سجل المخاطر ومنهجية التقييم

1) لماذا وما هو مدرج في السجل

الغرض: نظام موحد للوصف والتقييم وتحديد الأولويات ورصد المخاطر التي تؤثر على الأموال (GGR/CF) والتراخيص والجهات الفاعلة والبيانات والسمعة.
التغطية: المنتج/الهندسة (SDLC/الحوادث)، التمويل والمدفوعات (PSP/النتائج)، KYC/AML/العقوبات، الخصوصية (GDPR)، TPRM/البائعين، التسويق/SDK، البيانات (DWH/BI)، البنية التحتية/السحب/DR، عمليات الدعم، وكبار الشخصيات.

2) تصنيف المخاطر (مثال)

أمن المعلومات والخصوصية: تسريبات PII/KYC، والوصول غير المصرح به، وفشل قطع الأشجار، وملفات DSAR.
اللوائح التنظيمية/الامتثال: انتهاكات شروط الترخيص، عقوبات مكافحة غسل الأموال/مكافحة غسل الأموال، حظر الإعلان.
التشغيل/التكنولوجيا: توقف PSP/KYC، عيب الإطلاق، تدهور زمن الوصول، حوادث DR.
الاحتيال/إساءة الاستخدام: ودائع الاحتيال، وإساءة استخدام المكافآت، وأنماط هجوم الدفع.
المالية: سيولة الشريك، صدمات رد التكاليف، التركيز على PSP واحد.
البائعون/سلسلة التوريد: معالجات فرعية ضعيفة ذات معالجات منخفضة.
السمعة/العميل: ارتفاع في الشكاوى، انخفاض NPS، انتهاكات RG.
الاستراتيجية/الجيوسياسية: العقوبات، والتغييرات الضريبية/القانونية، والعقبات المرورية.

3) بطاقة المخاطر (الحقول المطلوبة)

الهوية/اسم المخاطرة

الفئة (من التصنيف)

وصف الحدث (ما قد يحدث) والسبب

الموجودات/العمليات/الولايات القضائية تحت تأثير

مالك المخاطرة والراعي

الضوابط المتاحة (الوقائية/التحقيقية/التصحيحية)

الاحتمال (P) والتأثير (I) قبل الضوابط (الملازمة)

المخاطر المتبقية بعد الضوابط

خطة العلاج: خفض/تجنب/قبول/نقل

عتبة التصعيد/مستوى التهديد (منخفض/متوسط/مرتفع/حرج)

KRIs ومسببات التشغيل والمقاييس ومصادر البيانات

حالة المراجعة التالية وتاريخ الاستحقاق المرتبط بـ CAPAs/التذاكر

الربط بسجل المراقبة (معرفات المراقبة) والسياسات

تعليقات مراجع الحسابات/اللجنة (آخر القرارات)

4) جداول التصنيف (الافتراضي 5 × 5)

4. 1 احتمال (ف)

1 - نادر (أقل من 1/5 سنوات)

2 - منخفض (1/2-5 سنوات)

3 - المتوسط (سنويا)

4 - مرتفع (الربع)

5 - مرتفع جدا (شهر/أكثر)

4. 2 التأثير (I) - اختر الحد الأقصى من الفروع

التمويل: 1: <€10k· 2: €10 -100k· 3: €100k -1m· 4: €1 -5m· 5:> €5m

الخصوصية/البيانات: 1: <1k records·...· 5:> 1M سجلات/فئات خاصة

المنظم/التراخيص: 1: تحذير· 3: عقوبة/مراجعة· 5: تعليق الترخيص

توافر (SLO/SLA): 1: <15 دقيقة·· 5:> 8 ساعة للمناطق الحرجة

النتيجة النهائية: «R = P × I» → المستويات: 1-5 منخفضة، 6-10 متوسطة، 12-16 عالية، 20-25 حرجة.

(يمكن تكييف العتبات مع الشركة.)

5) مصفوفة خريطة الحرارة والشهية للمخاطر

الرغبة في المخاطرة: وثيقة ذات تحمل حسب المجال (على سبيل المثال، تسريبات PII - عدم التسامح مطلقًا ؛ P95 التوقف عن العمل - ≤ دقيقة في الشهر ؛ معدل استرداد التكاليف - ≤ Y٪).
خريطة الحرارة: تصور R في 5 × 5 ؛ فوق الشهية - تطلب خطة CAPA والجدول الزمني.
ميزانية المخاطر: حصص المخاطر «المقبولة» مع تبرير (الجدوى الاقتصادية).

6) منهجيات التقييم

6. 1 الجودة (بداية سريعة)

تقييمات الخبراء بشأن جداول المؤهلات/المؤشرات + المبررات، والتوفيق مع تاريخ الحوادث وبيانات مؤشرات التعريف الكورية.

6. 2 كمية (أولوية لأفضل 10)

النهج العادل (المبسط): تواتر الأحداث × التوزيع الاحتمالي للضرر (P10/P50/P90) ؛ مفيدة لمقارنة خيارات التخفيض.
مونت كارلو (1000-10k أشواط): تباين الضرر والتردد → منحنى تجاوز الخسارة (احتمال الخسارة> X).
تحليل المخاطر المستهدفة: تحليل النقاط لاختيار ترددات الرصد/التحكم (ذات الصلة بمركبات PCI/البائعين).

7) KRIs والمصادر

• التوافر/العمليات: MTTR، أخطاء 5xx، زمن انتقال P95، حوادث P1/P2،% مقياس ذاتي، سعة عنقودية.
• الأمن/الخصوصية:٪ تغطية MFA، محاولات حشو أوراق الاعتماد، الصادرات غير العادية، DSAR SLA، الأعلام المضادة للألفار.
• المدفوعات: معدل auth حسب PSP، معدل استرداد التكاليف، فشل البنك، حصة النقود اليدوية.
• KYC/AML: TAT، معدل إيجابي كاذب، ضربات عقوبات، حصة تصعيد.
• البائعون: امتثال جيش تحرير السودان، والانجراف في زمن الانتظار، وتواتر الحوادث، وأهمية الشهادات.

ترتبط KRIs بالمخاطر وتؤدي إلى تصعيد عندما تتجاوز العتبات.

8) دورة حياة المخاطر (سير العمل)

1. تحديد الهوية → تسجيل البطاقة.
2. رسم خرائط مراقبة → المتأصلة → تصريف الأعمال المتبقية.
3. قرار العلاج وخطة CAPA (التواريخ/المالكين).
4. KRIs/مراقبة الحوادث، تحديث البطاقة.
5. لجنة المخاطر الفصلية: مراجعة Top-N، إعادة تصنيف الشهية.
6. إغلاق/توحيد أو قائمة مراقبة.

9) الاتصال بالضوابط ومراجعة الحسابات

• استباقي: RBAC/ABAC، SoD، حدود، تشفير، WebAuthn، تجزئة.
• المحقق: SIEM/تنبيهات، تسويات، سجلات WORM، UEBA.
• تصحيحي: التراجع، أقفال الدفع، إلغاء المفتاح، التصحيحات العاجلة.
• تتحقق مراجعة DE/OE من أن الضوابط تقلل من مخاطر الشهية وتعمل بشكل ثابت.

10) بطاقات عينات (YAML، شظايا)

10. تسرب 1 PII عبر البائع SDK (المستوى 1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 تحلل PSP: فشل تصريح الدفع

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) التجميع وإدارة الحافظة

Top-N (عرض سجل المخاطر): مرتبة حسب R المتبقية و «فوق الشهية».
المواضيع (موضوعات المخاطر): مجموعات (البائعون، الخصوصية، PSP) → أصحاب الموضوعات.
خرائط التبعية: riski↔kontroli↔vendory↔protsessy.
السيناريوهات واختبارات الإجهاد: ماذا لو لم يكن «PSP # 1 و KYC # 1 متاحين لمدة 2 ساعات ؟» - التقييم التراكمي للأضرار وخطة العمل.
LEC (منحنى تجاوز الخسارة): ملف تعريف الخسارة السنوي للمجلس/المجلس.

12) عتبات وإشارات التصعيد

التشغيل: انتهاك جيش تحرير السودان/جيش تحرير السودان → الحادث P1/P2.
الامتثال/الخصوصية: تجاوز الاحتفاظ، وفشل DSAR، والتصدير بدون «غرض» → والتصعيد القانوني الفوري DPO/.
البائع: الإخفاقات المتكررة لجيش تحرير السودان → CAPA عند المورد، مراجعة العقد.
المالية: استرداد تكاليف الخروج> العتبة → الشيكات اليدوية، تعديل الحدود/المكافآت.

13) RACI (موسع)

14) مقاييس نظام إدارة المخاطر (KPI/KRI)

التغطية: 100٪ من العمليات الحرجة لديها مخاطر مسجلة وأصحاب.
المراجعة في الوقت المحدد: يتم مراجعة 95٪ ≥ من البطاقات في الوقت المحدد.
فوق الشهية: ↓ QoQ، نسبة المخاطر أعلى من الشهية.
إغلاق CAPA (مرتفع/حرج): ≥ 95٪ في الوقت المحدد.
تأخر الكشف: متوسط الوقت من انحراف KRI إلى التصعيد (يميل إلى ↓).
تكرار الحادث: حوادث متكررة لسبب واحد - 0.

15) القوائم المرجعية

15. 1 إنشاء بطاقة

• فئة الحدث/السبب والوصف
• وضع علامات على الموجودات/العمليات/الولايات القضائية
• تقديرات P/I (المتأصلة) والمتبقية مع تبرير
• رسم خرائط التحكم (ID)، KRIs، ومصادر البيانات
• خطة CAPA/التواريخ/المالكين
• عتبة التصعيد ومستوى التهديد

15. اللجنة الفصلية 2

• أعلى 10 للشهية المتبقية وما فوقها
• مخاطر جديدة/ناشئة، تغييرات في القوانين/البائعين
• مركز CAPA والجنوح
• القرارات: قبول/تخفيض/نقل/تجنب ؛ تحديث الشهية/العتبات

16) خارطة طريق التنفيذ (4-6 أسابيع)

الأسابيع من 1 إلى 2: الموافقة على التصنيف والمقاييس والشهية ؛ انتقِ a أداة. إنشاء 10-15 بطاقة بداية للعمليات الحرجة.
الأسابيع من 3 إلى 4: ربط المخاطر بالضوابط ومؤشرات الهوية الكويتية ؛ وإنشاء خريطة حرارية/لوحات معلومات ؛ إطلاق لجنة المخاطر.
الأسابيع 5-6: تنفيذ القياس الكمي Top-5 (FAIR/Monte Carlo light)، وأتمتة جمع KRIs، وإضفاء الطابع الرسمي على التصعيد وإبلاغ مجلس الإدارة.

17) أقسام ويكي ذات الصلة

الضوابط الداخلية ومراجعاتها، ISO 27001/27701، SOC 2، PCI DSS، IGA/RBAC/Lest Privalege، TPRM و SLA، الحوادث والتسريبات، DR/BCP، Log Poو WW- للدورة كاملة «مخاطر → التحكم → الأدلة → المترية».

TL; د

سجل مخاطر العمل = تصنيف واضح + مقاييس موحدة + شهية/عتبات → بطاقات مع المالكين، وأجهزة التحكم و KRIs → وخرائط الحرارة واللجان → تحديد الأولويات لأعلى المخاطر و CAPAs في الوقت المحدد. وهذا يجعل المخاطر قابلة للإدارة والمقارنة وإثباتها لمجلس الإدارة والمنظمين.