ועדת ניהול סיכונים וציות
1) מינוי ומנדט
ועדת ניהול סיכונים וציות (להלן: הוועדה) היא גוף קולגיאלי:- בונה ושומר על סיכונים תיאבון ועקרונות ציות
- מאשר מדיניות מפתח/סטנדרטים ושינויים שלהם;
- שולט בסיכונים מרכזיים (מבצעיים, רגולטוריים, אבטחת מידע/פרטיות, פיננסיים, צדדים שלישיים);
- מקים מדדים צייתניים ו-SLO/SLAs ומפקח על ההישג שלהם;
- כתובות הסלמה וסדרי עדיפויות סותרים;
- מספק מדינה מוכנה לביקורת (בסיס ראיות, פרוטוקולי פתרון).
2) קומפוזיציה ועצמאות
חברים נדרשים (הצבעה):- ציות לעופרת/DPO (יו "ר משותף)
- CISO/ראש האבטחה (יו "ר משותף)
- ראש המחלקה המשפטית
- ראש סיכון סיכון/Enterprise
- CFO/Finance (להערכת השפעה)
- נציג עסקים/מוצר (סמנכ "ל/מנהל)
- מנהל פלטפורמה/תשתית או נציג CTO
- ביקורת פנימית (צופה)
- HR/L & D (אימון/הערכות)
- רכישה/ונדור Mgmt (צדדים שלישיים)
- Data/Platform (DWH/Lineage/CCM)
עקרונות של עצמאות: אין ניגוד אינטרסים, מתעד חזרות, תיקון התפקיד של משקיפים.
3) ועדה RACI
(R - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)
4) תקנות ותדירות
מצב רגיל: פעם בחודש (90 דקות) + שבועי של ניטור KPI/KRI (15 דקות).
מצב משבר (תקרית/רגולטור): פגישות כל 24-48 שעות עד לייצוב.
קוורום: 2/3 מהמצביעים, כולל יו "ר משותף אחד.
פתרונות: רוב פשוט; לפי סיכון גבוה, 2/3 וימין הווטו של כיסאות משותפים (תיקון בכתב הזכויות).
5) חפצים נכנסים (קלט)
רשום סיכונים ומפת חום (KRI מעודכן).
ציות ל ־ KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Review Survice.
שינוי רישום על ידי מדיניות (Major/Minor/Emergency).
ויתור-להירשם עם תאריכי תפוגה ופיקוח פיצוי.
אירועים וממצאים: Sev1/Sev2, חזרה על המצב.
סיכון ספק: ספקים קריטיים, הפרות SLA/תעודה.
ביקורת/הערכות: סטטוסים, תגובות פתוחות, מוכנות לכפתור.
6) יציאות וחפצים (יציאות)
פרוטוקול החלטה עם בעלים, תאריך יעד, חומרה ואפקט סיכון צפוי.
הצהרת סיכונים עדכנית וסדרי עדיפויות.
עדכון/דחיית מדיניות וויתור עם תנאים.
אותיות הסלמה/פתרונות עבור מועצת המנהלים/מנכ "ל בסיכון גבוה.
תקשורת חד-זימונית ומשימות לפקודות (כרטיסים ב-ITSM/GRC).
7) זימון טיפוסי (60-90 דקות)
1. סיכום של KPI/KRI וסטיות (10").
2. Incidents/Sev1-updates ושיעורים (15").
3. פוליטיקאים: שינויים גדולים, פרשנויות סותרות, מיקומים (15").
4. צדדים שלישיים: הפרות SLA/תעודה, תת-מעבדים (10").
5. ויתור: הרחבה/קרוב, אזורים אדומים (10").
6. ביקורת/הערכות: מצב מוכן ו ”חבילת ביקורת” (10).
7. פתרונות והקצאת משימות (10").
8) הליכי קבלת החלטות והסלמה
כרטיס החלטה (תבנית): אופציות הקשר * השפעה על סיכון/עלות * המלצה.
הסלמה: אם הסיכון> תיאבון או עבריינות> SLA - טייק-אאוט לניהול/Board.
סקירה: הערכה פוסט-עובדתית של השפעת ההחלטה לאחר 30-60 יום (סקירת השפעה).
9) אינטגרציה וזרימות מקצה לקצה
RBA: ממצאים # זימון לוועדה * בעלים/עקב = בקרת סגירה.
CCM (ניטור רציף): התראות/מדדים * כלל/עדיפות סף.
Policy Lifecycle/Change Mgmt: Major Editts Life, Communication, Training.
ספק DD/מיקור חוץ: מודל ניקוד ופער מפרט את תנאי החוזה/SLA.
תקרית Mgmt: SOAR/PR/Legal Playbooks # דיווחים ושיעורים.
10) מטריצות ביצועים של הוועדה
בזמן מחדש:% ממשימות הוועדה נסגרו בזמן (בחומרה).
החלטה להוביל את הזמן: הזמן החציוני מהעלאת הנושא לפתרון.
ויתור על היגיינה:% בלעדיות עם תאריך התפוגה הנוכחי (יעד: 100%).
ממצאים חוזרים: מידת החזרה תוך 12 חודשים (יעד: auth).
זמן ביקורת מוכנות: שעות למילוי ”חבילת ביקורת”.
מדד הפחתת סיכונים: מספר סיכונים כולל של QOQ.
תקשורת SLA:% מהתפקידים הודיעו בזמן על ידי פתרונות מייג 'ור.
11) אמנת ועדה (תבנית)
מטרה: סיכון ופיקוח ציות; הגנה על האינטרסים של החברה והלקוחות.
היקף: כל תחומי השיפוט/קווי העסקים/מערכות ה-IT/צדדים שלישיים.
סמכות: אישור מדיניות/חריגים; בדיקת נתונים/ביקורת; הסלמה בדירקטוריון.
קומפוזיציה וקוורום: (ראה # 2 ו- # 4).
ניגוד אינטרסים: הצהרות, חזרות, יומן.
פרוטוקולים: סטנדרטים של דקות שלמות (סדר יום, פתרונות, קולות, בעלים, בשל, קישורים לראיות).
עדכון כתב הזכויות: מדי שנה או לבקשת המועצה.
12) תבניות מסמך
12. כרטיס החלטה 1
נושא/הקשר/תקנות/סיכונים
אפשרויות והערכה (עלות, תזמון, השפעה על SLA/KRI)
המלצה לאחר החלטה ורמת סיכון
בעל ביצועים ותאריך יעד
תוצאות הצבעה (עבור/נגד/נמנע)
12. 2 דקות מהפגישה
תאריך/מניין/משתתפים
סדר יום
דיון (קצר, פריט אחר פריט)
פתרונות (בעלים, בשל, מטרי הצלחה)
נושאים פתוחים/הסלמה
יישומים (לוחות מחוונים, דוחות, קישורים לארכיון תולעת)
12. 3 מטריקס תיאבון סיכון (דוגמה)
13) לוחות מחוונים של הוועדה (מינימום)
מפת חום סיכון: הסתברות Xfact xxshirely סיכון.
Center Complication KPI: DSAR, Access Hygiene, Drift, Review Security.
תקריות וממצאים: Sev1/Sev2, MTTR, חזרות.
שינויי מדיניות: מייג 'ור/מינור/צינור חירום ומצב אימון.
סיכונים ספק: תעודות, SLA, תת מעבדים, תקריות.
ויתורים ומועדים: פעילות/פג תוקף, הסלמה.
ביקורת מוכנות: אחוז ”חבילת ביקורת” על ידי ביקורת/תעודות.
14) לוח שנה של הועד
חודש: סדר יום קבוע (# 7).
רבעון: Repost Appetite Represention, KPI/KRI trends, ממצאים בסך הכל.
חצי שנה: תיקון מדיניות מפתח ותיק ויתורים.
שנתית: Charter Committee, Audit/Tradication Plan, Lessons Learned.
15) מצב משבר (Sev1/Regulatory)
מנוחה מיידית; עדכוני קצב קרב (למשל עדכוני קצב קרב). כל 4 שעות).
תקשורת מאוחדת (חוקי/יחסי ציבור), שליטה משפטית.
פתרונות לבקרת גישה/ביטול אינטגרציה/בידוד נתונים.
פרוטוקול אירוע נפרד ולאחר המוות עם פעולות.
16) תרופות אנטי ־ פטריות
ועדה כ ”תיבת דואר” ללא סמכות ומועדים.
חוסר פרוטוקולים וראיות - מחלוקת בביקורת.
ויתור תמידי ללא תאריך תפוגה ופיצוי פקדים.
אג 'נדות בלתי פתירות: אין כרטיסי החלטה, אין אפשרויות ואין הערכות אפקט.
KPIs ללא בעלים וקישור לסיכון תיאבון.
ניגוד אינטרסים ללא חילוץ מנוהל.
17) מודל בגרות של הוועדה (M0-M4)
פגישות נדירות, בלי מדדים ופרוטוקולים.
M1 פורמלי: שכר, מניין, דקות בסיסיות, פגישות חודשיות.
M2 ניתן לניהול: לוח מחוונים KPI/KRI, כרטיסי החלטה, ויתור שליטה.
M3 Integrated: תקשורת עם CCM/RBA/Policy-as-Code, ”ביקורת מוכנה על ידי כפתור”.
M4 מובטח: חיזוי KRIS, הסלמה אוטומטית, החלטות סקירת השפעה רגילות.
18) מאמרים הקשורים לוויקי
ביקורת חשבונות מבוססת סיכון (RBA)
ניטור ציות רציף (CCM)
KPIs ומדדי ציות
ניהול שינוי מדיניות ציות
מדיניות ואופן חיים של נהלים
בדיקת נאותות וסיכוני מיקור חוץ
אחיזה חוקית והקפאת נתונים
סך הכל
ועדה חזקה אינה ”ישיבה”, אלא מנגנון ניהול סיכונים: מנדט ברור, עצמאות ומניין, נתונים בלוחות מחוונים, החלטות עם בעלים ומועדים, אכיפה ובסיס ראיות. הציות הופך אז לעמוד תווך צפוי של אסטרטגיה ולא לגרור על עסקים.