Risikoregister und Bewertungsmethodik

1) Warum und was im Register enthalten ist

Das Ziel: ein einheitliches System zur Beschreibung, Bewertung, Priorisierung und Überwachung der Risiken, die sich auf Geld (GGR/CF), Lizenzen, Spieler, Daten und Reputation auswirken.
Abdeckung: Produkt/Engineering (SDLC/Incidents), Finanzen und Zahlungen (PSP/Schlussfolgerungen), KYC/AML/Sanktionen, Datenschutz (GDPR), TPRM/Anbieter, Marketing/SDK, Daten (DWH/BI), Infrastruktur/Cloud/DR, Sapport- und VIP-Betrieb.

2) Risikotaxonomie (Beispiel)

Informationssicherheit und Datenschutz: PII/KYC-Lecks, unbefugter Zugriff, fehlgeschlagene Protokollierung, DSAR-Fails.
Regulierung/Compliance: Verstöße gegen Lizenzbedingungen, AML/KYC/Sanktionen, Werbeverbote.
Operativ/technologisch: PSP/KYC Downtime, Release Defekt, Latency Degradation, DR Incidents.
Betrug/Missbrauch: Betrugseinlagen, Bonus-Abuse, Payment Attack Patterns.
Finanziell: Liquidität der Partner, Chargeback-Schocks, Konzentration auf ein PSP.
Vendor/Supply Chain: anfällige SDKs, Subprozessoren mit niedrigen TOMs.
Reputation/Client: Anstieg der Beschwerden, NPS-Rückgang, RG-Verstöße.
Strategisch/geopolitisch: Sanktionen, Steuer-/Gesetzesänderungen, Verkehrssperren.

3) Risikokarte (Pflichtfelder)

ID/Name des Risikos

Kategorie (aus der Taxonomie)

Beschreibung des Ereignisses (was passieren kann) und der Ursache

Vermögenswerte/Prozesse/Jurisdiktionen unter Einfluss

Risikoverantwortlicher (Risk Owner) und Kurator (Sponsor)

Verfügbare Kontrollen (präventiv/detektiv/korrigierend)

Wahrscheinlichkeit (P) und Auswirkung (I) vor Kontrollen (inherent)

Restrisiko (residual) nach Kontrollen

Der Plan der Anrede (treatment): zu verringern / zu vermeiden / zu übernehmen / zu übergeben

Eskalationsschwelle/Bedrohungsstufe (Niedrig/Mittel/Hoch/Kritisch)

KRIs und Trigger, Metriken und Datenquellen

Status und Laufzeit (Next Review), zugehörige SARA/Tickets

Kommunikation mit dem Kontrollregister (Kontroll-ID) und den Richtlinien

Bemerkungen des Abschlussprüfers/der Ausschüsse (jüngste Beschlüsse)

4) Bewertungsskalen (standardmäßig 5 × 5)

4. 1 Wahrscheinlichkeit (P)

1 - Selten (<1/5 Jahre)

2 - Niedrig (1/2-5 Jahre)

3 - Durchschnitt (jährlich)

4 - Hoch (Quartal)

5 - Sehr hoch (Monat/häufiger)

4. 2 Einfluss (I) - Wählen Sie das Maximum aus den Zweigen

Finanzen: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Datenschutz/Daten: 1: <1k Datensätze·...· 5:> 1M Datensätze/Sonderkategorien

Aufsichtsbehörde/Lizenzen: 1: Warnung· 3: Strafe/Überprüfung· 5: Aussetzung der Lizenz

Verfügbarkeit (SLO/SLA): 1: <15 min·...· 5:> 8 h für kritische Bereiche

Endnote:'R = P × I '→ Stufen: 1-5 Niedrig, 6-10 Mittel, 12-16 Hoch, 20-25 Kritisch.

(Schwellenwerte können an das Unternehmen angepasst werden.)

5) Wärmekartenmatrix und Risikobereitschaft

Risk Appetite: Dokument mit Domänentoleranzen (z.B. PII Leaks - Null Toleranz; Downtime P95 - ≤ X min/mo; chargeback rate — ≤ Y%).
Heatmap: Visualisierung von R auf 5 × 5; über Appetit - erfordern CAPA Plan und Timing.
Risikobudget: Quoten für „akzeptierte“ Risiken mit Begründung (wirtschaftliche Machbarkeit).

6) Bewertungsmethoden

6. 1 Qualität (Schnellstart)

Expertenbeurteilungen nach P/I + -Skalen Begründung, Abgleich mit Ereignisverlauf und KRIs-Daten.

6. 2 Quantitativ (Priorität für Top-10)

FAIR-Ansatz (vereinfacht): Ereignishäufigkeit × Wahrscheinlichkeitsverteilung des Schadens (P10/P50/P90); nützlich für den Vergleich von Reduktionsoptionen.
Monte Carlo (1000-10k Läufe): Schadensvariabilität und Häufigkeit → Loss Exceedance Curve (Verlustwahrscheinlichkeit> X).
TRA (Targeted Risk Analysis): Punktanalyse zur Auswahl von Überwachungs-/Kontrollfrequenzen (relevant für PCI/Anbieter).

7) KRIs und Quellen

• Verfügbarkeit/Betrieb: MTTR, 5xx-Fehler, P95 Latenz, P1/P2-Vorfälle,% AutoScale, Cluster-Kapazität.
• Sicherheit/Datenschutz:% MFA-Abdeckung, Credential Stuffing-Versuche, ungewöhnliche Exporte, DSAR SLA, Anti-Malvar-Flaggen.
• Zahlungen: Auth Rate auf PSP, Chargeback Rate, Bank-Ausfall, Anteil der manuellen Kassierer.
• KYC/AML: TAT, falsche positive Rate, Sanktionshits, Anteil der Eskalationen.
• Anbieter: SLA-Compliance, Latenzdrift, Häufigkeit von Vorfällen, Relevanz von Zertifikaten.

KRIs binden sich an Risiken und lösen Eskalationen aus, wenn sie Schwellenwerte überschreiten.

8) Risikolebenszyklus (Workflow)

1. Identifizierung → Registrierung der Karte.
2. Bewertung (inherent) → Mapping von Kontrollen → Bewertung von residual.
3. Fallentscheidung (Behandlung) und CAPA-Plan (Termine/Besitzer).
4. Überwachung der KRIs/Vorfälle, Aktualisierung der Karte.
5. Vierteljährlicher Risikoausschuss: Überarbeitung der Top-N, Neuabstimmung des Appetits.
6. Schließung/Konsolidierung oder Überführung in die Überwachung (Watchlist).

9) Kommunikation mit Kontrollen und Audits

• Präventiv: RBAC/ABAC, SoD, Limits, Verschlüsselung, WebAuthn, Segmentierung.
• Detektiv: SIEM/Warnungen, Abstimmungen, WORM-Protokolle, UEBA.
• Korrekturen: Pullbacks, Auszahlungssperren, Schlüsselrückruf, dringende Patches.
• Im DE/OE-Audit wird geprüft, ob die Kontrollen das Risiko auf Appetit reduzieren und stabil arbeiten.

10) Beispielkarten (YAML, Fragmente)

10. 1 PII-Leck über Vendor SDK (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP-Degradierung: Scheitern der Zahlungsermächtigung

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Aggregation und Portfoliomanagement

Top-N (Risikoregisteransicht): Sortierung nach residual R und „über Appetit“.
Themen (Risk Themes): Cluster (Anbieter, Datenschutz, PSP) → Themenbesitzer.
Karten der gegenseitigen Abhängigkeit: riski↔kontroli↔vendory↔protsessy.
Szenarien und Stresstests: Was ist, wenn „PSP # 1 und KYC # 1 für 2 Stunden nicht verfügbar sind?“ - eine Schätzung des Gesamtschadens und einen Aktionsplan.
LEC (Loss Exceedance Curve): Jährliches Verlustprofil für Board/Board.

12) Eskalationsschwellen und Signale

Operational: SLO/SLA Verletzung → Incident P1/P2.
Compliance/Privacy: Überschreitung der Retention, Ausfall von DSAR, Export ohne „Purpose“ → sofortige Eskalation von DPO/Legal.
Vendor: wiederholte SLA-Pannen → CAPA beim Lieferanten, Vertragsrevision.
Financial: Chargeback-Ausgang> Schwelle → manuelle Kontrollen, Anpassung der Limits/Boni.

13) RACI (vergrößert)

14) Kennzahlen (KPI/KRI) des Risikomanagementsystems

Abdeckung: 100% der kritischen Prozesse haben registrierte Risiken und Eigentümer.
On-Time Review: ≥ 95% der Karten werden rechtzeitig überarbeitet.
Above Appetite: ↓ QoQ ist der Anteil der Risiken höher als der Appetit.
CAPA Closure (High/Critical): ≥ 95% auf Zeit.
Detection Lag: Die mediane Zeit von der Abweichung des KRI bis zur Eskalation (tendenziell ↓).
Incident Recurrence: wiederholte Vorfälle aus einem Grund - 0.

15) Checklisten

15. 1 Erstellen einer Karte

• Kategorie und Beschreibung des Ereignisses/der Gründe
• Assets/Prozesse/Jurisdiktionen markiert
• Bewertet von P/I (inherent) und residual mit Begründung
• Mupping Controls (ID), KRIs und Datenquellen
• SARA-Plan/Zeitrahmen/Eigentümer
• Eskalations- und Bedrohungsschwelle

15. 2 Quartalsausschuss

• Top 10 in residual und über Appetit
• Neue/aufstrebende Risiken, Gesetzesänderungen/Anbieter
• CAPA-Status und Verzug
• die Lösungen: prinjat/snisit/peredat/isbeschat; Aktualisieren Sie Appetit/Schwellenwerte

16) Umsetzungsfahrplan (4-6 Wochen)

Wochen 1-2: Taxonomie, Skalen, Appetit genehmigen; Werkzeug auswählen (Tabelle/BI/IRM). Erstellen Sie 10-15 Startkarten für kritische Prozesse.
Woche 3-4: Risiken mit Kontrollen und KRIs verknüpfen; bauen Sie eine Wärmekarte/Dashboards; Einrichtung eines Risikoausschusses.
Wochen 5-6: Implementieren Sie eine quantitative Bewertung für Top-5 (FAIR/Monte Carlo light), automatisieren Sie die Erfassung von KRIs, formalisieren Sie Eskalationen und berichten Sie an das Board.

17) Verwandte Themen wiki

Interne Kontrollen und Audits, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM und SLA, Vorfälle und Lecks, DR/BCP, Log Policy und WORM - für den gesamten Zyklus „Risiko → Kontrolle → Metrik → Beweis“.

TL; DR

Ein Arbeitsrisikoregister = klare Taxonomie + standardisierte Skalen + Appetit-/Schwellenwerte → Karten mit Inhabern, Kontrollen und KRIs → Wärmekarten und Ausschüsse → eine priorisierte Quantifizierung für Top-Risiken und CAPAs auf Zeit. Das macht die Risiken für Vorstand und Regulierer beherrschbar, vergleichbar und nachweisbar.