Je suis toujours très étonné de constater que les pages les plus consultées sur ce blog sont celles qui font référence au CISA, à la certification PMP et aux certifications qui correspondent aux meilleurs salaires. C’est un peu comme si le fait de posséder une certification garantissait un niveau de rémunération. D’ailleurs une des pages les plus populaires de ce blog est celle qui liste les 6 certifications les mieux payées.
Le CISA est une certification professionnelle, pas un label
En France et dans la majorité des pays francophones, on cultive une vénération totalement incohérente pour les diplômes et les certifications de tout type. Ainsi, un de mes clients, en Afrique de l’Ouest, membre de l’élite dirigeante, me confiait :
Aux Etats-Unis, quand tu recherches un emploi, le recruteur te demande: « Pourquoi voulez-vous travailler pour nous et qu’est-ce que vous pouvez nous apporter? ». En France le recruteur te demande: « Quels diplômes et quelles certifications possédez-vous? ». En Afrique, le recruteur te pose la question suivante: « Qui est-ce qui t’envoie? ».
Tout est résumé dans cette approche. La France est obsédée par les certifications et les diplômes. Dès lors il n’est pas étonnant de voir que l’intérêt des personnes se porte sur les certifications. Et le CISA figurant parmi les certifications qui, statistiquement, sont détenues par des personnes considérées comme les mieux rémunérées, le raccourci est assez facile. CISA devient synonyme de forte rémunération.
Comment est structuré le CISA?
Essayons d’abord de replacer le CISA dans son contexte. C’est une certification professionnelle, proposée par l’ISACA et destinée à reconnaître les compétences d’auditeurs TI expérimentés. A ce titre, il est composé de deux parties. La première partie est un examen – difficile -de 150 questions destinées à vérifier les connaissances des auditeurs. Il porte sur 5 domaines de connaissances que devraient posséder à minima tous les auditeurs TI pour accomplir leur mission :
- Le processus d’audit des SI (représente 21% des connaissances testées)
- La gouvernance et le management des TI (16% sur l’organisation, les rôles et responsabilités et surtout le système de management de l’entreprise)
- Acquisition, développement et mise en oeuvre des SI (18% sur l’audit des projets dans le domaine des TI)
- Exploitation, maintenance et gestion des services (20% sur la production informatique)
- Protection des actifs informationnels (25% sur la sécurité des systèmes d’information)
Bien évidemment, cela n’est en aucun cas suffisant pour prétendre être un bon auditeur TI. Vous pouvez toujours apprendre par coeur les contenu des manuels, cela ne prouvera jamais que vous êtes compétent. Tout au plus cela prouvera que vous avez « une mémoire de cheval »… Et clairement, vous ne serez pas le profil dont ont besoin les entreprises pour se développer. C’est juste un minuscule premier pas vers la compétence. Pour pouvoir se développer sur leur marché, les entreprises ont besoin de personnels compétents.
La compétence de l’auditeur, dès lors qu’il a acquis les connaissances de base, se mesure à son aptitude à réaliser des missions d’audit. La compétence intègre donc une composante importante liée à l’expérience et au comportement des personnes. C’est ce qui constitue la seconde partie du CISA : la vérification de l’expérience et de l’attitude des candidats sur une durée totale de 5 ans durant les 10 dernières années écoulées.
Comment s’effectue la vérification de la compétence des postulants au CISA?
Chaque postulant à la certification CISA doit remplir des documents listant ses expériences passées dans le domaine de l’audit et du contrôle interne des TI. Chaque document doit ensuite être signé par un (ex-) manager qui pourra attester de la véracité de vos compétences d’auditeur. Lorsque vous avez atteint la durée cumulée de 5 années durant lesquelles il existe des preuves de votre expérience, vous pourrez alors renvoyer votre dossier à l’ISACA. A ce moment, un comité de certification évaluera votre dossier et vérifiera vos compétences. Le plus souvent il s’agit de revoir votre dossier de candidature et de vérifier sa cohérence par rapport au cinq domaines de compétences.
De façon aléatoire et/ou en fonction du résultat de cette revue, ISACA contacte les personnes qui vous ont servi de référence. Elles seront interviewées par un membre de l’ISACA qui vérifiera que le document reçu représente bien la vérité. Ensuite le comité de certification, après délibération, vous attribuera, ou pas, la certification CISA.
Dès lors que l’ISACA reçoit votre dossier complet, le processus prend environ de 4 à 8 semaines.
Et après l’obtention du certificat?
Ce n’est que lorsque vous recevez le certificat final, à l’issue du processus complet que vous pourrez revendiquer votre certification sur votre CV et sur les réseaux sociaux. Tant que vous n’avez réussi que l’examen seulement, vous n’êtes pas certifié CISA. Dans ce cas, il est d’ailleurs mentionné clairement par l’ISACA que vous ne pouvez en aucune façon le mentionner. Vous ne pouvez revendiquer votre certification qu’en mentionnant votre numéro de certificat. Il est à noter que l’ISACA audite régulièrement les réseaux sociaux afin d’éliminer et de sanctionner les « fraudeurs ».
Il est également important de noter que le CISA étant une certification professionnelle destinée aux auditeurs IT, elle n’est valable que pour une durée de 3 ans. A l’issue de ces trois ans vous serez nudité par le Comité de Certification. Celui-ci déterminera si votre CISA vous est attribué pour 3 années supplémentaires.
Comment maintenir son CISA dans le temps?
Dès l’obtention du CISA, vous serez soumis à des obligations pour pouvoir le conserver. Parmi ces obligations, figure celle d’adhérer au code d’éthique de l’ISACA et de le respecter en toute circonstance. En cas de manquement avéré votre CISA vous sera retiré immédiatement et définitivement. Il vous sera également demandé d’être adhérent à l’ISACA et de maintenir votre adhésion chaque année.
De plus, le métier d’auditeur évoluant en permanence, vous serez obligé, chaque année, de fournir des preuves que vous êtes dans un processus d’amélioration de vos compétences. Cela se fait en suivant des formations, en participant activement à des publications ou encore en participant à des conférences. Chacune de ces activités vous rapportera des CPE (Continual Professional Education). En moyenne, un CPE équivaut à 50 minutes de formation ou d’activité reconnue. Chaque année vous devez communiquer à l’ISACA le nombre de CPE acquis dans l’année écoulée. Vous devez en produire un minimum de 20 par année avec un minimum cumulé de 120 sur 3 ans.
A la fin de chaque période de 3 ans, votre certification est évaluée par le comité de certification et vos CPE peuvent être audités pour s’assurer qu’ils sont bien justifiés. Vous devrez donc conserver précieusement les preuves des CPE que vous revendiquez. Si l’ISACA découvre que vous revendiquez des CPE non valides ou si vous n’atteignez pas le minimum requis sur les 3 ans, votre certificat vous sera immédiatement retiré. Vous devrez alors retirer immédiatement la mention de votre CISA sur vos cartes de visite, vos CV et sur les réseaux sociaux. Le retrait du CISA est définitif. Dans le cas où vous souhaiteriez l’obtenir de nouveau, vous devrez repasser l’examen et suivre de nouveau le processus complet de certification.
Le CISA fait-il de vous un bon auditeur?
Comme vous pouvez le comprendre, le CISA ne fait pas de vous un bon auditeur. Au contraire, c’est si vous êtes déjà un bon auditeur que vous pourrez espérer obtenir le CISA. Ensuite pour le conserver, vous devrez démontrer durant toute votre vie professionnelles que vous restez parmi les meilleurs. C’est ce qui explique la valeur de cette certification et les salaires élevés qui lui sont associés. Les Entreprises sont toujours prêtes à bien rémunérer des personnes compétentes qui leurs apportent de la valeur. Elles n’ont aucun intérêt à rémunérer le savoir. Il est dans ce cas plus simple d’acheter une bonne base de connaissances auprès d’un éditeur. Ce n’est donc pas le CISA qui fait la rémunération. C’est la satisfaction des conditions exigées des auditeurs pour conserver leur CISA qui justifie leur rémunération élevée.
Y a-t-il de mauvais auditeurs parmi les détenteurs du CISA?
Malgré toutes les précautions prises par l’ISACA, il existe bien sûr des cas de personnes qui passent au travers « des mailles du filet ». L’ISACA est une association professionnelle dont l’effectif salarié est d’environ une centaine de personnes au niveau mondial. L’association n’a donc pas les moyens de vérifier en détail tous les dossiers. Elle procède donc par échantillonnage. N’oublions pas que nous avons affaire à des auditeurs. Il existe donc des personnes qui arrivent à obtenir leur certification en n’ayant pas les qualités requises. Mais l’audit réalisé tous les trois ans pour maintenir la certification aide à les éliminer sur le long terme. Il y a aussi des fraudeurs qui obtiennent des références de complaisance. Dans ce cas l’interview des références par les membres de l’ISACA a tôt fait de mettre au jour la fraude. Mais là encore, ces interviews ne sont pas systématiques et elles sont réalisées par échantillonnage.
Cependant, dans l’ensemble, une gros effort est fait pour maintenir la crédibilité de cette certification. Et c’est bien ce qui en garantit toute la valeur auprès des Entreprises et des recruteurs.