私の場合は、まずCIAを、次にCISAをいずれもアビタスの通学ｺｰｽで勉強し取得しました。
現在社内では、内部監査業務での監査人及びSOX法404条のテスターとしての業務を中心に行っています。業務上、両資格はマストではありませんが（即ち会社から強制的に取得を命じられたものではありませんが）、業務柄会社は取得を推奨していることもあってチャレンジしました。
なによりもの動機は、業務を行うにあたって、内部監査の仕事(内部統制の評価の仕事)をIT分野含めて体系的に学ぶことにより仕事の本質に関する理解を深めたい、それにより仕事の品質をあげたいというものでした。

さて、両資格得たところで、私が感じるあるいは実際にメリットがあったことというのは、次の三つです。

CIAではPart2・3中心に、もちろんIT分野での内部統制に関する論点も勉強するわけですが、実際に業務を行ってみるとCIAのドメインではほとんど知識かじり程度のレベルで、本質的なIT内部統制の評価の実力に至らないことがあります。
システム開発、ネットワーク、情報セキュリティ、BCP、EDIなどは企業環境では必ず現実に出てくる要素ですが、このあたりはCISAで勉強してはじめて理解できる部分がありました。

IT分野は、現実に当社内部監査人でも不得手としている監査人が多く、その場合思わぬ重大な発見リスクにさらされる懸念があります。評価技法もCISAでは体系化したものを詳しく学べますので、技法を使うかどうかは別として、内部統制の見方が深まることは事実でしょう。

IT内部統制の評価を外部委託先で行っている場合もあるでしょうが、その場合でも外部委託先の管理や評価したものの評価を行う場合、CISAで得る知識は十分実戦として役立ちます。

CIA資格保持者は、内部統制やその評価についてまた監査人としての独立性／客観性などを理解していますので、CISA資格するにあたって監査プロセス、ITガバナンス、資産保護などの分野の基礎概念は既に頭の中にあり、ITとはいえ内部統制の評価なのでこれらのドメインは基礎が身についています。

あとは、IT分野自体の知識の拡大と評価の技法や見方を補完的に体得していけば良いので、CIA-CISAの順に資格取得するのは資格の取りやすさの点で正解だったと思います。

CIA／CISAの両資格をとっておくことは、外見上も監査対象や外部監査人から相応の知識と経験があるとみてくれますので、監査の進めやすさがあると思います。

監査対象の経営者や外部監査人もやはり、残念ながらではありますが、 IT分野でまだまだ知識が浅い人（ 自社のネットワーク構成すら分かっていない経営者もいる） や、IT内部統制の充実の具体的方法が分からない人もまだまだいますので、CISA資格取得による知識を基とした脆弱性の指摘と改善の助言は、相手方も素直に聞き易いという点があります。