风险控制考核协议.docxVIP

风险控制考核协议

本协议由以下双方于______年______月______日在中国______签订：

甲方（委托方/考核方）：________________________

法定代表人/授权代表：________________________

地址：____________________________________

联系方式：________________________________

乙方（责任方/被考核方）：________________________

法定代表人/授权代表：________________________

地址：____________________________________

联系方式：________________________________

鉴于：

1.甲方授权乙方负责管理/执行/实施________________________（以下简称“考核范围”）的相关活动；

2.甲方期望乙方在考核范围内建立并维持有效的风险控制体系，确保风险控制在可接受水平内；

3.为明确双方在风险控制方面的目标、责任、考核方法及奖惩机制，经友好协商，双方达成如下协议，以资共同遵守。

第一条风险控制目标

1.1乙方在本协议有效期内，应依据国家法律法规、行业规范、甲方内部管理制度及本项目具体情况，建立并持续完善覆盖考核范围内的风险控制体系。

1.2乙方的核心风险控制目标如下：

(1)将信息安全事件（包括但不限于数据泄露、系统瘫痪、网络攻击等）的年发生次数控制在______次以下；

(2)确保考核范围内的业务操作符合内部规章制度的准确率达到______%以上；

(3)将因流程问题或管理疏漏导致的业务延误（超过预定时间15%以上）的次数控制在______次以下；

(4)识别出的主要业务风险，其整改完成率达到______%以上；

(5)未经授权的访问尝试事件发生次数降低至______次以下。

第二条风险控制指标与衡量标准

2.1为量化风险控制绩效，双方约定以下关键绩效指标（KPIs）：

(1)KPI1：信息安全事件次数。指在考核期内，因信息安全原因实际发生的、经甲方或指定第三方确认的事件总次数。数据来源为信息安全事件报告系统及事后调查记录。

(2)KPI2：制度符合性。指对考核范围内关键业务操作进行抽查，符合内部规章制度要求的操作数量占抽查总操作数量的百分比。数据来源为内部审计报告或专项检查记录，抽查频率为每季度一次。

(3)KPI3：业务延误次数。指在考核期内，考核范围内关键业务任务发生延误，且延误时间超过预定计划或合同约定时间15%以上的任务总次数。数据来源为项目进度报告或相关业务记录。

(4)KPI4：风险整改完成率。指在考核期内，已识别出的需整改的重大业务风险中，按期完成整改的风险项数量占应完成整改风险项总数的百分比。数据来源为风险登记册及整改跟踪记录。

(5)KPI5：未经授权访问尝试次数。指在考核期内，安全系统记录到的、尝试访问未经授权资源的事件总次数。数据来源为网络安全监控日志。

2.2各KPI的具体衡量标准及计算方法如下：

(1)KPI1：年发生次数≤______次为优秀，≤______次为良好，______次为合格，______次为不合格。

(2)KPI2：符合性≥______%为优秀，≥______%为良好，≥______%为合格，______%为不合格。

(3)KPI3：次数为0次为优秀，次数≤______次为良好，次数≤______次为合格，次数______次为不合格。

(4)KPI4：完成率≥______%为优秀，≥______%为良好，≥______%为合格，______%为不合格。

(5)KPI5：次数为0次为优秀，次数≤______次为良好，次数≤______次为合格，次数______次为不合格。

2.3如双方对KPI的定义、计算方法或衡量标准有异议，应首先通过友好协商解决；协商不成的，可提交给双方共同认可的第三方机构进行裁决。

第三条考核方法与标准

3.1考核周期为本协议有效期，按季度进行初步评估，年度进行最终评估。

3.2乙方应指定专人负责风险控制相关数据的收集、整理和报告工作，并确保数据的真实、准确、完整。乙方需在每季度结束后的______个工作日内，向甲方提交上季度的风险控制绩效报告及所需数据。

3.3甲方将根据乙方提交的数据，结合内部审计、专项检查、系统记录等信息，按照本协议第二条约定的衡量标准，对各项KPI进行计算和评估，形成季度及年度考核结果。