关键风险指标( KRI )建立过程
信息科技关键风险指标体系建设过程包括关键风险领域识别、关键风险指标设计、关键风险指标评估和筛选、设置阈值和定义监测方式、指标审批与验证五个阶段,每个阶段的主要工作如下图所示:
关键风险领域识别
依据信息科技关键风险监测实施范围,结合信息科技风险产生因素,梳理符合实际情况的信息科技关键风险领域。信息科技关键风险领域应该包括以下方面:
- 信息科技关注对象:包含数据管理、人员管理、运行环境管理、关键系统。
- 信息科技业务过程:包含操作管理、应急与灾备管理、安全管理、外包管理。
- 信息科技所处环境:包含合规管理。
关键风险指标设计
分析已识别的关键风险领域,细化信息科技关键风险子域与风险点,针对各信息科技风险点设计关键风险指标,按风险领域梳理各项指标
在进行信息科技风险指标梳理时,按照信息科技风险点的不同参考维度有助于风险指标的梳理,风险指标维度说明如下:
- 按因果维度:按信息科技风险事件的因果维度分,可以将风险指标分为成因指标、控制指标与结果指标。
- 按时间维度:按信息科技风险事件的时间维度分,可以将风险指标分为事前指标、事中指标、事后指标。
- 按展现维度:按信息科技风险指标展现信息科技风险方式分,可以将风险指标分为预测指标、趋势指标、结果指标。
- 按关键程度:按信息科技风险指标反映信息科技风险的关键程度分,可以将风险指标分为一般指标、关键指标。
关键风险指标评估和筛选
信息科技风险指标梳理完成后,汇总形成信息科技风险指标库,需要从风险库中剔除数据可得性较差及难以被有效控制的指标,从而形成信息科技关键风险指标,关键风险指标选取原则遵循SMART原则。
在筛选关键指标时,除了指标要符合SMART原则外,还应考虑以下因素来确定是否剔除不符合监测条件的风险指标。考虑的因素包括:
- 指标所有者:风险指标是否能够指定所有者,即是否有部门或岗位对该项指标负责。
- 指标数据采集难度:风险指标监测数据是否容易采集,即指标数据是否能够采集,指标数据是否能够容易采集。
- 指标关联性:风险指标是否与信息科技风险产生比较大的关联性,即是否能够很好地展现风险变化趋势。
- 指标历史数据:风险监测指标是否产生了历史数据,即是否有历史数据作为风险监测的参考。
- 指标产生频率:风险指标是否能够定期产生数据,即风险指标监测数据产生频率是否满足监测工作要求。
设置阈值和定义监测方式
在进行风险监测时,通过阈值的设定,并依据KRI实际数值与阈值的比较结果,分析风险与控制水平是否在可容忍的范围之内,并依据此结果采取应对方案。
一个KRI可设置一个阈值,也可以设置多个阈值,根据信息科技风险管理的需求,赋予阈值的前后区间不同的意义。
KRI阈值设定可依据的原则,通常有以下四种,分别是:
- 可依据信息科技风险的容忍度进行设置。(如核心系统宕机恢复时间小于2小时)
- 可依据指标相关既定的管理目标进行设置。(如信息安全培训覆盖率大于90%)
- 可依据当前信息科技风险控制水平进行设置。(如采用线性回归法将异常历史数据去掉后,采用算数平均或几何平均确定阈值参考)
- 可依据行业监管要求及最佳实践经验进行设置。(如核心系统灾难恢复时间小于4小时)
指标阈值设定后,依据具体指标设定风险监测方式相关信息,如指标描述、指标评分标准、指标监测频率、指标监测数据收集人等。
指标审批与验证
将选取的KRI指标清单、阈值、监测方式等相关文件上报管理层审阅,并经由管理审批生效。
在KRI审批生效后,启动指标监测工作。参考监测结果,定期对KRI指标体系进行验证并不断调整,以保证其有效性。
- KRI指标监测部门根据KRI实际应用的有效性提出修改意见,如:阈值的设置范围调整等。
- 风险管理部门根据KRI的使用情况分析及KRI指标的增减、修改及调整提出修改意见。
