تحديد درجات المخاطر وتحديد أولوياتها
1) الغرض والنتائج
والهدف من ذلك هو جعل تقييم المخاطر وتصنيفها قابلين للتكرار والتحقق بحيث تكون القرارات المتعلقة بالميزانيات/التوقيت/الموارد كما يلي:- قابلة للمقارنة (جداول وصيغ موحدة)،
- شفافة (مصادر البيانات والافتراضات موثقة)،
- قابلة للقياس (المقاييس و KRI مرتبطة بالضوابط والحوادث)،
- قابلة للتنفيذ (كل خطر يتوافق مع خطة CAPA/الإعفاء مع تاريخ انتهاء الصلاحية).
النواتج: سجل مخاطر موحد، تراكم المقاييس ذات الأولوية، خرائط الحرارة، تقارير المخاطر المتبقية، القطع الأثرية الجاهزة لمراجعة الحسابات.
2) الشروط ومستويات المخاطر
المخاطر المتأصلة - المخاطر باستثناء الضوابط.
المخاطر المتبقية - الأخطار مع مراعاة الضوابط الحالية (تم التحقق منها ToD/ToE/CCM).
المخاطر المستهدفة - المستوى المستهدف بعد تنفيذ خطة العمل الشاملة/التدابير التعويضية.
الاحتمال (L) - احتمال حدوث سيناريو في أفق التقييم.
التأثير (I) - الأكبر من: التمويل، التراخيص/القانون، الخصوصية/البيانات، العمليات/SLO، السمعة.
KRI - مؤشرات المخاطر التي تؤثر على L/I (على سبيل المثال، dsar_response_p95، نسبة رد التكاليف).
3) المقاييس والنماذج الأساسية
3. 1 مصفوفة منفصلة (5 × 5 أو 4 × 4)
النتيجة = L × I → المدى 1-25 (أو 1-16).
الفئات (المثال 5 × 5):- 20-25 = حرج، 12-19 = مرتفع، 6-11 = متوسط، 1-5 = منخفض.
- يتم نشر العتبات في سياسة التسجيل وتنطبق دائمًا على جميع المجالات.
- 1 - مرة واحدة في أكثر من 3 سنوات ؛ 2 - مرة كل 1-3 سنوات ؛ 3 - سنويا ؛ 4 - ربع سنوي ؛ 5 شهريا/أكثر تواترا.
- 1- <€10k ؛ 2 - €10 -100 ألف ؛ 3 - €100 -300 ألف ؛ 4 - €300k - €1m ؛ 5 - >€1m ؛ مع المخاطر القانونية/الترخيص، يرتفع المستوى إلى 4-5 على الأقل.
3. 2 النماذج الكمية
ALE (توقعات الخسارة السنوية): «ALE = SLE × ARO»، حيث «SLE» هو متوسط الضرر لكل حدث، «ARO» هو التردد المتوقع سنويًا.
نهج FAIR (في التبسيط): نحاكي التردد (تردد حدث التهديد) وقيمة الخسائر (حجم الخسارة)، نستخدم المئوية (p50/p95) لاتخاذ قرار.
مونت كارلو: توزيعات التردد والتلف (lognorm/gamma، إلخ)، 10-100 ألف تشغيل → منحنيات الخسارة (منحنى تجاوز الخسارة). تقدم بطلب للحصول على أغلى المخاطر الحرجة/التنظيمية.
توصية: 80٪ من الحالات - المصفوفة 5 × 5، 20٪ (المخاطر القصوى) - ALE/FAIR/Monte Carlo.
4) المخاطر المتبقية والمستهدفة
1. حساب الملازم من افتراضات «لا ضوابط».
2. النظر في فعالية الضوابط القائمة (اختبار ToD/ToE/CCM) →
3. تحديد الهدف مع مراعاة التدابير التعويضية/خطة العمل الشاملة المقررة وتاريخ الإنجاز.
4. إذا ≤ الهدف عتبة التسامح (الرغبة في المخاطرة) - حسنًا ؛ وإذا لم يكن الأمر كذلك، فإن الإعفاء مع تاريخ انتهاء الصلاحية وضوابط التعويض مطلوب.
5) مصادر البيانات والأدلة
المقاييس و KRI (لوحات القيادة، السجلات، تقارير الحوادث).
نتائج اختبار التحكم (CCM)، عمليات التدقيق (الداخلية/الخارجية).
تقارير مقدمي الخدمات: جيش تحرير السودان/الشهادات/الحوادث/التغييرات في مواقع البيانات.
التحليلات المالية: غرامات، تحصيل رسوم، خسارة احتيال٪.
كل درجة مصحوبة بروابط أدلة مع طابع زمني وإيصال تجزئة (WORM).
6) تحديد أولويات المبادرات (نقل إجراءات → المخاطر)
6. 1 أرز (تكيف مع المخاطر)
'RICE = (الوصول × Impact_adj × الثقة )/مجهود'
الوصول - عدد العملاء/المعاملات/الولايات القضائية المتأثرة.
Impact_adj - تحولت I (أو ALE/loss p95).
الثقة - موثوقية التصنيفات (0. 5/0. 75/1. 0).
الجهد - رجل - أسابيع/تكلفة.
فرز الأرز → يفوز بسرعة.
6. 2 WSJF معدلة حسب المخاطر
«WSJF = تكلفة التأخير/حجم الوظيفة»، где
«تكلفة التأخير = تقليل المخاطر + أهمية الوقت + قيمة الأعمال».
الحد من المخاطر هو الانخفاض المتوقع في تصريف الأعمال المتبقية/ALE.
أهمية الوقت - المواعيد النهائية للمنظمين/عمليات التدقيق.
قيمة الأعمال - الدخل/المدخرات، ثقة العملاء.
6. 3 الأولوية التنظيمية
إذا كان الخطر مرتبطًا بالتراخيص/القانون وكان هناك موعد نهائي صارم، فإنه يقع تلقائيًا في الحرج/العالي، بغض النظر عن الدرجات «الاقتصادية».
7) قواعد العتبة والتصعيدات
حاسمة: الفرز الفوري، CAPA ≤ 30 يومًا، إعادة المراجعة في 60-90 يومًا ؛ اللجنة الأسبوعية.
مرتفع: CAPA ≤ 60 يومًا، متابعة 90 يومًا.
المتوسط: الإدراج في الخطة الفصلية.
منخفض: مراقبة + قدرة فتحة «الديون التقنية».
عتبات KRI: Amber (تحذير) و Red (تصعيد إلزامي و CAPA).
8) الأدوار و RACI
9) لوحات القيادة
خريطة حرارة المخاطرة: مصفوفة 5 × 5، مرشحات حسب المجال/البلد/المزود.
قمع المخاطر: هدف → → المتأصلة المتبقية.
Top-N by ALE/p95 Loss: المخاطر الكمية.
قائمة مراقبة KRI: المؤشرات والعتبات، أجهزة الإنذار العنبر/الأحمر.
التأثير: التخفيض المتوقع/الفعلي ؛ التقدم المحرز في الجداول الزمنية.
الإعفاءات: الاستثناءات والمواعيد النهائية والتدابير التعويضية الحالية.
10) مقاييس الأداء
مؤشر الحد من المخاطر: ∆ متوسط معدل المخاطر المرجح (ربع سنوي).
CAPA في الوقت المحدد:٪ من التدابير في الوقت المحدد (حسب الشدة).
تكرار النتائج (12 شهرًا): نسبة الانتهاكات المتكررة.
اكتمال الأدلة: مخاطر٪ مع الحزمة الكاملة (هدف 100٪ لـ High +).
دقة التنبؤ: تباين الخسائر/الترددات التقديرية والفعلية.
وقت الفرز/وقت التخطيط/وقت الهدف.
11) SOP (إجراءات موحدة)
SOP-1: الاستهلال والجداول
تحديد جداول التفاصيل والفئات → توافق عليها اللجنة → تسجيلها في المستودع (النسخ).
SOP-2: إعادة التقييم ربع السنوية
جمع KRI/الحوادث → إعادة حساب L/I/ALE → مراجعة من قبل المالكين → تحديد أولويات اللجنة → نشر خارطة الطريق.
SOP-3: حادث الزناد
في حالة الحوادث الخطيرة/العالية - إعادة الحساب غير المجدولة، وتعديل CAPA والأولويات.
SOP-4: التحليل الكمي (المخاطر العليا)
قم بإعداد توزيعات المدخلات → مونت كارلو (≥10k أشواط) → منحنيات الخسارة → قرار اللجنة.
SOP-5: المحفوظات والأدلة
شرائح التصدير (CSV/PDF) + إيصالات التجزئة → أرشيف WORM → وصلات في بطاقات GRC.
12) النماذج و «الرمز»
12. 1 سياسة التسجيل (مقتطف)
scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"12. 2 بطاقة المخاطر (YAML)
yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]12. تحديد الأولويات في مجال 3 (مثال على ذلك الصندوق)
yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 213) التدابير التعويضية والإعفاءات
إذا كان الإصلاح السريع غير ممكن:- ونستحدث ضوابط تعويضية (عمليات فحص يدوية، وحدود، ورصد إضافي) مع مقاييس للأداء ؛
- ونصدر التنازل مع تاريخ انتهاء الصلاحية وخطة المالك والاستبدال ؛
- إعادة المراجعة الإلزامية في 30-90 يوما.
14) أنتيباترن
«مصفوفة جميلة» بدون اتصال بـ KRI/عناصر التحكم/الحوادث.
المقاييس العائمة و «الضبط اليدوي» للنتيجة المرجوة.
عدم إصدار الحسابات والافتراضات.
التنقيحات النادرة → الخريطة لا تعكس الواقع.
الإعفاءات بدون تاريخ انتهاء ولا تدابير تعويضية.
عدم وجود تحليل كمي لأهم المخاطر.
15) نموذج النضج (M0-M4)
M0 Ad-hoc: تقديرات «بالعين»، لا توجد سياسة واحدة.
M1 المخطط: المصفوفة 5 × 5، التحديثات الفصلية، لوحات القيادة الأساسية.
M2 إدارة: الاتصال مع KRI/CCM، ربط CAPA، أدلة WORM.
M3 متكامل: ALE/FAIR/Monte Carlo لأعلى المخاطر، WSJF/RICE في خارطة الطريق، بوابات CI/CD.
M4 الضمان المستمر: التنبؤ KRI، إعادة الحساب التلقائي، أولويات التوصية والأدلة حسب التصميم.
16) مقالات ويكي ذات الصلة
خريطة مخاطر الحرارة
مراجعة الحسابات على أساس المخاطر (RBA)
مؤشرات الأداء الرئيسية ومقاييس الامتثال
الرصد المستمر للامتثال
خطط الإصلاح
مستودع السياسات والامتثال
خارطة طريق الامتثال
مراجعو الحسابات الخارجيون
المجموع
تحديد المخاطر وتحديد الأولويات هو تخصص هندسي، وليس فنًا: نطاقات وسياسات مستقرة، وبيانات يمكن إثباتها، وطرق كمية لأعلى المخاطر، وعتبات وتصعيدات صريحة، ورابط مباشر إلى CAPA وخارطة الطريق. يجعل هذا النهج القرارات قابلة للتنبؤ، ويسرع الموافقات، ويقلل من المخاطر الإجمالية للأعمال.