风险登记册和评估方法
1)注册表中的原因和内容
目的:建立统一的系统来描述、评估、优先考虑和监测影响金钱的风险、许可证、参与者、数据和声誉。
覆盖范围:产品/工程(SDLC/事件),财务和支付(PSP/结论),KYC/AML/制裁,隐私(GDPR),TPRM/供应商,营销/SDK,数据(DWH/BI),基础设施/云/数据。R,札幌操作和VIP。
2)风险分类法(示例)
信息安全和隐私:PII/KYC泄漏,未经授权的访问,无法编译,DSAR伪造。
法规/合规性:违反许可证条款,AML/KYC/制裁,广告禁令。
运营/技术:PSP/KYC市区,发布缺陷,后期退化,DR事件。
欺诈/滥用:欺诈存款,奖励借口,付款攻击模式。
财务:合作伙伴流动性,冲击,专注于单个PSP。
Vendor/供应链:易受攻击的SDK, TOM低的子处理器。
声誉/客户:投诉激增,NPS下降,RG违规。
战略/地缘政治:制裁,税收/法律变更,交通堵塞。
3)风险卡(必填字段)
ID/风险名称
类别(来自分类学)
事件描述(可能发生的事情)和原因
受影响资产/流程/司法管辖区
风险所有者(风险所有者)和策展人(Sponsor)
现有控制(预防/侦探/纠正)
控制前的概率(P)和影响(I)(单数)
控制后残余风险(居住)
处理计划: 减少/避免/接受/转让
升级阈值/威胁级别(Low/Medium/High/Critical)
KRI和触发器、指标和数据源
状态和期限(Next Review)、相关的SARA/tikets
与控制注册表(ID控制)和策略的通信
审计/委员会的评论(最近的决定)
4)评分量表(默认为5 × 5)
4.1概率(P)
1-很少(<1/5年)
2-低(1/2-5岁)
3-平均每年)
4-高(季度)
5-非常高(月份/频率)
4.2影响(I)-从分支中选择最大值
财务: 1: <10k· 2:10-100 k· 3: 100k-1m· 4: 1-5m· 5:> 5m
隐私/数据: 1: <1k条目·5:> 1M条目/特别条目
监管机构/许可证: 1:警告·3:罚款/检查·5:吊销许可证
可用性(SLO/SLA): 1:<15 min· 5:>关键区域8小时
最终得分:'R=P × I' →级别:1-5 Low,6-10 Medium,12-16 High,20-25 Critical。
(阈值可以适应公司。)
5)热卡矩阵和风险偏好
风险附录: 域公差文档(例如,PII泄漏-零容忍度;市区P95-≤ X分钟/月;chargeback rate — ≤ Y%).
Heatmap:R成像5 × 5;高于胃口-需要CAPA的计划和时间表。
风险预算:"接受"风险的配额,并附有理由(经济可行性)。
6)评估方法
6.1质量(快速启动)
根据P/I量表进行专家评估+理由,与事件历史和KRI数据进行对账。
6.2定量(Top-10的优先级)
FAIR方法(简化):事件频率×损害概率分布(P10/P50/P90);用于比较下降选项。
Monte Carlo (1000-10k运行):损坏和频率变异性→ Loss Exceedance Curve(损失概率>X)。
TRA(目标风险分析):用于选择监控/控制频率的点分析(与PCI/供应商相关)。
7) KRI和来源
域的示例:- 可用性/操作:MTTR、5xx错误、P95 latency、P1/P2事件、%自动轨迹、群集容量。
- 安全/隐私:%MFA封面,尝试信用挤压,不寻常的出口,DSAR SLA,反恶意标志。
- 付款:PSP收费率、chargeback收费率、银行故障、手持卡索份额。
- KYC/AML:TAT,假正价,制裁命中,升级份额。
- 供应商:SLA合规性、潜伏期漂移、事件发生率、证书相关性。
KRI与风险相关联,并在超出阈值时触发升级。
8)风险生命周期(工作流)
1.卡的识别→注册。
2.评估(单一)→控制制图→驻地评估。
3.处理解决方案(处理)和CAPA计划(日期/所有者)。
4.监视KRIs/事件,更新卡片。
5.季度风险委员会:Top-N修订,重新定义食欲。
6.关闭/合并或转换为监视(观察列表)。
9)与管制和审计的沟通
每个风险都必须引用特定的控制(请参阅"内部控制及其审核"):- 预防:RBAC/ABAC,SoD,限制,加密,WebAuthn,分段。
- 侦探:SIEM/Alerts,对账,WORM博客,UEBA。
- 纠正:回扣,付款锁定,钥匙召回,紧急补丁。
- 在DE/OE审核中,检查对照组将风险降低到食欲并稳定运行。
10)卡示例(YAML,片段)
10.1通过Vendor SDK泄漏PII (Tier-1)
yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5 # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-1510.2 PSP退化:付款授权失败
yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"11)汇总和投资组合管理
Top-N (Risk Register View):按住宅R和"高于食欲"排序。
主题(风险主题):集群(供应商,隐私,PSP)→主题所有者。
相互依存的地图:riski↔kontroli↔vendory↔protsessy。
场景和压力测试:如果"PSP#1和KYC#1没有2小时?"-总损失评估和行动计划。
LEC (Loss Exceedance Curve):理事会/董事会年度损失概况。
12)升级阈值和信号
运营:SLO/SLA违规行为→事件P1/P2。
合规性/保密性:重建过多,DSAR未完成,导出没有"purpose" → DPO/Legal立即升级。
Vendor:在供应商处重复SLA中断→ CAPA,合同修订。
金融:chargeback退出>阈值→手动检查、限额/奖金调整。
13)RACI(集合)
14)风险管理体系指标(KPI/KRI)
Coverage: 100%的关键流程都有记录的风险和所有者。
时间回顾:≥ 95%的卡片按时修改。
Above Appetite: ↓ QoQ风险比例高于食欲。
CAPA Closure (High/Critical):按时≥ 95%。
检测拉格:从KRI偏转到升级(趋于↓)的时间中位数。
事件恢复:重复事件的一个原因-0。
15)支票单
15.1卡片制作
- 事件/原因的类别和描述
- 资产/流程/管辖区注明
- P/I(独立)和有理由的居民评分
- Mapping Control (ID), KRI和数据源
- SARA计划/时限/所有者
- 升级阈值和威胁级别
15.2季度委员会
- 按居住和食欲排名前10位
- 新的/发育中的风险,法律/供应商的变化
- CAPA状态和逾期
- 决定:接受/减少/转让/避免;更新食欲/阈值
16)实施路线图(4-6周)
第一至第二周:批准分类法,规模,食欲;选择工具(表/BI/IRM)。根据关键过程创建10-15张起始卡。
3-4周:将风险与控制和KRI联系起来;建造热卡/dashbords;启动风险委员会。
5-6周:引入Top-5量化(FAIR/Monte Carlo light),自动收集KRI,正式升级和向董事会报告。
17)相关的wiki部分
内部控制及其审计,ISO 27001/27701,SOC 2,PCI DSS,IGA/RBAC/Least Privilege,TPRM和SLA,事件和泄漏,DR/BCP,Log Policy和WORM-用于整个"风险→控制→证据指标"周期→".
TL;DR
工作风险登记册=清晰的分类法+标准化量表+食欲/阈值→与所有者、控制者和KRIs的卡片→热卡和委员会→按时优先量化顶级风险和CAPA。这使得风险是可管理的,可比较的,并且可以证明对董事会和监管机构。