热风险图

1）目的和价值

风险热图（Risk Heatmap）是通过"概率×影响"矩阵对风险进行排名和通信的视觉工具，与控制，度量和行动计划相关。

• 一种单一的优先排序语言（商业、商业、法律）；
• 透明的SARA/投资解决方桉；
• 跟踪扬声器（措施之前/之后），准备就绪。

2）分类学和覆盖范围

• 监管机构/许可证,隐私/数据,IB/技术流程, 付款/AML/KYC,运营/可用性,营销/负责任广告,供应商/VRM。

• 辖区/市场，业务线/产品，服务/平台，关键提供商。

3）概率与影响量表

3.1概率（5级量表示例）

1.很少（每次>3 年/p <5%）

2.低（每1-3年一次）

3.平均（每年）

4.高（季度）

5.非常高（每月/更频繁）

3.2影响（多因素）

• 财务：直接损失/罚款/充电。
• 许可证/法律后果：暂停、禁止、调查。
• 隐私/数据：PII的范围，通知，监督行动。
• Operation/Uptime：MTTR，SLO，中断版本，RTO/RPO。
• 声誉：媒体，社交媒体，合作伙伴制裁。
• 1-5比例尺具有明确的阈值（例如：1：<10k，5：>1m）。

4）评分和风险水平

个人风险："Score=Likelihood × Impact"（1-25）。

• 20-25-Critical（红色）
• 12-19-High（橙色）
• 6-11-Medium（黄色）
• 1-5-Low（绿色）
• 剩余风险：在考虑到目前的控制之后（效率由ToD/ToE/CCM确认）。
• 目标风险（Target）：在计划措施之后；记录到达日期。

5）数据源和与控制器的通信

GRC注册表：风险说明，所有者，当前/目标评估。
SSM/度量标准：通过率控制规则，事件，KRI。
供应商/VRM：证书，SLA，事件，数据位置更改。
财务/付款：罚款，收费率，欺诈率。
影响量表的所有值都必须具有事件参考（logi/report）和时间戳。

6）聚合与整合

Bottom-up：从服务/辖区到域和公司。
聚合规则：Impact的最大值，Likelihood的温度或加权中位（按业务量）。
单个层（layers）：内置（无控制）、住宅（带控制）、目标（在CAPA之后）。
分享相关风险（例如一般的基础设施漏洞）和独立风险。

7）可视化

带颜色编码的矩阵5 × 5；使用弹出卡的交互式风险点（说明、所有者、控制、CAPA）。
图层开关：Inherent/Residual/Target。
过滤器：管辖权，产品，域，提供商，时期。
"前/之后"措施趋势和30-90天的"漂移"（漂移）。

8）角色和RACI

9）KRI和升级阈值

• 隐私：dsar_response_p95，TTL删除，投诉/监察员。
• 安全：p95 TTR漏洞，关键的"红色"CCM规则份额，SoD违规。
• 薪水：chargeback ratio, fraud loss%, win-rate上诉。
• 操作：SLO突破率，p1/p2事件，RTO/RPO测试。
• 升级：Amber在退出警告阈值时,Red是强制性的CAPA和关键区域的"停止线"。

10）与CAPA的决策和沟通

对于每个"红色"点，必须制定一项行动计划：Corrective/Preventive，所有者，截止日期，预算，KPI成功。

• 批评：CAPA ≤ 30天，re-audit 60-90天；委员会每周举行一次。
• 高度：CAPA ≤ 60天，观察90天。
• Medium/Low：进入季度/半年度计划。
• 如果无法减少，则为具有到期日期和补偿控制的Waiver。

11）Dashbords（最低）

Heatmap View：当前矩阵+住宅/目标层。
风险趋势：分数动态，"在CAPA之前/之后"。
Controls Linkage：风险通过CCM，"红色"门。
监管曝光：司法管辖区和许可证风险。
Vendor Risk：关键供应商热卡（证书、SLA、事件）。
审核就绪：完全无拘无束的证据/风险哈希收据。

12）效率指标

风险减少指数：按季度∆加权平均风险悬崖。
上次CAPA：按时计费的百分比（按severity）。
Repeat Findings （12个月）：按相关风险重播的比例。
Evidence Completeness：全套证据的风险百分比。
Drift After Fix： 30-90天后返回"红色"区域的桉例。
Coverage：在地图上反映的业务资产/司法管辖区的份额。

13） SOP（标准程序）

SOP-1： 技术的初始化

确定比额表和门槛→在委员会中商定→记录在储存库中（审查）。

SOP-2： 季度周期

输入数据收集/KRI →所有者重新计算→评分→委员会决定→发布行车记录板→导出"审计包"。

SOP-3： 触发事件

在Critical/High事件中-计划外地图更新，绑定到CAPA和重新审核计划。

SOP-4： 温多尔赛道

VRM调查/证书→供应商风险更新→镜像措施确认（Vendor Mirror）。

SOP-5： 档桉和证据

快照热图（PDF/PNG/CSV）+哈希收据→ WORM存档→ GRC中的链接。

14）工件模板

14.1风险卡（片段）

ID/名称、所有者、域名/司法管辖区

Likelihood/Impact/Inherent/Residual/Target

控制（ID，度量，CCM规则）

KRI和实际值

CAPA/Waivers,日期,预算,KPI

Evidence链接和哈希收据

14.2量表政策（摘录）

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14.3前后报告"

heatmap截图（Residual vs Target）

风险变化表∆

执行CAPA、可持续性指标

15）反模式

"美丽的图片"不涉及控制/KRI和CAPA。
模煳量表→估计的操纵。
缺乏考试成绩/分数变化的证据。
在没有汇总规则的情况下汇总不可比风险。
罕见的更新→地图并不能反映现实。
Waivers没有时间表和补偿措施。

16）成熟度模型（M0-M4）

M0 Ad-hoc：一次性图片,没有方法/指标。
M1计划：商定比额表，季度更新。
M2可管理：与控制/KRI、CAPA、dashbords、WORM存档的捆绑。
M3集成：自动重新计算（CCM），policy -/assurance-as-code，司法管辖区/供应商切片。
M4连续保证：谓词KRI，脚本建模，"如果"，优先级建议。

17）相关文章wiki

以风险为导向的审计（RBA）

KPI和合规度量

连续合规性监控（CCM）

补救计划（CAPA）

重复审计和执行情况监测

策略和规范存储库

合并路线图

合作伙伴合规指南/VRM

底线

热风险图不是报告，而是控制机制：统一量表，与控制和KRI的通信，定期更新，可证明的解决方案以及措施后的可持续性控制。这种方法使优先级客观化，加快委员会决策并保持持续的"审核就绪"准备。