信息科技关键风险指标体系建设过程包括关键风险领域识别、关键风险指标设计、关键风险指标评估和筛选、设置阈值和定义监测方式、指标审批与验证五个阶段,每个阶段的主要工作如下图所示:
关键风险领域识别
-
信息科技关注对象:包含数据管理、人员管理、运行环境管理、关键系统。
-
信息科技业务过程:包含操作管理、应急与灾备管理、安全管理、外包管理。
-
信息科技所处环境:包含合规管理。
关键风险指标设计
分析已识别的关键风险领域,细化信息科技关键风险子域与风险点,针对各信息科技风险点设计关键风险指标,按风险领域梳理各项指标
在进行信息科技风险指标梳理时,按照信息科技风险点的不同参考维度有助于风险指标的梳理,风险指标维度说明如下:
-
按因果维度:按信息科技风险事件的因果维度分,可以将风险指标分为成因指标、控制指标与结果指标。
-
按时间维度:按信息科技风险事件的时间维度分,可以将风险指标分为事前指标、事中指标、事后指标。
-
按展现维度:按信息科技风险指标展现信息科技风险方式分,可以将风险指标分为预测指标、趋势指标、结果指标。
-
按关键程度:按信息科技风险指标反映信息科技风险的关键程度分,可以将风险指标分为一般指标、关键指标。
关键风险指标评估和筛选
信息科技风险指标梳理完成后,汇总形成信息科技风险指标库,需要从风险库中剔除数据可得性较差及难以被有效控制的指标,从而形成信息科技关键风险指标,关键风险指标选取原则遵循SMART原则。
-
指标所有者:风险指标是否能够指定所有者,即是否有部门或岗位对该项指标负责。 -
指标数据采集难度:风险指标监测数据是否容易采集,即指标数据是否能够采集,指标数据是否能够容易采集。 -
指标关联性:风险指标是否与信息科技风险产生比较大的关联性,即是否能够很好地展现风险变化趋势。 -
指标历史数据:风险监测指标是否产生了历史数据,即是否有历史数据作为风险监测的参考。 -
指标产生频率:风险指标是否能够定期产生数据,即风险指标监测数据产生频率是否满足监测工作要求。
设置阈值和定义监测方式
在进行风险监测时,通过阈值的设定,并依据KRI实际数值与阈值的比较结果,分析风险与控制水平是否在可容忍的范围之内,并依据此结果采取应对方案。
-
可依据信息科技风险的容忍度进行设置。(如核心系统宕机恢复时间小于2小时)
-
可依据指标相关既定的管理目标进行设置。(如信息安全培训覆盖率大于90%)
-
可依据当前信息科技风险控制水平进行设置。(如采用线性回归法将异常历史数据去掉后,采用算数平均或几何平均确定阈值参考)
-
可依据行业监管要求及最佳实践经验进行设置。(如核心系统灾难恢复时间小于4小时)
指标审批与验证
将选取的KRI指标清单、阈值、监测方式等相关文件上报管理层审阅,并经由管理审批生效。
-
KRI指标监测部门根据KRI实际应用的有效性提出修改意见,如:阈值的设置范围调整等。
-
风险管理部门根据KRI的使用情况分析及KRI指标的增减、修改及调整提出修改意见。
作者:李鹏飞(转载请获本人授权,并注明作者与出处)
获取更多资源与话题讨论。
原文始发于微信公众号(微言晓意):关键风险指标( KRI )建立过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论