信息科技关键风险指标监测（ KRI ）

信息科技关键风险指标动态监测由信息科技基础运行数据经采集、加工、计算形成，综合反映了信息科技风险水平及风险管控能力。

▼▼关键风险指标（Key Risk Indicator, KRI）

关键风险指标（KRI）是指反映信息科技风险某一领域变化情况并可定期监控的统计指标，用于监测可能造成损失事件的潜在风险及其控制措施，并作为反映风险变化情况的早期预警指标。

关键风险指标选取

▼▼监测指标选取原则

代表性：能够反映信息科技风险水平和控制效果，体现信息科技对业务的支撑能力；

综合性：能够涵盖信息科技风险存在的主要环节，反映信息系统多种要素的风险状况；

敏感性：能够通过指标波动直接体现信息科技风险水平的变化情况；

可获取性：能够通过信息系统直接获取或通过定量计算间接获取，具备明确、可靠的数据来源。

▼▼关键风险指标选取内容

关键风险指标的名称与基本要素。基本要素具体包括指标管理部门、关联的关键风险信息、监控频率、指标说明、其组成参数的详细定义以及计算公式等；

数据收集计划。数据收集计划包括指标数据的来源、提供部门、收集方式以及收集范围等；

监控门槛及对应区间。根据风险偏好和容忍度划分门槛区间，并定义当指标值落于相应门槛区间时所应采取的管理行动计划。门槛区间定义应遵循风险容忍度分类的标准，包括：

绿色区域：表示指标值落在安全区域，基于成本与效益的考虑，一般不需采取额外的管控措施；

黄色区域：表示指标值落在加强监控的范围内，相关单位应加强管理与监控的力度；

橙色区域：表示指标值落在警戒区域，相关单位应查明原因并启动行动计划，降低风险暴露，以使指标值恢复至安全区域。

关键风险指标管理

▼▼关键风险指标制定

风险管理部门会同各部门业务骨干，对重点关注的风险点进行调研，挑选或设计可反映重要风险点变化情况的风险指标。

风险管理部门会同相关部门确定各指标的数据提供部门，并设置门槛区间。

风险管理部门将具体指标报高级管理层审批后执行。

▼▼关键风险指标更新

指标管理部门在关键风险指标制定之后，对其运行效果进行评估，并根据实际管理需要进行定期审阅和更新。

审阅和更新的频率原则上一年一次；

更新内容包括关键风险指标的各项内容或废止指标；

更新指标内容的审批流程参照指标的制定程序进行。

以下情况发生时，可对关键风险指标发起临时调整，调整内容可涉及关键风险指标制定的各项内容或废止指标，对调整内容的审批参照指标的制定程序进行：

指标数据存在缺陷；

新产品、新业务上线；

某个系统或某类业务被暂停或取消；

部门职责发生调整或变更；

流程发生重大变化。

关键风险指标监控

各数据提供部门负责依据指标参数的详细定义、数据收集计划提供数据。

风险管理部门负责指标的监测、分析与报告，应指定专人定期监测关键风险指标的变化，计算指标值并判断指标落点区域；根据关键风险指标所在区间进行原因分析，督促及时采取相应措施。

关键风险指标值落于警戒区域（橙色区域）时，应立即追查问题发生原因并启动行动计划。

关键风险指标报告

关键风险数据提交部门按季度向风险管理部门提交关键风险指标数据；风险管理部门按季度汇总关键风险指标监控情况，并向高级管理层汇报。高级管理层定期向董事会汇报风险指标监控情况。

关键风险指标监控情况报告的内容包括：

关键风险指标的监控概况；

风险指标的变化趋势和成因分析；

风险指标值达到警戒区域（橙色区域）风险类型、造成的原因以及应对措施；

对管辖范围内风险暴露普遍较高的风险点、或是控制措施普遍较弱的控制点进行分析，并拟定应对计划；

已启动行动计划的执行进度与实际效果；

报告期内关键风险指标的评估、更新与维护情况。