Ce n’est pas le CISA qui fait un bon auditeur
Je suis toujours très étonné de constater que les pages les plus consultées sur ce blog sont celles qui font référence au CISA, à la certification PMP et aux certifications qui correspondent aux meilleurs salaires. C’est un peu comme si le fait de posséder une certification garantissait un niveau de rémunération. D’ailleurs une des pages les plus populaires de ce blog est celle qui liste les 6 certifications les mieux payées.
Le CISA est une certification professionnelle, pas un label
En France et dans la majorité des pays francophones, on cultive une vénération totalement incohérente pour les diplômes et les certifications de tout type. Ainsi, un de mes clients, en Afrique de l’Ouest, membre de l’élite dirigeante, me confiait :
Aux Etats-Unis, quand tu recherches un emploi, le recruteur te demande: « Pourquoi voulez-vous travailler pour nous et qu’est-ce que vous pouvez nous apporter? ». En France le recruteur te demande: « Quels diplômes et quelles certifications possédez-vous? ». En Afrique, le recruteur te pose la question suivante: « Qui est-ce qui t’envoie? ».
Tout est résumé dans cette approche. La France est obsédée par les certifications et les diplômes. Dès lors il n’est pas étonnant de voir que l’intérêt des personnes se porte sur les certifications. Et le CISA figurant parmi les certifications qui, statistiquement, sont détenues par des personnes considérées comme les mieux rémunérées, le raccourci est assez facile. CISA devient synonyme de forte rémunération.
Comment est structuré le CISA?
Essayons d’abord de replacer le CISA dans son contexte. C’est une certification professionnelle, proposée par l’ISACA et destinée à reconnaître les compétences d’auditeurs TI expérimentés. A ce titre, il est composé de deux parties. La première partie est un examen – difficile -de 150 questions destinées à vérifier les connaissances des auditeurs. Il porte sur 5 domaines de connaissances que devraient posséder à minima tous les auditeurs TI pour accomplir leur mission :
- Le processus d’audit des SI (représente 21% des connaissances testées)
- La gouvernance et le management des TI (16% sur l’organisation, les rôles et responsabilités et surtout le système de management de l’entreprise)
- Acquisition, développement et mise en oeuvre des SI (18% sur l’audit des projets dans le domaine des TI)
- Exploitation, maintenance et gestion des services (20% sur la production informatique)
- Protection des actifs informationnels (25% sur la sécurité des systèmes d’information)
Bien évidemment, cela n’est en aucun cas suffisant pour prétendre être un bon auditeur TI. Vous pouvez toujours apprendre par coeur les contenu des manuels, cela ne prouvera jamais que vous êtes compétent. Tout au plus cela prouvera que vous avez « une mémoire de cheval »… Et clairement, vous ne serez pas le profil dont ont besoin les entreprises pour se développer. C’est juste un minuscule premier pas vers la compétence. Pour pouvoir se développer sur leur marché, les entreprises ont besoin de personnels compétents.
La compétence de l’auditeur, dès lors qu’il a acquis les connaissances de base, se mesure à son aptitude à réaliser des missions d’audit. La compétence intègre donc une composante importante liée à l’expérience et au comportement des personnes. C’est ce qui constitue la seconde partie du CISA : la vérification de l’expérience et de l’attitude des candidats sur une durée totale de 5 ans durant les 10 dernières années écoulées.
Comment s’effectue la vérification de la compétence des postulants au CISA?
Chaque postulant à la certification CISA doit remplir des documents listant ses expériences passées dans le domaine de l’audit et du contrôle interne des TI. Chaque document doit ensuite être signé par un (ex-) manager qui pourra attester de la véracité de vos compétences d’auditeur. Lorsque vous avez atteint la durée cumulée de 5 années durant lesquelles il existe des preuves de votre expérience, vous pourrez alors renvoyer votre dossier à l’ISACA. A ce moment, un comité de certification évaluera votre dossier et vérifiera vos compétences. Le plus souvent il s’agit de revoir votre dossier de candidature et de vérifier sa cohérence par rapport au cinq domaines de compétences.
De façon aléatoire et/ou en fonction du résultat de cette revue, ISACA contacte les personnes qui vous ont servi de référence. Elles seront interviewées par un membre de l’ISACA qui vérifiera que le document reçu représente bien la vérité. Ensuite le comité de certification, après délibération, vous attribuera, ou pas, la certification CISA.
Dès lors que l’ISACA reçoit votre dossier complet, le processus prend environ de 4 à 8 semaines.
Et après l’obtention du certificat?
Ce n’est que lorsque vous recevez le certificat final, à l’issue du processus complet que vous pourrez revendiquer votre certification sur votre CV et sur les réseaux sociaux. Tant que vous n’avez réussi que l’examen seulement, vous n’êtes pas certifié CISA. Dans ce cas, il est d’ailleurs mentionné clairement par l’ISACA que vous ne pouvez en aucune façon le mentionner. Vous ne pouvez revendiquer votre certification qu’en mentionnant votre numéro de certificat. Il est à noter que l’ISACA audite régulièrement les réseaux sociaux afin d’éliminer et de sanctionner les « fraudeurs ».
Il est également important de noter que le CISA étant une certification professionnelle destinée aux auditeurs IT, elle n’est valable que pour une durée de 3 ans. A l’issue de ces trois ans vous serez nudité par le Comité de Certification. Celui-ci déterminera si votre CISA vous est attribué pour 3 années supplémentaires.
Comment maintenir son CISA dans le temps?
Dès l’obtention du CISA, vous serez soumis à des obligations pour pouvoir le conserver. Parmi ces obligations, figure celle d’adhérer au code d’éthique de l’ISACA et de le respecter en toute circonstance. En cas de manquement avéré votre CISA vous sera retiré immédiatement et définitivement. Il vous sera également demandé d’être adhérent à l’ISACA et de maintenir votre adhésion chaque année.
De plus, le métier d’auditeur évoluant en permanence, vous serez obligé, chaque année, de fournir des preuves que vous êtes dans un processus d’amélioration de vos compétences. Cela se fait en suivant des formations, en participant activement à des publications ou encore en participant à des conférences. Chacune de ces activités vous rapportera des CPE (Continual Professional Education). En moyenne, un CPE équivaut à 50 minutes de formation ou d’activité reconnue. Chaque année vous devez communiquer à l’ISACA le nombre de CPE acquis dans l’année écoulée. Vous devez en produire un minimum de 20 par année avec un minimum cumulé de 120 sur 3 ans.
A la fin de chaque période de 3 ans, votre certification est évaluée par le comité de certification et vos CPE peuvent être audités pour s’assurer qu’ils sont bien justifiés. Vous devrez donc conserver précieusement les preuves des CPE que vous revendiquez. Si l’ISACA découvre que vous revendiquez des CPE non valides ou si vous n’atteignez pas le minimum requis sur les 3 ans, votre certificat vous sera immédiatement retiré. Vous devrez alors retirer immédiatement la mention de votre CISA sur vos cartes de visite, vos CV et sur les réseaux sociaux. Le retrait du CISA est définitif. Dans le cas où vous souhaiteriez l’obtenir de nouveau, vous devrez repasser l’examen et suivre de nouveau le processus complet de certification.
Le CISA fait-il de vous un bon auditeur?
Comme vous pouvez le comprendre, le CISA ne fait pas de vous un bon auditeur. Au contraire, c’est si vous êtes déjà un bon auditeur que vous pourrez espérer obtenir le CISA. Ensuite pour le conserver, vous devrez démontrer durant toute votre vie professionnelles que vous restez parmi les meilleurs. C’est ce qui explique la valeur de cette certification et les salaires élevés qui lui sont associés. Les Entreprises sont toujours prêtes à bien rémunérer des personnes compétentes qui leurs apportent de la valeur. Elles n’ont aucun intérêt à rémunérer le savoir. Il est dans ce cas plus simple d’acheter une bonne base de connaissances auprès d’un éditeur. Ce n’est donc pas le CISA qui fait la rémunération. C’est la satisfaction des conditions exigées des auditeurs pour conserver leur CISA qui justifie leur rémunération élevée.
Y a-t-il de mauvais auditeurs parmi les détenteurs du CISA?
Malgré toutes les précautions prises par l’ISACA, il existe bien sûr des cas de personnes qui passent au travers « des mailles du filet ». L’ISACA est une association professionnelle dont l’effectif salarié est d’environ une centaine de personnes au niveau mondial. L’association n’a donc pas les moyens de vérifier en détail tous les dossiers. Elle procède donc par échantillonnage. N’oublions pas que nous avons affaire à des auditeurs. Il existe donc des personnes qui arrivent à obtenir leur certification en n’ayant pas les qualités requises. Mais l’audit réalisé tous les trois ans pour maintenir la certification aide à les éliminer sur le long terme. Il y a aussi des fraudeurs qui obtiennent des références de complaisance. Dans ce cas l’interview des références par les membres de l’ISACA a tôt fait de mettre au jour la fraude. Mais là encore, ces interviews ne sont pas systématiques et elles sont réalisées par échantillonnage.
Cependant, dans l’ensemble, une gros effort est fait pour maintenir la crédibilité de cette certification. Et c’est bien ce qui en garantit toute la valeur auprès des Entreprises et des recruteurs.
6 thoughts on “Ce n’est pas le CISA qui fait un bon auditeur”
Bonjour,
Si je peux me permettre, je suis surpris par cet article. Le monde francophone ne connait même pas les certifications. Avez vous deja regardé la proportion de personnes certifiées par région dans le monde?
Comme vous le savez j’imagine, on parle de certification professionnelle et non de diplomes. La différence qu’il y a entre les 2 est que pour le premier une certaine expérience est requise. La certification vient dès lors soutenir:
1. Confirmer un temps soit peu votre compétence PROFESSIONNELLE et non académique contrairement au diplôme;
2. Démontrer que vous avez les connaissances de bases (globalement acceptée dans le monde) pour votre domaine d’activité;
3. Assurer une certaine portabilité de vos qualifications. A la fin, il faut bien une unité de mesure non!?
Pour votre ami ouest Africain qui vous a dit qu’aux USA on demande » Pourquoi voulez-vous travailler pour nous et qu’est-ce que vous pouvez nous apporter? », je pense qu’il n’y a jamais travaillé et peut être n’y est jamais allé. Si vous allez chercher un boulot de manoeuvre, c’est claire qu’on va privilégier votre savoir faire. Mais pour travailler chez Goldman Sachs, ça m’étonnerait qu’on vous évalue de la sorte plutot que d’évaluer (1) votre parcours scolaire et vos compétences professionnelles. Si tel était le cas, les états unis n’auraitent pas les meilleures universités.
En plus, je ne pense pas qu’en Afrique, on demande « qui vous envoie ». Pour la simple raison que la plupart des entreprises en Afrique sont soit européennes, soit américaines et les directives de recrutement viennent du groupe. On peut ne pas les respecter mais reduire les recrutements en afrique à un simple » qui t’a envoyé » est une déformation de la réalité.
Alors, maintenant ce qu’il faut ressortir dans votre article est que le diplôme n’est pas égal à compétence. C’est clair! Tout ceux qui sortent de chez Havard n’ont pas le même niveau ni les mêmes compétences. C’est plus personnel que lié au diplôme.
En France pour finir, le danger ce sont les diplômes qui ne rendent pas du tout opérationnels à la fin de votre formation. On est encore dans un système de formation très littéraire plutôt que pratique. Quand je compare le CPA au DEC, le choix pour un professionnel est vite fait.
Merci pour l’article tout de même.
Bonjour,
Je vous remercie pour votre réponse qui ne manque pas d’intérêt.
Mon but, au travers de cet article est de sensibiliser sur le fait que le CISA (comme PMP, CRISC, CISM, CRISC et bien d’autres) est une certification professionnelle destinée comme vous le rappelez à juste titre à attester de compétences et pas seulement de connaissances. Il convient de faire la différence en « certification professionnelle » et « certification » standard. Parmi les certifications standards on peut citer les certifications (en particulier les niveaux Foundation) sur ITIL, PRINCE2, ISO 27001 et bien d’autres qui ne certifient que l’apprentissage par coeur des bonnes pratiques et au niveau practitioner la compréhension des concepts mais en aucun cas des compétences basées sur des expériences réussies sur une longue période.
Concernant mon client Africain, je suis malheureusement obligé d’être en désaccord total avec vous. Il a passé toute sa carrière aux USA et en Europe avant de revenir en Côte d’Ivoire après la crise et connaît bien le contexte Américain et Français. Pour ma part, bien que résident en Afrique depuis plus de dix ans, j’exerce la majeure partie de mon activité professionnelle en Amérique du Nord et je confirme tout à fait la phrase attribuée à mon client. Il est d’ailleurs courant que lorsque vous arrivez aux USA ou au Canada vos qualifications acquises en Afrique ou en Europe ne soient pas prises en considération, pas plus que votre expérience hors de l’Amérique du Nord jugée sujette à caution. Dans ces pays, seule la création de valeur est importante, peu importe le diplôme. Vous devrez donc refaire toute votre expérience localement pour gravir les échelons…
Vous mentionnez le secteur privé en Afrique, qui est dirigé essentiellement depuis l’étranger, mais quel poids représente-t-il dans l’économie africaine? Dans la majorité des pays africains c’est le secteur public qui domine l’économie et là ce sont bien les relations qui font que vous êtes recruté, sans évalua.tion de compétence. Même si les choses évoluent très lentement à l’initiative de certains gouvernements…
Pour résumer et compléter votre propos, je dirais que diplôme n’est pas égal à certification standard et encore moins à certification professionnelle. La compétence est de loin l’élément le plus important lors d’un recrutement et c’est bien le savoir-faire et le savoir-être qui prévalent sur le savoir.
Enfin, pour terminer sur la France, je partage complètement votre avis sur un système complètement déconnecté des réalités économiques qui explique en grande partie la faible compétitivité d’une majorité d’Entreprises Françaises.
Merci pour votre commentaire et votre fidélité à nos publications.
Bonjour
Vous avez raison tous les deux. Mais seulement ne généralisons pas les choses. La connaissance, la compétence et le savoir-faire son demandés partout. Tous les continents se valent aujourd’hui. Et les ressources humaines viennent de partout.
Toutes les entreprises ont besoin de faire du résultat. Donc il faut du personnel de qualité…