I. Giới thiệu khóa học:

         Certified in Risk and Information Systems Control (CRISC) là chứng chỉ có uy tín hiên nay trong việc giám sát rủi ro hiệu quả cho nhân sự IT và nhân sự các ngành khác trong các công ty, xí nghiệp, các tổ chức tài chính. Khi đạt được chứng chỉ CRISC, người học đã có đủ kiến thức và trình độ chuyên môn trong việc quản lý rủi ro cho doanh nghiệp. Chứng chỉ này cũng giúp người học chứng minh trình độ kỹ thuật của mình để triển khai các giải pháp quản lý trong hệ thống thông tin.

II. Thời lượng: 03 ngày

III. Mục tiêu khóa học:

         Khóa học này được thiết kế để các chuyên viên IT chuẩn bị cho kỳ thi lấy chứng chỉ Certified in Risk and Information Systems Control - Chứng chỉ quản lý rủi ro và hệ thống thông tin do ISACA cấp, kỳ thi cấp chứng chỉ này được tổ chức vào tháng 6 và tháng 12 hằng năm. Thí sinh dự thi cần phải có ít nhất 3 năm kinh nghiệm, công tác trong lĩnh vực liên quan mới có thể tham gia được kỳ thi này. Nếu vượt qua được bài kiểm tra thì thí sinh sẽ được cấp chứng chỉ CRISC. Khóa học này gồm có 4 phần:

• Xác định rủi ro
• Đánh giá rủi ro
• Ứng phó với rủi ro
• Giám sát và báo cáo rủi ro.
• Chuyên viên quản lý rủi ro IT
• Chuyên viên kiểm soát và quản lý chất lượng
• CIO và CISO

IV. Đối tượng tham gia khóa học:

V. Nội dung khóa học:

1. Phần 1 - Xác định rủi ro

         Xác định các rủi ro chung trong ngành IT để đưa ra các quyết định, chiến lược phù hợp trong việc quản lý rủi ro nhằm hỗ trợ cho mục tiêu chung của doanh nghiệp, phù hợp với sách lược quản lý rủi ro của công ty (ERM).

• Thu thập và kiểm tra lại thông tin, tài liệu của các vấn đề trong và ngoài công ty, góp phần xác định các rủi ro tiềm tàng về IT. Điều này có thể gây ảnh hướng đến hoạt động kinh doanh và mục tiêu chung của doanh nghiệp.
• Xác định các mối nguy hại, lỗ hổng tiềm ẩn đối với toàn thể nhân viên, quy trình và công nghệ để hỗ trợ cho việc phân tích rủi ro trong IT.
• Lập ra các kịch bản về những rủi ro về IT có thể xảy ra dựa trên các thông tin sẵn có để xác định các tác động tiềm ẩn có thể xảy đến cho hoạt động kinh doanh và mục tiêu chung của doanh nghiệp.
• Xác định rõ nhân sự chủ chốt, những người chịu trách nhiệm chính khi các sự cố về IT xảy ra.
• Tạo một bảng quản lý rủi ro trong IT để xác định người chịu trách nhiệm chính trong từng trường hợp và đồng thời tạo một hồ sơ quản lý rủi ro chung cho toàn công ty.
• Xác định mức độ và giới hạn cho phép của từng rủi ro do các nhân sự cấp cao và những người chịu trách nhiệm chính đặt ra, đảm bảo việc quản lý rủi ro này có thể kết hợp hài hòa với mục tiêu chung của công ty.
• Hợp tác phát triển chương trình nâng cao nhận thức về rủi cho nhân viên trong công ty, triển khai các khóa đào tạo định kỳ đảm bảo những nhân sự chủ chốt hiểu rõ các rủi ro có thể xảy ra và nâng cao nhận thức về rủi ro trong công việc cho mọi người.

2. Phần 2 - Đánh giá rủi ro

         Phân tích, đánh giá các rủi ro IT để xác định xác suất xảy ra vấn đề và mức độ ảnh hưởng đến hoạt động kinh doanh của công ty và từ đó đưa ra các quyết định phù hợp.

• Phân tích các tình huống có thể xảy ra dựa trên ngữ cảnh hiên tại của công ty (cơ cấu tổ chức, các chính sách, tiêu chuẩn, công nghệ, kiến trúc, khả năng kiểm soát…) nhằm xác định xác suất và khả năng ảnh hưởng đến hệ thống khi có vấn đề xảy ra.
• Biết được trạng thái hiện tại của việc kiểm soát và đánh giá hiệu quả công tác giảm nhẹ rủi ro CNTT.
• Xem xét kết quả của việc phân tích rủi ro và quản lý để đánh giá mức độ đáp ứng dựa trên trạng thái mong đợi và tình trạng thực tế trong môi trường xảy ra rủi ro.
• Đảm bảo quyền quản trị được ủy quyền giúp cho việc giải trình một cách rõ ràng.
• Báo cáo kết quả của việc đánh giá rủi ro đến người quản lý có kinh nghiệm và các bên có liên quan để có thể đưa ra quyết định dựa trên rủi ro xảy ra.
• Cập nhật rủi ro nhờ vào kết quả đánh giá rủi ro trước đó.

3. Phần 3 - Ứng phó và giảm nhẹ rủi ro

         Chọn lựa hành động ứng phó với rủi ro và đánh giá tính hiệu quả trong việc quản lý rủi ro nhằm đạt được mục tiêu kinh doanh.

• Hợp tác với các nhà quản lý rủi ro để chọn ra các cách ứng phó phù hợp với mục tiêu kinh doanh và ra được quyết định phù hợp.
• Hợp tác hoặc hỗ trợ nhà quản lý trong việc phát triển các kế hoạch ứng phó với rủi ro xảy ra nhằm đảm bảo rằng kế hoạch đề ra bao gồm đầy đủ các thành phần chính yếu (ví dụ: cách ứng phó, chi phí, ngày dự kiến).
• Thiết kế và triển khai hoặc hiệu chỉnh các phương pháp giảm nhẹ rủi ro nhằm đảm bảo rằng rủi ro được kiểm soát ở mức chấp nhận được.
• Đảm bảo quyền quản trị được ủy quyền giúp cho việc giải trình một cách rõ ràng.
• Hỗ trợ người quản trị việc phát triển các phương pháp điều khiển và tài liệu để có thể quản trị hiệu quả.
• Cập nhật kiến thức rủi ro nhằm thích ứng với các thay đổi trong rủi ro và việc ứng phó rủi ro của nhà quản trị.
• Đảm bảo rằng các phương pháp ứng phó diễn tra đúng theo kế hoạch đặt ra.

4. Phần 4 - Quản lý và báo cáo

          Liên tục giám sát, báo cáo về các rủi ro CNTT và kiểm soát các thành phần liên quan nhằm đảm bảo tính liên tục, hiệu quả trong chiến lược quản lý rủi ro CNTT cũng như đáp ứng được mục tiêu kinh doanh.

• Định nghĩa và thiết lập nên key risk indicator (KRIs) và các ngưỡng dựa trên dữ liệu sẵn có, và cũng để có thể phần nào giám sát được khi rủi ro thay đổi.
• Giám sát và phân tích key risk indicator (KRIs) để nhận diện được các thay đổi hoặc xu hướng dựa hồ sơ rủi ro CNTT.
• Báo cáo các thay đổi hoặc xu hướng liên quan đến hồ sơ rủi ro CNTT nhằm hỗ trợ việc quản trị và các thành phần liên quan trong việc ra quyết định.
• Giúp việc nhận dạng các metrics và key performance indicators (KPIs) để có thể quản lý hiệu năng.
• Điều khiển và phân tích key performance indicators (KPIs) để nhận diện các thay đổi hoặc xu hướng liên quan đến môi trường quản lý và tính toán hiệu quả hoạt động.
• Rà soát lại kết quả của việc đánh giá để tính toán mức độ hiệu quả của phương pháp được áp dụng trong môi trường quản lý.
• Báo cáo hiệu năng, thay đổi, hay xu hướng trong hồ sơ rủi ro CNTT và môi trường quản trị đến các thành phần liên quan để có thể đưa ra quyết định.

5. Mở rộng

         CRISC là chương trình độc lập. Do đó, chương trình không đề cập cụ, cũng như hướng ứng viên theo một tiêu chuẩn Quản lý rủi ro cụ thể. Tuy nhiên, để hướng tiếp cận được rõ ràng, giúp học viên hiểu rõ vấn đề đang tìm hiểu, Robusta sẽ sử dụng, áp dụng Tiêu chuẩn ISO về quản lý rủi ro trong quá trình đào tạo.

• Giới thiệu ISO 31000
• Các thuật ngữ và định nghĩa
• Các nguyên tắc quản lý rủi ro
• Khuôn khổ quản lý rủi ro
• Quá trình quản lý rủi ro
• Giới thiệu ISO 31010
• Các khái niệm về đánh giá rủi ro
• Các tiến trình đánh giá rủi ro
• Chọn lựa các kỹ thuật đánh giá rủi ro