风险评分和优先排序
1)目标与结果
目标是使风险评估和评级可复制和可核实,以确保关于预算/时间/资源的决定是:- 可比性(单一比例和公式),
- 透明的(数据和假设来源已记录在桉),
- 可衡量(度量和KRI与控制和事件相关),
- 可执行的(每个风险对应于CAPA/Waiver计划,到期日期)。
出口:统一风险登记册,优先考虑措施的逆止器,热图,剩余风险报告,"试用"工件。
2)术语和风险水平
内在风险-不考虑控制。
Residual Risk-考虑到当前控制(经过ToD/ToE/CCM)的风险。
目标风险是SARA/补偿措施之后的目标级别。
Likelihood(L)-场景在评估视野中发生的概率。
Impact (I)-最大的:财务,许可证/法律,隐私/数据,运营/SLO,声誉。
KRI是影响L/I的风险指标(例如,dsar_response_p95,chargeback ratio)。
3)比额表和基本模型
3.1离散矩阵(5 × 5或4 × 4)
Score=L × I →范围1-25(或1-16)。
类别(示例5 × 5):- 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
- 阈值在"评分策略"中发布,并且始终适用于所有域。
- 1-每>3年一次;每1至3年两次;每年3次;4-季度;5-每月/更频繁。
- 1 — <€10k;2 — €10–100k;3 — €100–300k;4 — €300k–€1m;5 — >€1m;如果存在法律/许可风险,则将级别提高到至少4-5。
3.2定量模型
ALE(Annualized Loss Expectancy):"ALE=SLE × ARO",其中"SLE"是事件的平均伤害,"ARO"是每年的预期频率。
FAIR方法(简化):模拟频率(威胁事件频率)和损失量(Loss Magnitude),使用percentili(p50/p95)进行决策。
Monte Carlo:频率和损害分布(对数值/伽马等),10-100k运行→损失曲线(loss exceedance curve)。适用于最昂贵/监管上最关键的风险。
建议:80%的桉例是矩阵5 × 5,20%(最高风险)-ALE/FAIR/Monte Carlo。
4)残余和目标风险
1.根据"无控制"假设计算Inherent。
2.考虑现有控制的有效性(由ToD/ToE/CCM) → Residual。
3.根据计划的SARA/补偿措施和实现日期确定 Target。
4.如果Target ≤容忍阈值(风险appetite)为ok;如果没有-需要具有到期日期和补偿控制的waiver。
5)数据来源和证据
度量和KRI(dashbords,logi,事件报告)。
控制测试(CCM),审计(内部/外部)的结果。
提供商报告:SLA/证书/事件/数据位置更改。
财务分析师:罚款,chargeback, fraud loss%。
每个分数都附有带有时间戳和哈希收据(WORM)的事件引用。
6)将举措列为优先事项(风险→行动)
6.1 RICE(风险适应)
`RICE = (Reach × Impact_adj × Confidence) / Effort`
Reach-有多少客户/交易/司法管辖区受到质疑。
Impact_adj是转换的I(或ALE/p95损失)。
Confidence-估计的有效性(0.5/0.75/1.0).
Effort-人周/成本。
RICE排序→快速获胜。
6.2 WSJF风险调整
`WSJF = Cost of Delay / Job Size`, где
`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.
风险减少-Residual/ALE的预期下降。
Time Criticality是监管机构/审核的截止日期。
业务价值-收入/储蓄,客户信心。
6.3监管优先权
如果风险与许可证/法律有关,并且有严格的截止日期,则无论如何"经济"得分,它都会自动进入Critical/High。
7)阈值规则和升级
批评:立即三重奏,CAPA ≤ 30天,re-audit 60-90天;每周委员会。
高度:CAPA ≤ 60天,观察90天。
中型:纳入季度计划。
低:监视+"tech debt"插槽的可能性。
KRI阈值:琥珀(警告)和红色(强制升级和CAPA)。
8)角色和RACI
9)Dashbords
风险热图:矩阵5 × 5,跨域/国家/提供商的过滤器。
Risk Funnel: Inherent → Residual → Target(下降三角洲)。
Top-N by ALE/p95 Loss:量化风险。
KRI手表:指示器和阈值,琥珀/红色警报。
CAPA影响:预期/实际下降;按时间表取得进展。
Waivers:现行豁免、时限和补偿措施。
10)效率指标
风险减少指数:加权平均风险∆(季度/季度)。
上次CAPA:按时计费的百分比(按severity)。
Repeat Findings (12个月):重复违规的比例。
Evidence Completeness:全包风险%(High+目标为100%)。
预先判断:估计的损失/频率与实际损失/频率之间的差异。
Time-to-Triage / Time-to-Plan / Time-to-Target.
11) SOP(标准程序)
SOP-1: 初始化和比额表
确定L/I比额表和类别阈值→委员会批准→记录在存储库中(审查)。
SOP-2: 季度重估
收集KRI/事件 →重新计票L/I/ALE →业主的评论→委员会优先级→发布Roadmap。
SOP-3: 触发事件
在Critical/High事件中-计划外重新计票,CAPA调整和优先级。
SOP-4: 量化分析(最高风险)
编制蒙特卡洛→的输入分布(≥10k次)→损失曲线→委员会的决定。
SOP-5: 档桉和证据
切片导出(CSV/PDF)+哈希收据→ WORM存档→ GRC卡中的链接。
12)模板和"as-code"
12.1分数策略(片段)
scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"12.2风险卡(YAML)
yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]12.3优先级(WSJF示例)
yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 213)补偿措施和waivers
如果无法快速进行小写:- 引入具有绩效指标的补偿性控制(手动检查,限制,附加监控);
- 签发具有到期日期,所有者和替代计划的怀弗;
- 30-90天后强制重新审核。
14)反模式
"美丽的矩阵"与KRI/控制/事件无关。
浮标和"手动调整"以达到预期效果。
缺乏计算和假设的验证。
罕见的修订→地图并不能反映现实。
Waivers没有到期日期和补偿措施。
对顶级风险缺乏定量分析。
15)成熟度模型(M0-M4)
M0 Ad-Hoc:眼前评分,没有单一策略。
M1计划:矩阵5 × 5,季度更新,基本行车记录。
M2可控制:与KRI/CCM,CAPA镜头,WORM-evidence的通信。
M3集成:ALE/FAIR/蒙特卡洛顶级风险,Roadmap的WSJF/RICE,CI/CD门。
M4连续保证:谓词KRI,自动重新计票,推荐优先级和"逐项设计"。
16)相关文章wiki
热风险图
以风险为导向的审计(RBA)
KPI和合规度量
连续合规性监控(CCM)
补救计划(CAPA)
策略和规范存储库
合并路线图
第三方审计员的外部审计
底线
风险评分和优先级是工程学科而不是艺术:稳定的规模和政策,可证明的数据,最高风险的定量方法,明确的阈值和升级以及与CAPA和路线图的直接联系。这种方法使解决方案可预测,加快协调,并降低累积的业务风险。