GH GambleHub

Risklərin hesablanması və prioritetləşdirilməsi

1) Məqsəd və nəticələr

Məqsəd - risklərin qiymətləndirilməsini və sıralanmasını təkrar və yoxlanıla bilən etmək, belə ki, büdcələr/şərtlər/resurslar haqqında qərarlar aşağıdakılardır:
  • müqayisə edilə bilər (vahid şkalalar və düsturlar),
  • şəffaf (məlumat mənbələri və fərziyyələr sənədləşdirilmişdir),
  • ölçülebilir (metriklər və KRI-lər nəzarət və hadisələrə bağlıdır),
  • yerinə yetirilən (hər bir risk son tarixlə CAPA/waiver planına uyğun gəlir).

Çıxış: risklərin vahid reyestri, prioritetləşdirilmiş ölçü belogu, istilik kartları, qalıq risk hesabatları, «audit-ready» artefaktları.

2) Şərtlər və risk səviyyələri

Inherent Risk - nəzarəti nəzərə almadan risk.
Residual Risk - cari nəzarət (ToD/ToE/CCM təsdiqlənmiş) nəzərə alınmaqla riskdir.
Hədəf Risk - SARA/kompensasiya tədbirlərindən sonra hədəf səviyyəsi.
Likelihood (L) - qiymətləndirmə üfüqündə ssenarinin baş vermə ehtimalı.
Impact (I) - ən böyük: maliyyə, lisenziya/hüquq, məxfilik/məlumat, əməliyyatlar/SLO, nüfuz.
KRI - L/I-yə təsir edən risk göstəriciləri (məsələn, dsar_response_p95, chargeback ratio).

3) Şkalalar və əsas modellər

3. 1 Diskret matris (5 × 5 və ya 4 × 4)

Score = L × I → sıra 1-25 (və ya 1-16).

Kateqoriyalar (nümunə 5 × 5):
  • 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
  • Eşik qiymətləri «Skoring Siyasəti» ndə dərc olunur və hər zaman bütün domenlərə tətbiq olunur.
Likelihood şkalası (nümunə, 5 səviyyə):
  • 1 - hər dəfə> 3 il; 2 - 1-3 ildə bir dəfə; 3 - hər il; 4 - rüblük; 5 - aylıq/daha tez-tez.
Impact şkalası (max-meyar, nümunə):
  • 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; hüquqi/lisenziya riskləri ilə səviyyə ən azı 4-5-ə qaldırılır.

3. 2 Kəmiyyət modelləri

ALE (Annualized Loss Expectancy): 'ALE = SLE × ARO', burada 'SLE' - hadisə başına orta zərər, 'ARO' - ildə gözlənilən tezlik.
FAIR yanaşması (sadələşdirilmiş): Tezlik (Threat Event Frequency) və itki (Loss Magnitude) modelləşdiririk, qərar vermək üçün üzlük (p50/p95) istifadə edirik.
Monte Carlo: tezlik və ziyan üçün paylama (log norma/qamma və s.), 10-100k aşırımlar → itki əyriləri (loss exceedance curve). Ən bahalı/tənzimləyici kritik risklər üçün istifadə edin.

Tövsiyə: 80% hallarda - matris 5 × 5, 20% (top risklər) - ALE/FAIR/Monte Carlo.

4) Qalıq və hədəf risk

1. «Nəzarət olmadan» fərziyyələrə görə Inherent hesablayın.
2. Mövcud nəzarətlərin effektivliyini nəzərə alın (ToD/ToE/CCM tərəfindən yoxlanılmışdır) → Residual.
3. Planlaşdırılan SARA/kompensasiya tədbirləri və əldə tarixləri nəzərə alaraq Hədəfi müəyyənləşdirin.
4. Hədəf dözümlülük həddi (risk appetite) ≤ - tamam; yoxdursa - son tarix və kompensasiya nəzarətləri ilə waiver tələb olunur.

5) Məlumat mənbələri və dəlillər

Metrika və KRI (dashboard, log, hadisə hesabatları).
Nəzarət testlərinin (CCM), auditlərin (daxili/xarici) nəticələri.
Provayder hesabatları: SLA/sertifikatlar/insidentlər/məlumat yerlərində dəyişikliklər.
Maliyyə analitikası: cərimələr, chargeback, fraud loss%.
Hər bir qiymətləndirmə taymstamp və heş qəbzli (WORM) evidence linkləri ilə müşayiət olunur.

6) Təşəbbüslərin prioritetləşdirilməsi (transfer risk → fəaliyyət)

6. 1 RICE (risk altında uyğunlaşma)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reach - neçə müştəriyə/əməliyyata/yurisdiksiyaya toxunur.
Impact_adj - çevrilmiş I (və ya ALE/p95 itkiləri).
Confidence - qiymətləndirmələrin etibarlılığı (0. 5/0. 75/1. 0).
Effort - insan-həftə/dəyəri.
RICE üzrə sıralama → sürətli uduşlar.

6. 2 Risk düzəlişləri ilə WSJF

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

Risk Reduction - Residual/ALE-nin gözlənilən azalması.
Time Criticality - tənzimləyicilərin/auditlərin müddəti.
Business Value - gəlir/qənaət, müştərilərin etimadı.

6. 3 Tənzimləyici prioritet

Əgər risk lisenziyalarla/qanunla bağlıdırsa və sərt bir müddət varsa, o, «iqtisadi» hesabdan asılı olmayaraq avtomatik olaraq Critical/High-a daxil olur.

7) Eşik qaydaları və eskalasiyalar

Kritik: dərhal triaj, CAPA ≤ 30 gün, 60-90 gün sonra yenidən audit; həftəlik komitə.
High: CAPA ≤ 60 gün, 90 gün müşahidə.
Orta: rüblük plana daxil olmaq.
Low: monitorinq + «tech debt» slot imkanı.
KRI həddi: Amber (xəbərdarlıq) və Red (məcburi eskalasiya və CAPA).

8) Rollar və RACI

AktivlikRACI
Skorinq metodikasıRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Xüsusi risklərin qiymətləndirilməsiRisk OwnersHead of FunctionControl Owners, DataCommittee
Yoxlamaların yoxlanılmasıCompliance / Internal AuditHead of ComplianceSecOpsBoard
Təşəbbüslərin prioritetləşdirilməsiCompliance OpsHead of ComplianceProduct/FinanceExec
KRI/dashboard monitorinqiCompliance AnalyticsHead of ComplianceData PlatformExec/Board

9) Daşbordlar

Risk Heatmap: 5 × 5 matrisi, domenlər/ölkələr/provayderlər üzrə filtrlər.
Risk Funnel: Inherent → Residual → Target (Delta azalması).
Top-N by ALE/p95 Loss: kəmiyyət riskləri.
KRI Watchlist: Göstəricilər və eşiklər, Amber/Red siqnalları.
CAPA Impact: gözlənilən/faktiki azalma; vaxtında irəliləyiş.
Waivers: mövcud istisnalar, şərtlər və kompensasiya tədbirləri.

10) Effektivlik metrikası

Risk Reduction Index: Orta çəkili risk-skor ∆ (rüb/rüb).
On-time CAPA: vaxtında tədbirlər% (severity).
Repeat Findings (12 ay): təkrar pozuntuların payı.
Evidence Completeness: tam paketi ilə% risklər (High + üçün 100% hədəf).
Prediction Accuracy: qiymətləndirilmiş və faktiki itkilər/tezliklər fərqi.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (standart prosedurlar)

SOP-1: Başlanğıc və şkalalar

L/I şkalaları və kateqoriya eşiklərini müəyyən edin → Komitədə təsdiq edin → anbarda qeyd edin (versiyalaşdırma).

SOP-2: Rüblük yenidən qiymətləndirmə

KRI/hadisələrin toplanması → L/I/ALE yenidən hesablanması → sahibləri tərəfindən review → komitə prioritetləşdirilməsi → Roadmap nəşri.

SOP-3: Hadisə tetikleyici

Critical/High hadisəsi zamanı - plandankənar yenidən hesablama, CAPA və prioritetlərin tənzimlənməsi.

SOP-4: Kəmiyyət təhlili (Top risklər)

Monte Carlo giriş paylanmasını hazırlayın (10k ≥) → itki əyriləri → Komitənin qərarı.

SOP-5: Arxiv və sübut

Export dilimləri (CSV/PDF) + hash qəbzləri → WORM arxivi → GRC kartlarındakı bağlantılar.

12) Şablonlar və «as-code»

12. 1 Skorinq siyasəti (fraqment)


scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Risk kartı (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 prioritetləşdirmə (WSJF nümunə)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Kompensasiya tədbirləri və waivers

Sürətli fiks mümkün deyilsə:
  • effektivlik metrləri ilə kompensasiya nəzarətlərini (əl yoxlamaları, limitlər, əlavə monitorinqlər) tətbiq edirik;
  • son tarix, sahibi və əvəz planı ilə waiver rəsmiləşdirmək;
  • 30-90 gün sonra məcburi re-audit.

14) Antipattern

KRI/control/insidentlərlə əlaqəsi olmayan «gözəl matris».
Üzən şkalalar və istədiyiniz nəticə üçün «əl sazlama».
Hesablamalar və fərziyyələr versiyası yoxdur.
Nadir reviziyalar → kart reallığı əks etdirmir.
Son tarix və kompensasiya tədbirləri olmadan Waivers.
Top risklər üçün kəmiyyət analizi yoxdur.

15) Yetkinlik modeli (M0-M4)

M0 Ad-hoc: «göz» qiymətləndirmələri, vahid siyasət yoxdur.
M1 Planlı: matris 5 × 5, rüblük yeniləmə, baza daşbordları.
M2 Nəzarət: KRI/CCM, CAPA-link, WORM-evidence ilə əlaqə.
M3 Inteqrasiya: ALE/FAIR/Monte Carlo top risk, WSJF/RICE Roadmap, CI/CD geytalar.
M4 Continuous Assurance: qabaqcadan KRI, avtomatik yenidən hesablama, tövsiyə prioritetlər və «evidence-by-design».

16) Əlaqəli wiki məqalələr

Termal risk xəritəsi

Risk Yönümlü Audit (RBA)

KPI və komplayens metrikası

Davamlı uyğunluq monitorinqi (CCM)

Pozuntuların aradan qaldırılması planları (CAPA)

Siyasət və normativlər anbarı

Komplayens yol xəritəsi

Üçüncü auditorlar tərəfindən xarici yoxlamalar

Yekun

Risklərin hesablanması və prioritetləşdirilməsi sənət deyil, mühəndislik intizamıdır: sabit şkalalar və siyasətlər, sübut olunan məlumatlar, top risklər üçün kəmiyyət metodları, açıq hədlər və eskalasiyalar, həmçinin CAPA və yol xəritəsi ilə birbaşa əlaqə. Bu yanaşma qərarları proqnozlaşdırıla bilən edir, koordinasiyanı sürətləndirir və ümumi biznes riskini azaldır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.