關鍵風險指標( KRI )建設目的與設計原則
關鍵風險指標監測(KRI)的設計目標是從滿足自身風控需求及監管要求的角度出發,設計一套監測信息科技關鍵指標,全方位、多角度地反映信息科技風險水平。
通過關鍵風險指標監測(KRI)評價體系的建設,基于預防為主精神,對信息科技風險進行有效監測,建立關鍵風險指標評價機制,以客觀評價、提升自身信息科技風險管理水平。
KRI建設目的
▼▼提高風險監控的及時性
關鍵風險指標的首要用途是可以在不需要進行復雜的模型運算的前提下,就可以及時了解風險暴露的變化狀況。
▼▼提高運營決策的前瞻性
對于關鍵風險指標的持續監測和分析,可以有效把握各類風險發展的態勢,從而真正實現風險管理從事中到事前的轉變。
▼▼提升風險視圖的宏觀性
關鍵風險指標立足于全局,對信息科技風險進行整體評價。關鍵風險指標從整體角度出發,從運行環境管理、操作管理、應急與災備管理、外包管理等多方面出發對風險進行整體評價。
KRI設計原則
▼▼導向性
利用KRI進行風險評價的目的不是單純評出指標名次及嚴重程度,最重要的是引導和鼓勵持續控制和改進風險水平,體現風險管理目標導向的作用。
▼▼操作性
評價指標體系要繁簡適中,計算評價方法簡便,數據采集應可行,在能保證評價結果相對客觀和全面的條件下,指標體系盡可能簡化,確保操作性。
▼▼關鍵性
指標體系要包括預測數據所涉及到的眾多方面,使其成為一個系統,但又應避免指標體系過于龐雜,追求的是評價指標體系的總體最優。做到區別主次、突出重點。
▼▼可比性
可比性是指KRI的評價結果在不同時期以及不同組織范圍間可進行縱向比較和橫向比較的特性。縱向比較,即同一KRI在不同時期作比較;橫向比較即同一指標在不同單位間的比較。
KRI設計依據
▼▼監管要求
包括《商業銀行數據中心監管指引》、《商業銀行信息科技風險管理指引》、《銀行業金融機構信息科技風險評估指南》、《商業銀行信息科技風險動態監測規程》、《金融行業信息系統信息安全等級保護實施指引》等。
▼▼最佳實踐
包括Cobit、ITIL、ISO 27001、ISO20000、同業最佳實踐經驗等。
▼▼內部要求
信息安全檢查指南、生產運行情況統計表、重要系統性能指標監控表、操作水平管理協議(OLA)等。
KRI建立過程
信息科技關鍵風險指標體系建設過程包括關鍵風險領域識別、關鍵風險指標設計、關鍵風險指標評估和篩選、設置閾值和定義監測方式、指標審批與驗證五個階段,每個階段的主要工作如下圖所示:
