關鍵風險指標監測( KRI )的定位
本文將從信息科技風險管理框架、風險管理工具、關鍵風險指標作用來闡述關鍵風險指標監測(KRI)的定位。
信息科技風險管理框架
信息科技風險管理框架包括風險管理原則、管理機制、管理環境三個組成部分,如下圖所示:
▼▼信息科技風險管理原則
主要包括風險戰略、風險偏好與風險容忍度,作為信息科技風險管理的戰略指導,從宏觀上指導信息科技風險管理的態度與可接受風險水平。
▼▼信息科技風險管理機制
主要包括風險識別與評估、風險應對與控制、風險評價與計量、風險監測與報告,作為信息科技風險管理工作程序,從機制上保證信息科技風險管理的效果和效率。
▼▼信息科技風險管理環境
主要包括風險管理組織、風險管理職責、風險管理制度與文化,作為信息科技風險管理的基礎,從環境上支撐信息科技風險管理工作,為信息科技風險管理工作提供土壤。
作為信息科技風險管理機制中的重要組成部分,風險監測與報告是監測信息科技風險狀況的重要工具,也是支持風險識別和評估的重要手段。
信息科技風險管理工具
信息科技科技風險管理工具包括風險控制自我評估(RCSA)、損失數據收集(LDC)和關鍵風險指標(KRI),三種工具如下圖所示:
▼▼風險控制自我評估(RCSA)
風險控制自我評估(Risk Control Self-Assessment,簡寫成RCSA)是對風險管理和內部控制的效果進行檢查和評價的過程。
▼▼關鍵風險指標(KRI)
關鍵風險指標(Key Risk Indicator,簡寫成KRI)是指代表某一風險領域變化情況并可定期監控的統計指標。
▼▼損失數據收集(LDC)
損失數據收集(Losses Data Collection)是指風險損失數據(包括損失事件信息和會計記錄中確認的財務影響)的搜集、匯總、監控、分析和報告。
作為信息科技風險管理重要工具之一,關鍵風險指標(KRI)異常不但可以指向真實的損失事件,還可以成為科技風險控制自我評估(RCSA)的驅動力。
關鍵風險指標(KRI)作用
關鍵風險指標可用在監測可能造成損失事件的各項風險及控制措施,以及作為反映風險水平變化情況的早期預警指標。
通過設置統計變量對風險成因、風險控制、風險結果等事項進行跟蹤測量,通過這些指標的數量大小及數量變化,反映風險狀況、預測風險趨勢、識別風險征兆。
