关键风险指标( KRI )建设目的与设计原则
关键风险指标监测(KRI)的设计目标是从满足自身风控需求及监管要求的角度出发,设计一套监测信息科技关键指标,全方位、多角度地反映信息科技风险水平。
通过关键风险指标监测(KRI)评价体系的建设,基于预防为主精神,对信息科技风险进行有效监测,建立关键风险指标评价机制,以客观评价、提升自身信息科技风险管理水平。
KRI建设目的
▼▼提高风险监控的及时性
关键风险指标的首要用途是可以在不需要进行复杂的模型运算的前提下,就可以及时了解风险暴露的变化状况。
▼▼提高运营决策的前瞻性
对于关键风险指标的持续监测和分析,可以有效把握各类风险发展的态势,从而真正实现风险管理从事中到事前的转变。
▼▼提升风险视图的宏观性
关键风险指标立足于全局,对信息科技风险进行整体评价。关键风险指标从整体角度出发,从运行环境管理、操作管理、应急与灾备管理、外包管理等多方面出发对风险进行整体评价。
KRI设计原则
▼▼导向性
利用KRI进行风险评价的目的不是单纯评出指标名次及严重程度,最重要的是引导和鼓励持续控制和改进风险水平,体现风险管理目标导向的作用。
▼▼操作性
评价指标体系要繁简适中,计算评价方法简便,数据采集应可行,在能保证评价结果相对客观和全面的条件下,指标体系尽可能简化,确保操作性。
▼▼关键性
指标体系要包括预测数据所涉及到的众多方面,使其成为一个系统,但又应避免指标体系过于庞杂,追求的是评价指标体系的总体最优。做到区别主次、突出重点。
▼▼可比性
可比性是指KRI的评价结果在不同时期以及不同组织范围间可进行纵向比较和横向比较的特性。纵向比较,即同一KRI在不同时期作比较;横向比较即同一指标在不同单位间的比较。
KRI设计依据
▼▼监管要求
包括《商业银行数据中心监管指引》、《商业银行信息科技风险管理指引》、《银行业金融机构信息科技风险评估指南》、《商业银行信息科技风险动态监测规程》、《金融行业信息系统信息安全等级保护实施指引》等。
▼▼最佳实践
包括Cobit、ITIL、ISO 27001、ISO20000、同业最佳实践经验等。
▼▼内部要求
信息安全检查指南、生产运行情况统计表、重要系统性能指标监控表、操作水平管理协议(OLA)等。
KRI建立过程
信息科技关键风险指标体系建设过程包括关键风险领域识别、关键风险指标设计、关键风险指标评估和筛选、设置阈值和定义监测方式、指标审批与验证五个阶段,每个阶段的主要工作如下图所示:
