Überblick
Diese Weiterbildung verbindet zwei führende Zertifizierungen im Risikomanagement: den Certified in Risk and Information Systems Control (CRISC) des ISACA und den PMI Risk Management Professional (PMI-RMP) des Project Management Institute. CRISC adressiert IT- und unternehmensweites Risikomanagement aus der Perspektive von Informationssystemen und Governance. PMI-RMP ergänzt diesen Blickwinkel durch projektbezogenes Risikomanagement nach dem PMI-Standard, wie er im PMBOK Guide beschrieben ist. Wer beide Zertifizierungen erlangt, kann Risiken sowohl auf IT-Ebene als auch in Projektportfolios systematisch steuern.
Kursinhalte & Lernziele
Das erste Modul deckt den CRISC-Lehrplan des ISACA ab, der in vier Domänen gegliedert ist. Domäne 1 behandelt die Steuerung von IT-Risiken: Risikoappetitstrategie, Risikorahmen und die Verankerung von Risikomanagement in der Unternehmensführung. Domäne 2 widmet sich der IT-Risikobewertung: Bedrohungs- und Schwachstellenanalyse, Risikoszenarien und Risikopriorisierung.
- IT-Risikobegriff und Abgrenzung zu operationellen, strategischen und Compliance-Risiken
- Risikoidentifikation: Asset-Inventar, Bedrohungslandschaft und Auswirkungsanalyse
- Qualitative und quantitative Risikobewertungsmethoden (z. B. Monte-Carlo, Risikomatrix)
- Risikotoleranz, Risikoappetit und Risikokapazität in IT-Governance-Strukturen
- CRISC-Domäne 3: IT-Risikoreaktion und Maßnahmenplanung
- CRISC-Domäne 4: Überwachung und Berichterstattung von IT-Risiken und -Kontrollen
Das zweite Modul vermittelt den PMI-RMP-Stoff auf Basis des PMBOK Guide und des PMI Practice Standard for Risk Management. Projektrisiken werden nach einem strukturierten Prozess von der Planung bis zur Abschlussphase behandelt.
- Risk Management Planning: Risikorahmen für Projekte definieren, Rollen und Verantwortlichkeiten
- Risk Identification: Brainstorming, Delphi-Methode, Checklisten und Ursache-Wirkungs-Diagramme
- Qualitative Risikoanalyse: Wahrscheinlichkeits-Auswirkungsmatrix, Risikobewertung und -priorisierung
- Quantitative Risikoanalyse: Sensitivitätsanalyse, Entscheidungsbäume und Simulationen
- Risikoreaktionsstrategien für Bedrohungen und Chancen
- Risikoüberwachung: Earned Value Management als Frühindikator, Risikoreview-Meetings
Der Praxisblock trainiert Szenarien aus beiden Zertifizierungsdomänen. Die Übungen bereiten auf reale Berufsanforderungen im IT- und Projektrisikomanagement vor.
- Erstellung eines vollständigen Risikoregisters für ein fiktives IT-Einführungsprojekt
- Bewertung eines IT-Kontrollrahmens nach COBIT-Prinzipien
- Anwendung der Risikomatrix auf ein Cloud-Migrationsszenario
- Entwicklung eines Risikoberichts für ein Steering-Committee
- Durchführung einer qualitativen Risikoanalyse anhand eines Fallbeispiels aus der Praxis
- Übung mit quantitativen Methoden: vereinfachte Monte-Carlo-Analyse in Excel
- Abgleich von CRISC-Kontrollen mit NIST SP 800-37 (Risk Management Framework)
- Formulierung von Risikoreaktionsplänen für technische und organisatorische Risiken
- Stakeholder-Kommunikation: Risikobericht in einer Rollensimulation präsentieren
- Analyse eines Sicherheitsvorfalls aus Risikomanagement-Perspektive
- Integration von IT-Risikodaten in Unternehmensentscheidungen (GRC-Kontext)
- Vergleichsübung: CRISC-Kontrollansatz vs. PMI-RMP-Projektrisikoprozess
Lernziele:
Nach Abschluss haben die Teilnehmenden folgende Kompetenzen aufgebaut.
- IT-Risiken zu identifizieren, zu bewerten und in Unternehmensrisikorahmen einzubetten
- Risikosteuerungsmaßnahmen nach CRISC-Domänen zu entwickeln und umzusetzen
- IT-Kontrollen zu entwerfen, zu implementieren und auf ihre Wirksamkeit zu prüfen
- Risiken in Informationssystemen zu überwachen und in Governance-Strukturen zu verankern
- Projektrisiken nach PMI-RMP-Methodik zu identifizieren und qualitativ wie quantitativ zu bewerten
- Risikoregister und Risikoberichte nach PMI-Standard zu erstellen und zu pflegen
- Risikoreaktionsstrategien — Vermeiden, Übertragen, Mindern, Akzeptieren — gezielt anzuwenden
- Risikoüberwachungs- und Kontrollprozesse über den Projektlebenszyklus aufrechtzuerhalten
- zwischen IT-Governance-Risiken und projektspezifischen Unsicherheiten zu unterscheiden
- Stakeholder-Kommunikation zu Risikothemen klar und adressatengerecht zu gestalten
- beide Prüfungsformate (CRISC und PMI-RMP) sicher zu absolvieren
- Risikokultur in Organisationen zu fördern und Risikoberichte für Führungsebenen aufzubereiten
Zielgruppe & Voraussetzungen
Der Lehrgang richtet sich an Fachkräfte, die professionelles Risikomanagement auf IT- und Projektebene betreiben oder aufbauen wollen. Angesprochen sind insbesondere diese Berufsprofile.
- IT-Risikomanager und Risk Officers in Unternehmen mit regulierten IT-Systemen
- Informationssicherheitsbeauftragte, die ihre Governance-Kompetenz vertiefen möchten
- Projektmanager, die Risikomanagement nach PMI-Standard zertifiziert beherrschen wollen
- GRC-Analysten (Governance, Risk, Compliance) in Finanz-, Versicherungs- und Industrieunternehmen
- IT-Auditoren und Compliance-Beauftragte, die Risiko- und Kontrollrahmen evaluieren
ISACA empfiehlt für CRISC mindestens drei Jahre Berufserfahrung in IT-Risikomanagement oder verwandten Bereichen wie IT-Audit oder Information Security, davon mindestens in zwei der vier CRISC-Domänen. Für PMI-RMP fordert das PMI entweder einen Hochschulabschluss plus 30 Stunden Weiterbildung im Projektrisikomanagement oder einen Sekundarschulabschluss plus 40 Stunden Weiterbildung und 4.500 Stunden Berufserfahrung im Projektrisikomanagement. Grundkenntnisse in IT-Infrastruktur und Projektmanagement sind für beide Kursteile hilfreich.
Ablauf & Abschluss
Der Lehrgang läuft im Combined-Learning-Format als Vollzeitkurs ab. Live-Online-Unterricht in Echtzeit bildet das Rückgrat der Vermittlung; ergänzend stehen Selbststudialmaterialien, Übungsaufgaben und Fallstudien zur Verfügung. Für beide Zertifizierungen wird die szenariobasierte Lernmethode eingesetzt — Teilnehmende bearbeiten realitätsnahe Entscheidungssituationen, die dem Format der jeweiligen Abschlussprüfung entsprechen. Praktische Gruppenarbeiten und Einzelübungen wechseln sich ab.
Als Vollzeitkurs dauert der Lehrgang je nach Modulkonfiguration zwischen einem und drei Monaten. Der Unterricht ist täglich angesetzt und deckt in kompakter Form den Stoff beider Zertifizierungen ab.
Der Lehrgang bereitet auf zwei externe Prüfungen vor: die CRISC-Prüfung des ISACA und die PMI-RMP-Prüfung des Project Management Institute. Beide Prüfungen werden separat bei akkreditierten Testcentern bzw. online abgelegt. Das CRISC-Zertifikat wird nach bestandener Prüfung und Erfüllung der Berufserfahrungsanforderungen von ISACA ausgestellt; das PMI-RMP-Zertifikat nach bestandener Prüfung und Nachweis der PMI-Anforderungen vom PMI. Als Lehrgangsabschluss erhalten Teilnehmende eine trägerinterne Teilnahmebescheinigung.
Nutzen & Perspektiven
IT-Risiken und Projektrisiken werden in vielen Organisationen noch getrennt gesteuert — ein IT-Risk-Officer denkt in Kontrollen und Compliance-Domänen, ein Projektmanager denkt in Eintrittswahrscheinlichkeiten und Contingency-Reserven. Wer beide Perspektiven beherrscht, kann als Brückenbauer fungieren: in IT-Projekten Risiken sowohl methodisch nach PMI-Standard als auch aus der IT-Governance-Linse des ISACA beurteilen. CRISC gilt unter ISACA-Zertifizierungen als besonders praxisnah, weil die Prüfung auf szenariobasierte Fragen setzt — es geht nicht um auswendig gelernte Definitionen, sondern um das Urteilsvermögen in unklaren Situationen. PMI-RMP ergänzt das um quantitative Methoden, die in reifen Projektorganisationen wie Banken, Pharmaunternehmen oder großen IT-Dienstleistern Standard sind. In Positionen wie IT-Risk-Manager, GRC-Analyst, Informationssicherheitsbeauftragter oder Senior-Projektmanager wird die Kombination beider Zertifizierungen zunehmend als Qualitätsmerkmal gesehen. Sie signalisiert, dass eine Fachkraft Risikomanagement nicht nur aus einem theoretischen Blickwinkel versteht, sondern in verschiedenen organisatorischen Kontexten anwenden kann — von der technischen Kontrollprüfung bis zur Projekt-Risikosteuerung auf Leitungsebene. In regulierten Branchen wie Banken, Versicherungen oder kritischer Infrastruktur, wo sowohl IT-Governance als auch Projektmethodik gefordert werden, schafft diese Doppelkompetenz einen nachweisbaren Mehrwert gegenüber Fachkräften mit nur einer der beiden Zertifizierungen. Beide Zertifizierungen — CRISC und PMI-RMP — verlangen regelmäßige Weiterbildungsnachweise und spiegeln damit ein Berufsbild wider, das sich mit dem sich wandelnden Risikoumfeld aktiv weiterentwickeln muss. Wer in seiner täglichen Arbeit IT-Risiken in Governance-Berichte übersetzt und gleichzeitig Projektrisiken nach PMI-Standard dokumentiert und kommuniziert, arbeitet auf einem Niveau, das in vielen Organisationen als Maßstab für professionelles Risikomanagement gilt.
Häufig gestellte Fragen (FAQ)
Was unterscheidet CRISC von PMI-RMP inhaltlich?
CRISC (ISACA) fokussiert auf IT-Risikomanagement und Informationssicherheits-Kontrollen in Governance-Strukturen — es geht um Risiken in IT-Systemen, Compliance und Kontrollrahmen. PMI-RMP (PMI) behandelt Projektrisiken nach dem PMBOK-Standard: von der Risikoidentifikation über Quantifizierungsmethoden bis zur Risikoüberwachung im Projektverlauf.
Welche Berufserfahrung brauche ich für CRISC?
ISACA empfiehlt mindestens drei Jahre Berufserfahrung in IT-Risikomanagement oder verwandten Bereichen wie IT-Audit oder Informationssicherheit, davon in mindestens zwei der vier CRISC-Domänen. Die Berufserfahrung muss bei der Zertifikatsbeantragung nachgewiesen werden.
Kann ich die Prüfungen online ablegen?
Beide Prüfungen — CRISC und PMI-RMP — bieten eine Online-proctored-Option an, alternativ sind Testcenter-Ablegungen möglich. Die genauen Modalitäten hängen von ISACA bzw. PMI und dem jeweiligen Zeitpunkt der Buchung ab.
Wie lange sind CRISC und PMI-RMP gültig?
CRISC muss alle drei Jahre durch CPE-Punkte (Continuing Professional Education) erneuert werden. PMI-RMP ist drei Jahre gültig und erfordert 30 PDUs (Professional Development Units) zur Rezertifizierung, davon mindestens 18 im Bereich Risikomanagement.
Ist der Kurs auf Vollzeit ausgelegt?
Ja, der Lehrgang ist als Vollzeitkurs konzipiert und dauert je nach Modulkonfiguration ein bis drei Monate. Täglicher Unterricht deckt beide Zertifizierungsinhalte kompakt ab; das Combined-Learning-Format kombiniert Live-Online-Sessions mit betreuten Selbststudienphasen.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- Geprüfter Bilanzbuchhalter/Geprüfte Bilanzbuchhalterin - Bachelor Professional in Bilanzbuchhaltung5.253 Stellen
- Informationssicherheitsbeauftragter201 Stellen
- Cyber-Security-Consultant118 Stellen
- Chief-Information-Security-Officer103 Stellen
- Risikoanalyst33 Stellen
- Staatlich geprüfter Techniker/Staatlich geprüfte Technikerin Fachrichtung Künstliche Intelligenz/Bachelor Professional in Technik5 Stellen