لجنة إدارة المخاطر والامتثال

1) التعيين والولاية

• يبني ويحافظ على مبادئ الشهية للمخاطر والامتثال
• وإقرار السياسات/المعايير الرئيسية وتغييرها ؛
• والسيطرة على المخاطر الرئيسية (التشغيلية، والتنظيمية، وأمن/خصوصية المعلومات، والمالية، والأطراف الثالثة) ؛
• ووضع مقاييس للامتثال ومنظومات/أفرقة العمل لرصد إنجازها ؛
• ويعالج التصعيد والأولويات المتضاربة ؛
• توفر حالة جاهزة لمراجعة الحسابات (قاعدة الأدلة، بروتوكولات الحلول).

2) التكوين والاستقلال

• الرائدة في مجال الامتثال/المدير التنفيذي (الرئيس المشارك)
• CISO/رئيس الأمن (رئيس مشارك)
• رئيس الشؤون القانونية
• رئيس المخاطر/مخاطر المؤسسات
• المدير المالي/المالية (لتقييم الأثر)
• ممثل الأعمال/المنتجات (نائب الرئيس/المدير)
• مدير منصة/بنية تحتية أو مندوب عن منظمة التجارة العالمية

• المراجعة الداخلية للحسابات (المراقب)
• الموارد البشرية/النقل والتطوير (التدريب/التقييمات)
• المشتريات/البائع Mgmt (أطراف ثالثة)
• البيانات/المنصة (DWH/Lineage/CCM)

مبادئ الاستقلال: لا تضارب في المصالح، توثيق عمليات التنحي، تحديد دور المراقبين.

3) لجنة RACI

(ص - مسؤول ؛ ألف - المساءلة ؛ جيم - استشاري ؛ أولاً - معلومات)

4) التنظيم والتواتر

الوضع العادي: مرة واحدة في الشهر (90 دقيقة) + مراقبة KPI/KRI أسبوعيًا (15 دقيقة).
وضع الأزمات (الحادث/المنظم): عقد اجتماعات كل 24-48 ساعة حتى تحقيق الاستقرار.
النصاب القانوني: ≥ 2/3 من الناخبين، بما في ذلك رئيس مشارك واحد.
الحلول: الأغلبية البسيطة ؛ وفقاً للمخاطر العالية - 2/3 وحق النقض للرؤساء المشاركين (الإصلاح في الميثاق).

5) القطع الأثرية الواردة (المدخلات)

سجل المخاطر وخريطة الحرارة (تم تحديث KRI).
الامتثال KPI/SLO: DSAR/SLA، الوصول إلى النظافة، الانجراف، تغطية الأدلة и др.
سجل التغيير حسب السياسة (كبير/طفيف/طارئ).
تسجيل الإعفاءات مع تواريخ انتهاء الصلاحية وضوابط التعويض.
الحوادث والنتائج: Sev1/Sev2، التكرار، حالة الإصلاح.
مخاطر البائعين: مقدمو الخدمات الأساسيون، انتهاكات جيش تحرير السودان/الشهادات.
مراجعة الحسابات/التقييمات: الحالات، التعليقات المفتوحة، الاستعداد للأزرار.

6) النواتج والتحف (النواتج)

بروتوكول القرار مع المالك وتاريخ الاستحقاق والشدة وتأثير المخاطر المتوقع.
بيان وأولويات شهية المخاطر المحدثة.
تحديث/رفض السياسات والإعفاءات بشروط.
رسائل/حلول تصعيدية لمجلس الإدارة/الرئيس التنفيذي المعرضة لمخاطر عالية.
الاتصال بأجهزة استدعاء واحدة ومهام الأوامر (تذاكر في ITSM/GRC).

7) الاستدعاء النموذجي (60-90 دقيقة)

1. موجز لمبادرة KRI/KRI والانحرافات (10").
2. Incidents/Sev1-updates والدروس المستفادة (15").
3. السياسيون: تغييرات كبيرة، تفسيرات متضاربة، توزيعات محلية (15").
4. الأطراف الثالثة: مخالفات جيش تحرير السودان/الشهادة، معالجات فرعية (10").
5. الإعفاءات: التمديد/الإغلاق، المناطق الحمراء (10").
6. مراجعة الحسابات/التقييمات: الحالة الجاهزة و "حزمة مراجعة الحسابات" (10").
7. الحلول وتخصيص المهام (10").

8) إجراءات صنع القرار والتصعيد

بطاقة القرار (نموذج): السياق → الخيارات → التأثير على المخاطر/التكاليف → التوصية → التصويت.
التصعيد: إذا كان الخطر> شهية أو جنوح> SLA - خروج إلى Executive/Board.
الاستعراض: تقييم ما بعد الوقائع لأثر القرار بعد 30-60 يوماً (استعراض الأثر).

9) التكامل والتدفقات من طرف إلى طرف

بنك الاحتياطي الأسترالي: النتائج → أمر استدعاء اللجنة → المالك/بسبب السيطرة → الإغلاق.
CCM (الرصد المستمر): التنبيهات/المقاييس → تحديد أولويات القاعدة/العتبة.
دورة حياة السياسة/التغيير Mgmt: تعديلات رئيسية → تحديثات، اتصالات، تدريب.
البائع DD/الاستعانة بمصادر خارجية: نموذج التسجيل وقوائم الثغرات → شروط العقد/جيش تحرير السودان.
الحادثة Mgmt: SOAR/PR/Legal playbook → التقارير والدروس.

10) مقاييس أداء اللجنة

العلاج في الوقت المحدد: تم إغلاق% من مهام اللجنة في الوقت المحدد (حسب الشدة).
مهلة اتخاذ القرار: متوسط الوقت من طرح المسألة إلى حلها.
نظافة التنازل:% استثناءات مع تاريخ انتهاء الصلاحية الحالي (الهدف: 100%).
تكرار النتائج: نسبة التكرار في 12 شهرا (الهدف: ↓).
وقت الاستعداد للتدقيق: ساعات إلى «حزمة التدقيق» الكاملة.
مؤشر الحد من المخاطر: ∆ معدل المخاطر الإجمالي QoQ.
الاتصال SLA:٪ من الأدوار التي تم إخطارها في الوقت المحدد بواسطة الحلول الرئيسية.

11) ميثاق اللجنة (نموذج)

الغرض: مراقبة المخاطر والامتثال ؛ حماية مصالح الشركة والعملاء.
النطاق: جميع الولايات القضائية/خطوط الأعمال/نظم تكنولوجيا المعلومات/الأطراف الثالثة.
السلطة: الموافقة على السياسات/الاستثناءات ؛ والاستفسار عن البيانات/عمليات مراجعة الحسابات ؛ في المجلس.
التكوين والنصاب: (انظر الفقرتين 2 و 4).
تضارب المصالح: الإعلانات، التنحي، المجلة.
البروتوكولات: معيار الدقائق الكاملة (جدول الأعمال، الحلول، الأصوات، المالك، حسب الأصول، الروابط مع الأدلة).
تنقيح الميثاق: سنويا أو بناء على طلب المجلس.

12) نماذج الوثائق

12. 1 بطاقة قرار

الموضوع/السياق/اللوائح/المخاطر

الخيارات والتقييم (التكلفة والتوقيت والأثر على جيش تحرير السودان/جيش تحرير كوسوفو)

التوصيات اللاحقة للقرار ومستوى المخاطر

مالك الأداء وتاريخ الاستحقاق

نتيجة التصويت (لصالح/ضد/امتناع عن التصويت)

12. 2 محضر الجلسة

التاريخ/النصاب القانوني/المشاركون

جدول الأعمال

مناقشة (موجز، بند بند)

الحلول (المالك، الواجب، مقياس النجاح)

القضايا المفتوحة/التصعيد

التطبيقات (لوحات المعلومات، التقارير، الوصلات إلى أرشيف WORM)

12. 3 مصفوفة الشهية للمخاطر (مثال)

13) لوحات متابعة اللجنة (الحد الأدنى)

خريطة حرارة المخاطرة: احتمال × تأثير × المخاطر المتبقية.
مركز الامتثال KPI: DSAR، الوصول إلى النظافة، الانجراف، تغطية الأدلة.
الحوادث والنتائج: Sev1/Sev2، MTTR، التكرار.
التغييرات في السياسات: خطوط الأنابيب الرئيسية/الطفيفة/الطارئة وحالة التدريب.
مخاطر البائعين: الشهادات، واتفاقات الخدمات، والمعالجات الفرعية، والحوادث.
الإعفاءات والمواعيد النهائية: تصعيدات نشطة/منتهية الصلاحية.
الاستعداد للتدقيق: بالمائة «حزمة التدقيق» من خلال عمليات التدقيق/الشهادات.

14) تقويم سنة اللجنة

شهريا: جدول الأعمال العادي (الفقرة 7).
ربع سنوي: مراجعة الرغبة في المخاطرة، اتجاهات KPI/KRI، إجمالي النتائج.
نصف السنة: مراجعة السياسات الرئيسية وحافظة الإعفاءات.
سنوية: ميثاق اللجنة، خطة مراجعة الحسابات/التصديق، الدروس المستفادة.

15) وضع الأزمة (Sev1/Regulatory)

الدعوة الفورية ؛ تحديثات إيقاع المعركة (على سبيل المثال كل 4 ساعات).
الاتصال الموحد (Legal/PR)، Legal Hold Control.
حلول لمراقبة الدخول/تعطيل التكامل/عزل البيانات.
بروتوكول حادث منفصل وتشريح الجثة مع الإجراءات.

16) أنتيباترن

اللجنة باعتبارها «صندوق بريد» بدون سلطة ومواعيد نهائية.
نقص البروتوكولات والأدلة - الجدل في التدقيق.
الإعفاءات الدائمة بدون تاريخ انتهاء الصلاحية وضوابط التعويض.
جداول الأعمال غير القابلة للحل: لا بطاقات قرار ولا خيارات ولا تقديرات تأثير.
KPIs بدون مالكين ورابط إلى Risk Appetite.
تضارب المصالح دون تنحي منظم.

17) نموذج نضج اللجنة (M0-M4)

M0 Hell-hoc: اجتماعات نادرة ولا مقاييس وبروتوكولات.
M1 إضفاء الطابع الرسمي: الميثاق والنصاب القانوني والمحاضر الأساسية والاجتماعات الشهرية.
M2 يمكن التحكم فيه: لوحات القيادة KPI/KRI، وبطاقات القرار، والتحكم في الإعفاءات.
M3 متكامل: الاتصال مع CCM/RBA/Policy-as-Code، «جاهز لمراجعة الحسابات عن طريق الزر».
M4 مضمون: KRIs التنبؤية، التصعيد التلقائي، قرارات مراجعة التأثير المنتظمة.

18) مقالات ويكي ذات الصلة

مراجعة الحسابات على أساس المخاطر (RBA)

الرصد المستمر للامتثال

مؤشرات الأداء الرئيسية ومقاييس الامتثال

إدارة تغيير سياسة الامتثال

دورة حياة السياسات والإجراءات

مخاطر الحرص الواجب والاستعانة بمصادر خارجية

الحجز القانوني وتجميد البيانات

المجموع

إن اللجنة القوية ليست «اجتماعًا»، ولكنها آلية لإدارة المخاطر: ولاية واضحة واستقلالية ونصاب قانوني، وبيانات في لوحات القيادة، وقرارات مع المالكين والمواعيد النهائية، وإنفاذ وقاعدة أدلة. ثم يصبح الامتثال ركيزة استراتيجية يمكن التنبؤ بها وليس عبئًا على الأعمال التجارية.