关键风险指标监测（ KRI ）的定位

本文将从信息科技风险管理框架、风险管理工具、关键风险指标作用来阐述关键风险指标监测（KRI）的定位。

信息科技风险管理框架

信息科技风险管理框架包括风险管理原则、管理机制、管理环境三个组成部分，如下图所示：

▼▼信息科技风险管理原则

主要包括风险战略、风险偏好与风险容忍度，作为信息科技风险管理的战略指导，从宏观上指导信息科技风险管理的态度与可接受风险水平。

▼▼信息科技风险管理机制

主要包括风险识别与评估、风险应对与控制、风险评价与计量、风险监测与报告，作为信息科技风险管理工作程序，从机制上保证信息科技风险管理的效果和效率。

▼▼信息科技风险管理环境

主要包括风险管理组织、风险管理职责、风险管理制度与文化，作为信息科技风险管理的基础，从环境上支撑信息科技风险管理工作，为信息科技风险管理工作提供土壤。

作为信息科技风险管理机制中的重要组成部分，风险监测与报告是监测信息科技风险状况的重要工具，也是支持风险识别和评估的重要手段。

信息科技风险管理工具

信息科技科技风险管理工具包括风险控制自我评估（RCSA）、损失数据收集（LDC）和关键风险指标（KRI），三种工具如下图所示：

▼▼风险控制自我评估（RCSA）

风险控制自我评估（Risk Control Self－Assessment，简写成RCSA）是对风险管理和内部控制的效果进行检查和评价的过程。

▼▼关键风险指标（KRI）

关键风险指标（Key Risk Indicator，简写成KRI）是指代表某一风险领域变化情况并可定期监控的统计指标。

▼▼损失数据收集（LDC）

损失数据收集（Losses Data Collection）是指风险损失数据（包括损失事件信息和会计记录中确认的财务影响）的搜集、汇总、监控、分析和报告。

作为信息科技风险管理重要工具之一，关键风险指标（KRI）异常不但可以指向真实的损失事件，还可以成为科技风险控制自我评估（RCSA）的驱动力。

关键风险指标（KRI）作用

关键风险指标可用在监测可能造成损失事件的各项风险及控制措施，以及作为反映风险水平变化情况的早期预警指标。

通过设置统计变量对风险成因、风险控制、风险结果等事项进行跟踪测量，通过这些指标的数量大小及数量变化，反映风险状况、预测风险趋势、识别风险征兆。