Zarządy, członkowie Komitetu Audytu, osoby odpowiedzialne za zarządzanie ryzykiem IT/operacyjnym, właściciele procesów, stanowiska kontroli wewnętrznej.

BLOK I
Zasady identyfikacji, pomiaru ryzyka IT

Cel szkolenia:
Celem szkolenia jest praktyczne zapoznanie uczestników z wymaganiami Rekomendacji M i D KNF przede wszystkim z pierwszymi etapami zarządzania ryzykiem IT jakimi są identyfikacja, pomiar i przeciwdziałania. Uczestnicy szkolenia zapoznają się z praktycznym podejściem w zakresie identyfikacji/pomiaru ryzyka IT.

Zakres tematyczny:
1. Omówienie wymagań w obszarze zarządzania ryzykiem IT

2. Strategia zarządzania bezpieczeństwem środowiska teleinformatycznego – ryzyko IT

3. Odpowiedzialności – środowisko wewnętrzne

4. Zasady identyfikacji ryzyka IT:
a. Wymagania Rekomendacji M i D KNF jako dobre praktyki
b. Odpowiedzialność pracowników (jednostek biznesowych)
c. System HelpDesk – kategorie
d. Zewnętrzne rejestry
e. Wymiana informacji pomiędzy Zespołem IT, Stanowiskiem zarządzania ryzykiem operacyjnym i Właścicielami procesów

5. Identyfikacja zagrożeń w zasobach IT, procesach wewnętrznych i zewnętrznych

6. „Dane wyjściowe” z etapu identyfikacji ryzyka IT do pomiaru ryzyka

7. Najczęstsze błędy popełniane na etapie identyfikacji ryzyka IT

8. Zasady pomiaru ryzyka IT:
a. Wprowadzenie do zasad pomiaru ryzyka IT
b. Określenie prawdopodobieństwa oraz skutków
c. Ocena zabezpieczeń
d. Metoda jakościowa
e. Metoda ilościowa
f. Straty potencjalne, rzeczywiste, odzysk
g. Mapa ryzyka IT

9. „Dane wyjściowe” z etapu pomiaru ryzyka IT do kontroli i monitorowania

10. Omówienie wzorcowej Instrukcji Zarządzania ryzykiem IT

11. Zasady kontroli i monitorowania ryzyka IT:
a. Wymagania Rekomendacji M i D KNF
b. Przeciwdziałaniu ryzyku – akceptowanie, ograniczanie (zdefiniowanie procesów, produktów, systemów, ich opis/procedury oraz wprowadzenie mechanizmów kontrolnych), transferowanie, unikanie
c. Zasady kontroli i monitorowania ryzyka
d. Zabezpieczenia
e. Kluczowe wskaźniki – KRI
f. Mechanizmy kontrolne
g. Ocena wdrożonych mechanizmów kontrolnych
h. Zasady poprawnego monitorowania poziomu ryzyka IT

12. „Dane wyjściowe” z etapu kontroli i monitorowania ryzyka IT do przygotowania raportu z zarządzania ryzykiem IT

13. Najczęstsze błędy popełniane na etapie kontroli i monitorowania ryzyka IT

BLOK II
Zasady raportowania i samooceny ryzyka IT

Cel szkolenia:
Celem szkolenia jest praktyczne zapoznanie uczestników z wymaganiami związanymi z zasadami raportowania i przejrzystości zarządzania ryzykiem IT. Uczestnicy szkolenia zapoznają się z praktycznym podejściem w zakresie przygotowania raportu i samooceny ryzyka IT.

Zakres tematyczny:
1. Strategia zarządzania bezpieczeństwem teleinformatycznym w Banku i zarządzanie ryzykiem IT

2. Zasady raportowania ryzyka IT:
a. Wymagania Rekomendacji M i D w odniesieniu do zasad sporządzania informacji zarządczej (SIZ) w obszarze IT
b. Charakterystyka znaczących zdarzeń w obszarze ryzyka IT
c. informacje dotyczące istotnych zdarzeń zewnętrznych
d. informacje pochodzące z innych wykorzystywanych w banku narzędzi (rejestrów) wspierających proces zarządzania ryzykiem IT

3. Omówienie wzorcowego spisu treści raportu z ryzyka IT

4. Najczęstsze błędy popełniane na etapie opracowania raportu z ryzyka IT

5. Samoocena ryzyka IT

6. Zasady przeglądu procesów pod kątem ryzyka IT

7. Ocena ryzyka IT

8. Ocena ryzyka bezpieczeństwa transakcji płatniczych

9. Ocena ryzyka bezpieczeństwa informacji

10. Ocena ryzyka dla zasobów

11. Ocena ryzyka z uwzględnieniem istniejących mechanizmów kontrolnych

12. Plany Ciągłości Działania

13. Testy warunków skrajnych

14. Dostawcy zewnętrzni

15. Ubezpieczenia

16. Przygotowanie raportu z samooceny dla Zarządu i Rady Nadzorczej