統合リスク管理 の GRC:メトリクス
リスクメトリクスは、特定のリスクのステータスを追跡および評価するために使用される定量化可能なメトリクスとして定義されます。メトリクスは、リスクのエクスポージャーを経時的に追跡するのに役立ちます。
メトリクスは、組織のリスクエクスポージャーの変化を監視して通知するためにオペレーショナルリスク管理で使用される定量化可能な尺度です。これらは、コントロールの有効性と、定義されたリスク選好度に対する組織の整合性を継続的に可視化します。これに関連して、メトリクスは、損失が発生する前にオペレーショナルリスクの増加を示す可能性のある傾向または逸脱を強調表示することで、早期警告メカニズムとして機能します。これらのメトリクスは、リスクの監視、レポート、ガバナンスのプロセスをサポートし、オペレーショナルリスクフレームワーク内で情報に基づいた意思決定とタイムリーな管理アクションを可能にします。インジケーターは、合格または不合格と呼ばれる 1 つのタイプの結果のみをサポートし、数値、パーセンテージ、金額などのデータタイプはサポートしていません。メトリクスは、より優れたエスカレーションおよび通知メカニズムを提供し、データ所有者の特定の定義とインジケーターの分類を可能にします。
- リスクとコントロールのパフォーマンスを継続的に可視化します。
- リスクとコントロールのパフォーマンスの変化についてそれぞれのオーナーにアラートを送信します。
- 傾向、例外、しきい値違反を強調表示することで、タイムリーな意思決定を可能にします。
- 標準化された測定とレポートを通じて、一貫したリスクの監視とガバナンスをサポートします。
統合リスク管理 での GRC:メトリクスの使用
統合リスク管理 (IRM) では、GRC:メトリクス アプリケーションは、組織がリスク関連データを測定、監視、分析し、情報に基づいた意思決定をサポートするのに役立ちます。たとえば、リスクチームは、事前定義されたリスクメトリクスを使用して、事業部門全体のオペレーショナルリスクエクスポージャーを追跡します。これらのメトリクスは、重大度別のオープンリスクの数、期限切れのリスク対応タスク、固有リスクスコアと残存リスクスコアの経時的な傾向などのデータをキャプチャします。このデータをダッシュボードで視覚化することで、リスクマネージャーは、リスクエクスポージャーが増加している領域をすばやく特定し、修復作業に優先順位を付けることができます。
メトリクスのタイプ
- 重要なリスクインジケーター (KRI):これらのインジケーターは、特定のリスクまたは一連のリスクに対するエクスポージャーの量を特定します。KRI の例としては、従業員サーベイを通じて決定されたスタッフの士気、IT で試行されたハッキングの数、損失イベント後の否定的なソーシャルメディア投稿の数などがあります。
- キーコントロールインジケーター (KCI):これらのインジケーターは、特定のリスクエクスポージャーを削減または緩和するために実装されたコントロールの有効性を特定します。
- 重要業績評価指標 (KPI):これらのインジケーターは、リスクエクスポージャーがどの程度効果的に管理されているかを示します。これらのインジケーターは、目標に対する達成度を示します。
インジケーターとメトリクスの差
| GRC インジケーター | メトリクス |
|---|---|
| リスクとコントロールの継続的な監視、およびサポートデータの収集に使用されます。 | システム、コンポーネント、またはプロセスが特定の属性をどの程度持っているかを測定するために使用されます。 |
| リスクまたはコントロールを監視するために使用できます。 | 任意の GRC オブジェクトを測定するために使用できます。 |
| 合格や不合格などのバイナリ値のみを指定できます。 | 定量的 (数値) や定性的 (テキスト) などの任意の値を指定できます。 |