關鍵風險指標( KRI )建立過程
信息科技關鍵風險指標體系建設過程包括關鍵風險領域識別、關鍵風險指標設計、關鍵風險指標評估和篩選、設置閾值和定義監測方式、指標審批與驗證五個階段,每個階段的主要工作如下圖所示:
關鍵風險領域識別
依據信息科技關鍵風險監測實施范圍,結合信息科技風險產生因素,梳理符合實際情況的信息科技關鍵風險領域。信息科技關鍵風險領域應該包括以下方面:
- 信息科技關注對象:包含數據管理、人員管理、運行環境管理、關鍵系統。
- 信息科技業務過程:包含操作管理、應急與災備管理、安全管理、外包管理。
- 信息科技所處環境:包含合規管理。
關鍵風險指標設計
分析已識別的關鍵風險領域,細化信息科技關鍵風險子域與風險點,針對各信息科技風險點設計關鍵風險指標,按風險領域梳理各項指標
在進行信息科技風險指標梳理時,按照信息科技風險點的不同參考維度有助于風險指標的梳理,風險指標維度說明如下:
- 按因果維度:按信息科技風險事件的因果維度分,可以將風險指標分為成因指標、控制指標與結果指標。
- 按時間維度:按信息科技風險事件的時間維度分,可以將風險指標分為事前指標、事中指標、事后指標。
- 按展現維度:按信息科技風險指標展現信息科技風險方式分,可以將風險指標分為預測指標、趨勢指標、結果指標。
- 按關鍵程度:按信息科技風險指標反映信息科技風險的關鍵程度分,可以將風險指標分為一般指標、關鍵指標。
關鍵風險指標評估和篩選
信息科技風險指標梳理完成后,匯總形成信息科技風險指標庫,需要從風險庫中剔除數據可得性較差及難以被有效控制的指標,從而形成信息科技關鍵風險指標,關鍵風險指標選取原則遵循SMART原則。
在篩選關鍵指標時,除了指標要符合SMART原則外,還應考慮以下因素來確定是否剔除不符合監測條件的風險指標。考慮的因素包括:
- 指標所有者:風險指標是否能夠指定所有者,即是否有部門或崗位對該項指標負責。
- 指標數據采集難度:風險指標監測數據是否容易采集,即指標數據是否能夠采集,指標數據是否能夠容易采集。
- 指標關聯性:風險指標是否與信息科技風險產生比較大的關聯性,即是否能夠很好地展現風險變化趨勢。
- 指標歷史數據:風險監測指標是否產生了歷史數據,即是否有歷史數據作為風險監測的參考。
- 指標產生頻率:風險指標是否能夠定期產生數據,即風險指標監測數據產生頻率是否滿足監測工作要求。
設置閾值和定義監測方式
在進行風險監測時,通過閾值的設定,并依據KRI實際數值與閾值的比較結果,分析風險與控制水平是否在可容忍的范圍之內,并依據此結果采取應對方案。
一個KRI可設置一個閾值,也可以設置多個閾值,根據信息科技風險管理的需求,賦予閾值的前后區間不同的意義。
KRI閾值設定可依據的原則,通常有以下四種,分別是:
- 可依據信息科技風險的容忍度進行設置。(如核心系統宕機恢復時間小于2小時)
- 可依據指標相關既定的管理目標進行設置。(如信息安全培訓覆蓋率大于90%)
- 可依據當前信息科技風險控制水平進行設置。(如采用線性回歸法將異常歷史數據去掉后,采用算數平均或幾何平均確定閾值參考)
- 可依據行業監管要求及最佳實踐經驗進行設置。(如核心系統災難恢復時間小于4小時)
指標閾值設定后,依據具體指標設定風險監測方式相關信息,如指標描述、指標評分標準、指標監測頻率、指標監測數據收集人等。
指標審批與驗證
將選取的KRI指標清單、閾值、監測方式等相關文件上報管理層審閱,并經由管理審批生效。
在KRI審批生效后,啟動指標監測工作。參考監測結果,定期對KRI指標體系進行驗證并不斷調整,以保證其有效性。
- KRI指標監測部門根據KRI實際應用的有效性提出修改意見,如:閾值的設置范圍調整等。
- 風險管理部門根據KRI的使用情況分析及KRI指標的增減、修改及調整提出修改意見。
