▼▼关键风险指标(Key Risk Indicator, KRI)
关键风险指标选取
▼▼关键风险指标选取内容
监控门槛及对应区间。根据风险偏好和容忍度划分门槛区间,并定义当指标值落于相应门槛区间时所应采取的管理行动计划。门槛区间定义应遵循风险容忍度分类的标准,包括:
-
绿色区域:表示指标值落在安全区域,基于成本与效益的考虑,一般不需采取额外的管控措施; -
黄色区域:表示指标值落在加强监控的范围内,相关单位应加强管理与监控的力度; -
橙色区域:表示指标值落在警戒区域,相关单位应查明原因并启动行动计划,降低风险暴露,以使指标值恢复至安全区域。
关键风险指标管理
▼▼关键风险指标更新
指标管理部门在关键风险指标制定之后,对其运行效果进行评估,并根据实际管理需要进行定期审阅和更新。
-
审阅和更新的频率原则上一年一次; -
更新内容包括关键风险指标的各项内容或废止指标; -
更新指标内容的审批流程参照指标的制定程序进行。
以下情况发生时,可对关键风险指标发起临时调整,调整内容可涉及关键风险指标制定的各项内容或废止指标,对调整内容的审批参照指标的制定程序进行:
-
指标数据存在缺陷; -
新产品、新业务上线; -
某个系统或某类业务被暂停或取消; -
部门职责发生调整或变更; -
流程发生重大变化。
关键风险指标监控
各数据提供部门负责依据指标参数的详细定义、数据收集计划提供数据。
关键风险指标报告
关键风险数据提交部门按季度向风险管理部门提交关键风险指标数据;风险管理部门按季度汇总关键风险指标监控情况,并向高级管理层汇报。高级管理层定期向董事会汇报风险指标监控情况。
关键风险指标监控情况报告的内容包括:
-
关键风险指标的监控概况;
-
风险指标的变化趋势和成因分析;
-
风险指标值达到警戒区域(橙色区域)风险类型、造成的原因以及应对措施;
-
对管辖范围内风险暴露普遍较高的风险点、或是控制措施普遍较弱的控制点进行分析,并拟定应对计划;
-
已启动行动计划的执行进度与实际效果;
-
报告期内关键风险指标的评估、更新与维护情况。
扩展 • 本文相关链接
原文始发于微信公众号(微言晓意):信息科技关键风险指标监测( KRI )
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论