风险评估

1）目标和原则

目的：及早发现和优先考虑影响SLO、收入、监管合规性和声誉的威胁。
原理：系统性,可测量性,可重复性,与业务价值挂钩,SLO-first。
结果：透明的风险组合，可理解的所有者，措施和截止日期。

2）术语

风险：不需要的事件的概率×影响。
风险胃口：组织可接受的残余风险水平。
脆弱性/影响/控制：弱点、触发因素和现有措施。
KRI （Key Risk Indicators）：超前指标（例如,p99潜伏期增长、消费者偏差、支付转换偏差）。

3） iGaming的风险分类

操作：过载、发行失败、队列、数据库缓存降级、数据中心/AZ/区域事件。
技术/安全性：DDoS、漏洞、泄漏、配置错误、对关键库的依赖。

支付/财务： 授权下降,充电板增长,提供商无法使用,FX兴奋,frod.

依赖性/生态系统：游戏提供商，CDN/WAF，KYC/AML，SMS/电子邮件网关失败。

合规/监管： 违反许可证要求,KYC/AML,负责任的游戏,数据存储.

产品/市场营销：不可预测的流量高峰（锦标赛、比赛、促销）、奖金分割失误。
声誉：由于事件或不遵守要求，媒体/社交网络中的负面影响。

4）风险评估程序（框架）

1.上下文设置：目标，SLO，监管要求，建筑边界，价值链。
2.识别：收集候选事件：事件回顾、依存审计、集思广益、检查表。
3.分析：定性（脚本，Bow-Tie）和定量（频率/分布）。
4.评估：与风险食欲比较，排名，优先级批准。
5.处理：预防、减少、转让（保险/合同）、接受（知情）。
6.监测和修订：KRI，控制有效性检查，注册表更新，就绪性测试。

5）质量技术

概率/影响矩阵：量表1-5（非常低……非常高）。按轴单独计数的影响：SLA/收入/监管/声誉。
Bow-Tie分析：原因→事件→后果；对每一方-预防和缓解控制。
FTA （Fault Tree Analysis）：关键服务（存款、出价、出价）的逻辑故障树。
HAZOP/IF：系统调查"如果怎么办？"通过接口和过程。

6）定量技术

ALE（匿名失落暴露）：ALE=SLE × ARO（预期年度损失）。
VaR/CVaR：在给定的信任水平下的风险资本（用于现金缺口/支付提供商）。
Monte-Carlo：以置信间隔模拟流量峰值/提供商故障/支付转换。
FMEA：严重程度（S），频率（O），可检测性（D）→ RPN=S × O × D，修复优先级。
可靠性数学：headroom、MTTF/MTTR、burn-rate错误预算、联合故障概率（AZ+提供程序）。

7）风险食欲和阈值

确定SLA损失、罚款、每小时/天收入损失的类别（高/平均/低）。
设置升级阈值：当事件/风险在级别之间移动时,需要收集设备。
请说明例外情况（临时接受风险）以及修订日期和关闭计划。

8）KRI和预警

• 性能：p95/p99 ↑，taymout生长，队列深度，cache-hit下降，repliclag。
• 付款：特定GEO/银行的 ↓授权，软贬值增长，AOV异常。
• 安全性：临界端点的4xx/5xx爆发，WAF阳性的增长，依赖性中的新CVE。
• 合规性：超出存储限制，KYC延迟，未处理自我检查的比例。
• 对于每个KRI-所有者，度量，阈值，源，自动变量。

9）影响评估（多轴）

SLA/SLO：目标外分钟/小时，对SLA奖励合作伙伴的影响。
财务：直接损失（未完成的交易,chargeback）,间接损失（churn,罚款）。
监管：制裁/吊销许可证/强制通知的风险。
声誉：NPS/CSAT，负面提及浪潮，对合作伙伴和彩带的影响。

10）风险处理（措施目录）

预防：避开有风险的眼镜/模式，限制闪光（tenant隔离，rate-limit）。
减少：DB硬化，缓存，池/配额，多支付提供商，金丝雀发行版。
转让：网络风险保险，合同中的SLA补偿，悬而未决。
接受：在受控残余风险下有记录的决定，并附有KRI和退出计划。

11）角色和RACI

Responsible： Risk/Ops/SRE/Payments/SecOps域所有者。

Accountable: Head of Ops/CTO/CRO.

Consulted: Product, Data/DS, Legal/Compliance, Finance.

Informed: Support, Marketing, Partner Management.

12）工件和模板

风险注册：ID，描述，类别，原因，概率，轴影响，现有控制，KRI，处理计划，所有者，期限。
Risk Heatmap：按部门/服务划分的汇总地图。
Dependency Map：关键的外部和内部依赖性，备份级别，联系方式。
Runbooks/Playbooks：触发KRI/事件、杀手交换、退化的具体步骤。
季风风险评论：一系列变化，封闭/新风险，KRI趋势，控制效率。

13）与SLO/事件管理集成

风险转换为目标SLO（后端，error-rate，可用性）和错误预算。
KRI →警戒政策（快速/慢速燃烧率）。
在验尸后,请务必记录风险评估和控制调整的更新。

14）工具和数据

监视/观察可用性：度量，标志，跟踪；风险视图面板。
目录和CMDB：服务，所有者，从属组件。
GRC/Task跟踪器：存储风险、状态和活动审核注册表。
数据/ML：异常模型，负载/故障预测，蒙特卡洛模拟。

15）实施路线图（8-10周）

奈德。1-2：上下文和框架；关键服务和依赖项列表；确定风险食欲。
奈德。3-4：初级风险识别（锻炼,复古）,注册表填写,草稿热图。
奈德。5-6：设置KRI和alerts，绑定到SLO；Bow-Tie/FTA推出前5名风险。
奈德。7-8：财务上重要的情景的定量评估（ALE/VaR/Monte-Carlo）；批准处理计划。
奈德。9-10：准备就绪测试（游戏日，失败者），阈值校正，启动季度审查。

16）风险评估示例（iGaming）

1.黄金时段PSP-1授权失败

概率：平均；影响：高收入（SLA）。
KRI：银行/GEO授权转换，软决策线增长。
措施：多供应商、健康与保健漫游、紧缩转发、停顿限制。

2.LF比赛当天的DB投注超载

概率：平均；影响：高（SLO）。
KRI： lag复制,p99查询,lock-wait增长。
措施：缓存/CQRS，硬化，线路预加载，仅读取幻灯片部分模式。

3.DDoS到公共API

概率：低中度；影响：高（可用性，声誉）。
KRI：SYN/HTTP激增，WAF触发器。
措施：CDN/WAF，限价，令牌，kapchi，机器人流量隔离。

4.KYC存储的监管不匹配

概率：低；影响：非常高（罚款/许可）。
KRI：延迟检查>SLA,超过保留。
措施：策略即代码，自动TTL，审核和数据验证。

17）反模式

没有注册表和KRI的眼睛分数。
没有钱和SLO链接的矩阵→错误的优先级。
罕见的评论（事件发生后登记册没有更新）。
仅在没有实现控制/测试的情况下对文档进行"处理"。
忽略外部依赖和合同SLA。

18）报告和沟通

执行摘要：十大风险，KRI趋势，剩余风险vs胃口，关闭计划。
Te-report：控制效率、游戏日结果、阈值变化。
规律性：每月审查+季度深度重新评估。

底线

风险评估不是静态文件，而是实时周期：确定→考虑→同意风险胃口→选择和实施措施→通过数据和练习进行测试→更新注册表。这样的回路将运营决策与业务价值联系起来，并降低事件的频率/规模，同时持续遵守SLO和监管机构的要求。