信息科技關鍵風險指標監測（ KRI ）

信息科技關鍵風險指標動態監測由信息科技基礎運行數據經采集、加工、計算形成，綜合反映了信息科技風險水平及風險管控能力。

▼▼關鍵風險指標（Key Risk Indicator, KRI）

關鍵風險指標（KRI）是指反映信息科技風險某一領域變化情況并可定期監控的統計指標，用于監測可能造成損失事件的潛在風險及其控制措施，并作為反映風險變化情況的早期預警指標。

關鍵風險指標選取

▼▼監測指標選取原則

代表性：能夠反映信息科技風險水平和控制效果，體現信息科技對業務的支撐能力；

綜合性：能夠涵蓋信息科技風險存在的主要環節，反映信息系統多種要素的風險狀況；

敏感性：能夠通過指標波動直接體現信息科技風險水平的變化情況；

可獲取性：能夠通過信息系統直接獲取或通過定量計算間接獲取，具備明確、可靠的數據來源。

▼▼關鍵風險指標選取內容

關鍵風險指標的名稱與基本要素。基本要素具體包括指標管理部門、關聯的關鍵風險信息、監控頻率、指標說明、其組成參數的詳細定義以及計算公式等；

數據收集計劃。數據收集計劃包括指標數據的來源、提供部門、收集方式以及收集范圍等；

監控門檻及對應區間。根據風險偏好和容忍度劃分門檻區間，并定義當指標值落于相應門檻區間時所應采取的管理行動計劃。門檻區間定義應遵循風險容忍度分類的標準，包括：

綠色區域：表示指標值落在安全區域，基于成本與效益的考慮，一般不需采取額外的管控措施；

黃色區域：表示指標值落在加強監控的范圍內，相關單位應加強管理與監控的力度；

橙色區域：表示指標值落在警戒區域，相關單位應查明原因并啟動行動計劃，降低風險暴露，以使指標值恢復至安全區域。

關鍵風險指標管理

▼▼關鍵風險指標制定

風險管理部門會同各部門業務骨干，對重點關注的風險點進行調研，挑選或設計可反映重要風險點變化情況的風險指標。

風險管理部門會同相關部門確定各指標的數據提供部門，并設置門檻區間。

風險管理部門將具體指標報高級管理層審批后執行。

▼▼關鍵風險指標更新

指標管理部門在關鍵風險指標制定之后，對其運行效果進行評估，并根據實際管理需要進行定期審閱和更新。

審閱和更新的頻率原則上一年一次；

更新內容包括關鍵風險指標的各項內容或廢止指標；

更新指標內容的審批流程參照指標的制定程序進行。

以下情況發生時，可對關鍵風險指標發起臨時調整，調整內容可涉及關鍵風險指標制定的各項內容或廢止指標，對調整內容的審批參照指標的制定程序進行：

指標數據存在缺陷；

新產品、新業務上線；

某個系統或某類業務被暫停或取消；

部門職責發生調整或變更；

流程發生重大變化。

關鍵風險指標監控

各數據提供部門負責依據指標參數的詳細定義、數據收集計劃提供數據。

風險管理部門負責指標的監測、分析與報告，應指定專人定期監測關鍵風險指標的變化，計算指標值并判斷指標落點區域；根據關鍵風險指標所在區間進行原因分析，督促及時采取相應措施。

關鍵風險指標值落于警戒區域（橙色區域）時，應立即追查問題發生原因并啟動行動計劃。

關鍵風險指標報告

關鍵風險數據提交部門按季度向風險管理部門提交關鍵風險指標數據；風險管理部門按季度匯總關鍵風險指標監控情況，并向高級管理層匯報。高級管理層定期向董事會匯報風險指標監控情況。

關鍵風險指標監控情況報告的內容包括：

關鍵風險指標的監控概況；

風險指標的變化趨勢和成因分析；

風險指標值達到警戒區域（橙色區域）風險類型、造成的原因以及應對措施；

對管轄范圍內風險暴露普遍較高的風險點、或是控制措施普遍較弱的控制點進行分析，并擬定應對計劃；

已啟動行動計劃的執行進度與實際效果；

報告期內關鍵風險指標的評估、更新與維護情況。