GRC:メトリクス の探索
メトリクスは、組織のプロセスの有効性を測定および評価するために使用します。1 つのメトリクスまたは組み合わせたメトリクスにより、システム、コンポーネント、またはプロセスに関するインサイトが得られます。
GRC:メトリクスの概要
GRC:メトリクス アプリケーションは、他のアプリケーションでプロセスのパフォーマンスを評価、比較、追跡することを可能にします。
メトリクスの定義とメトリクスの読み取り、作成、および更新を担当するユーザーロールは、 GRC:メトリクス マネージャー (sn_grc_metric.manager) です。
メトリクスを定義するには、[メトリクス] フォームを使用します。メトリクスは、メトリクスの定義とエンティティを組み合わせたものです。メトリクスの定義をエンティティに適用すると、 GRC:メトリクス アプリケーションによってメトリクスが作成されます。メトリクスを定義すると、アプリケーションはデータを収集して、各プロセスがどのように適切に機能しているかを示します。たとえば、メトリクスは、インシデントの解決に必要な時間を追跡することで、インシデント解決プロセスを測定できます。
すべての組織には、独自のメトリクス分析をビルドおよび構造化するためのさまざまなデータソースがあります。有用なメトリクスを確立するために、メトリクスマネージャーは最初に目標を評価して設定する必要があります。次に、マネージャーは、ビジネス上の意思決定と統合されるメトリクスのターゲットを設定します。
定性的メトリクスと定量的メトリクス
メトリクスは、定性的測定と定量的測定に分類できます。
リスク管理 の定性的メトリクスは、他の情報に基づいて作成した主観的な意見から得られます。リスク管理における定性的メトリクスの例としては、リスクの重大度を低、中、高として分類したり、記述スケールを使用したコントロール有効性の評価が挙げられます。
リスク管理 内の定量的メトリクスは、特定の式で具体的な値として測定できるメトリクスです。組織の定量的メトリクスの例としては、期限切れのリスクアセスメントの数、失敗したコントロールの数などがあります。
メトリクスの例
システムのダウンタイムの増加は、インフラストラクチャの不安定性やメンテナンスのギャップを示しており、生産性の低下や運用の中断につながる可能性があります。たとえば、月あたり 5 時間を超えるダウンタイムは、技術インフラストラクチャ監査をトリガーします。
統合リスク管理での GRC:メトリクス ワークフロー
メトリクスワークフローでは、組織が企業のリスクエクスポージャーを可視化するために、重要リスク指標 (KRI) と重要コントロールインジケーター (KCI) を設計、運用、および監視する方法を定義します。
- オペレーショナルリスクマネージャーは、全体的なメトリクスフレームワークを定義します。これにより、リスクパフォーマンスを測定するための基盤が確立され、KRI と KCI が組織全体で一貫して適用されていることを確認します。
- オペレーショナルリスクマネージャーは、KRI と KCI を識別、測定し、リスクを監視する方法など、メトリクスフレームワークがどのように機能するかについて、ビジネスステークホルダーをトレーニングします。
- 継続的な監視が必要な関連リスクとコントロールが特定されます。
- 選択したリスクとコントロールごとに、適切な KRI と KCI が識別されます。
- オペレーショナルリスクマネージャーは、KRI と KCI のしきい値を定義します。これは、超過した場合にアラートまたは修復をトリガーする制限として機能します。
- オペレーショナルリスクマネージャーは、各インジケーターのデータ所有者を特定します。これらのオーナーは、必要なデータを手動で送信するか、継続的に自動ベースでデータを収集する自動メトリクスを設定することによって、メトリクスの計算に使用されるデータを提供および検証する責任があります。
- ビジネスオペレーショナルリスクマネージャーは、定義された KRI、KCI、しきい値をレビューして、ビジネス要件と整合していることを確認します。
- ビジネスオペレーショナルリスクマネージャーは、しきい値をビジネスニーズに合わせて調整できます。
- 従業員は、定義された頻度で KRI と KCI を計算するために必要なデータを提供します。
-
オペレーショナルリスクマネージャーとビジネスオペレーショナルリスクマネージャーは、インジケーターを継続的に監視し、レポートを生成します。リーダーシップマネージャーとリスクマネージャーは、ダッシュボードとレポートを使用して、傾向、しきい値違反、および全体的なリスク体制を表示します。