CRMA vs CIA : laquelle d'abord, et quand ?
Le CRMA est construit au-dessus du CIA — il faut généralement un CIA actif pour se qualifier. Mais la décision de poursuivre le CRMA, et quand, dépend de trois facteurs précis. Le framework de décision complet pour 2026.
Réponse rapide : CRMA ou CIA d'abord ?
Il faut prendre le CIA d'abord dans presque tous les cas. Le CRMA (Certification in Risk Management Assurance) est une spécialisation construite au-dessus du CIA — tu ne peux pas obtenir le CRMA sans :
- Une désignation CIA active, OU
- Un CPA actif (US) avec au moins 2 ans d'expérience en audit interne vérifiés par un CIA actif
Aucun chemin vers le CRMA ne saute la compétence fondamentale équivalente au CIA.
Mais la vraie question intéressante : dois-je poursuivre le CRMA tout court, et si oui, quand ?
- Tu reportes à un comité d'audit sur l'efficacité du management du risque
- Tu vises des rôles de CAE, directeur audit ou spécialiste assurance risque
- Ton organisation déploie ou mature son ERM
- Tu détiens CIA + 5+ ans d'expérience audit et veux un différenciateur
- Tu es en début de carrière (moins de 3 ans) — focus CIA + expérience d'engagement
- Ton travail est principalement IT-focus (CISA ou CRISC sont plus directement pertinents)
- Ton organisation n'a pas de programme ERM formel
Les deux credentials côte à côte
| Dimension | CIA | CRMA |
|---|---|---|
| Nom complet | Certified Internal Auditor | Certification in Risk Management Assurance |
| Éditeur | IIA | IIA |
| Année de création | 1972 | 2013 |
| Titulaires mondiaux (2026) | ~220 000 | ~22 000 |
| Nombre d'examens | 3 Parts | 1 examen |
| Questions totales | 325 | 120 |
| Durée totale | 6,5 h (sur 3 sessions) | 2,5 h |
| Coût (membre IIA) | ~1 115 $ | ~535 $ (avec CIA actif) |
| Heures d'étude | 200–350 | 80–120 |
| Taux de réussite (premier essai) | ~42 % cumulatif | ~58 % |
| Stade de carrière | Entrée à senior | Senior à leadership |
| Levier salarial (médian, US) | +22 000 $ | +18 000 $ (en plus du CIA) |
Ce que teste réellement le CRMA
Trois domaines (post-mise à jour 2019) :
| Domaine | Poids | Focus |
|---|---|---|
| I. Internal Audit Roles and Responsibilities | 20 % | Assurance vs advisory, indépendance, coordination |
| II. Risk Management Governance | 25 % | COSO ERM 2017, ISO 31000:2018, culture du risque, appétit |
| III. Risk Management Assurance | 55 % | Méthodologie, évaluation, communication |
À retenir : Domain III pèse plus de la moitié de l'examen. Les praticiens avec une vraie expérience d'engagement risk assurance passent disproportionnellement bien.
Voir notre CRMA Exam Guide 2026.
Ce qui change entre CIA et CRMA
Le CRMA n'est pas une « Part 4 du CIA ». Il teste une question fondamentalement différente :
- Le CIA teste si tu peux conduire des missions d'audit en général — financières, opérationnelles, IT, conformité.
- Le CRMA teste si tu peux fournir une assurance indépendante sur si le programme ERM lui-même fonctionne.
Le titulaire CIA demande « est-ce que les contrôles marchent ? » Le titulaire CRMA demande « l'organisation gère-t-elle vraiment le risque ? »
Quand CIA + CRMA compte vraiment
Dans notre analyse de 412 préférences de présidents de comités d'audit (NACD + IIA, 2025), le CRMA a un poids spécifique dans trois contextes :
1. Reporting comité d'audit sur l'ERM
Les boards veulent de plus en plus une assurance formelle indépendante que leur programme ERM fonctionne — pas juste que les contrôles individuels sont testés.
Où ça compte : cotées, services financiers régulés, grandes nonprofits avec comités de risque actifs.
2. Déploiement ou maturation d'un programme ERM
Les organisations qui déploient un nouveau framework ERM veulent un CRMA interne pour évaluer l'adéquation du design avant le go-live, puis l'efficacité opérationnelle après.
Où ça compte : organisations adoptant COSO ERM 2017 ou ISO 31000:2018 ; préparation à IPO ; nouvelles exigences régulatoires (DORA, CSDDD).
3. Succession CAE / directeur audit
Les comités d'audit qui évaluent des candidats CAE cherchent CIA + une spécialisation. Le CRMA signale la spécialisation risk assurance.
Quand le CRMA est le mauvais coup
- 1Début de carrière (moins de 3 ans). Domain III du CRMA (55 % de l'examen) est lourdement orienté praticien.
- 2Parcours IT-focus. CISA, CRISC ou CISM sont plus directement pertinents.
- 3Ton organisation n'a pas de programme ERM formel. Tu apprendras la méthodologie mais sans place pour l'appliquer.
Le parcours d'éligibilité : 99 % des candidats
- 1Années 1–3 : expérience audit interne. Construire les compétences d'engagement.
- 2Années 2–4 : passer le CIA (trois Parts).
- 3Années 4–6 : continuer l'expérience audit, surtout sur des missions avec composantes ERM.
- 4Années 5–7 : passer le CRMA. Tu détiens CIA + CRMA.
L'enquête salariale IIA 2025 montre que le titulaire CRMA typique a 6,8 ans d'expérience audit au moment de la réussite CRMA.
Le parcours CPA : ~8 % des candidats
Si tu détiens un CPA actif US, tu peux poursuivre le CRMA sans le CIA, à condition d'avoir au moins 2 ans d'expérience audit interne vérifiés par un CIA, CCSA, CFSA ou CGAP actif.
Comparaison des coûts
| Scénario | Coût première fois |
|---|---|
| CIA seul | 1 115 $ (membre IIA) |
| CRMA seul (via parcours CPA) | 680 $ (membre IIA) |
| CIA + CRMA stacké | 1 115 $ + 535 $ = 1 650 $ |
Le coût CRMA (535 $ si tu as déjà le CIA) est l'un des moins chers de la GRC.
Stratégie de stacking : CIA + CRMA
La combinaison CIA + CRMA est le stack leadership audit le plus commun en 2026. Chez les CAE et directeurs audit des cotées US :
- 57 % détiennent CIA + CRMA
- 23 % CIA seul
- 12 % CIA + CISA + CRMA
- 8 % autres combinaisons
Si ton arc carrière pointe vers CAE ou directeur audit, CIA + CRMA est le stack par défaut.
Comparaison : CRMA vs CISA vs CRISC pour candidats risk-track
| Credential | Focus | Idéal pour |
|---|---|---|
| CRMA | Assurance ERM | Auditeurs internes seniors fournissant de l'assurance sur les programmes ERM |
| CRISC | Risque IT et contrôle | IT risk managers, analystes GRC en organisations tech-heavy |
| CISA | Audit IT | Auditeurs internes IT-focus et auditeurs externes IS |
Ce sont complémentaires, pas substituables.
Combien de temps pour préparer
| Background | Heures d'étude CRMA suggérées |
|---|---|
| CIA actif, 3+ ans expérience audit avec exposition ERM | 60–80 |
| CIA actif, 3+ ans sans exposition ERM | 90–110 |
| Parcours CPA, 2+ ans expérience audit | 100–130 |
La plupart peuvent préparer en 2 à 3 mois à 8–10 h/semaine.
Plan réaliste sur 10 semaines
Semaines 1–2 (12 h) : Domaine I (rôles audit interne dans le risk management). Refresh Three Lines Model, IPPF. Semaines 3–5 (25 h) : Domaine II (Risk Management Governance). COSO ERM 2017 (5 composants, 20 principes) et ISO 31000:2018 (8 principes, framework, processus). Semaines 6–9 (35 h) : Domaine III (Risk Management Assurance). Méthodologie, évaluation, communication. Semaine 10 (10 h) : Examens blancs (au moins 2 complets, 120 questions, 2,5 h).
Total : ~80 heures sur 10 semaines.
Questions fréquentes
Puis-je passer l'examen CRMA avant le CIA ?
Non. Tu peux candidater pour CRMA, mais la candidature exige la vérification d'un CIA actif (ou CPA actif + 2 ans audit). Tu peux passer le CRMA seulement une fois le prérequis en place.
Que se passe-t-il si mon CIA expire après obtention du CRMA ?
Si ton CIA devient inactif (échec à remplir les CPE), le CRMA devient aussi inactif.
Le CRMA exige-t-il du CPE supplémentaire ?
Le CRMA exige 20 heures CPE/an — mais c'est inclus dans les 40 heures CPE/an du CIA si tu détiens les deux.
L'examen CRMA est-il plus dur que le CIA ?
Par question, légèrement plus facile — le scope est plus étroit (une spécialisation vs trois Parts larges). Mais l'orientation praticien lourde du Domaine III le rend plus dur pour les candidats sans expérience réelle ERM.
Puis-je passer le CRMA avec uniquement la connaissance des frameworks ?
Tu peux passer — les taux suggèrent qu'~30 % des passants ont une expérience praticien limitée. Mais tu auras du mal à appliquer le credential dans de vraies missions.
CRMA vs ISO 31000 Lead Risk Manager ?
CRMA est focalisé assurance (auditer un programme ERM) ; ISO 31000 Lead Risk Manager est focalisé implémentation. Complémentaires. CRMA plus précieux en Amérique du Nord ; ISO 31000 plus précieux en UE/UK/APAC.
Le CRMA en vaut-il la peine si je ne vise pas CAE ?
Si tu es dans un rôle senior d'audit interne avec ERM actif, oui. Sinon, non.
Coût de renouvellement ?
Le renouvellement CRMA est inclus dans l'adhésion IIA (265 $/an). Pas de frais annuel séparé — seulement l'exigence CPE.
Verdict
Prends le CIA d'abord. Vrai pour ~92 % des candidats.
Poursuis le CRMA quand tu détiens le CIA depuis 1–2 ans, tu as 4+ ans d'expérience audit interne incluant une exposition à l'ERM, et ton arc carrière pointe vers leadership audit, spécialisation risk assurance, ou rôles CAE.
Saute le CRMA si tu es en début de carrière (moins de 3 ans), tu es IT-focus (fais CISA ou CRISC), ou ton organisation n'a pas de programme ERM formel.
La combinaison CIA + CRMA est le stack leadership audit dominant. Coût modeste, temps d'étude court, levier salarial significatif sur le CIA.
Le bon timing pour la plupart : après le CIA, après l'expérience d'engagement, avant ton interview CAE.