培训内容:
课程大纲:
针对IT的价值、定位和作用,面向高管层,统一思想、提高认识
拓宽高管层及IT相关部门人员风险管理的思路,初步掌握构建基于IT风险治理的IT内部控制体系的方法,为真正实施IT治理和IT风险管理奠定基础。
培养深刻了解科学的IT治理理念和方法论的人才队伍。
满足监管部门的要求,从业务视角、组织视角、管理视角、治理视角,从战略、制度、流程、规范和标准的高度,不断提高集团公司的IT治理和IT风险管理水平。
二、 培训主题
IT治理与风险管理的理论基础
基于IT治理的IT风险管理的体系设计
大型企业IT风险管理案例研讨与沙盘演练
三、 培训对象
集团公司高管层、信息化部门、业务部门、内审部门及其他IT风险管理相关人员
四、 培训收益
了解国内外IT治理和管理的先进理念和最佳实践
统一高管层对IT的价值、定位和作用的思想认识
掌握ITGov自主创新的IT治理框架、IT风险管控体系和IT商业价值评估体系
通过案例分析和演练,了解如何在企业内部利用先进的IT治理和管理实践,实施善治的信息科技治理、IT风险管控体系
学习CoBiT的各关键组成部分,掌握CoBiT实施方法论
掌握全面风险管理条件下内部控制与审计的特点
理解IT风险管理审计的思路与实施方法
分享IT风险管理在集团公司的最佳实践
五、 培训内容
课程内容安排
日期 时间 内容
第一天 上午
(全体参加,包括高管层和业务部门领导,目的是统一思想、提高认识) 案例导入:大型企业重大IT风险事件分析
中国集团企业的IT治理之路
中国企业IT治理与风险管理现状、问题和挑战
IT治理与风险管理的重要性
ITGov对IT治理相关研究的结论
ITGov在合规项目中取得的经验汇总
IT治理与风险管理的知识体系
ITGov自主创新的中国企业IT治理与风险管理框架、体系和方法论简介
针对集团公司IT治理与风险管理工作的建议
午餐及休息
下午
IT风险控制体系展示:以数据和程序访问中“应用系统用户权限风险控制”为导入案例,引出如下问题,开始IT风险管理基本知识体系讲解。
为把风险降到可接受程度的控制目标是什么 控制活动是什么 关键控制点是什么
如何设计控制目标、控制活动和关键控制点
如何测试IT风险控制措施的有效性 审计底稿展示。
IT风险、IT控制、控制目标、控制措施等基本概念讲解
CoBIT标准介绍:框架、执行概要、控制目标、管理指南
第二天 上午
IT治理核心内容-COBIT特征(续)
面向业务
基于控制
绩效驱动
关键活动和RACI
企业IT风险管理案例分析
法国大型企业IT风险事件研讨
午餐及休息
下午 PO组织与规划域介绍
AI获取与实施域介绍
DS交付与支持域介绍
ME监控和评估域介绍
34个控制流程详细介绍
CoBIT与Basel II、ISO27001、ITIL、ISO20000、ERM\COSO的关系
信息化管理控制体系案例分析
某大型企业IT审计标准体系案例分析
信息化运维管控体系案例分析
第三天 上午( IT风险管理控制体系设计与实施)
IT总体控制(ITGC)体系设计
信息系统安全管理控制
信息系统操作
变更管理
应用系统、数据库实施与支持
其他基础维护
午餐及休息
下午( IT风险管理控制体系设计与实施)
IT应用控制(ITAC)体系设计
ITAC程序
ITAC方法和技术
ITAC实施及案例
第四天 上午
(案例研讨和问题答疑) IT风险管理控制体系实战演练
分组案例研讨
午餐及休息
下午
(案例研讨和问题答疑) 针对学员提出的问题予以解答
介绍在IT风险管控项目中取得的经验