CRISC认证 (国际注册信息系统风险控制专家)
CRISC认证 (国际注册信息系统风险控制专家)

课程介绍

CRISC跟CISA, CISM等体系相互配合、兼容,主要针对企业IT组织的全面风控实践。作为一款全球顶级IT从业资格认证。CRISC可以针对金融/银行业的IT Chief Risk Officer(CRO), 或是其它行业(比如:石油、医药、上市公司、跨国集团)的类似决策角色。

CRISC与CISA最大的区别是,前者是风险和内控的决策者、设计者、评估者,而后者是IT审计和内控检查的执行者;CRISC与CISM最大的区别是,前者关注于风险和战略级安全,而后者是信息安全管理和执行者。


课程目标

风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。


授课对象

风险是指对实现的目标发生偏离的一中不确定性。ISACA在COBIT5中指出,所有的IT风险皆是业务风险。企业风险管理(ERM)已经席卷全球,IT风控师/IT CRO也应酝而生。CRISC全面支撑COSO, Basel II/III, GAMP等企业风控。

CRISC课程从实践角度讲解风险管理,其有别于传统的“方法论”课程,但CRISC内容与业内主流的风控体系保持一致。


培训大纲:


第一天

模块一:IT 风险识别

前言:风险和信息系统控制CRISC认证简介 

(1)治理和风险管理

IT 风险管理环境

主要风险概念

与其它业务职能相关的风险

IT 风险管理实践 


(2)IT风险识别

风险能力、风险偏好和风险容忍度

风险文化和沟通

风险元素

企业的 IT 风险战略

风险从业人员的 IT 概念和关注点

风险识别方法

IT 风险场景

所有权和责任

IT 风险登记表

风险意识 


第二天

模块二:IT 风险评估

(3)IT 风险评估

风险评估技巧

分析风险场景

控制现状

风险环境的变化

风险和控制分析

风险分析方法

风险评级

记录风险评


第三天

模块三:风险应对和缓解

风险应对和缓解

根据业务目标调整风险应对措施

风险应对方案

分析技巧

与新控制关联的漏洞

制定风险行动计划

业务流程审查工具与技巧

控制设计与实施 

控制监控与有效性

风险类型

控制活动、目标、实务和指标

系统控制设计和实施

新兴技术对控制设计和实施的影响

控制所有权

风险管理程序与文档


第四天

模块四:风险和控制监控与报告

关键风险指标

关键绩效指标

数据收集和提取工具与技术 


第四天下午

风险和控制监控与报告

控制监控

控制评估类型

控制评估结果

IT 风险概况的变更