GH GambleHub

Termal risk xəritəsi

1) Təyinatı və dəyəri

Risk istilik xəritəsi (Risk Heatmap) - «Ehtimal və təsir» matrisi üzrə risklərin sıralanması × kommunikasiyası üçün vizual alət.

Məqsədlər:
  • vahid prioritetləşdirmə dili (biznes, tex, hüquqi bloklar);
  • SARA/investisiya üzrə şəffaf həllər;
  • dinamikanı izləmək (tədbirlərə qədər/sonra), hazırlıq «audit-ready».

2) Taksonomiya və əhatə dairəsi

Tövsiyə olunan domenlər:
  • Tənzimləyici/Lisenziyalar, Məxfilik/Məlumatlar, İB/Texnoloji Proseslər, Ödənişlər/AML/KYC, Əməliyyatlar/Mövcudluq, Marketinq/Məsuliyyətli Reklam, Təchizatçılar/VRM.
Kəsiklər:
  • Yurisdiksiyalar/bazarlar, Biznes xətləri/məhsullar, Xidmətlər/platformalar, Kritik provayderlər.

3) Ehtimal və təsir miqyası

3. 1 Ehtimal (5 səviyyəli miqyaslı nümunə)

1. Nadir hallarda (hər dəfə> 3 il/p <5%)

2. Aşağı (1-3 ildə bir dəfə)

3. Orta (illik)

4. Yüksək (rüblük)

5. Çox yüksək (aylıq/daha tez-tez)

3. 2 Təsir (çox faktorlu)

Kriteriyalardan maksimuma görə qiymətləndirin:
  • Maliyyə: birbaşa itkilər/cərimələr/chargeback.
  • Lisenziyalar/Hüquqi nəticələr: dayandırılması, qadağalar, araşdırmalar.
  • Gizlilik/Məlumatlar: PII həcmi, bildirişlər, nəzarət hərəkətləri.
  • Əməliyyatlar/Aptaym: MTTR, SLO, pozulmuş buraxılışlar, RTO/RPO.
  • Reputasiya: media, sosial şəbəkələr, tərəfdaşlıq sanksiyaları.
  • 1-5 şkalası (məsələn, 1: <€10k, 5:> €1m).

4) Skorinq və risk səviyyələri

Fərdi risk: 'Score = Likelihood × Impact' (1-25).

Kateqoriyalar:
  • 20-25 - Kritik (qırmızı)
  • 12-19 - Yüksək (narıncı)
  • 6-11 - Orta (sarı)
  • 1-5 - Aşağı (yaşıl)
  • Qalıq risk: cari nəzarət nəzərə alındıqdan sonra (effektivlik ToD/ToE/CCM tərəfindən təsdiqlənir).
  • Hədəf risk (Hədəf): planlaşdırılan tədbirlərdən sonra; əldə tarixi qeyd olunur.

5) Məlumat mənbələri və nəzarət ilə əlaqə

GRC reyestri: risk təsvirləri, sahibləri, cari/hədəf qiymətləndirmələr.
SSM/metrik: pass-rate nəzarət qaydaları, insidentlər, KRI.
Satıcılar/VRM: sertifikatlar, SLA, hadisələr, məlumat yerlərindəki dəyişikliklər.
Maliyyə/Payments: cərimələr, chargeback ratio, fraud loss%.
Miqyaslara təsir edən bütün qiymətlər evidence linkləri (log/hesabatlar) və vaxt tamponlarına malik olmalıdır.

6) Aqreqasiya və konsolidasiya

Bottom-up: xidmətlərdən/yurisdiksiyalardan domenlərə və şirkətlərə.
Aqreqasiya qaydaları: maksimum Impact, Likelihood və ya balanslı median (biznes həcminə görə).
Ayrı təbəqələr (layers): Inherent (nəzarətsiz), Residual (nəzarətlə), Target (CAPA-dan sonra).
Korrelyasiya risklərini (məsələn, ümumi infrastruktur zəifliyi) və müstəqil riskləri bölüşün.

7) Vizuallaşdırma

Matris 5 × 5 rəng kodu ilə; açılır kartlarla interaktiv risk nöqtələri (təsvir, sahibi, nəzarət, CAPA).
Qat açarları: Inherent/Residual/Target.
Filtrlər: yurisdiksiya, məhsul, domen, provayder, dövr.
30-90 gün ərzində «əvvəl/sonra» trendləri və «drift» (drift).

8) Rollar və RACI

AktivlikRACI
Metodika və şkalalarRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Qiymətləndirmələrin yenilənməsiRisk OwnersHead of FunctionControl OwnersCommittee
Nəzarət paketi/KRICompliance EngHead of ComplianceSecOps/DataInternal Audit
Daşbordların nəşriCompliance AnalyticsHead of ComplianceBI/Data PlatformExec/Board
Revyu və həllərRisk & Compliance CommitteeExecutive SponsorAll DomainsBoard

9) KRI və eskalasiya astanaları

KRI nümunələri (xəritədə risklərə bağlayın):
  • Gizlilik: dsar_response_p95, TTL aradan qaldırılması, şikayətlər/ombudsman.
  • Təhlükəsizlik: boşluqlar p95 TTR, kritik «qırmızı» CCM qaydalarının payı, SoD pozuntuları.
  • Payments: chargeback ratio, fraud loss%, win-rate apellyasiya.
  • Əməliyyatlar: SLO breach rate, p1/p2 hadisələri, RTO/RPO testləri.
  • Eskalasiyalar: Xəbərdarlıq həddindən kənara çıxarkən Amber, Red - kritik zonalar üçün məcburi CAPA və «stop-the-line».

10) Qərarların qəbulu və CAPA ilə əlaqə

Hər «qırmızı» nöqtə üçün bir hərəkət planı tələb olunur: Corrective/Preventive, sahibi, son tarix, büdcə, müvəffəqiyyət KPI.

Eşik qaydaları (nümunə):
  • Kritik: CAPA ≤ 30 gün, 60-90 gün sonra yenidən audit; komitə - həftəlik.
  • High: CAPA ≤ 60 gün, 90 gün müşahidə.
  • Orta/Aşağı: rübün/yarım ilin planına.
  • Azalma mümkün olmadıqda - son tarix və kompensasiya nəzarətləri ilə waiver.

11) Daşbordlar (minimum)

Heatmap View: cari matris + Residual/Target qatları.
Risk Trend: bal dinamikası, «CAPA-dan əvvəl/sonra».
Controls Linkage: risk CCM pass-rate, «qırmızı» geytalar.
Regulatory Exposure: yurisdiksiya və lisenziyalar üzrə risklər.
Vendor Risk: kritik provayderlərin istilik xəritəsi (sertifikatlar, SLA, hadisələr).
Audit-Readiness: completeness evidence/heş-risk qəbzləri.

12) Effektivlik metrikası

Risk Reduction Index: rüblər üzrə orta çəkili risk-skor ∆.
On-time CAPA: vaxtında tədbirlər% (severity).
Repeat Findings (12 ay): əlaqəli risklər üzrə təkrarların payı.
Evidence Completeness:% tam sübut paketi ilə risklər.
Drift After Fix: 30-90 gün sonra «qırmızı» zonaya qayıtmaq halları.
Coverage: xəritədə əks olunan biznes aktivlərinin/yurisdiksiyalarının payı.

13) SOP (standart prosedurlar)

SOP-1: Metodikanın başlanğıcı

Miqyasları və eşikləri müəyyən edin → Komitədə razılaşdırın → anbarda qeyd edin (versiyalaşdırma).

SOP-2: Rüblük dövr

Giriş məlumatlarının toplanması/KRI → qiymətləndirmələrin yenidən hesablanması → sahibləri tərəfindən review → komitə qərarları → dashboard nəşrləri → ixrac «audit pack».

SOP-3: Hadisə tetikleyici

Critical/High hadisəsi zamanı - plandankənar xəritə yenilənməsi, CAPA-ya bağlanması və re-audit planı.

SOP-4: Vendor konturu

VRM sorğu/sertifikatlar → təchizatçı risklərinin yenilənməsi → güzgü tədbirlərinin təsdiqi (Vendor Mirror).

SOP-5: Arxiv və sübut

Snapshot heatmap (PDF/PNG/CSV) + hash qəbzləri → WORM arxivi → GRC linkləri.

14) Artefakt şablonları

14. 1 Risk kartı (fraqment)

ID/Adı, Sahibi, Domen/Yurisdiksiya

Likelihood/Impact/Inherent/Residual/Target

Nəzarət (ID, metrika, CCM qaydaları)

KRI və faktiki dəyərlər

CAPA/waivers, tarixlər, büdcə, KPI

Evidence linkləri və hash qəbzləri

14. 2 Şkalalar siyasəti (çıxarış)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Hesabat «əvvəl/sonra»

Heatmap ekran görüntüləri (Residual vs Target)

Risk dəyişikliyinin ∆ cədvəli

Həyata keçirilmiş CAPA, dayanıqlıq metrləri

15) Antipattern

Nəzarət/KRI və CAPA olmadan «Gözəl şəkil».
Qeyri-müəyyən miqyaslı → qiymətləndirmə manipulyasiyası.
Balların dəyişdirilməsi üçün versiya/sübut yoxdur.
Aqreqasiya qaydaları olmadan müqayisə olunmayan risklərin cəmlənməsi.
Nadir yeniləmələr → kart reallığı əks etdirmir.
Waivers heç bir vaxt və kompensasiya tədbirləri.

16) Yetkinlik modeli (M0-M4)

M0 Ad-hoc: birdəfəlik şəkil, heç bir metod/metrik.
M1 Planlı: razılaşdırılmış şkalalar, rüblük yeniləmələr.
M2 Managed: Controls/KRI, CAPA, Dashboard, WORM arxivi.
M3 Inteqrasiya: Avtomatik yenidən hesablama (CCM), policy-/assurance-as-code, yurisdiksiya/satıcı dilimləri.
M4 Continuous Assurance: qabaqcadan KRI, ssenari modelləşdirmə, «what-if», prioritet tövsiyələr.

17) Əlaqəli məqalələr wiki

Risk Yönümlü Audit (RBA)

KPI və komplayens metrikası

Davamlı uyğunluq monitorinqi (CCM)

Pozuntuların aradan qaldırılması planları (CAPA)

Təkrar auditlər və icraya nəzarət

Siyasət və normativlər anbarı

Komplayens yol xəritəsi

Tərəfdaşlar/VRM üçün Komplayens Təlimatı

Yekun

Termal risk xəritəsi hesabat deyil, idarəetmə mexanizmidir: vahid şkalalar, nəzarət və KRI ilə əlaqə, müntəzəm yeniləmələr, sübut edilə bilən həllər və tədbirlərdən sonra sabitliyə nəzarət. Bu yanaşma prioritetləşməni obyektiv edir, komitə qərarlarını sürətləndirir və daimi «audit-ready» hazırlığını dəstəkləyir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.