Βαθμολόγηση και ιεράρχηση των κινδύνων

1) Σκοπός και αποτελέσματα

• συγκρίσιμες (ενοποιημένες κλίμακες και τύποι),
• διαφανείς (τεκμηριώνονται πηγές δεδομένων και παραδοχές),
• μετρήσιμες (μετρήσεις και KRI που συνδέονται με χειριστήρια και συμβάντα),
• εκτελέσιμο (κάθε κίνδυνος αντιστοιχεί σε σχέδιο CAPA/παραίτησης με ημερομηνία λήξης).

Εκροές: ενοποιημένο μητρώο κινδύνων, εκκρεμή μέτρα προτεραιότητας, χάρτες θερμότητας, εκθέσεις υπολειπόμενου κινδύνου, τεχνουργήματα που είναι έτοιμα για λογιστικούς ελέγχους.

2) Όροι και επίπεδα κινδύνου

Εγγενής κίνδυνος - κίνδυνος εξαιρουμένων των ελέγχων.
Υπολειπόμενος κίνδυνος - κίνδυνος, λαμβανομένων υπόψη των τρεχόντων ελέγχων (επαληθευμένο ToD/ToE/CCM).
Κίνδυνος-στόχος - επίπεδο-στόχος μετά από CAPA/αντισταθμιστικά μέτρα.
Πιθανότητα (L) - πιθανότητα εμφάνισης σεναρίου στον ορίζοντα αξιολόγησης.
Αντίκτυπος (I) - το μεγαλύτερο μέρος: χρηματοδότηση, άδειες/νόμος, ιδιωτικότητα/δεδομένα, λειτουργίες/SLO, φήμη.
KRI - δείκτες κινδύνου που επηρεάζουν την L/I (για παράδειγμα, dsar_response_p95, λόγος φόρτισης).

3) Κλίμακες και βασικά μοντέλα

3. 1 Διακριτός πίνακας (5 × 5 ή 4 × 4)

Βαθμολογία = L × I → εύρος 1- 25 (ή 1- 16).

• 20-25 = Κρίσιμη, 12-19 = Υψηλή, 6-11 = Μεσαία, 1-5 = Χαμηλή.
• Τα κατώτατα όρια δημοσιεύονται στην πολιτική βαθμολόγησης και εφαρμόζονται πάντοτε σε όλους τους τομείς.

• 1 - μία φορά σε> 3 έτη, 2 - μία φορά κάθε 1-3 έτη, 3 - ετησίως, 4 - τριμηνιαία· 5 µηνιαίες/συχνότερες.

• 1 - <€10k, 2 - €10 -100k, 3 - €100 -300k, 4 - €300k - €1m, 5 - >€1m, με νομικούς/αδειοδοτικούς κινδύνους, το επίπεδο ανέρχεται τουλάχιστον σε 4-5.

3. 2 Ποσοτικά μοντέλα

ALE (Ετήσια προσδοκία απώλειας): 'ALE = SLE × ARO', όπου 'SLE' είναι η μέση ζημία ανά συμβάν, 'ARO' είναι η αναμενόμενη συχνότητα ανά έτος.
Προσέγγιση FAIR (απλούστευση): προσομοιώνουμε τη συχνότητα (Συχνότητα γεγονότων απειλής) και την αξία των απωλειών (Μέγεθος ζημιών), χρησιμοποιούμε εκατοστημόρια (p50/p95) για να λάβουμε μια απόφαση.
Monte Carlo: κατανομές για συχνότητα και βλάβη (lognorm/γάμμα κ.λπ.), 10-100k τρέχει → καμπύλες απώλειας (καμπύλη υπέρβασης απώλειας). Εφαρμογή για τους πιο δαπανηρούς/ρυθμιστικούς κρίσιμους κινδύνους.

Σύσταση: 80% των περιπτώσεων - πίνακας 5 × 5, 20% (ανώτατοι κίνδυνοι) - ALE/FAIR/Monte Carlo.

4) Υπολειμματικός και στοχευόμενος κίνδυνος

1. Υπολογίζεται η εγγενής από παραδοχές «χωρίς ελέγχους».
2. Εξέταση της αποτελεσματικότητας των υφιστάμενων ελέγχων (ToD/ToE/CCM) → Υπολειμματικό.
3. Προσδιορισμός του στόχου λαμβάνοντας υπόψη τα σχεδιαζόμενα/αντισταθμιστικά μέτρα CAPA και την ημερομηνία επίτευξης.
4. Εάν το Target ≤ το όριο ανοχής (όρεξη κινδύνου) - ok; εάν όχι, απαιτείται παρέκκλιση από την προθεσμία λήξης και αντισταθμιστικοί έλεγχοι.

5) Πηγές δεδομένων και αποδεικτικά στοιχεία

Μετρική και KRI (ταμπλό, αρχεία καταγραφής, αναφορές συμβάντων).
Αποτελέσματα δοκιμών ελέγχου (CCM), έλεγχοι (εσωτερικοί/εξωτερικοί).
Αναφορές παρόχου: SLA/πιστοποιητικά/περιστατικά/αλλαγές σε τοποθεσίες δεδομένων.
Χρηματοοικονομική ανάλυση: πρόστιμα, χρέωση, απώλεια απάτης%.
Κάθε βαθμολογία συνοδεύεται από αποδεικτικά στοιχεία με χρονοσφραγίδα και απόδειξη χασίς (WORM).

6) Ιεράρχηση των πρωτοβουλιών (μεταφορά κινδύνων)

6. 1 ΡΥΖΙ (προσαρμογή κινδύνου)

«RICE = (Reach × Impact_adj × Εμπιστοσύνη )/Κόπωση»

Reach - πόσοι πελάτες/συναλλαγές/περιοχές δικαιοδοσίας επηρεάζονται.
μεταμορφώθηκε I (ή ALE/απώλεια p95).
Εμπιστοσύνη - αξιοπιστία των αξιολογήσεων (0. 5/0. 75/1. 0).
Προσπάθεια - ανθρωποεβδομάδες/κόστος.
Διαλογή ρυζιού → γρήγορα τελειώνει.

6. 2 σταθμισμένο κατά τον κίνδυνο WSJF

«WSJF = Κόστος καθυστέρησης/μεγέθους εργασίας», где

«Κόστος καθυστέρησης = μείωση κινδύνου + κρισιμότητα χρόνου + επιχειρηματική αξία».

Μείωση κινδύνου είναι η αναμενόμενη μείωση του υπολοίπου/ALE.
Κρίσιμη χρονική στιγμή - προθεσμίες των ρυθμιστικών αρχών/ελέγχων.
Επιχειρηματική αξία - έσοδα/αποταμιεύσεις, εμπιστοσύνη των πελατών.

6. 3 Κανονιστική προτεραιότητα

Εάν ο κίνδυνος σχετίζεται με άδειες/νόμους και υπάρχει μια δύσκολη προθεσμία, πέφτει αυτόματα σε Κρίσιμη/Υψηλή, ανεξάρτητα από την «οικονομική» βαθμολογία.

7) Κανόνες κατωφλίου και κλιμακώσεις

Κρίσιμη: άμεση τριάδα, CAPA ≤ 30 ημέρες, επανέλεγχος σε 60-90 ημέρες. εβδομαδιαία επιτροπή.
Η ασφάλεια και η αποτελεσματικότητα του ViraferonPeg σε παιδιά και εφήβους ηλικίας κάτω των 18 ετών δεν έχουν ακόμα τεκμηριωθεί.
Μέσο: Συμπερίληψη στο τριμηνιαίο σχέδιο.
Χαμηλή: ικανότητα παρακολούθησης + «τεχνολογικού χρέους» χρονοθυρίδων.
Κατώφλια KRI: κίτρινο (προειδοποίηση) και κόκκινο (υποχρεωτική κλιμάκωση και CAPA).

8) Ρόλοι και ΠΓΣ

9) Πίνακες ταμπλό

Θερμικός χάρτης κινδύνου: πίνακας 5 × 5, φίλτρα ανά τομέα/χώρα/πάροχο.
Χωνί κινδύνου: εγγενής → Στόχος υπολειμματικών →.
Top-N κατά ALE/p95 Ζημία: ποσοτικοί κίνδυνοι.
Λίστα παρακολούθησης KRI: δείκτες και κατώφλια, συναγερμός κίτρινου/κόκκινου χρώματος.
Επίπτωση CAPA: αναμενόμενη/πραγματική μείωση· την πρόοδο όσον αφορά τα χρονοδιαγράμματα.
Εξαιρέσεις: τρέχουσες εξαιρέσεις, προθεσμίες και αντισταθμιστικά μέτρα.

10) Μετρήσεις επιδόσεων

Δείκτης μείωσης κινδύνου: ∆ σταθμισμένο μέσο ποσοστό κινδύνου (τρίμηνο/τρίμηνο).
Έγκαιρη CAPA:% των μέτρων εγκαίρως (λόγω σοβαρότητας).
Επαναλαμβανόμενα ευρήματα (12 μήνες): ποσοστό επαναλαμβανόμενων παραβιάσεων.
Στοιχεία Πληρότητα:% κίνδυνοι με πλήρη δέσμη (100% στόχος για υψηλό +).
Ακρίβεια πρόβλεψης: απόκλιση εκτιμώμενων και πραγματικών απωλειών/συχνοτήτων.
Time-to-Triage/Time-to-Plan/Time-to-Target.

11) SOP (τυποποιημένες διαδικασίες)

: Αρχικοποίηση και κλίμακες

Να καθοριστούν κλίμακες L/I και κατώτατα όρια κατηγορίας → να εγκριθούν στο αρχείο → επιτροπής στο αποθετήριο (έκδοση).

: Τριμηνιαία αναπροσαρμογή

Συλλογή ΚΡΙ/περιστατικών → επανυπολογισμός της L/I/ALE → επανεξέταση από τους ιδιοκτήτες → προτεραιότητα επιτροπής → δημοσίευση του χάρτη πορείας.

: Περιστατικό Trigger

Σε περίπτωση κρίσιμου/υψηλού περιστατικού - απρογραμμάτιστος επανυπολογισμός, προσαρμογή του CAPA και προτεραιότητες.

: Ποσοτική ανάλυση (Top-risks)

Ετοιμάστε τις διανομές εισροών → Monte Carlo (≥10k τρέχει) → καμπύλες απωλειών → απόφαση της Επιτροπής.

: Αρχείο και αποδεικτικά στοιχεία

Εξαγωγικές φέτες (CSV/PDF) + αποδείξεις χασίς → αρχείο WORM → συνδέσμους σε κάρτες GRC.

12) Υποδείγματα και «as-code»

12. 1 Πολιτική βαθμολόγησης (snippet)

scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Κάρτα κινδύνου (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Προτεραιότητα (παράδειγμα WSJF)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Αντισταθμιστικά μέτρα και παρεκκλίσεις

• εισάγουμε αντισταθμιστικούς ελέγχους (χειροκίνητους ελέγχους, όρια, πρόσθετη παρακολούθηση) με μετρήσεις επιδόσεων·
• εκδίδουμε απαλλαγή με ημερομηνία λήξης, ιδιοκτήτη και σχέδιο αντικατάστασης·
• υποχρεωτικός επανελέγχος σε 30-90 ημέρες.

14) Αντιπατερίδια

«Όμορφος πίνακας» χωρίς σύνδεση με KRI/χειριστήρια/περιστατικά.
Πλωτές κλίμακες και «χειροκίνητη ρύθμιση» στο επιθυμητό αποτέλεσμα.
Έλλειψη έκδοσης υπολογισμών και παραδοχών.
Σπάνιες αναθεωρήσεις → χάρτη δεν αντικατοπτρίζουν την πραγματικότητα.
Εξαιρέσεις χωρίς ημερομηνία λήξης και χωρίς αντισταθμιστικά μέτρα.
Έλλειψη ποσοτικής ανάλυσης για τους κορυφαίους κινδύνους.

15) Υπόδειγμα ληκτότητας (M0-M4)

M0 ad-hoc: εκτιμήσεις «με τα μάτια», δεν υπάρχει ενιαία πολιτική.
M1 Προγραμματισμένο: πίνακας 5 × 5, τριμηνιαίες επικαιροποιήσεις, βασικά ταμπλό.
M2 Διαχείριση: επικοινωνία με KRI/CCM, σύνδεση CAPA, στοιχεία WORM.
M3 Ολοκληρωμένη: ALE/FAIR/Monte Carlo για κορυφαίους κινδύνους, WSJF/RICE στον χάρτη πορείας, πύλες CI/CD.
M4 Συνεχής διασφάλιση: προγνωστική KRI, αυτόματος επανυπολογισμός, προτεραιότητες σύστασης και τεκμηρίωση ανά σχεδιασμό.

16) Συναφή άρθρα wiki

Χάρτης κινδύνου θερμότητας

Έλεγχος βάσει κινδύνων (RBA)

KPI και μετρήσεις συμμόρφωσης

Συνεχής παρακολούθηση της συμμόρφωσης (CCM)

Σχέδια αποκατάστασης (CAPA)

Αποθετήριο πολιτικής και συμμόρφωσης

Χάρτης πορείας για τη συμμόρφωση

Εξωτερικοί έλεγχοι από εξωτερικούς ελεγκτές

Σύνολο

Η βαθμολόγηση των κινδύνων και η ιεράρχηση των προτεραιοτήτων είναι μηχανικός κλάδος, όχι τέχνη: σταθερές κλίμακες και πολιτικές, αποδεδειγμένα δεδομένα, ποσοτικές μέθοδοι για κορυφαίους κινδύνους, σαφή κατώτατα όρια και κλιμακώσεις, και άμεση σύνδεση με το CAPA και τον οδικό χάρτη. Η προσέγγιση αυτή καθιστά προβλέψιμες τις αποφάσεις, επιταχύνει τις εγκρίσεις και μειώνει τον συνολικό κίνδυνο της επιχείρησης.