GH GambleHub

Risk İdarəetmə və Komplayens Komitəsi

1) Təyinat və mandat

Risklərin İdarə Edilməsi və Komplayens Komitəsi (bundan sonra - Komitə) - kollegial orqan, hansı ki:
  • Risk Appetite və uyğunluq prinsiplərini formalaşdırır və dəstəkləyir;
  • əsas siyasətləri/standartları və onların dəyişikliklərini təsdiq edir;
  • əsas risklərə nəzarət edir (əməliyyat, tənzimləyici, IB/məxfilik, maliyyə, üçüncü tərəflər);
  • metrik və SLO/SLA uyğunluğunu təyin edir və onların nailiyyətlərinə nəzarət edir;
  • eskalasiya və prioritet münaqişə məsələlərini həll edir;
  • «audit-ready» vəziyyətini təmin edir (sübut bazası, qərar protokolları).

2) Tərkibi və müstəqilliyi

Məcburi iştirakçılar (voting):
  • Komplayens rəhbəri/DPO (co-chair)
  • CISO/Head of Security (co-chair)
  • Head of Legal
  • Head of Risk/Enterprise Risk
  • CFO/Finance (təsiri qiymətləndirmək üçün)
  • Biznes/məhsul nümayəndəsi (VP/Director)
  • Platforma/infrastruktur rəhbəri və ya CTO-nümayəndə
Müstəqil iştirakçılar (advisory):
  • Daxili audit (müşahidəçi)
  • HR/L & D (təlim/sertifikatlaşdırma)
  • Procurement/Vendor Mgmt (üçüncü tərəflər)
  • Data/Platform (DWH/Lineage/CCM)

Müstəqillik prinsipləri: maraqlar toqquşmasının olmaması, recusals-ın sənədləşdirilməsi, müşahidəçilərin rolunun qeydə alınması.

3) RACI Komitəsi

AktivlikRACI
Risk Appetite təsdiqRiskCEO/BoardCompliance, FinanceInternal Audit
Major siyasətinin təsdiqiCompliance/DPOCo-ChairsLegal, Security, ProductInternal Audit
Waivers eskalasiyasıComplianceCo-ChairsLegal, Security, OwnersInternal Audit
KPI/KRI monitorinqiCompliance AnalyticsCo-ChairsSecOps, DataBoard
Hadisə qərarları (Sev1)SecOpsCo-ChairsLegal/PR, ProductInternal Audit
Vendor riskləri (krit.) Vendor MgmtCo-ChairsLegal, SecurityInternal Audit
Audit hazırlığıComplianceCo-ChairsOwnersBoard

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Reqlament və dövrilik

Normal rejim: ayda bir dəfə (90 dəqiqə) + həftəlik KPI/KRI ekspress monitorinqi (15 dəqiqə).
Böhran rejimi (insident/tənzimləyici): sabitləşməyə qədər hər 24-48 saatdan bir iclaslar.
Kvorum: ≥ 2/3 səs, o cümlədən bir co-chair.
Həllər: sadə çoxluq; high-risk - 2/3 və co-chairs veto hüququ (nizamnamədə qeyd).

5) Daxil olan artefaktlar (inputs)

Risk Register və Heatmap (yenilənmiş KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Change Log (Major/Minor/Emergency).
son tarixlər və kompensasiya nəzarət ilə Waivers-reyestr.
Incidents & Findings: Sev1/Sev2, təkrarlanabilirlik, redediasiya statusu.
Vendor Risk: kritik provayderlər, SLA/sertifikatların pozulması.
Audit/assessmentlər: statuslar, açıq şərhlər, «düymə ilə» hazırlıq.

6) Çıxış və artefaktlar (outputs)

owner, due date, severity və gözlənilən risk effekti ilə həll protokolu.
Yenilənmiş Risk Appetite Statement və prioritetlər.
Apruv/şərtlər ilə siyasətlər və istisnalar (waivers) rədd.
Yüksək risk altında Board/CEO üçün eskalasiya məktubları/həllər.
Communications one-pagers və komandalar üçün tapşırıqlar (ITSM/GRC tickets).

7) Standart gündəm (60-90 dəqiqə)

1. KPI/KRI və sapmaların xülasəsi (10").
2. Hadisələr/Sev1-updates və dərslər (15").
3. Siyasətçilər: Major-dəyişikliklər, münaqişə şərhləri, lokalizasiyalar (15").
4. Üçüncü tərəflər: SLA/sertifikatların pozulması, alt prosessorlar (10").
5. Waivers: uzadılması/bağlanması, qırmızı zonalar (10").
6. Audit/assessmentlər: hazırlıq statusu və "audit pack" (10").
7. Problemlərin həlli və bölüşdürülməsi (10").

8) Qərar qəbuletmə və eskalasiya prosedurları

Decision card (şablon): kontekst → variantlar → risk/dəyər təsiri → tövsiyə → səsvermə.
Eskalasiya: risk> Appetite və ya gecikmə> SLA - Executive/Board-da çıxarış.
Review: 30-60 gün sonra post-faktum həll təsiri qiymətləndirilməsi (impact review).

9) İnteqrasiya və axınlar

RBA (risk-audit): findings → Komitənin gündəliyi → owner/due → bağlanış nəzarəti.
CCM (davamlı monitorinq): alertlər/metriklər → qaydaların/hədlərin prioritetləşdirilməsi.
Policy Lifecycle/Change Mgmt: Major-düzəlişlər → yeniləmə, rabitə, təlim.
Vendor DD/Outsourcing: skoring modeli və qapı vərəqləri → müqavilə şərtləri/SLA.
Incident Mgmt: playbook SOAR/PR/Legal → hesabatlar və dərslər.

10) Komitənin effektivlik metrikası

On-time Remediation: Komitənin vaxtında bağlanmış tapşırıqlarının% -i (severity üzrə).
Decision Lead Time: məsələnin qaldırılmasından həllinə qədər median vaxt.
Waiver Hygiene: cari son tarix ilə% istisnalar (məqsəd: 100%).
Repeat Findings: 12 aylıq təkrarların payı (məqsəd: ↓).
Audit Readiness Time: tam «audit paketi» qədər saat.
Risk Reduction Index: QoQ ümumi risk skor ∆.
Communication SLA: Major həlləri ilə vaxtında bildirilən rolların% -i.

11) Komitənin Nizamnaməsi (şablon)

Məqsəd: risklərə və uyğunluğa nəzarət; şirkətin və müştərilərin maraqlarının qorunması.
Sfera: bütün yurisdiksiyalar/biznes xətləri/İT sistemləri/üçüncü tərəflər.
Səlahiyyətlər: siyasətlərin/istisnaların təsdiqi; məlumat/audit sorğusu; Board eskalasiya.
Tərkibi və kvorumu: (bax § 2 və § 4).
Maraq toqquşmaları: bəyannamələr, recusals, jurnal.
Protokollar: tam dəqiqələrin standartı (agenda, həllər, səslər, owner, due, evidence linkləri).
Nizamnaməyə yenidən baxılması: hər il və ya Board tələbi ilə.

12) Sənəd şablonları

12. 1 Decision Card

Mövzu/Kontekst/Standartlar/Risklər

Variantlar və qiymətləndirmə (xərclər, şərtlər, SLA/KRI-yə təsir)

Həll edildikdən sonra tövsiyə və risk səviyyəsi

İcra sahibi və müddəti

Səsvermənin nəticəsi (lehinə/əleyhinə/bitərəf)

12. 2 İclasın protokolu

Tarix/Kvorum/İştirakçılar

Gündəlik

Müzakirə (qısa, bəndlər üzrə)

Həllər (owner, due, uğur metrikası)

Açıq suallar/eskalasiya

Proqramlar (Daşbordlar, Hesabatlar, WORM Arxivinə istinadlar)

12. 3 Risk Appetite matrisi (nümunə)

RiskVahidAppetiteQırmızı zona
PI sızmasıhadisələr/il01+
DSAR gecikmələri%≤ 2%> 5%
SoD pozuntularıcases/ay0≥ 1
Drift (high/crit)cases/ay≤ 5> 15

13) Komitənin Daşbordları (minimum)

Risk Heatmap: ehtimal × təsir × qalıq risk.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, təkrarlanabilirlik.
Policy Changes: Major/Minor/Emergency konveyer və təlim statusu.
Vendor Risks: sertifikatlar, SLA, alt prosessorlar, hadisələr.
Waivers & Deadlines: aktiv/vaxtı keçmiş, eskalasiya.
Audit Readiness: audit/sertifikatlaşdırma üzrə «audit paketi» faizi.

14) Komitənin ilin təqvimi

Aylıq: müntəzəm gündəm (§ 7).
Rüblük: Risk Appetite yenidən baxılması, KPI/KRI trendləri, findings üzrə nəticələr.
Yarım il: əsas siyasətlərin və waivers-portfelin təftişi.
Hər il: Komitənin nizamnaməsi, audit/sertifikatlaşdırma planı, dərslərin uçotu.

15) Böhran rejimi (Sev1/Regulatory)

Dərhal çağırış; battle-rhythm yeniləmələr (məsələn, hər 4 saat).
Vahid rabitə (Legal/PR), Legal Hold nəzarəti.
Giriş konturasiyası/inteqrasiya/məlumat izolyasiyası üçün həllər.
Ayrıca hadisə protokolu və hərəkətləri ilə post-mortem.

16) Antipattern

Komitə səlahiyyəti və müddəti olmayan «poçt qutusu» kimi.
Protokolların və sübutların olmaması auditdə mübahisədir.
Son tarix və kompensasiya nəzarət olmadan əbədi waivers.
Həll olunmayan gündəliklər: heç bir decision kartları, heç bir seçim və təsirin qiymətləndirilməsi.
KPI sahibləri və Risk Appetite ilə əlaqə olmadan.
Nəzarət edilən recusals olmadan maraq toqquşmaları.

17) Komitənin yetkinlik modeli (M0-M4)

M0 Ad-hoc: nadir görüşlər, metrik və protokollar olmadan.
M1 Rəsmiləşdirilmiş: nizamnamə, kvorum, əsas protokollar, aylıq görüşlər.
M2 idarə: KPI/KRI dashboard, decision kartları, waivers nəzarət.
M3 Inteqrasiya: CCM/RBA/Policy-as-Code ilə əlaqə, «düyməsi ilə audit-ready».
M4 Assured: proqnozlaşdırılan KRI, avtomatik eskalasiya, müntəzəm impact-review həlləri.

18) Əlaqəli məqalələr wiki

Risk Yönümlü Audit (RBA)

Davamlı uyğunluq monitorinqi (CCM)

KPI və komplayens metrikası

Uyğunluq siyasətində dəyişikliklərin idarə edilməsi

Siyasət və prosedurların həyat dövrü

Due Diligence və autsorsing riskləri

Legal Hold və məlumatların dondurulması

Yekun

Güclü Komitə «görüş» deyil, risklərin idarə edilməsi mexanizmidir: aydın mandat, müstəqillik və kvorum, daşbordlarda verilən, sahibləri və müddətləri ilə bağlı qərarlar, icraya nəzarət və sübut bazası. Sonra uyğunluq biznes əyləci deyil, strategiyanın proqnozlaşdırıla bilən dayağına çevrilir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.