ارزیابی و اولویت بندی ریسک
1) اهداف و نتایج
هدف این است که ارزیابی ریسک و رتبه بندی قابل تجدید و قابل تایید باشد تا تصمیمات مربوط به بودجه/زمان بندی/منابع:- قابل مقایسه (مقیاس ها و فرمول های یکپارچه)،
- شفاف (منابع داده و مفروضات مستند)،
- قابل اندازه گیری (متریک و KRI گره خورده است به کنترل و حوادث)،
- قابل اجرا (هر ریسک مربوط به یک برنامه CAPA/waiver با تاریخ انقضا است).
خروجی ها: ثبت ریسک یکپارچه، اولویت بندی اندازه گیری، نقشه های گرما، گزارش های ریسک باقی مانده، مصنوعات آماده حسابرسی.
2) شرایط و سطح ریسک
خطر ذاتی - خطر به استثنای کنترل.
ریسک باقیمانده - ریسک با توجه به کنترل های فعلی (تایید ToD/ToE/CCM).
هدف ریسک - سطح هدف پس از اقدامات جبران کاپا.
احتمال (L) - احتمال وقوع سناریو در افق ارزیابی.
تاثیر (I) - بزرگترین: امور مالی، مجوز/قانون، حفظ حریم خصوصی/داده ها، عملیات/SLO، شهرت.
KRI - شاخصهای خطر مؤثر بر L/I (به عنوان مثال، dsar_response_p95، نسبت بازپرداخت).
3) مقیاس ها و مدل های اساسی
3. 1 ماتریس گسسته (5 × 5 یا 4 × 4)
امتیاز = L × I → محدوده 1-25 (یا 1-16).
دسته بندی ها (مثال 5 × 5):- 20-25 = بحرانی، 12-19 = بالا، 6-11 = متوسط، 1-5 = کم.
- آستانه ها در سیاست امتیازدهی منتشر می شوند و همواره برای همه دامنه ها اعمال می شوند.
- 1 - یک بار در> 3 سال ؛ 2 - یک بار در هر 1-3 سال ؛ 3 - سالانه ؛ 4 - سه ماهه ؛ 5 ماهانه/بیشتر.
- 1 - <10K € ؛ 2 - €10-100k ؛ 3 - €100-300k ؛ 4 - 300k- €1 میلیون ؛ 5 -> 1 میلیون یورو ؛ با خطرات قانونی/صدور مجوز، سطح به حداقل 4-5 افزایش می یابد.
3. 2 مدل های کمی
ALE (انتظارات از دست دادن سالانه): «ALE = SLE × ARO»، که در آن «SLE» میانگین آسیب در هر رویداد است، «ARO» فرکانس مورد انتظار در هر سال است.
رویکرد منصفانه (در ساده سازی): ما فرکانس (فرکانس رویداد تهدید) و مقدار تلفات (بزرگی از دست دادن) را شبیه سازی می کنیم، از صدک (p50/p95) برای تصمیم گیری استفاده می کنیم.
مونت کارلو: توزیع برای فرکانس و آسیب (lognorm/گاما، و غیره)، 10-100k اجرا می شود منحنی → از دست دادن (از دست دادن منحنی بیش). درخواست برای گران ترین/خطرات مهم نظارتی.
توصیه: 80٪ موارد - ماتریس 5 × 5، 20٪ (خطرات بالا) - ALE/FAIR/مونت کارلو.
4) خطر باقی مانده و هدف
1. محاسبه ذاتی از مفروضات «بدون کنترل».
2. اثربخشی کنترل های موجود (تست شده ToD/ToE/CCM) → باقی مانده را در نظر بگیرید.
3. تعیین هدف با توجه به اقدامات برنامه ریزی شده CPA/جبرانی و تاریخ دستیابی.
4. اگر هدف آستانه تحمل (اشتهای ریسک) را ≤ کند - خوب ؛ در غیر این صورت, چشم پوشی با تاریخ انقضا و کنترل جبران مورد نیاز است.
5) منابع داده و شواهد
معیارها و KRI (داشبورد، سیاههها، گزارشهای حادثه).
نتایج آزمون کنترل (CCM)، ممیزی (داخلی/خارجی).
گزارش های ارائه دهنده: SLA/گواهینامه ها/حوادث/تغییرات در مکان های داده.
تجزیه و تحلیل مالی: جریمه، بازپرداخت، از دست دادن تقلب٪.
هر نمره با شواهد مرتبط با یک برچسب زمانی و یک رسید هش (WORM) همراه است.
6) اولویت بندی ابتکارات (انتقال ریسک → اقدام)
6. 1 RICE (سازگاری با خطر)
'برنج = (رسیدن به × Impact_adj × اعتماد به نفس )/تلاش'
دسترسی - چه تعداد از مشتریان/معاملات/حوزه های قضایی تحت تاثیر قرار می گیرند.
Impact_adj - تبدیل I (یا ALE/از دست دادن p95).
اطمینان - قابلیت اطمینان رتبه بندی (0. 5/0. 75/1. 0).
تلاش - مرد هفته/هزینه.
مرتب سازی برنج → سریع برنده تا.
6. 2 WSJF تنظیم شده با ریسک
'WSJF = هزینه تاخیر/اندازه کار'، где
'هزینه تاخیر = کاهش ریسک + زمان بحرانی + ارزش کسب و کار'.
کاهش خطر کاهش مورد انتظار در باقی مانده/ALE است.
زمان بحرانی - مهلت تنظیم کننده/ممیزی.
ارزش کسب و کار - درآمد/پس انداز، اعتماد به نفس مشتری.
6. 3 اولویت نظارتی
اگر خطر مربوط به مجوز/قانون است و یک مهلت سخت وجود دارد، آن را به طور خودکار به بحرانی/بالا می افتد، صرف نظر از «اقتصادی» به ثمر رساند.
7) قوانین آستانه و افزایش
بحرانی: triage فوری، CAPA ≤ 30 روز، دوباره حسابرسی در 60-90 روز ؛ کمیته هفتگی
بالا: CAPA ≤ 60 روز، پیگیری 90 روز.
متوسط: ورود به برنامه سه ماهه.
کم: نظارت + قابلیت شکاف «بدهی فناوری».
آستانه KRI: کهربا (هشدار) و قرمز (تشدید اجباری و CAPA).
8) نقش ها و RACI
9) داشبورد
Heatmap ریسک: ماتریس 5 × 5، فیلتر بر اساس دامنه/کشور/ارائه دهنده.
قیف ریسک: ذاتی → باقی مانده → هدف
از بالا به N از دست دادن ALE/p95: خطرات کمی.
فهرست مراقبت KRI: شاخصها و آستانهها، هشدارهای کهربا/قرمز.
تاثیر CAPA: انتظار می رود/کاهش واقعی ؛ پیشرفت در جدول زمانی
چشم پوشی: استثنائات فعلی، مهلت و اقدامات جبرانی.
10) معیارهای عملکرد
شاخص کاهش خطر: ∆ میانگین خطر متوسط (سه ماهه/سه ماهه).
در زمان CAPA:٪ از اقدامات در زمان (با شدت).
تکرار یافته ها (12 ماه): نسبت نقض مکرر.
شواهد کامل:٪ خطرات با بسته کامل (100٪ هدف برای بالا +).
دقت پیش بینی: اختلاف تلفات/فرکانس تخمین زده شده و واقعی.
Time-to-Triage/Time-to-Plan/زمان-به-هدف.
11) SOP (روش های استاندارد)
SOP-1: راه اندازی و مقیاس
تعریف مقیاسهای L/I و آستانههای ردهبندی → تأیید در کمیته → ثبت در مخزن (نسخهبندی).
SOP-2: تجدید ارزیابی سه ماهه
مجموعه ای از KRI/حوادث → محاسبه مجدد L/I/ALE → بررسی توسط صاحبان → اولویت بندی کمیته → انتشار نقشه راه.
SOP-3: حادثه ماشه
در مورد حادثه بحرانی/بالا - محاسبه مجدد برنامه ریزی شده، تنظیم CAPA و اولویت ها.
SOP-4: تجزیه و تحلیل کمی (بالا خطرات)
آماده سازی توزیع ورودی → مونت کارلو (≥10k اجرا می شود) → منحنی های از دست دادن → تصمیم کمیته.
SOP-5: بایگانی و شواهد
صادرات برش (CSV/PDF) + رسید هش → بایگانی WORM → لینک در کارت های GRC.
12) قالب ها و «به عنوان کد»
12. 1 سیاست امتیاز دهی (قطعه)
scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"12. 2 کارت ریسک (YAML)
yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]12. 3 اولویت بندی (مثال WSJF)
yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 213) اقدامات جبرانی و چشم پوشی
اگر یک راه حل سریع امکان پذیر نیست:- ما کنترل های جبران کننده (چک های دستی، محدودیت ها، نظارت اضافی) را با معیارهای عملکرد معرفی می کنیم ؛
- ما چشم پوشی با تاریخ انقضا، مالک و طرح جایگزینی صادر می کنیم ؛
- ممیزی مجدد اجباری در 30-90 روز.
14) ضد گلوله
«ماتریس زیبا» بدون اتصال به KRI/کنترل/حوادث.
مقیاس شناور و «تنظیم دستی» به نتیجه مورد نظر.
عدم وجود محاسبات و فرضیات.
تجدید نظر نادر → نقشه واقعیت را منعکس نمی کند.
چشم پوشی بدون تاریخ انقضا و بدون اقدامات جبرانی.
عدم تجزیه و تحلیل کمی برای خطرات بالا.
15) مدل بلوغ (M0-M4)
M0 Ad-hoc: برآورد «توسط چشم»، هیچ سیاست واحد وجود ندارد.
M1 برنامه ریزی شده: ماتریس 5 × 5، به روز رسانی سه ماهه، داشبورد پایه.
M2 مدیریت شده: ارتباط با KRI/CCM، اتصال CAPA، شواهد WORM.
M3 مجتمع: ALE/FAIR/مونت کارلو برای خطرات بالا، WSJF/RICE در نقشه راه، دروازه های CI/CD.
تضمین مداوم M4: پیش بینی KRI، محاسبه خودکار، اولویت های توصیه شده و شواهد توسط طراحی.
16) مقالات ویکی مرتبط
نقشه خطر گرما
حسابرسی مبتنی بر ریسک (RBA)
KPI ها و معیارهای انطباق
نظارت بر انطباق مداوم (CCM)
برنامه های بازسازی (CAPAs)
سیاست و مخزن انطباق
نقشه راه انطباق
ممیزی های خارجی توسط حسابرسان مستقل
مجموع
امتیاز دهی و اولویت بندی ریسک یک رشته مهندسی است، نه یک هنر: مقیاس ها و سیاست های پایدار، داده های قابل اثبات، روش های کمی برای خطرات بالا، آستانه های صریح و تشدید، و ارتباط مستقیم با CAPA و نقشه راه. این رویکرد تصمیمات را قابل پیش بینی می کند، مصوبات را تسریع می کند و ریسک کلی تجارت را کاهش می دهد.