מפת סיכון חום
1) מטרה וערך
מטריצת הסיכון (באנגלית: Risk Heatmap) היא כלי ויזואלי לדירוג ולתקשורת על פני מטריצת ההסתברות xImpact, המקושרת לבקרות, מדדים ותוכניות פעולה.
מטרות:- שפת עדיפות אחת (עסקים, אלה, בלוקים משפטיים);
- החלטות CAPA/השקעה שקופות;
- מעקב התקדמות (לפני/אחרי אמצעי), ביקורת מוכנה.
2) תחום טקסונומיה וסיקור
תחומים מומלצים:- רגולציה/רישיונות, פרטיות/נתונים, אבטחת מידע/תהליכים טכניים, תשלומים/AML/KYC, מבצעים/זמינות, שיווק/פרסום אחראי, ספקים/VRM.
- תחום שיפוט/שווקים, קווי עסקים/מוצרים, שירותים/פלטפורמות, ספקי קריטיות.
3) הסתברות ומאזני פגיעה
3. הסתברות 1 (דוגמה לסולם של 5 רמות)
1. נדיר (פעם בכל> 3 שנים/p <5%)
2. נמוך (פעם ב-1-3 שנים)
3. ממוצע (מדי שנה)
4. גבוה (רבעון)
5. גבוה מאוד (קבוע חודשי/יותר)
3. 2 פגיעה (רב ערכיות)
הערך בהתאם למקסימום הקריטריונים:- הפסדים ישירים/עונשים/גב מטען.
- רישיונות/השלכות משפטיות: השעיה, איסור, חקירות.
- פרטי/נתונים: היקף מח "ש, הודעות, פעולות פיקוח.
- מבצעים/Uptime: MTTR, SLO, שחרור משובש, RTO/RPO.
- מוניטין: תקשורת, רשתות חברתיות, סנקציות על שותפים.
- סולם 1-5 עם סף ברור (למשל: 1: <אירו 10k, 5:> יורו 1).
4) ניקוד ורמות סיכון
סיכון אישי: ”ציון = סבירות × פגיעה” (1-25).
קטגוריות:- 20-25 - קריטי (אדום)
- 12-19 - גבוה (כתום)
- 6-11 - בינוני (צהוב)
- 1-5 - נמוך (ירוק)
- סיכון שיורי: לאחר לקיחת בחשבון בקרות נוכחיות (יעילות שאושרה על ידי TOE/CCM).
- סיכון מטרה: לאחר אמצעים מתוכננים; תאריך ההישגים קבוע.
5) מקורות מידע וחיבור לשליטה
תיאור סיכונים, בעלים, הערכות נוכחיות/מטרות.
ג 'יי-אם-איי/מדדים: לעבור קצב כללי שליטה, תקריות, קיי-אר-איי.
ספקים/VRM: תעודות, SLAs, תקריות, שינויים במיקומי נתונים.
פיננסים/תשלומים: קנסות, יחס גב מטען, הפסד% הונאה.
כל הערכים המשפיעים על המאזניים חייבים להיות בעלי קישורים ראייתיים (לוגים/דוחות) וקווי זמן.
6) צבירה וגיבוש
מלמטה למעלה: משירותים/תחום שיפוט לתחומים וחברה.
כללי צבירה: השפעה מקסימלית, אחוזי סבירות, או חציונית משוקללת (לפי נפח עסקי).
שכבות נפרדות: Internent (ללא בקרה), Residual (עם פקדים), Target (אחרי CAPA).
סיכונים נפרדים (למשל, פגיעות תשתית משותפת) וסיכונים עצמאיים.
7) הדמיה
מטריצה מקודדת בצבע 5 × 5; נקודות סיכון אינטראקטיביות עם כרטיסים קופצים (תיאור, בעלים, בקרות, CAPA).
מתגי שכבה: Resident/Residual/Target.
מסננים: תחום שיפוט, מוצר, תחום, ספק, תקופה.
מגמות ”לפני/אחרי” מדדים ו ”סחיפה” (סחיפה) ב 30-90 ימים.
8) תפקידים ו ־ RACI
9) KRI וסיפי הסלמה
דוגמאות ל ־ KRI (קישור לסיכונים במפה):- פרטיות: dsar_response_p95, מחיקת TTL, תלונות/אומבודמן.
- אבטחה: נקודות תורפה p95 TTR, שיתוף של כללי CCM אדום קריטי, הפרות SOD.
- תשלומים: יחס גב-מטען, הפסד בהונאה%, ערעורים ברמה גבוהה.
- מבצעים: קצב פריצה, תקריות p1/p2, בדיקות RTO/RPO.
- הסלמה: אמבר, כאשר היא עוברת את סף האזהרה, CAPA אדום-חובה ו ”לעצור-the-line” עבור אזורים קריטיים.
10) קבלת החלטות ותקשורת עם CAPA
לכל נקודה ”אדומה” נדרשת תוכנית פעולה: תיקון/מניעה, בעלים, מונח, תקציב, KPI של הצלחה.
כללי סף (דוגמה):- קריטי: CAPA על 30 ימים, ביקורת מחדש ב 60-90 ימים; ועדה - שבועית.
- CAPA: 60 ימים, מעקב 90 ימים.
- בינוני/נמוך: בתוכנית הרבעון/חצי שנה.
- אם הפחתה היא בלתי אפשרית - ויתור עם תאריך תפוגה ופיצוי פקדים.
11) לוחות מחוונים (מינימום)
תצוגת מפת חום: מטריצה נוכחית + שכבות שאריות/מטרה.
מגמת סיכון: לפני/אחרי CAPA.
שולט בקישור: CCM מעבר-קצב בסיכון, שערים אדומים.
חשיפה רגולטורית: סיכונים בתחום השיפוט והרישיון.
סיכון ספק: מפת חום של ספקים קריטיים (תעודות, SLA, תקריות).
ביקורת מוכנות: ראיות שלמות/קבלות חשיש לסיכונים.
12) מדדי ביצועים
מדד הפחתת סיכונים: שיעור סיכון ממוצע משוקלל לפי רבעונים.
CAPA בזמן:% של אמצעים בזמן (בחומרה).
ממצאים חוזרים (12 חודשים): נתח של חזרות לסיכונים קשורים.
ראיות שלמות:% סיכונים עם חבילת ראיות מלאה.
מקרים של חזרה לאזור ”האדום” לאחר 30-90 ימים.
כיסוי: פרופורציה של נכסים עסקיים/תחום שיפוט המשתקף במפה.
13) SOP (נהלים סטנדרטיים)
SOP-1: אתחול הנוהל
קביעת מאזניים וסף # מסכים בוועדה # תיקון במאגר (Versioning).
SOP-2: מחזור רבעוני
קלט איסוף נתונים/KRI * חישוב מחדש של דירוגים * סקירה ע "י בעלים * החלטות הוועדה * פרסום לוחות מחוונים * ייצוא" חבילת ביקורת ".
SOP-3: תקרית הדק
בתקרית קריטית/גבוהה, עדכון מפה לא מתוכנן, CAPA מחייב וביקורת מחדש.
SOP-4: לולאת ספק
VRM סקר/תעודות * Vendor Risk Update Ac.Vendor Mirror Investment
SOP-5: ארכיון וראיות
Snapshots heatmap (PDF/PNG/CSV) + hash reputs ec WORM archive ach linkes in GRC.
14) תבניות חפץ
14. כרטיס סיכון 1 (שבר)
זהות/שם, בעלים, דומיין/תחום שיפוט
סבירות/פגיעה/תורשה/שאריות/יעד
בקרות (זיהוי, מדדים, כללי CCM)
KRI וערכים ממשיים
CAPA/ויתורים, תאריכים, תקציב, KPIs
קישורי ראיות וקבלות חשיש
14. מדיניות 2 קשקשים (מהירות תריס)
Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly14. 3 לפני/אחרי הדיווח
צילומי מסך של Hatmap (שאריות נגד מטרה)
שולחן - שינויים בסיכון
הושלם CAPAs, מדדי עמידות
15) תרופות אנטי ־ פטריות
”תמונה יפה” ללא התייחסות לבקרות/KRI ו CAPA.
מאזניים לא ברורים = מניפולציה של הערכות.
אין ראיה לשינוי בניקוד.
לסכם סיכונים שונים ללא כללי צבירה.
עדכונים נדירים של המפה אינם משקפים את המציאות.
ויתור ללא מועדים ואמצעים לפיצוי.
16) מודל בגרות (M0-M4)
M0 אד-הוק: תמונה חד פעמית, ללא שיטות/מדדים.
מאזניים מוסכמות, עדכונים רבעוניים.
M2 מנוהל: קישור עם פקדים/KRI, CAPA, לוחות מחוונים, ארכיון תולעת.
M3 Integrated: חישוב אוטומטי (CCM), מדיניות -/הבטחה כקוד, פרוסות על ידי תחום שיפוט/ספק.
M4 הבטחה מתמשכת: חיזוי KRIS, דוגמנות תרחיש, מה-אם, המלצות עדיפות.
17) מאמרים הקשורים לוויקי
ביקורת חשבונות מבוססת סיכון (RBA)
KPIs ומדדי ציות
ניטור ציות רציף (CCM)
תוכניות תיקון (CAPAs)
ביקורת מחדש ומעקב
מדיניות ומאגר ציות
מפת דרכים צייתName
מדריך ציות לשותף/VRM
סך הכל
מפת הסיכון אינה דוח, אלא מנגנון ניהולי: מאזניים אחידים, תקשורת עם פקדים ו-KRIS, עדכונים קבועים, החלטות מוכחות ובקרות קיימות לאחר מדידה. גישה זו הופכת את העדיפויות לאובייקטיביות, מאיצה את החלטות הוועדה ושומרת על מוכנות מתמשכת לביקורת.