GH GambleHub

Risk reyestri və qiymətləndirmə metodologiyası

1) Niyə və nə reyestrə daxildir

Məqsəd: Pul (GGR/CF), lisenziyalar, oyunçular, məlumatlar və nüfuza təsir edən risklərin təsviri, qiymətləndirilməsi, prioritetləşdirilməsi və monitorinqinin vahid sistemi.
əhatə: məhsul/mühəndislik (SDLC/hadisələr), maliyyə və ödənişlər (PSP/nəticələr), KYC/AML/sanksiyalar, gizlilik (GDPR), TPRM/satıcılar, marketinq/SDK, məlumatlar (DWH/BI), infrastruktur/buludlar/DR, sapport əməliyyatları və VIP.

2) Risklərin taksonomiyası (nümunə)

İnformasiya təhlükəsizliyi və məxfiliyi: PII/KYC sızması, icazəsiz giriş, uğursuz giriş, DSAR-feyl.
Tənzimləyici/uyğunluq: lisenziya şərtlərinin pozulması, AML/KYC/sanksiyalar, reklam qadağaları.
Əməliyyat/texnoloji: PSP/KYC downtime, buraxılış qüsuru, latency deqradasiyası, DR hadisələri.
Saxtakarlıq/sui-istifadə: pulsuz depozitlər, bonus abuz, ödəniş hücum nümunələri.
Maliyyə: tərəfdaşların likvidliyi, chargeback şokları, bir PSP-də konsentrasiya.
Vendor/təchizat zənciri: həssas SDK, aşağı TOMs ilə alt prosessorlar.
Reputation/müştəri: şikayət artım, NPS düşmə, RG pozuntuları.
Strateji/geosiyasi: sanksiyalar, vergilərin/qanunların dəyişdirilməsi, trafikin bloklanması.

3) Risk kartı (məcburi sahələr)

ID/Risk adı

Kateqoriya (taksonomiyadan)

Hadisənin təsviri (nə baş verə bilər) və səbəbləri

Təsir altında olan aktivlər/proseslər/yurisdiksiyalar

Risk sahibi (Risk Owner) və kurator (Sponsor)

Mövcud nəzarət (profilaktik/detektiv/korrekter)

Nəzarət (inherent) qədər ehtimal (P) və təsir (I)

Nəzarət sonrası qalıq risk (residual)

Müraciət planı (treatment): aşağı/qarşısını almaq/qəbul/transfer

Eskalasiya həddi/təhlükə səviyyəsi (Low/Medium/High/Critical)

KRIs və tetikleyicilər, metriklər və məlumat mənbələri

Status və müddət (Next Review), bağlı SARA/biletlər

Nəzarət reyestri (ID nəzarət) və siyasətlərlə əlaqə

Auditor/komitələrin şərhləri (son həllər)

4) Qiymətləndirmə şkalaları (default 5 × 5)

4. 1 Ehtimal (P)

1 - Nadir hallarda (<1/5 il)

2 - Aşağı (1/2-5 il)

3 - Orta (illik)

4 - Yüksək (rüb)

5 - Çox yüksək (ay/daha tez-tez)

4. 2 Təsir (I) - budaqlardan maksimum seçin

Maliyyə: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Privacy/data: 1: <1k qeydlər·...· 5:> 1M qeydlər/xüsusi kateqoriyalar

Tənzimləyici/lisenziya: 1: xəbərdarlıq· 3: cərimə/yoxlama· 5: lisenziyanın dayandırılması

Mövcudluq (SLO/SLA): 1: <15 min·...· 5:> Kritik zonalar üçün 8 saat

Yekun bal: 'R = P × I' → səviyyələri: 1-5 Aşağı, 6-10 Orta, 12-16 Yüksək, 20-25 Kritik.

(Eşiklər şirkət üçün uyğunlaşdırıla bilər.)

5) İstilik kartı matrisi və risk iştahı

Risk Appetite: domen tolerantlığı olan sənəd (məsələn, PII sızması - sıfır tolerantlıq; downtime P95 - ≤ X dəq/ay; chargeback rate — ≤ Y%).
Heatmap: 5 × 5 R vizuallaşdırma; iştahdan yuxarı - CAPA planı və şərtlərini tələb edir.
Risk Budget: əsaslandırılmış «qəbul edilən» risklər üçün kvotalar (iqtisadi məqsədəuyğunluq).

6) Qiymətləndirmə metodologiyası

6. 1 Keyfiyyətli (sürətli başlanğıc)

P/I miqyaslı ekspert qiymətləndirmələri + əsaslandırma, hadisələrin tarixi və KRI məlumatları ilə müqayisə.

6. 2 Kəmiyyət (Top-10 üçün prioritet)

FAIR yanaşması (sadələşdirilmiş): hadisələrin tezliyi × zərərin ehtimal bölgüsü (P10/P50/P90); aşağı variantları müqayisə üçün faydalıdır.
Monte Carlo (1000-10k qaçış): zərər və tezlik dəyişkənliyi → Loss Exceedance Curve (itki ehtimalı> X).
TRA (Hədəflənmiş Risk Analizi): Monitorinq/nəzarət tezliklərini seçmək üçün nöqtəli analiz (PCI/satıcılar üçün aktualdır).

7) KRIs və mənbələr

Domen nümunələri:
  • Mövcud/əməliyyat: MTTR, 5xx səhvləri, P95 latency, P1/P2 hadisələri,% avtoskeyl, klaster tutumu.
  • Təhlükəsizlik/gizlilik:% MFA coverage, credential stuffing cəhdləri, qeyri-adi ixrac, DSAR SLA, anti-malvar bayraqları.
  • Ödənişlər: PSP üzrə auth rate, chargeback rate, bankın uğursuzluğu, əl kassautlarının payı.
  • KYC/AML: TAT, saxta pozitiv rate, sanksiya hitləri, eskalasiya payı.
  • Satıcılar: SLA compliance, gecikmə sürüklənməsi, hadisələrin tezliyi, sertifikatların aktuallığı.

KRIs risklərlə əlaqələndirilir və eşikdən çıxarkən eskalasiyaya başlayır.

8) Risk həyat dövrü (workflow)

1. Kimlik → kart qeydiyyatı.
2. Qiymətləndirmə (inherent) → mapping nəzarət → residual qiymətləndirilməsi.
3. Müraciət həlli (treatment) və CAPA planı (tarixlər/sahiblər).
4. KRIs/insidentlərin monitorinqi, kartın yenilənməsi.
5. Rüblük Risk Komitəsi: Top-N-ə yenidən baxılması, iştahın yenidən iştahlanması.
6. Bağlanma/konsolidasiya və ya nəzarət (watchlist).

9) Nəzarət və audit ilə əlaqə

Hər bir risk konkret nəzarətlərə istinad etməlidir (bax: «Daxili nəzarət və onların auditi»):
  • Profilaktik: RBAC/ABAC, SoD, limitlər, şifrələmə, WebAuthn, seqmentasiya.
  • Detektiv: SIEM/alertlər, uzlaşmalar, WORM-loqlar, UEBA.
  • Düzəlişlər: geri qaytarmalar, ödənişlərin bloklanması, açarların geri çağırılması, təcili yamalar.
  • DE/OE auditində yoxlanılır ki, nəzarət riski iştaha endirir və stabil işləyir.

10) Kart nümunələri (YAML, fraqmentlər)

10. 1 Vendor SDK (Tier-1) vasitəsilə PII sızması

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP deqradasiyası: ödənişlərin avtorizasiyasının uğursuzluğu

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Aqreqasiya və portfel idarəetmə

Top-N (Risk Register View): residual R və «iştahdan yuxarı» sıralama.
Mövzular (Risk Themes): klasterlər (satıcılar, gizlilik, PSP) → mövzu sahibləri.
Qarşılıqlı asılılıq xəritələri: risklər, nəzarətlər, vendorlar, proseslər.
Ssenarilər və stress testləri: «PSP # 1 və KYC # 1 2 saat mövcud deyilsə?» - ümumi zərərin qiymətləndirilməsi və fəaliyyət planı.
LEC (Loss Exceedance Curve): məsləhət/bord üçün illik itki profili.

12) Eskalasiya astanaları və siqnalları

Əməliyyat: SLO/SLA pozuntuları → Incident P1/P2.
Compliance/Privacy: həddindən artıq gecikmə, DSAR uğursuzluğu, 'purpose' olmadan ixrac → dərhal DPO/Legal eskalasiya.
Vendor: təkrarlanan SLA fasilələri → təchizatçı CAPA, müqavilənin yenidən baxılması.
Financial: çıxış chargeback> eşik → manual yoxlamalar, limitləri/bonusları tənzimləmək.

13) RACI (böyük)

AktivlikBoard/CEORisk CommitteeRisk OwnerSecurity/PrivacyDomain OwnersData/BIInternal Audit
Risk iştahıARCCCII
Taksonomiya/şkalalarIA/RCRCCI
Reyestrin aparılmasıICA/RRRRI
Qiymətləndirmə/YeniləməICA/RRRRI
EkskalasiyalarIA/RRRRII
Audit/yoxlamalarICCCCCA/R

14) Risk idarəetmə sisteminin metrikası (KPI/KRI)

Coverage: kritik proseslərin 100% qeydiyyatdan riskləri və sahibləri var.
On-time Review: ≥ 95% kartları vaxtında baxılır.
Above Appetite: ↓ QoQ risk nisbəti iştahdan yüksəkdir.
CAPA Closure (High/Critical): vaxtında ≥ 95%.
Detection Lag: KRI-dən eskalasiyaya qədər median vaxt (↓ üçün çalışır).
Incident Recurrence: təkrarlanan hadisələr bir səbəbdən - 0.

15) Çek vərəqləri

15. 1 Kart yaradılması

  • Kateqoriya və hadisə/səbəb təsviri
  • Aktivlər/proseslər/yurisdiksiya qeyd
  • P/I (inherent) və residual əsaslandırılması ilə qiymətləndirilir
  • Mapping nəzarət (ID), KRIs və məlumat mənbələri
  • Plan SARA/vaxt/sahibləri
  • Eskalasiya həddi və təhdid səviyyəsi

15. 2 Rüblük Komitə

  • Ən yaxşı 10 residual və daha yüksək iştah
  • Yeni/emergent riskləri, qanunların/satıcıların dəyişdirilməsi
  • CAPA statusu və gecikmələr
  • Qərarlar: qəbul/aşağı/transfer/qarşısını almaq; iştahı/həddini yeniləyin

16) Tətbiqi yol xəritəsi (4-6 həftə)

1-2 həftə: taksonomiya, şkalalar, iştah təsdiq; alət seçin (cədvəl/BI/IRM). Kritik proseslər üzrə 10-15 başlanğıc kartı yaradın.
Həftələr 3-4: riskləri nəzarət və KRIs ilə əlaqələndirin; istilik kartı/daşbordlar qurmaq; risk komitəsini işə salmaq.
Həftələr 5-6: Top-5 üçün kəmiyyət qiymətləndirməsini (FAIR/Monte Carlo light) tətbiq edin, KRI-lərin toplanmasını avtomatlaşdırın, eskalasiya və bord hesabatlarını rəsmiləşdirin.

17) Əlaqəli wiki bölmələri

Daxili nəzarət və audit, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM və SLA, Insidents və sızmalar, DR/BCP, Log və WORM siyasəti - tam dövr üçün «risk → nəzarət → metrika → sübut».

TL; DR

Risklərin iş reyestri = aydın taksonomiya + standartlaşdırılmış şkalalar + iştah/eşiklər → sahibləri ilə kartlar, nəzarət və KRIs → istilik kartı və komitələr → vaxtında Top risklər və CAPA üçün prioritet kəmiyyət qiymətləndirilməsi. Bu riskləri idarə edilə bilən, müqayisə edilə bilən və bord və tənzimləyicilər üçün sübut edilə bilən edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.