IT-Auditoren: Zertifizierungen werden immer wichtiger. (Foto: Fotolia.com - michalchm89)
Zertifikate
Personenzertifizierungen im IT-Audit
Dr. Stefan Beißel
03.08.2016
Die Bedeutung von Zertifizierungen steigt – auch im IT-Sektor. Wo liegen die Vorteile und wie unterscheiden sie sich – hierauf gibt Dr. Stefan Beißel, Autor des ESV-Bandes „IT-Audit“ Antworten in seinem Gastbeitrag.
IT-Auditoren, die sich mit dem Thema Weiterbildung auseinandersetzen und ihre speziellen Qualitäten und Kompetenzen nachweisen möchten, werden mit einer Vielzahl von Zertifizierungsmöglichkeiten konfrontiert. Doch Zertifizierungen bieten nicht nur Vorteile für den IT-Auditor, der seinen Wissensstand und Marktwert verbessern möchte, sondern auch für den Arbeitgeber, der unter anderem von neuen Fähigkeiten und höherer Effizienz des IT-Auditors profitiert.
Für IT-Auditoren existiert eine große Anzahl an Zertifizierungsmöglichkeiten. Welche davon für eine spezielle Person die passendste ist, hängt mit den individuellen Aufgaben und Vorlieben dieser Person zusammen. Die Voraussetzungen für die Zertifikatserteilung und anschließende Aufrechterhaltung des Zertifikats sollten zwar bei der Auswahl berücksichtigt werden, sind jedoch für die meisten Zertifikate ähnlich: Für die Zulassung ist eine gewisse Berufserfahrung und Entrichtung einer Gebühr erforderlich. Nach dem Bestehen eines oder mehrerer Examina sowie der Zustimmung zu einem Ethikkodex wird das Zertifikat erteilt. Zur Aufrechterhaltung des Zertifikats wird in der Regel eine kontinuierliche Weiterbildung und Auseinandersetzung mit relevanten Themenbereichen gefordert, z.B. durch die Teilnahme an Schulungen.
Tabelle 1: Zertifizierungen
Tabelle 2: Zertifizierungsstellen
Dadurch, dass sehr viele verschiedene Zertifizierungsangebote im Markt vorhanden sind, wird eine inhaltliche Übereinstimmung zwischen unterschiedlichen beruflichen Tätigkeiten und dem Zertifizierungsinhalt ermöglicht. Dies ist von großem Vorteil für die Umsetzungsmöglichkeit in der Praxis und die Aufrechterhaltung des Zertifikats. Je nachdem in welcher Umgebung der Auditor tätig ist, können auch weitere Zertifizierungen außerhalb des IT-Audits sinnvoll sein, um Hintergrund- oder Methodenwissen zu erlangen, z. B. ITIL, LPIC, MCP oder PMP.
Vorteil für Auditor und Arbeitgeber
Im Speziellen sind die Vorteile für den Auditor:- Zielgerichtete Erlangung von neuem und passendem Wissen
- Bestätigung von Spezialwissen und Professionalität des IT-Auditors
- Kenntnisse über bewährte Verfahren und strukturierte Herangehensweisen
- Höhere Effizienz bei der Aufgabenerfüllung
- Verbesserte Karrieremöglichkeiten
- Höhere Anerkennung bei Kollegen, Mitarbeitern und Personalsuchenden
- Selbstsichereres Auftreten und solidere Entscheidungen
- Eine bessere Position bei Gehaltsverhandlungen
- Erleichterte Suche und Differenzierung von geeignetem Personal
- Positive werbewirksame Außenwirkung für das Unternehmen
- Schaffung eines vergleichbaren Niveaus mehrerer IT-Auditoren, z.B. für Vertretungszwecke
- Stärkere Bindung des Personals und geringere Fluktuation
- Höhere Produktivität und nachvollziehbarere Ergebnisse
- Effizienterer Ressourceneinsatz und verbesserte Qualität der Resultate
- Ableitung von Prozessverbesserungen, die auf Zertifizierungswissen basieren
- Höhere Kundenzufriedenheit
Für IT-Auditoren existiert eine große Anzahl an Zertifizierungsmöglichkeiten. Welche davon für eine spezielle Person die passendste ist, hängt mit den individuellen Aufgaben und Vorlieben dieser Person zusammen. Die Voraussetzungen für die Zertifikatserteilung und anschließende Aufrechterhaltung des Zertifikats sollten zwar bei der Auswahl berücksichtigt werden, sind jedoch für die meisten Zertifikate ähnlich: Für die Zulassung ist eine gewisse Berufserfahrung und Entrichtung einer Gebühr erforderlich. Nach dem Bestehen eines oder mehrerer Examina sowie der Zustimmung zu einem Ethikkodex wird das Zertifikat erteilt. Zur Aufrechterhaltung des Zertifikats wird in der Regel eine kontinuierliche Weiterbildung und Auseinandersetzung mit relevanten Themenbereichen gefordert, z.B. durch die Teilnahme an Schulungen.
Zertifizierungen im Überblick
Die Tabelle 1 gibt einen Überblick zu bekannten und verbreiteten Zertifizierungen im Bereich IT-Audit und in verwandten Bereichen. Dabei wurden Zertifizierungen nach Kompetenzbereichen und Anwendungsgebieten unterteilt. Die Tabelle 2 enthält die Bezeichnungen der zugehörigen Zertifizierungsgesellschaften, die in Tabelle 1 referenziert wurden.| Zertifizierungen | |||||||
|---|---|---|---|---|---|---|---|
| Kompetenz / Anwendung |
Audit und Analysen | Sicherheit und Risikomanagement | Forensik und Betrug | Governance, Risk & Compliance | |||
| IT und Business | CIA2 CCSA2 |
CPP6 PSP6 |
CFE5 PCI6 |
CRMA2 CIPP9 CIPM9 |
|||
| IT allgemein | CISA1 CITP4 |
GSNA8 | CISSP3 SSCP3 ECSA7 CSCU7 |
ECSS7 EDRP7 GSEC8 GCIA8 |
GISF8 GCED8 GSE8 |
CCFP3 GCFE8 GCFA8 |
CGEIT1 CRISC1 GLEC8 CIPT9 |
| IT-Management | CISM1 CCISO7 |
GSLC8 GISP8 |
G27008 GCPM8 |
||||
| Finanzen | CFSA2 CPA4 |
ABV4 PFS4 |
CFF4 | ||||
| Behörden | CGAP2 | ||||||
| Gesundheitswesen | CMAS10 | HCISPP3 | |||||
| Software | CSSLP3 ECSP7 |
GSSP8 GWEB8 |
GREM8 | ||||
| Hacking | CEH7 | CHFI7 | |||||
| Netzwerk | ENSA7 CNDA7 |
GCFW8 GAWN8 |
|||||
| Penetrationstest | LPT7 GPEN8 |
GWAPT8 GXPN8 |
|||||
| VOIP | ECVP7 | ||||||
| Administration | GCWN8 | GCUX8 | |||||
| Kryptographie | ECES7 | ||||||
| Autorisierung | CAP3 | ||||||
| Incident Mgmt. | ECIH7 | GCIH8 | |||||
| ISO-Standard | (Lead / Provisional) Auditor | (Lead / Provisional) Implementer | |||||
| Zertifizierungsstellen | |
|---|---|
| 1 | ISACA |
| 2 | IIA |
| 3 | (ISC)² |
| 4 | AICPA |
| 5 | ACFE |
| 6 | ASIS |
| 7 | EC-Council |
| 8 | GIAC |
| 9 | IAAP |
| 10 | AAMAS |
Dadurch, dass sehr viele verschiedene Zertifizierungsangebote im Markt vorhanden sind, wird eine inhaltliche Übereinstimmung zwischen unterschiedlichen beruflichen Tätigkeiten und dem Zertifizierungsinhalt ermöglicht. Dies ist von großem Vorteil für die Umsetzungsmöglichkeit in der Praxis und die Aufrechterhaltung des Zertifikats. Je nachdem in welcher Umgebung der Auditor tätig ist, können auch weitere Zertifizierungen außerhalb des IT-Audits sinnvoll sein, um Hintergrund- oder Methodenwissen zu erlangen, z. B. ITIL, LPIC, MCP oder PMP.
| Weiterführende Literatur |
| Das Buch „IT-Audit: Grundlagen - Prüfungsprozess - Best Practice“ aus dem Erich Schmidt Verlag bietet neben dem Einblick in die oben beschriebenen Personenzertifizierungen auch die Grundlagen von IT-Audits, eine Fülle nützlicher Orientierungshilfen und einen umfassenden Prüfungskatalog. Neben dem oftmals zentralen Prüfungsaspekt Sicherheit werden auch die Aspekte Wirtschaftlichkeit und Ordnungsmäßigkeit eingehend betrachtet. Das eBook steht Abonnenten von COMPLIANCEdigital kostenfrei zur Verfügung. Noch kein Abonnent? Testen Sie COMPLIANCEdigital 4 Wochen lang gratis. Weitere Informationen finden Sie hier. |
| Über den Autor |
| Dr. Stefan Beißel (CISA, CISSP, PMP) verfügt über langjährige praktische Erfahrungen in den Bereichen IT-Audit, IT-Security und Compliance aus seinen Tätigkeiten bei international agierenden Handels- und Finanzunternehmen. Als Dozent hat er in Master- und Bachelorstudiengängen verschiedene Fächer der Wirtschaftsinformatik vertreten. Außerdem ist er Autor von diversen Monographien und Fachartikeln sowie Gutachter für anerkannte Fachzeitschriften. |