نقشه خطر گرما

1) هدف و ارزش

Risk Heatmap یک ابزار بصری برای رتبه بندی و ارتباط ریسک در سراسر ماتریس احتمال × تاثیر است که با کنترل ها، معیارها و برنامه های عملیاتی مرتبط است.

• یک زبان اولویت بندی واحد (کسب و کار، کسانی که، بلوک های قانونی) ؛
• CAPA شفاف/تصمیمات سرمایه گذاری ؛
• ردیابی پیشرفت (قبل/بعد از اقدامات)، آماده حسابرسی.

2) طبقه بندی و منطقه پوشش

• مقررات/مجوز، حریم خصوصی/داده ها، امنیت اطلاعات/فرآیندهای فنی، پرداخت/AML/KYC، عملیات/در دسترس بودن، بازاریابی/تبلیغات مسئول، تامین کنندگان/VRM.

• حوزه های قضایی/بازار، خطوط کسب و کار/محصولات، خدمات/سیستم عامل ها، ارائه دهندگان بحرانی.

3) مقیاس احتمال و تاثیر

3. 1 احتمال (به عنوان مثال از مقیاس 5 سطح)

1. نادر (یک بار در هر> 3 سال/p <5٪)

2. پایین (یک بار در هر 1-3 سال)

3. متوسط (سالانه)

4. بالا (سه ماهه)

5. بسیار بالا (ماهانه/مکرر)

3. 2 ضربه (چند متغیره)

• امور مالی: ضرر و زیان مستقیم/مجازات/بازپرداخت.
• مجوز/پیامدهای قانونی: تعلیق، ممنوعیت، تحقیقات.
• حریم خصوصی/داده ها: دامنه PII، اطلاعیه ها، اقدامات نظارتی.
• عملیات/آپ تایم: MTTR، SLO، نسخه های مختل شده، RTO/RPO.
• شهرت: رسانه ها، شبکه های اجتماعی، تحریم های شریک.
• مقیاس 1-5 با آستانه روشن (به عنوان مثال 1: <10k، 5:> 1 میلیون یورو).

4) امتیاز دهی و سطح ریسک

ریسک فردی: نمره = احتمال × تاثیر (1-25).

• 20-25 - بحرانی (قرمز)
• 12-19 - بالا (نارنجی)
• 6-11 - متوسط (زرد)
• 1-5 - کم (سبز)
• خطر باقیمانده: پس از در نظر گرفتن کنترل های جاری (اثربخشی تایید شده توسط ToD/ToE/CCM).
• ریسک هدف: پس از اقدامات برنامه ریزی شده ؛ تاريخ موفقيت تعيين شده.

5) منابع داده و ارتباط با کنترل

GRC-ثبت نام: توصیف ریسک، صاحبان، ارزیابی فعلی/هدف.
JMA/متریک: نرخ عبور از قوانین کنترل، حوادث، KRI.
فروشندگان/VRM: گواهینامه ها، SLA ها، حوادث، تغییرات در مکان های داده.
امور مالی/پرداخت: جریمه، نسبت بازپرداخت، از دست دادن تقلب٪.
تمام مقادیر موثر بر مقیاس باید لینک شواهد (سیاهههای مربوط/گزارش) و timestamps.

6) جمع آوری و تثبیت

پایین به بالا: از خدمات/حوزه های قضایی به دامنه ها و شرکت ها.
قوانین تجمیع: حداکثر تاثیر، صدک احتمال، یا میانه وزنی (بر اساس حجم کسب و کار).
لایه های جداگانه: ذاتی (بدون کنترل)، باقی مانده (با کنترل)، هدف (بعد از CAPA).
خطرات مرتبط جداگانه (به عنوان مثال، آسیب پذیری زیرساخت مشترک) و موارد مستقل.

7) تجسم

ماتریس 5 × 5 رنگی ؛ نقاط خطر تعاملی با کارت های پاپ آپ (شرح، مالک، کنترل، CAPA).
سوئیچ های لایه: ذاتی/باقی مانده/هدف.
فیلترها: صلاحیت، محصول، دامنه، ارائه دهنده، دوره.
روند «قبل/بعد» اقدامات و «رانش» (رانش) در 30-90 روز.

8) نقش ها و RACI

9) KRI و آستانه تشدید

• حریم خصوصی: dsar_response_p95، حذف TTL، شکایات/بازرس.
• امنیت: آسیب پذیری های TTR p95، سهم قوانین مهم CCM قرمز، نقض SoD.
• پرداخت: نسبت بازپرداخت، از دست دادن تقلب٪، تجدید نظر برنده نرخ.
• عملیات: میزان نقض SLO، حوادث p1/p2، آزمون RTO/RPO.
• تشدید: Amber هنگام فراتر رفتن از آستانه هشدار، قرمز - CAPA اجباری و «توقف خط» برای مناطق بحرانی.

10) تصمیم گیری و ارتباط با CAPA

برای هر نقطه «قرمز»، یک برنامه عملیاتی لازم است: اصلاحی/پیشگیرانه، مالک، مدت، بودجه، KPI موفقیت.

• بحرانی: CAPA ≤ 30 روز، ممیزی مجدد در 60-90 روز ؛ کمیته - هفتگی.
• بالا: CAPA ≤ 60 روز، پیگیری 90 روز.
• متوسط/پایین: در برنامه سه ماهه/نیم سال.
• اگر کاهش غیر ممکن است - چشم پوشی با تاریخ انقضا و کنترل جبران.

11) داشبورد (حداقل)

نمای نقشه حرارتی: ماتریس جریان + لایه های باقیمانده/هدف.
روند ریسک: قبل/بعد از CAPA.
کنترل ارتباط: نرخ عبور CCM با خطر، دروازه های قرمز.
قرار گرفتن در معرض مقررات: خطرات صلاحیت و مجوز.
ریسک فروشنده: نقشه حرارتی ارائه دهندگان مهم (گواهینامه ها، SLA، حوادث).
حسابرسی-آمادگی: شواهد کامل/رسید هش برای خطرات.

12) معیارهای عملکرد

Risk Reduction Index: ∆ میانگین وزنی نرخ ریسک بر حسب ربع.
در زمان CAPA:٪ از اقدامات در زمان (با شدت).
تکرار یافتهها (۱۲ ماه): سهم تکرارها برای ریسکهای مرتبط.
شواهد کامل:٪ خطرات با بسته شواهد کامل.
رانش پس از رفع: موارد بازگشت به منطقه «قرمز» پس از 30-90 روز.
پوشش: نسبت دارایی های تجاری/حوزه های قضایی منعکس شده در نقشه.

13) SOP (روش های استاندارد)

SOP-1: راه اندازی روش

تعیین مقیاس و آستانه → موافق در کمیته → ثابت در مخزن (نسخه).

SOP-2: دوره سه ماهه

جمع آوری داده های ورودی/KRI → محاسبه مجدد رتبه بندی → بررسی توسط صاحبان → تصمیمات کمیته → انتشار داشبورد → صادرات «بسته حسابرسی».

SOP-3: حادثه ماشه

در یک حادثه بحرانی/بالا، به روز رسانی نقشه برنامه ریزی نشده، CAPA الزام آور و برنامه حسابرسی مجدد.

SOP-4: حلقه فروشنده

VRM Survey/Certificates → به روز رسانی ریسک فروشنده → تأیید آینه فروشنده

SOP-5: بایگانی و شواهد

عکس های فوری نقشه حرارتی (PDF/PNG/CSV) + رسید هش → بایگانی WORM → لینک در GRC.

14) الگوهای مصنوعی

14. 1 کارت ریسک (قطعه)

شناسه/نام، مالک، دامنه/حوزه های قضایی

احتمال/تاثیر/ذاتی/باقی مانده/هدف

کنترل (شناسه، معیارها، قوانین CCM)

KRI و مقادیر واقعی

CAPA/چشم پوشی، تاریخ، بودجه، KPI ها

لینک شواهد و رسید هش

14. 2 سیاست مقیاس (سرعت شاتر)

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 قبل/بعد از گزارش

تصاویر نقشه حرارتی (باقی مانده در مقابل هدف)

جدول ∆ - تغییرات بر اساس ریسک

CAPA های تکمیل شده، معیارهای انعطاف پذیری

15) ضد گلوله

«تصویر زیبا» بدون اشاره به کنترل/KRI و CAPA.
مقیاسهای نامشخص → دستکاری تخمینها.
بدون نسخه/شواهدی از تغییر نمره.
خطرات متفاوت را بدون قوانین جمع آوری خلاصه کنید.
به روز رسانی نادر → نقشه واقعیت را منعکس نمی کند.
چشم پوشی بدون مهلت و اقدامات جبرانی.

16) مدل بلوغ (M0-M4)

M0 Ad-hoc: تصویر یک بار، هیچ روش/متریک.
M1 برنامه ریزی شده: مقیاس های توافق شده، به روز رسانی سه ماهه.
M2 مدیریت: پیوند با کنترل/KRI، CAPA، داشبورد، آرشیو WORM.
M3 یکپارچه: محاسبه مجدد خودکار (CCM)، سیاست/اطمینان به عنوان کد، برش توسط صلاحیت/فروشنده.
M4 تضمین مداوم: KRI های پیش بینی شده، مدل سازی سناریو، چه اگر، توصیه های اولویت.

17) مقالات ویکی مرتبط

حسابرسی مبتنی بر ریسک (RBA)

KPI ها و معیارهای انطباق

نظارت بر انطباق مداوم (CCM)

برنامه های بازسازی (CAPAs)

ممیزی مجدد و پیگیری

سیاست و مخزن انطباق

نقشه راه انطباق

راهنمای انطباق شریک/VRM

مجموع

نقشه ریسک یک گزارش نیست، بلکه یک مکانیزم مدیریتی است: مقیاس های یکنواخت، ارتباط با کنترل ها و KRI ها، به روز رسانی منظم، تصمیمات قابل اثبات و کنترل های پایداری پس از اندازه گیری. این رویکرد هدف اولویت بندی را تعیین می کند، تصمیمات کمیته را سرعت می بخشد و آمادگی مداوم حسابرسی را حفظ می کند.