课程介绍
CRISC跟CISA, CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。作为一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如:石油、医药、上市公司、跨国集团)的类似决策角色。
CRISC与CISA最大的区别是,前者是风险和内控的决策者、设计者、评估者,而后者是IT审计和内控检查的执行者;CRISC与CISM最大的区别是,前者关注于风险和战略级安全,而后者是信息安全管理和执行者。
课程目标
风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。
CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。
授课对象
风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。
CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。
培训大纲:
第一天
模块一:IT 风险识别
前言:风险和信息系统控制CRISC认证简介
(1)治理和风险管理
IT 风险管理环境
主要风险概念
与其它业务职能相关的风险
IT 风险管理实践
(2)IT风险识别
风险能力、风险偏好和风险容忍度
风险文化和沟通
风险元素
企业的 IT 风险战略
风险从业人员的 IT 概念和关注点
风险识别方法
IT 风险场景
所有权和责任
IT 风险登记表
风险意识
第二天
模块二:IT 风险评估
(3)IT 风险评估
风险评估技巧
分析风险场景
控制现状
风险环境的变化
风险和控制分析
风险分析方法
风险评级
记录风险评
第三天
模块三:风险应对和缓解
风险应对和缓解
根据业务目标调整风险应对措施
风险应对方案
分析技巧
与新控制关联的漏洞
制定风险行动计划
业务流程审查工具与技巧
控制设计与实施
控制监控与有效性
风险类型
控制活动、目标、实务和指标
系统控制设计和实施
新兴技术对控制设计和实施的影响
控制所有权
风险管理程序与文档
第四天
模块四:风险和控制监控与报告
关键风险指标
关键绩效指标
数据收集和提取工具与技术
第四天下午
风险和控制监控与报告
控制监控
控制评估类型
控制评估结果
IT 风险概况的变更