통합 위험 관리의 GRC: Metrics
위험 메트릭은 특정 위험의 상태를 추적하고 평가하는 데 사용되는 정량화 가능한 측정값으로 정의됩니다. 메트릭은 시간 경과에 따른 위험의 노출을 추적하는 데 도움이 됩니다.
위험 표시기는 운영 위험 관리 내에서 중요한 도구입니다. 표시기는 위험의 모니터링 및 통제를 용이하게 합니다. 따라서 위험 식별, 위험 및 통제 평가, 효과적인 위험 선호도 구현, 위험 관리 및 거버넌스 프레임워크와 같은 다양한 운영 위험 관리 활동 및 프로세스를 지원하는 데 사용할 수 있습니다. 표시기는 통과 또는 실패라는 한 가지 유형의 결과만 지원하며 숫자, 백분율 또는 금액과 같은 데이터 유형은 지원하지 않습니다. 메트릭은 표시기에 대한 더 나은 에스컬레이션 및 알림 메커니즘을 제공하고, 데이터 소유자의 특정 정의와 표시기 분류를 허용합니다.
- 위험 및 제어 성능에 대한 지속적인 가시성을 제공합니다.
- 위험 및 통제 성능의 변경에 대해 각 소유자에게 경고합니다.
- 메트릭 데이터 수집 작업을 자동화하여 조직의 시간을 절약합니다.
- 조직 전체에서 위험 정보를 효율적으로 모니터링하고 공유합니다.
GRC: Metrics 의 ESG 관리 사용 및IRM
이 GRC: Metrics 애플리케이션은 및 ESG 관리와 같은 통합 위험 관리 다양한 애플리케이션에서 사용됩니다.
리스크 관리와 환경, 사회 및 지배구조(ESG)는 여러 가지 방식으로 교차하는 개념으로, ESG는 투자자가 기업의 지속 가능성을 평가하는 데 사용하는 기준을 나타냅니다. ESG 요소는 기후 변화, 인권, 다양성 및 포용성, 기업 지배구조, 공급망 관리와 같은 문제를 고려합니다. 위험 관리에는 재무, 운영 및 평판 위험을 포함하여 조직의 목표 달성 능력에 영향을 미칠 수 있는 위험을 식별, 평가 및 완화하는 작업이 포함됩니다. ESG 요소를 제대로 관리하지 않으면 기업에 심각한 위험을 초래할 수 있기 때문에 위험 관리와 ESG 간의 관계는 강력합니다. 예를 들어, 환경 관행이 좋지 않은 회사는 법률 및 규제, 평판 및 운영 위험에 직면할 수 있습니다. 마찬가지로, 거버넌스 관행이 약한 회사는 법적 및 평판 위험뿐만 아니라 이해 상충 및 잘못된 의사 결정과 관련된 위험에 직면할 수 있습니다. 기업은 ESG 요소를 위험 관리 프로세스에 통합함으로써 이러한 위험을 식별하고 완화하여 보다 지속 가능하고 탄력적인 비즈니스 모델을 구축할 수 있습니다. 예를 들어, 환경 위험을 식별하고 완화하는 회사는 향후 환경 규제에 대한 노출을 줄일 수 있는 반면, 거버넌스 관행을 개선하는 회사는 평판 및 법적 위험에 대한 노출을 줄일 수 있습니다. 따라서 ESG 리스크를 효과적으로 관리하는 기업은 전반적인 리스크 관리 역량을 개선하고 장기적인 가치를 창출하며 비즈니스 모델의 지속가능성을 보장할 수 있습니다.
메트릭 유형
- 주요 위험 지표(KRI): 이 지표는 주어진 위험 또는 일련의 위험에 대한 노출량을 식별합니다. KRI의 예로는 직원 설문 조사를 통해 결정된 직원 사기, IT에 대한 해킹 시도 횟수, 손실 사건 후 부정적인 소셜 미디어 게시물 수 등이 있습니다.
- KCI(핵심 통제 표시기): 이 표시기는 주어진 위험 노출을 줄이거나 완화하기 위해 구현된 통제의 효과를 식별합니다.
- KPI(핵심성과지표): 이 지표는 위험 노출이 얼마나 효과적으로 관리되는지 보여줍니다. 이러한 표시기는 목표에 대한 달성도를 보여줍니다.
표시기와 메트릭의 차이점
| GRC 표시기 | 메트릭 |
|---|---|
| 위험 및 통제의 지속적인 모니터링과 지원 데이터 수집에 사용됩니다. | 시스템, 구성요소 또는 프로세스가 주어진 속성을 갖는 정도를 측정하는 데 사용됩니다. |
| 위험 또는 통제를 모니터링하는 데 사용할 수 있습니다. | 모든 GRC 물체를 측정하는 데 사용할 수 있습니다. |
| 통과 또는 실패와 같은 이진 값만 가질 수 있습니다. | 양적(숫자) 또는 질적(텍스트) 값을 가질 수 있습니다. |