企业风险管理认证指南：16项IT与网络安全认证详解

企业风险管理（ERM）帮助组织识别、分析和管理可能带来业务风险的情况。企业面临的风险形式多样，可能导致影响业务运营的中断。ERM计划必须应对的常见风险包括财务、运营、法律、合规和战略风险。

ERM同样关注可能阻碍业务活动的IT与网络安全风险，包括网络攻击及其他安全威胁，以及IT系统不足、技术技能缺乏和自然灾害、停电等问题导致的技术故障。成功的风险管理计划提供了一个ERM框架，使组织能够了解其面临的各种风险并做好应对准备。但ERM专业知识同样不可或缺。IT、安全和风险管理专业人士获取该知识的一个好方法是获得企业风险管理认证。

ERM认证的价值

一般而言，认证能使求职者在众多申请者中脱颖而出。此外，凭借合适的认证，现有员工可以获得更高的薪酬和潜在的晋升机会。具体到ERM认证，它们提供了个人风险管理流程知识的第三方验证。为职位空缺要求特定认证，有助于风险主管和招聘经理吸引具备所需专业知识的求职者。

ERM认证对于风险管理团队的成员尤其有用。但其他岗位的员工也常常需要具备风险管理专业知识。例如，ERM技能对首席财务官及财务和会计岗位的员工管理财务风险非常有价值。ERM认证对IT运维、安全管理专业人士，以及负责法规遵从、项目管理和其他职能的人员同样有用。

风险管理需要能够为未知事件做计划，并在事件发生时迅速反应以限制潜在损害。虽然这些能力很少仅通过认证获得，但ERM认证是一个人专业知识的基础指标，随后可以通过在职经验进一步扩展。

16种值得了解的ERM认证

有多种ERM认证供个人和组织考虑。通常，它们的关键区别在于侧重点和关注领域。一些认证真正具有企业性质，涵盖风险管理的所有方面，而另一些则更具体地针对财务、IT、网络安全、业务连续性或项目风险。

以下列表按此思路组织，从广泛关注的认证开始，随后是范围较窄的认证。列表不分排名，不同类别的认证条目按字母顺序排列。

1. 认证风险与合规管理专业人士（CRCMP）

颁发机构： 国际风险与合规专业人士协会（IARCP） 适合人群： 目标受众是希望证明其领导或支持法规遵从及ERM计划能力的IT经理和专业人士。 认证详情： CRCMP计划包含六部分学习课程，从风险管理和治理、风险与合规（GRC）概念介绍开始。其他模块涵盖《萨班斯-奥克斯利法案》及其国际衍生法规；巴塞尔I、II和III关于GRC实践的标准；COSO ERM和内部控制框架；实施风险管理和合规计划；以及风险管理中的人工智能问题。IARCP提供总计超过2000张幻灯片的演示文稿作为自学指南。考试包括35道多项选择题，必须在90分钟内完成。这是一场开卷考试：IARCP表示该计划的目标是让参与者“获取知识和技能，而非记忆”。 网站： https://www.risk-compliance-association.com/Distance_Learning_and_Certification.htm

2. COSO企业风险管理证书

颁发机构： 美国反虚假财务报告委员会发起组织委员会（COSO） 适合人群： 目标受众是风险管理专业人士、ERM顾问和监督风险管理计划的董事会成员。参与者应至少拥有两到六年的ERM经验，并对COSO 2017年发布的更新ERM框架有所了解。 认证详情： 参与者通过包含七个自学模块和动手研讨会部分的课程，接受COSO ERM框架概念和原则的培训。通过在线考试后，他们还可获得13.5小时的持续专业教育（CPE）学分。COSO负责监督该认证，可通过其五个发起组织中的四个获得：美国注册会计师协会；国际财务执行官协会；内部审计师协会；以及管理会计师协会。 网站： https://www.coso.org/erm-certificate

3. 企业风险管理认证专业人士（ERMCP）

颁发机构： 企业风险管理学院（ERMA） 适合人群： ERMCP的目标受众是拥有四年以上相关经验、希望提升ERM专业知识和职业发展的资深风险经理和风险分析师。 认证详情： ERMCP涉及一项基于国际标准化组织（ISO）制定的ISO 31000风险管理框架，评估个人ERM实践知识的考试。考试包括140道测试技术能力的多项选择题和10道关注职业行为的问题。注册者可访问ERMA考试门户中的学习材料和考试模拟。认证有效期为两年；为保持认证，持有人需要通过ERMA的持续专业发展计划获得40个专业发展单元（类似于CPE学分）。 网站： https://www.erm-academy.org/risk-management-certification/ermcp

4. GRC专业人士（GRCP）认证

颁发机构： 开放合规与道德组织（OCEG） 适合人群： GRCP主要面向在GRC职位或各种相关岗位工作的专业人士设计。但无特定工作经验或教育学位要求。 认证详情： 基于OCEG的GRC能力模型，GRCP认证涉及一场开卷考试，包含100道计分题和最多15道不计分题，时间限制为两小时。所有题目均为多项选择；不计分的题目（未标注）用于测试未来考试更新的新题。不强制要求前置课程，但OCEG提供在线自学课程，并通过培训合作伙伴提供现场课程。认证有效期为一年，之后每年需要8个CPE学分（包含在费用中，无需额外付费）。认证获得者需每五年重新通过考试以保留认证。 网站： https://www.oceg.org/certifications/grc-professional-certification/

5. 企业风险管理国际证书

颁发机构： 风险管理协会（IRM） 适合人群： IRM的证书面向全球所有行业的风险管理和业务专业人士。 认证详情： 获取该证书需要完成两个模块，通常通过自导在线学习课程需要六到九个月。第一个模块侧重于风险管理原则，包括一场60道题的考试和一篇论文作业；第二个模块涉及ERM实践，包括两篇论文作业但无考试。参与者可以额外付费参加一系列四个虚拟研讨会，提供更多互动学习。该课程也可作为更高级的国际风险管理文凭课程的第一部分。 网站： https://www.theirm.org/qualifications/international-certificate-in-enterprise-risk-management/

6. 专业风险经理（PRM）资格

颁发机构： 国际专业风险经理协会（PRMIA） 适合人群： PRM计划专为寻求获得研究生级别风险证书的风险管理专家设计，特别是在金融服务行业。 认证详情： 该计划包含两门认证考试，考生必须在两年内通过。完整的注册期为三年，以提供前期学习时间。申请人必须是PRMIA的持续会员或相关微型金融风险管理倡议（简称RIM）的成员。他们还必须持有研究生学位或是通过投资管理专业人士协会CFA协会的特许金融分析师（CFA）持证人。仅拥有学士学位的个人，如果在金融服务行业或任何行业的风险管理部门拥有两年全职工作经验，也符合资格。PRMIA还提供侧重于风险管理基础的、难度较低的助理PRM证书。 网站： https://www.prmia.org/Public/Public/PRM/Becoming_a_Certified_PRM.aspx

7. RIMS认证风险管理专业人士（RIMS-CRMP）

颁发机构： 风险与保险管理协会（RIMS） 适合人群： RIMS-CRMP适用于希望验证其关键风险相关能力知识的现有和 aspiring 风险管理专业人士。 认证详情： 申请人必须拥有风险管理专业大学学位和一年相关工作经验；或其他类型学位和三年风险管理工作经验；或六年风险管理经验（无学位）。风险管理学位课程最后一年的学生也可申请。符合条件的申请人有资格参加一场两小时的考试，考试包括120道多项选择题，可以远程或在Pearson VUE考试中心现场进行。RIMS提供学习指南、在线自学概述课程和考试预备研讨会。RIMS-CRMP要求每两年重新认证，可通过获得50个重新认证积分（其中35个必须来自继续教育）来实现。 网站： https://www.rims.org/certification

8. 认证企业风险经理（CERM）

颁发机构： 美国投资与财务管理协会（AAIFM） 适合人群： 主要面向投资和财务管理行业的专业人士，希望展示其合规和风险管理知识及相关技能。 认证详情： 申请人必须拥有任何领域的学士学位或至少两年风险相关工作经验。还需要25小时经批准的合规和风险管理培训。CERM考试时长为三小时，包括案例研究和论文题目的组合，重点聚焦与环境、社会和治理计划相关的风险。AAIFM提供考试手册和关于考试题目的培训课程，但参与者也可以通过授权合作伙伴或Prometric考试中心获得更全面的培训。CERM持有人需要每四年重新认证一次，需记录25小时的进一步教育活动。 网站： https://www.aaifm.org/view_Article.aspx?type=2&ID=1069&certification=1

9. 认证企业风险经理（CERM）

颁发机构： 财务顾问协会（IFC） 适合人群： IFC的认证验证了在风险管理、战略规划、公司治理、项目管理及相关学科以及商业咨询领域工作的从业者的专业知识。 认证详情： 尽管名称与AAIFM提供的认证相同，但这是独立的认证。IFC的CERM计划通过与英国在线学习提供商布里斯托尔欧普斯领导力学院（BOLC）的合作提供。BOLC的课程包括13个模块，提供风险管理概述并涵盖具体的ERM功能，如风险识别、风险评估和各类业务风险的管理。最后一个模块概述了制定风险管理计划的流程。没有资格要求，但建议在参加考试前学习500小时。成功的参与者将获得BOLC的文凭，并在向IFC支付额外费用后可以获得CERM称号。 网站： https://www.ifconsultants.org/cerm.html

10. 认证企业风险专业人士（CERP）

颁发机构： 美国银行家协会（ABA） 适合人群： 专为银行业工作的风险管理专业人士设计。 认证详情： CERP考试由200道涵盖风险治理和风险管理主题的多项选择题组成，须在四小时内完成。申请人必须拥有学士学位和五年金融行业经验，其中三年在风险管理或密切相关岗位；无学位者，工作经验要求分别为七年和五年。ABA提供互动式在线课程为考试做准备，以及风险管理培训课程和更深入的“风险管理学校”。CERP认证持有人需每三年获得60个继续教育学分以保持其状态。 网站： https://www.aba.com/training-events/certifications/certified-enterprise-risk-professional

11. 特许企业风险分析师（CERA）

颁发机构： CERA全球协会 适合人群： 目标候选人是金融服务行业工作的精算师。 认证详情： CERA认证可从全球超过25个精算协会获得，这些协会遵循共同的教学大纲但采用不同的教育和测试方法。教学大纲涵盖七个领域，包括ERM概念、风险管理流程、风险建模、风险指标以及风险管理工具和技术。在美国，该认证主要由北美精算师协会提供。SOA的计划包括一个ERM电子学习模块（将于2025年底修订）和一场考试（将在秋季被新考试取代）。CERA候选人还必须通过风险建模统计考试，以及概率、金融数学和精算数学考试，此外还需提供几门非SOA教育课程的验证。 网站： https://ceraglobal.org/cera-credential/what-is-cera/

12. 风险与信息系统控制认证（CRISC）

颁发机构： 信息系统审计与控制协会（ISACA） 适合人群： 对于希望在网络风险岗位上发展的职业生涯中期的IT审计、风险和安全专业人士来说，这是一个不错的选择。 认证详情： CRISC认证验证个人通过适当的技术和控制来识别和管理企业IT风险的能力。涵盖的主题包括组织治理和风险管理；IT风险评估；风险应对和风险报告；以及IT和信息安全。考试包括150道题，ISACA提供在线学习课程、复习手册以及包含考题、答案和解释的数据库。考试和准备材料都计划在2025年11月更新。还提供小组培训课程和访问ISACA会员社区以获得同行考试指导。为保持认证，持有人必须每年至少获得20个CPE学分，三年总计120个。 网站： https://www.isaca.org/credentialing/crisc

13. 认证信息系统风险与合规专业人士（CISRCP）

颁发机构： 国际风险与合规专业人士协会 适合人群： 适合希望验证其在IT风险管理、法规遵从、信息安全和数据隐私保护方面的义务和最佳实践知识的IT经理和员工。 认证详情： 这是IARCP提供的另一项认证，该计划涵盖美国政府与网络安全相关的行政命令和指令，以及欧盟关于数据安全和数据隐私的GDPR及其他法规。它旨在帮助参与者理解组织在所涵盖主题上的法律和法规要求。CISRCP学习指南包括超过1100张幻灯片的演示文稿。与CRCMP认证一样，CISRCP考生必须通过一场开卷考试，考试包含35道多项选择题，时间限制为90分钟。 网站： https://www.risk-compliance-association.com/CISRCP_Distance_Learning_and_Certification.htm

14. 认证信息系统安全专业人士（CISSP）

颁发机构： ISC2（前身为国际信息系统安全认证协会） 适合人群： 适合希望展示对网络安全问题（包括IT安全风险）广泛理解的首席信息安全官及其他安全经理或从业者。 认证详情： 要获得认证资格，候选人必须在CISSP通用知识体系涵盖的八个安全相关领域中的至少两个领域拥有至少五年累计工作经验。通过CISSP考试的其他人将获得ISC2准会员徽章，然后有六年时间来获得所需经验并取得认证。考试采用计算机自适应测试方法，包括100至150道题，时间限制为三小时；提供英语、中文、德语、日语和西班牙语版本。ISC2提供自定进度或讲师指导的在线培训课程以及课堂培训选项，此外还有教科书、学习指南和模拟测试。 网站： https://www.isc2.org/Certifications/CISSP

15. 认证风险管理专业人士（CRMP）

颁发机构： 国际灾难恢复协会 适合人群： CRMP认证适合经验丰富的风险管理人员，希望验证其基础知识和经验，重点关注业务连续性。 认证详情： 申请人需要两年或以上相关专业经验，包括在CRMP考试涵盖的四个风险管理实践领域中的至少两个领域。每个主题领域还需要两份推荐信。此外，该组织通常称为DRI International，还要求参加为期两天或四天的业务连续性风险管理课程作为另一个先决条件。除了通过考试外，参与者必须撰写四篇侧重于其风险管理职责和成就的系列文章。为保持认证，CRMP持有人必须每年获得80个继续教育活动积分。 网站： https://drii.org/certification/crmp

16. PMI风险管理专业人士（PMI-RMP）

颁发机构： 项目管理协会（PMI） 适合人群： 目标受众是经验丰富的项目、风险或职能经理以及C级高管，希望展示其在管理项目相关风险方面的专业知识。 认证详情： PMI-RMP涵盖五个风险管理领域：战略与规划、风险识别、风险分析、风险应对和风险监控。申请人必须拥有学士学位，并在过去五年内拥有至少24个月的项目风险管理经验；或拥有高中文凭和36个月该领域经验。考试包括115道多项选择题，须在150分钟内完成。PMI提供两份学习指南、一门电子学习预备课程和另一个包含练习题、课程和“游戏化活动”的在线学习工具。同样需要持续教育：PMI-RMP认证持有人必须每三年获得30个专业发展单元。 网站： https://www.pmi.org/certifications/risk-management-rmp