ثبت ریسک و روش ارزیابی

1) چرا و چه چیزی در ثبت نام گنجانده شده است

هدف: سیستم یکپارچه توصیف، ارزیابی، اولویت بندی و نظارت بر خطرات موثر بر پول (GGR/CF)، مجوزها، بازیکنان، داده ها و شهرت.
پوشش: محصولات/مهندسی (SDLC/حوادث)، امور مالی و پرداخت (PSP/یافته ها)، KYC/AML/تحریم ها، حریم خصوصی (GDPR)، TPRM/فروشندگان، بازاریابی/SDK، داده ها (DWH/BI)، زیرساخت/ابرها/DR، خدمات پشتیبانی و VIP.

2) طبقه بندی ریسک (مثال)

امنیت اطلاعات و حریم خصوصی: نشت PII/KYC، دسترسی غیر مجاز، خرابی ورود به سیستم، فایل های DSAR.
مقررات/انطباق: نقض شرایط مجوز، AML/KYC/تحریم ها، ممنوعیت تبلیغات.
عامل/فن آوری: خرابی PSP/KYC، نقص انتشار، تخریب تاخیر، حوادث DR.
تقلب/سوء استفاده: سپرده های تقلب، سوء استفاده از پاداش، الگوهای حمله به پرداخت.
مالی: نقدینگی شریک، شوک های بازپرداخت، تمرکز بر یک PSP.
فروشنده/زنجیره تامین: SDK های آسیب پذیر، زیر پردازنده هایی با TOM های کم.
اعتبار/مشتری: افزایش شکایات، افت NPS، نقض RG.
استراتژیک/ژئوپلیتیک: تحریم ها، تغییرات مالیاتی/قانون، انسداد ترافیک.

3) کارت ریسک (زمینه های مورد نیاز)

شناسه/نام خطر

دسته بندی (از طبقه بندی)

شرح رویداد (آنچه ممکن است اتفاق بیفتد) و علت

دارایی/فرآیندها/حوزه های قضایی تحت تاثیر

صاحب ریسک و حامی مالی

کنترل های موجود (پیشگیرانه/کارآگاهی/اصلاحی)

احتمال (P) و تاثیر (I) قبل از کنترل (ذاتی)

خطر باقی مانده پس از کنترل

طرح درمان: کاهش/اجتناب/پذیرش/انتقال

آستانه تشدید/سطح تهدید (کم/متوسط/زیاد/بحرانی)

KRI ها و محرک ها، معیارها و منابع داده

بررسی وضعیت و موعد مقرر مرتبط CAPAs/بلیط

پیوند به رجیستری کنترل (شناسه های کنترل) و سیاست ها

نظرات حسابرس/کمیته (آخرین قطعنامه ها)

4) مقیاس رتبه (به طور پیش فرض 5 × 5)

4. 1 احتمال (P)

1 - نادر (<1/5 سال)

2 - کم (1/2-5 سال)

3 - متوسط (سالانه)

4 - بالا (سه ماهه)

5 - بسیار بالا (ماه/اغلب)

4. 2 تاثیر (I) - حداکثر از شاخه ها را انتخاب کنید

امور مالی: 1: <10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> 5m €

حریم خصوصی/داده ها: 1: <1k سوابق·...· 5:> 1M سوابق/دسته های ویژه

تنظیم کننده/مجوز: 1: هشدار· 3: مجازات/بازبینی· 5: تعلیق مجوز

در دسترس بودن (SLO/SLA): 1: <15 دقیقه·...· 5:> 8 ساعت برای مناطق بحرانی

نمره نهایی: «R = P × I» → سطوح: 1-5 کم، 6-10 متوسط، 12-16 بالا، 20-25 بحرانی.

(آستانه ها را می توان با شرکت سازگار کرد.)

5) ماتریس نقشه گرما و ریسک پذیری

ریسک پذیری: یک سند با تحمل دامنه (به عنوان مثال، نشت PII - تحمل صفر ؛ P95 خرابی - ≤ X دقیقه در ماه ؛ نرخ بازپرداخت - ≤ Y٪).
نقشه حرارتی: تجسم R در 5 × 5 ؛ اشتها بالا - نیاز به برنامه CAPA و جدول زمانی.
بودجه ریسک: سهمیه بندی برای ریسک های «پذیرفته شده» با توجیه (امکان سنجی اقتصادی).

6) روش های ارزیابی

6. 1 کیفیت (شروع سریع)

ارزیابی کارشناسان در مقیاس P/I + توجیه، آشتی با تاریخ حادثه و داده های KRI.

6. 2 کمی (اولویت برای بالا 10)

رویکرد منصفانه (ساده شده): فراوانی حوادث × توزیع احتمالی آسیب (P10/P50/P90) ؛ مفید برای مقایسه گزینه های کاهش.
مونت کارلو (1000-10k اجرا می شود): تنوع آسیب و فرکانس → منحنی بیش از حد از دست دادن (احتمال از دست دادن> X).
TRA (تجزیه و تحلیل ریسک هدفمند): تجزیه و تحلیل نقطه برای انتخاب فرکانس نظارت/کنترل (مربوط به PCI/فروشندگان).

7) KRI ها و منابع

• در دسترس بودن/عملیات: MTTR، خطاهای 5xx، تاخیر P95، حوادث P1/P2،٪ autoscale، ظرفیت خوشه.
• امنیت/حریم خصوصی:٪ پوشش MFA، تلاش های چاشنی اعتبارنامه، صادرات غیر معمول، DSAR SLA، پرچم های ضد الوار.
• پرداخت ها: نرخ auth توسط PSP، نرخ بازپرداخت، شکست بانکی، سهم cashouts دستی.
• KYC/AML: TAT، نرخ مثبت کاذب، تحریم ها، سهم تشدید.
• فروشندگان: انطباق SLA، رانش تاخیر، فرکانس حوادث، ارتباط گواهینامه ها.

KRIs با خطرات مرتبط و باعث تشدید زمانی که آنها فراتر از آستانه.

8) چرخه عمر ریسک (گردش کار)

1. شناسایی → ثبت نام کارت.
2. ذاتی → کنترل نقشه برداری → باقی مانده.
3. تصمیم درمان و برنامه CAPA (تاریخ/صاحبان).
4. KRIs/نظارت بر حادثه، به روز رسانی کارت.
5. کمیته ریسک سه ماهه: تجدید نظر بالا N، اشتها دوباره برچسب زدن.
6. بستن/تحکیم یا فهرست مراقبت.

9) ارتباط با کنترل و حسابرسی

• فعال: RBAC/ABAC، SoD، محدودیت ها، رمزگذاری، WebAuthn، تقسیم بندی.
• کارآگاه: SIEM/هشدارها، آشتی، سیاهههای مربوط به WORM، UEBA.
• اصلاحی: بازپرداخت، قفل پرداخت، لغو کلید، تکه های فوری.
• ممیزی DE/OE تأیید می کند که کنترل ها باعث کاهش خطر ابتلا به اشتها و کار پایدار می شوند.

10) کارت های نمونه (YAML، قطعات)

10. 1 نشت PII از طریق فروشنده SDK (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 تخریب PSP: خرابی مجوز پرداخت

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) تجمیع و مدیریت پورتفولیو

Top-N (Risk Register View): مرتب شده بر اساس R باقیمانده و «بالاتر از اشتها».
موضوعات (موضوعات ریسک): خوشه (فروشندگان، حریم خصوصی، PSP) → صاحبان موضوع.
نقشه های وابستگی: riski↔kontroli↔vendory↔protsessy.
سناریوها و تست های استرس: اگر «PSP # 1 و KYC # 1 برای 2 ساعت در دسترس نباشند چه می شود ؟» - ارزیابی خسارت تجمعی و برنامه عمل.
LEC (منحنی از دست دادن بیش): مشخصات از دست دادن سالانه برای شورا/هیئت مدیره.

12) آستانه تشدید و سیگنال

عملیاتی: نقض SLO/SLA → P1/P2 حادثه.
انطباق/حریم خصوصی: بیش از حفظ، شکست DSAR، صادرات بدون هدف → فوری DPO/تشدید قانونی.
فروشنده: شکست SLA مکرر → CAPA در تامین کننده، تجدید نظر قرارداد.
مالی: خروج از بازپرداخت> آستانه → چک های دستی، تنظیم محدودیت ها/پاداش ها.

13) RACI (بزرگ شده)

14) معیارهای (KPI/KRI) سیستم مدیریت ریسک

پوشش: 100٪ از فرآیندهای بحرانی دارای خطرات و صاحبان ثبت شده است.
بازبینی در زمان: ≥ 95٪ از کارت ها در زمان تجدید نظر شده است.
بالاتر از اشتها: ↓ QoQ، نسبت خطرات بیشتر از اشتها است.
بسته شدن CAPA (بالا/بحرانی): ≥ 95٪ در زمان.
تاخیر تشخیص: زمان متوسط از انحراف KRI به تشدید (تمایل به ↓).
تکرار حادثه: تکرار حوادث به یک دلیل - 0.

15) چک لیست

15. 1 ایجاد یک کارت

• دسته بندی رویداد/علت و توضیحات
• دارایی ها/فرآیندها/حوزه های قضایی مشخص شده اند
• برآورد P/I (ذاتی) و باقی مانده با توجیه
• کنترل نقشه برداری (ID)، KRI ها، و منابع داده
• طرح CAPA/تاریخ/صاحبان
• آستانه تشدید و سطح تهدید

15. 2 کمیته سه ماهه

• بالا 10 برای باقی مانده و بالاتر از اشتها
• خطرات جدید/نوظهور، تغییرات در قوانین/فروشندگان
• CAPA و وضعیت بزهکاری
• تصمیم گیری: قبول/کاهش/انتقال/اجتناب از ؛ به روز رسانی اشتها/آستانه

16) نقشه راه پیاده سازی (4-6 هفته)

هفته 1-2: تایید طبقه بندی، مقیاس، اشتها ؛ یک ابزار را انتخاب کنید (جدول/BI/IRM). ایجاد 10-15 کارت شروع برای فرآیندهای بحرانی.
هفته های 3-4: خطرات مرتبط با کنترل و KRI ؛ ساخت یک نقشه گرما/داشبورد ؛ یک کمیته ریسک تشکیل دهید.
هفته 5-6: اجرای کمی برای Top-5 (نور FAIR/مونت کارلو)، جمع آوری خودکار KRI ها، افزایش رسمی و گزارش هیئت مدیره.

17) بخش های ویکی مرتبط

کنترل های داخلی و ممیزی های آنها، ISO 27001/27701، SOC 2، PCI DSS، IGA/RBAC/حداقل امتیاز، TPRM و SLA، حوادث و نشت، DR/BCP، سیاست ورود و WORM - برای چرخه کامل «کنترل ریسک → شواهد».

TL ؛ دکتر متخصص

ثبت نام ریسک کار = طبقه بندی روشن + مقیاس استاندارد + اشتها/آستانه → کارت با صاحبان، کنترل ها و KRI ها → نقشه گرما و کمیته ها → تعیین اولویت برای خطرات بالا و CAPA ها در زمان. این باعث می شود خطرات قابل کنترل، قابل مقایسه و قابل اثبات برای هیئت مدیره و تنظیم کننده ها باشد.