IT-аудиторів та фахівців з безпеки інформаційних систем. Але для її опанування потрібні базові знання в аудиті, які не входять в програму CISA. Отримати їх можна на інших навчальних курсах. Наприклад, сертифікаційна програма «Професійний внутрішній аудитор» від ACPM надає таку базу та дозволяє підвищити кваліфікацію одночасно у двох напрямках: внутрішньому аудиті та внутрішньому контролі. Маючи ці практичні знання, легше напрацьовувати досвід для подальшої роботи, навчання та отримання інших сертифікацій в аудиті.

Яка ж різниця між цими двома програмами? Ми порівняли сертифікат CISA від ISACA та програму «ACPM: Професійний внутрішній аудитор» за багатьма критеріями.

Ціни вказані на 26.12.2023 — актуальні тарифи можна подивитись на сайті ISACA.

Робота у сфері аудиту потребує постійного навчання та підвищення кваліфікації. Бо аудитор — це, в першу чергу, захисник бізнесу від ризиків та особистий консультант керівництва. Тому він має бути завжди попереду — отримувати нові знання та розвиватись у різних напрямках. Саме для цього існують різні сертифікаційні програми, що дозволяють фахівцям підтримувати професійний тонус та впевненіше рухатися у бажаному напрямку кар'єри. А вже вибір сертифікації залежатиме від того, яка специфіка бізнесу, в якій галузі спеціаліст працює і куди він планує рухатися далі.