GRC: Metrics 탐색
메트릭은 조직 프로세스의 효과성을 측정하고 평가하는 데 사용됩니다. 메트릭 또는 메트릭의 조합이 시스템, 구성요소 또는 프로세스에 대한 통찰력을 제공할 수 있습니다.
GRC: Metrics 개요
GRC: Metrics 애플리케이션을 사용하면 다른 애플리케이션에서 프로세스의 성과를 평가, 비교, 추적할 수 있습니다.
메트릭 정의 및 메트릭을 읽고, 만들고, 업데이트해야 하는 사용자 역할은 관리자(sn_grc_metric.manager)입니다 GRC: Metrics .
메트릭 양식을 사용하여 메트릭을 정의합니다. 메트릭은 메트릭 정의를 엔터티와 결합합니다. 엔터티에 메트릭 정의를 적용하면 애플리케이션에서 GRC: Metrics 메트릭을 생성합니다. 메트릭을 정의한 후 애플리케이션은 각 프로세스가 얼마나 잘 작동하는지 보여주는 데이터를 수집합니다. 예를 들어 메트릭은 인시던트 해결에 필요한 시간을 추적하여 인시던트 해결 프로세스를 측정할 수 있습니다.
모든 조직에는 자체 메트릭 분석을 빌드하고 구성하기 위한 다양한 데이터 소스가 있습니다. 유용한 메트릭을 설정하려면 메트릭 관리자가 먼저 목표를 평가하고 설정해야 합니다. 다음으로 관리자는 비즈니스 결정과 통합된 메트릭의 대상을 설정합니다.
정성적 및 정량적 메트릭
메트릭을 질적 측정값과 정량적 측정값으로 분류할 수 있습니다.
의 위험 관리 정성적 메트릭은 다른 정보를 기반으로 형성하는 주관적인 의견에서 파생됩니다. 에 있는 위험 관리 질적 메트릭의 몇 가지 예로는 위험 심각도를 낮음, 중간 또는 높음으로 분류하거나 설명 척도를 사용하여 통제 효과성을 평가하는 것이 있습니다.
의 위험 관리 양적 메트릭은 특정 수식을 통해 특정 숫자로 측정할 수 있는 메트릭입니다. 조직에 대한 정량적 메트릭의 몇 가지 예로는 기한이 지난 위험 평가 수, 실패한 통제 수 등이 있습니다.
메트릭의 예
시스템 다운타임 증가는 인프라 불안정 또는 유지관리 격차를 나타내며, 이는 생산성 손실 및 운영 중단으로 이어질 수 있습니다. 예를 들어, 한 달에 5시간을 초과하는 다운타임은 기술 인프라 감사를 트리거합니다.
GRC: Metrics 의 워크플로우 통합 위험 관리
메트릭 워크플로우는 조직이 핵심 위험 표시기(KRI) 및 핵심 통제 표시기(KCI)를 설계, 운영 및 모니터링하여 기업 위험 노출에 대한 가시성을 확보하는 방법을 정의합니다.
- 운영 위험 관리자는 전체 메트릭 프레임워크를 정의합니다. 이를 통해 위험 성과를 측정하기 위한 토대가 설정되고 KRI와 KCI가 조직 전체에 일관되게 적용되는지 확인할 수 있습니다.
- 운영 위험 관리자는 위험을 모니터링하기 위해 KRI와 KCI를 식별, 측정 및 사용하는 방법을 포함하여 메트릭 프레임워크의 작동 방식에 대해 비즈니스 이해 관계자를 교육합니다.
- 지속적인 모니터링이 필요한 관련 위험 및 통제가 식별됩니다.
- 선택한 각 위험 및 통제에 대해 적절한 KRI 및 KCI가 식별됩니다.
- 운영 위험 관리자는 KRI 및 KCI에 대한 임계값을 정의합니다. 이는 초과할 경우 경보 또는 정정을 트리거하는 제한 역할을 합니다.
- 운영 위험 관리자는 각 표시기의 데이터 소유자를 식별합니다. 이러한 소유자는 필요한 데이터를 수동으로 제출하거나 지속적이고 자동화된 방식으로 데이터를 수집하는 자동화된 메트릭을 구성하여 메트릭을 계산하는 데 사용되는 데이터를 제공하고 확인할 책임이 있습니다.
- 비즈니스 운영 위험 관리자는 정의된 KRI, KCI 및 임계치를 검토하여 비즈니스 요구 사항에 부합하는지 확인합니다.
- 비즈니스 운영 위험 관리자는 임계치를 비즈니스 요구에 맞게 조정할 수 있습니다.
- 직원은 정의된 빈도로 KRI와 KCI를 계산하는 데 필요한 데이터를 제공합니다.
-
운영 위험 관리자와 비즈니스 운영 위험 관리자는 지속적으로 표시기를 모니터링하고 보고서를 생성합니다. 리더십 및 위험 관리자는 대시보드와 보고서를 사용하여 추세, 임계치 위반 및 전반적인 위험 태세를 봅니다.