课程介绍

CRISC跟CISA, CISM等体系相互配合、兼容，主要针对企业IT组织的全面风控实践。作为一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如：石油、医药、上市公司、跨国集团)的类似决策角色。

CRISC与CISA最大的区别是，前者是风险和内控的决策者、设计者、评估者，而后者是IT审计和内控检查的执行者；CRISC与CISM最大的区别是，前者关注于风险和战略级安全，而后者是信息安全管理和执行者。

课程目标

风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出，所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球，IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

CRISC课程从实践角度讲解风险管理，其有别于传统的“方法论”课程，但CRISC内容与业内主流的风控体系保持一致。

授课对象

风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出，所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球，IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

CRISC课程从实践角度讲解风险管理，其有别于传统的“方法论”课程，但CRISC内容与业内主流的风控体系保持一致。

培训大纲：

第一天

模块一：IT 风险识别

前言：风险和信息系统控制CRISC认证简介 

（1）治理和风险管理

IT 风险管理环境

主要风险概念

与其它业务职能相关的风险

IT 风险管理实践 

（2）IT风险识别

风险能力、风险偏好和风险容忍度

风险文化和沟通

风险元素

企业的 IT 风险战略

风险从业人员的 IT 概念和关注点

风险识别方法

IT 风险场景

所有权和责任

IT 风险登记表

风险意识 

第二天

模块二：IT 风险评估

（3）IT 风险评估

风险评估技巧

分析风险场景

控制现状

风险环境的变化

风险和控制分析

风险分析方法

风险评级

记录风险评

第三天

模块三：风险应对和缓解

风险应对和缓解

根据业务目标调整风险应对措施

风险应对方案

分析技巧

与新控制关联的漏洞

制定风险行动计划

业务流程审查工具与技巧

控制设计与实施 

控制监控与有效性

风险类型

控制活动、目标、实务和指标

系统控制设计和实施

新兴技术对控制设计和实施的影响

控制所有权

风险管理程序与文档

第四天

模块四：风险和控制监控与报告

关键风险指标

关键绩效指标

数据收集和提取工具与技术 

第四天下午

风险和控制监控与报告

控制监控

控制评估类型

控制评估结果

IT 风险概况的变更