통합 위험 관리의 GRC: Metrics
위험 메트릭은 특정 위험의 상태를 추적하고 평가하는 데 사용되는 정량화 가능한 측정값으로 정의됩니다. 메트릭은 시간 경과에 따른 위험의 노출을 추적하는 데 도움이 됩니다.
메트릭은 운영 위험 관리에서 조직의 위험 노출 변화를 모니터링하고 알리는 데 사용되는 정량화 가능한 측정값입니다. 이는 통제의 효과성과 정의된 위험 선호도에 대한 조직의 조정에 대한 지속적인 가시성을 제공합니다. 이러한 맥락에서 메트릭은 손실이 발생하기 전에 운영 위험이 증가하고 있음을 나타낼 수 있는 추세나 편차를 강조 표시하여 조기 경보 메커니즘으로 기능합니다. 이러한 메트릭은 위험 모니터링, 보고 및 거버넌스 프로세스를 지원하여 운영 위험 프레임워크 내에서 정보에 입각한 의사 결정과 시기적절한 관리 조치를 가능하게 합니다. 표시기는 통과 또는 실패라는 한 가지 유형의 결과만 지원하며 숫자, 백분율 또는 금전적 금액과 같은 데이터 유형은 지원하지 않습니다. 메트릭은 더 나은 에스컬레이션 및 알림 메커니즘을 제공하고 데이터 소유자의 특정 정의와 표시기 분류를 가능하게 합니다.
- 위험 및 통제 성능에 대한 지속적인 가시성을 제공합니다.
- 각 소유자에게 위험 및 통제 성능의 변경 사항을 경고합니다.
- 추세, 예외 및 임계치 위반을 강조 표시하여 시기적절한 의사 결정을 가능하게 합니다.
- 표준화된 측정 및 보고를 통해 일관된 위험 감독 및 거버넌스를 지원합니다.
GRC: Metrics통합 위험 관리의 사용
()에서 통합 위험 관리 애플리케이션은 GRC: Metrics 조직이 위험 관련 데이터를 측정, 모니터링 및 분석하여 정보에 입각한 의사 결정을 지원하는 데 도움이IRM 됩니다. 예를 들어, 위험 팀은 미리 정의된 위험 메트릭을 사용하여 비즈니스 단위 전체의 운영 위험 노출을 추적합니다. 이러한 메트릭은 심각도별 미해결 위험 수, 지연된 위험 응답 작업, 시간 경과에 따른 고유 위험 점수와 잔여 위험 점수의 추세와 같은 데이터를 캡처합니다. 위험 관리자는 대시보드에서 이 데이터를 시각화하여 위험 노출이 증가하는 영역을 신속하게 식별하고 정정 노력의 우선순위를 지정할 수 있습니다.
메트릭 유형
- 핵심 위험 표시기(KRI): 이 표시기는 지정된 위험 또는 위험 집합에 대한 노출량을 식별합니다. KRI의 예로는 직원 설문 조사를 통해 결정된 직원 사기, IT에 대한 해킹 시도 횟수, 손실 이벤트 후 부정적인 소셜 미디어 게시물 수 등이 있습니다.
- 핵심 통제 표시기(KCI): 이 표시기는 지정된 위험 노출을 줄이거나 완화하기 위해 구현된 통제의 효과를 식별합니다.
- KPI(핵심성과지표): 이러한 지표는 위험 노출이 얼마나 효과적으로 관리되는지 보여줍니다. 이 표시기는 목표에 대한 성과를 보여줍니다.
표시기와 메트릭의 차이
| GRC 표시기 | 메트릭 |
|---|---|
| 위험 및 통제의 지속적인 모니터링과 지원 데이터 수집에 사용됩니다. | 시스템, 구성요소 또는 프로세스가 주어진 속성을 갖는 정도를 측정하는 데 사용됩니다. |
| 위험 또는 통제를 모니터링하는 데 사용할 수 있습니다. | 모든 GRC 물체를 측정하는 데 사용할 수 있습니다. |
| 통과 또는 실패와 같은 이진 값만 가질 수 있습니다. | 양적(숫자) 또는 질적(텍스트)과 같은 값을 가질 수 있습니다. |