Guide de l'examen CRMA 2026 : du CIA au spécialiste de l'assurance des risques
Tour complet de la Certification in Risk Management Assurance de l'IIA — structure de l'examen, trois domaines, prérequis, et comment se préparer en 80 à 120 heures.
Pourquoi la CRMA compte en 2026
Les conseils et les comités d'audit demandent plus que des tests de contrôles — ils veulent une assurance indépendante et formelle que l'ERM fonctionne réellement. La Certification in Risk Management Assurance (CRMA) de l'IIA est précisément le titre qui valide cette capacité.
Pour les auditeurs internes qui passent de l'exécution au leadership, la CRMA devient un différenciateur : une enquête salariale IIA 2025 a montré que les CRMA gagnent en moyenne 18 % de plus que leurs pairs CIA seuls dans le même rôle.
À qui s'adresse la CRMA ?
La CRMA est conçue pour :
- Les auditeurs internes seniors qui veulent se spécialiser en risk assurance
- Les CAE et directeurs d'audit qui rapportent sur l'ERM aux comités d'audit
- Les auditeurs internes dans des organisations qui déploient ou font mûrir leur ERM
- Les titulaires CIA qui veulent approfondir leur expertise risque
Les prérequis sont stricts : un CIA actif ou un CPA actif avec au moins deux ans d'expérience d'audit interne.
Structure de l'examen
La CRMA est un examen unique sur ordinateur :
- 120 questions à choix multiple
- 150 minutes (2 h 30)
- Score de réussite : 600 / 750 (échelle ajustée)
Trois domaines, avec une pondération qui privilégie clairement l'exécution :
| Domaine | Poids | Focus |
|---|---|---|
| I. Internal Audit Roles and Responsibilities | 20 % | Assurance vs conseil, indépendance, coordination |
| II. Risk Management Governance | 25 % | COSO ERM 2017, ISO 31000:2018, culture du risque, reporting board |
| III. Risk Management Assurance | 55 % | Méthodologie, évaluation, communication |
Si tu retiens une chose : le Domaine III pèse plus de la moitié de l'examen. Alloue ton temps en conséquence.
Décomposition par domaine
Domaine I : Internal Audit Roles and Responsibilities (20 %)
Ce domaine cadre le rôle de l'auditeur dans l'écosystème ERM. Sujets clés :
- Le Three Lines Model — distinguer les responsabilités première, deuxième et troisième ligne
- Assurance vs conseil sur le management du risque, et où sont les frontières
- Indépendance organisationnelle — structure de reporting, supervision du comité d'audit
- Assurance coordonnée — risk assurance mapping, combined assurance reporting
La plupart des candidats avec une bonne base CIA trouvent ce domaine gérable. Les items les plus délicats testent la frontière entre conseil et responsabilité opérationnelle.
Domaine II : Risk Management Governance (25 %)
Le domaine framework-lourd. Tu dois connaître :
- COSO ERM 2017 — les 5 composants et 20 principes
- ISO 31000:2018 — 8 principes, structure du framework, processus de management du risque
- Évaluation de la culture risque — comment elle se mesure, comment l'échec culturel cause l'échec ERM
- Risk appetite, tolérance et limites — définitions et évaluation de leur efficacité
La mémorisation compte ici. Construis des flashcards pour chaque principe COSO ERM et chaque composant ISO 31000.
Domaine III : Risk Management Assurance (55 %)
Le plus gros domaine couvre la méthodologie réelle du travail d'assurance des risques :
- Approches d'évaluation du risque — qualitative, quantitative, data analytics, benchmarking
- Évaluation des processus d'identification et d'évaluation — exhaustivité, rigueur, détection des biais
- Plan d'audit basé sur les risques — lier l'univers d'audit au registre des risques
- Conception de mission — objectifs, scope, exigences de preuves
- Évaluation de l'efficacité ERM — adéquation de design vs efficacité opérationnelle
- Synthèse des sources d'assurance — audit interne, externe, compliance, régulateur
- Domaines de risque spécialisés — cyber, third-party, SDLC, privacy
- Reporting et communication des risques — escalade des risques inacceptables au board
Ce domaine récompense les praticiens. Les candidats qui ont réellement exécuté des plans d'audit basés sur les risques, rédigé des rapports d'évaluation ERM et présenté aux comités d'audit s'en sortent significativement mieux.
Plan d'étude recommandé (80–120 heures)
Un planning typique sur 10–12 semaines :
- Semaines 1–2 (15 heures) : Domaine I. Lis le papier IIA Three Lines Model, l'IPPF et le syllabus CRMA.
- Semaines 3–5 (25 heures) : Domaine II. Travail approfondi sur COSO ERM 2017 et ISO 31000:2018. Construis des flashcards de comparaison framework.
- Semaines 6–10 (50 heures) : Domaine III. Le gros de la prep. Questions pratiques, scénarios, lecture en profondeur des références du Domaine III.
- Semaines 11–12 (15 heures) : examens blancs et remédiation des points faibles.
Comment NexusGRC Academy accélère la prep CRMA
Le parcours CRMA NexusGRC inclut :
- 26 chapitres sur les trois domaines en anglais et français
- Cartes mentales par domaine pour COSO ERM 2017, ISO 31000:2018, le Three Lines Model et la méthodologie d'assurance des risques
- Diagnostic IA des faiblesses qui surligne les sujets où ton score reste en dessous du seuil
- Examens blancs calibrés sur la difficulté et la pondération réelles
- Flashcards adaptatives pour le contenu framework-lourd du Domaine II
Si tu détiens déjà le CIA, ta prep peut s'appuyer fortement sur les Domaines II et III — la plateforme réduit automatiquement le volume de questions dans les zones où tu es déjà compétent.
Mot de la fin
La CRMA fait partie des titres qui changent réellement la façon dont tu opères en tant qu'auditeur. Elle déplace la conversation de « est-ce que les contrôles ont fonctionné ? » à « l'organisation gère-t-elle vraiment le risque ? » — et ce shift est ce qui rend un CAE précieux pour un board moderne.