شاخص‌ های کلیدی ریسک (KRI) در مدیریت ریسک سازمانی

شاخص های کلیدی ریسک

شاخص های کلیدی ریسک (KRIs) معیارهایی هستند که قادرند نشان دهند سازمان در معرض ریسکی قرار دارد – یا احتمال بالایی دارد که در معرض ریسکی قرار گیرد، که از اشتهای ریسک یا تحمل پذیری تعریف شده فراتر می رود. همان طور که از نامشان پیداست، آن ها تنها شاخص های ریسک هستند و نه معیارهای مستقیم ریسک. مهم است که اندازه گیری ریسک (و تخصیص رتبه بندی های ریسک مربوطه) با KRIs اشتباه گرفته نشود.

مزایای شاخص های کلیدی ریسک

انتخاب شاخص های کلیدی ریسک (KRIs) مناسب مزایای زیر را برای سازمان فراهم می کند:

• هشدار اولیه، سیگنال های پیش بینانه به سازمان که یک ریسک ممکن است به زودی محقق شود، که پاسخ پیش فعال را قبل از تبدیل شدن ریسک به زیان ممکن می سازد.
• زمینه تاریخی پس نگر در مورد ریسک هایی که محقق شده اند، که اطلاعات بیشتری برای پاسخ های آینده به ریسک فراهم می کند، بهبود را هدایت می کند و از مستندسازی و تحلیل روندها حمایت می کند.
• بازخورد در مورد اشتهای ریسک و تحمل پذیری ها برای تسهیل بهبود در استراتژی و فرآیندهای مدیریت ریسک و بهینه سازی حاکمیت و نظارت ریسک.

چالش های مرتبط با شاخص های کلیدی ریسک

چالش های مرتبط با KRIs شامل موارد زیر است:

• اهداف اندازه گیری تعریف نشده، عدم وجود نتایج اعلام شده/منتظره، یا فقدان سؤالات قطعی که بتوان با داده های KRIs به آن ها پاسخ داد.
• جمع آوری مکانیکی داده هایی که به راحتی قابل دسترس یا موجود هستند، به جای داده هایی که به طور قابل توجهی با ریسک خاص یا انواع ریسک هم بسته اند.
• عدم وجود رابطه منطقی واضح بین KRIs و ریسک خاص یا اهداف کسب و کار.
• بیش از حد بودن معیارها بدون هدف یا منظور اندازه گیری واضح.
• فرآیندهای دشوار تجمیع.
• پیچیدگی بیش از حد در سنتز و یا تفسیر نتایج KRIs در سطح سازمان.

انواع شاخص های کلیدی ریسک

KRIs به دو نوع تقسیم می شوند :

• شاخص های پیش بینانه (جلو نگر)

شاخص های پیش بینانه شامل داده ها، اطلاعات یا قابلیت هایی هستند که برای جلوگیری از وقوع رویدادها در نظر گرفته شده اند. شاخص های پیش بینانه ممکن است دارای حدود بالا و پایین باشند تا به سازمان کمک کنند درک کند چه زمانی یک وضعیت نیاز به توجه دارد قبل از اینکه ریسک محقق شود.

• شاخص های پس بینانه (عقب نگر)

شاخص های پس بینانه شامل داده ها، اطلاعات یا قابلیت هایی هستند که پس از وقوع یک رویداد یا وضعیت اندازه گیری می شوند، مثلاً دستیابی به یک هدف عملکرد یا هدف در دسترس پذیری سطح سرویس. تحلیل علل ریشه ای از ریسک های محقق شده، کنترل ها یا فرآیندهای شکست خورده و اهداف ازدست رفته در طول زمان می تواند به سازمان کمک کند تا شاخص های جدید، روندها یا شرایط هم بسته را برای کسب بینش توسعه دهند.

بروزرسانی شاخص های کلیدی ریسک

از آنجا که محیط های داخلی و خارجی به طور مداوم در حال تغییر هستند، محیط ریسک نیز بسیار پویا است و مجموعه KRIs باید در طول زمان تغییر کند. هر KRI باید به وضوح با اشتهای ریسک و تحمل پذیری مرتبط باشد، تا بتوان سطوح ماشه را برای حمایت از اقدامات مناسب و به موقع تعریف کرد.

• قابل اندازه گیری:

باید به صورت عددی، درصدی یا کمی قابل پایش باشد

• مرتبط با ریسک:

باید مستقیماً به یکی از اهداف یا تهدیدات کلیدی ربط داشته باشد

• هشدار زودهنگام بدهد:

قبل از وقوع رویداد منفی، علائم هشدار را نشان دهد

• قابل اجرا باشد:

اطلاعات آن باید در دسترس و امکان پذیر برای پایش باشد

• پیوستگی زمانی داشته باشد:

بتوان آن را به صورت دوره ای بررسی و مقایسه کرد

نمونه از شاخص های کلیدی ریسک در انواع دسته بندی فناوری اطلاعات

ریسک ارزش / منافع فناوری اطلاعات

• درصد پروژه های IT که به اهداف کسب و کار تعریف شده نرسیده اند : نشان دهنده عدم تحقق ارزش
• انحراف میان بودجه پروژه و بازده واقعی سرمایه گذاری : کاهش ROI واقعی در مقابل برنامه ریزی شده
• درصد استفاده کاربران از سامانه جدید پس از استقرار : پایین بودن این شاخص یعنی ارزش ایجاد نشده

ریسک تحویل پروژه های فناوری اطلاعات

• درصد پروژه های IT که با تأخیر یا فراتر از بودجه اجرا می شوند : نشان دهنده ضعف در تحویل مؤثر پروژه ها
• نرخ تغییر محدوده پروژه در طول اجرا : نشانه عدم ثبات در نیازمندی ها و مدیریت ضعیف پروژه
• درصد پروژه های بدون مستندات نیازمندی تاییدشده : باعث ریسک در تحویل ناکامل یا اشتباه

ریسک عملیات و خدمات فناوری اطلاعات

• میانگین زمان رفع اختلال (MTTR) : هرچه بالاتر، ریسک خدمات بیشتر
• تعداد وقوع وقفه های بحرانی در ماه : شاخص ناپایداری خدمات حیاتی
• درصد عدم انطباق با SLA های تعریف شده : نشانه نقص در ارائه خدمات مورد انتظار

ریسک امنیت سایبری و اطلاعات

• تعداد رویدادهای امنیتی گزارش شده در ماه : افزایش نشان دهنده رشد تهدیدها
• درصد کاربرانی که در تست فیشینگ داخلی فریب می خورند : نشانه ضعف آگاهی امنیتی در سازمان
• تعداد دارایی های اطلاعاتی بدون طبقه بندی امنیتی : نشانگر خطر نشت داده ها و مدیریت ضعیف اطلاعات حساس