GH GambleHub

जोखिम प्रबंधन और अनुपालन समिति

1) नियुक्ति और जनादेश

जोखिम प्रबंधन और अनुपालन समिति (इसके बाद समिति के रूप में संदर्भित) एक कॉलेजियल निकाय है जो:
  • जोखिम भूख और अनुपालन सिद्धांतों का निर्माण और रखरखाव करता है
  • प्रमुख नीतियों/मानकों और उनके परिवर्तनों को मंजूरी देता है;
  • प्रमुख जोखिमों (परिचालन, नियामक, सूचना सुरक्षा/गोपनीयता, वित्तीय, तीसरे पक्ष) को नियंत्रित
  • अनुपालन मैट्रिक्स और एसएलओ/एसएलए स्थापित करता है और उनकी उपलब्धि की निगरानी करता है;
  • वृद्धि और परस्पर विरोधी प्राथमिकताओं को सं
  • एक ऑडिट-रेडी स्टेट (सबूत बेस, समाधान प्रोटोकॉल) प्रदान करता है।

2) रचना और स्वतंत्रता

आवश्यक सदस्य (मतदान):
  • अनुपालन लीड/डीपीओ (सह-अध्यक्ष)
  • CISO/सुरक्षा प्रमुख (सह-अध्यक्ष)
  • कानूनी प्रमुख
  • जोखिम/उद्यम जोखिम के प्रमुख
  • सीएफओ/वित्त (प्रभाव मूल्यांकन के लिए)
  • व्यवसाय/उत्पाद प्रतिनिधि (वीपी/निदेशक)
  • प्लेटफ़ॉर्म/इन्फ्रास्ट्रक्चर मैनेजर या सीटीओ-डेलिगेट
स्वतंत्र प्रतिभागी (सलाहकार):
  • आंतरिक लेखा परीक्षा (पर्यवेक्षक)
  • एचआर/एल एंड डी (प्रशिक्षण/आकलन)
  • खरीद/विक्रेता Mgmt (तीसरे पक्ष)
  • डेटा/प्लेटफ़ॉर्म (DWH/वंश/CCM)

स्वतंत्रता के सिद्धांत: हितों का कोई टकराव नहीं, पुनरावृत्ति का दस्तावेजीकरण, पर्यवेक्षकों की भूमिका को ठीक करना।

3) समिति आरएसीआई

गतिविधिआरसीमैं
जोखिम भूख अनुमोदनजोखिमसीईओ/बोर्डअनुपालन, वित्तआंतरिक लेखा परीक्षा
प्रमुख नीतियों का अनुमोदनअनुपालन/डीपीओसह अध्यक्षकानूनी, सुरक्षा, उत्पादआंतरिक लेखा परीक्षा
वेवर्स एस्केलेशनअनुपालनसह अध्यक्षकानूनी, सुरक्षा, मालिकआंतरिक लेखा परीक्षा
केपीआई/केआरआई मॉनिटरिंगअनुपालन एनालिटिक्ससह अध्यक्षSecOps, डेटाबोर्ड
हादसा संकल्प (Sev1)SecOpsसह अध्यक्षकानूनी/पीआर, उत्पादआंतरिक लेखा परीक्षा
विक्रेता जोखिम (क्रेते) विक्रेता Mgmtसह अध्यक्षकानूनी, सुरक्षाआंतरिक लेखा परीक्षा
लेखा परीक्षा के लिए तत्परताअनुपालनसह अध्यक्षमालिकबोर्ड

(R - जिम्मेदार; ए - जवाबदेह; सी - परामर्श; I - सूचित)

4) विनियमन और आवृत्ति

सामान्य मोड: महीने में एक बार (90 मिनट) + साप्ताहिक एक्सप्रेस केपीआई/केआरआई निगरानी (15 मिनट)।

संकट मोड (घटना/नियामक): स्थिरीकरण तक हर 24-48 घंटे में बैठकें।

कोरम: मतदाताओं का ≥ 2/3, जिसमें एक सह-अध्यक्ष भी शामिल है।

समाधान: सरल बहुमत; उच्च जोखिम के अनुसार - 2/3 और सह-कुर्सियों का वीटो अधिकार (चार्टर में फिक्स)।

5) आने वाली कलाकृतियाँ (इनपुट)

जोखिम रजिस्टर और हीटमैप (अद्यतन केआरआई)।

अनुपालन केपीआई/एसएलओ: डीएसएआर/एसएलए, एक्सेस हाइजीन, बहाव, साक्ष्य कवरेज и др।

नीति द्वारा लॉग बदलें (मेजर/माइनर/इमरजेंसी)।

समाप्ति तिथियों और क्षतिपूर्ति नियंत्रण के साथ छूट-रजिस्टर।

घटनाएं और निष्कर्ष: Sev1/Sev2, पुनरावृत्ति, उपचारात्मक स्थिति।

विक्रेता जोखिम: महत्वपूर्ण प्रदाता, एसएलए/प्रमाणपत्र उल्लंघन।

ऑडिट/आकलन: स्टेटस, खुली टिप्पणी, बटन तत्परता।

6) आउटपुट और कलाकृतियाँ (आउटपुट)

मालिक के साथ निर्णय प्रोटोकॉल, नियत तिथि, गंभीरता और अपेक्षित जोखिम प्

अद्यतन जोखिम भूख कथन और प्राथमिकताएं।

नीतियों और शर्तों के साथ छूट को अद्यतन/अस्वीकार करें।

उच्च जोखिम वाले बोर्ड/सीईओ के लिए वृद्धि पत्र/समाधान।

कमांड के लिए संचार एक-पृष्ठ और कार्य (ITSM/GRC में टिकट)।

7) विशिष्ट सम्मन (60-90 मिनट)

1. केपीआई/केआरआई और विचलन का सारांश (10")।

2. Incidents/Sev1-updates और सबक (15")।

3. राजनेता: प्रमुख परिवर्तन, परस्पर विरोधी व्याख्याएं, स्थानीयकरण (15")।

4. तीसरे पक्ष: SLA/प्रमाणपत्र उल्लंघन, उप-प्रोसेसर (10")।

5. छूट: विस्तार/बंद, लाल क्षेत्र (10")।

6. ऑडिट/आकलन: तैयार स्थिति और "ऑडिट पैक" (10")।

7. समाधान और कार्य आवंटन (10")।

8) निर्णय लेने और वृद्धि प्रक्रियाएं

निर्णय कार्ड (टेम्पलेट): संदर्भ → विकल्प → जोखिम/लागत पर प्रभाव → सिफारिश → मतदान।

वृद्धि: यदि जोखिम> भूख या अपराधीता> एसएलए - कार्यकारी/बोर्ड को ले-आउट।

समीक्षा: 30-60 दिनों (प्रभाव समीक्षा) के बाद निर्णय के प्रभाव का तथ्यात्मक मूल्यांकन।

9) एकीकरण और एंड-टू-एंड प्रवाह

आरबीए: निष्कर्ष - समिति सबपोना - मालिक/कारण - समापन नियंत्रण।

CCM (निरंतर निगरानी): अलर्ट/मेट्रिक्स → नियम/दहलीज प्राथमिकता।

नीति जीवनचक्र/परिवर्तन Mgmt: प्रमुख संपादन - अद्यतन, संचार, प्रशिक्षण।

विक्रेता डीडी/आउटसोर्सिंग: स्कोरिंग मॉडल और गैप सूचीबद्ध करता है - अनुबंध शर्तें/एसएलए।

हादसा Mgmt: SOAR/PR/कानूनी प्लेबुक - रिपोर्ट और सबक।

10) समिति प्रदर्शन मेट्रिक्स

ऑन-टाइम रिमेडिएशन: समिति के% कार्य समय पर (गंभीरता से) बंद हो गए।

निर्णय लीड टाइम: मुद्दे को उठाने से लेकर समाधान तक का औसत समय।

छूट स्वच्छता: वर्तमान समाप्ति तिथि के साथ% बहिष्करण (लक्ष्य: 100%)।

दोहराएं निष्कर्ष: 12 महीनों में दोहराव का अनुपात (लक्ष्य: ↓)।

ऑडिट रेडीनेस टाइम: पूर्ण "ऑडिट पैक" के लिए घंटे।

जोखिम कम करने का सूचकांक: ∆ कुल जोखिम दर QoQ का।

संचार एसएलए: प्रमुख समाधानों द्वारा समय पर अधिसूचित भूमिकाओं का%।

11) समिति चार्टर (टेम्पलेट)

उद्देश्य: जोखिम और अनुपालन निरीक्षण; कंपनी और ग्राहकों के हितों की रक्षा करना।

स्कोप: सभी न्यायालयों/व्यावसायिक लाइनों/आईटी प्रणालियों/तीसरे पक्ष।

प्राधिकरण: नीतियों/अपवादों का अनुमोदन; डेटा/ऑडिट से पूछताछ; बोर्ड में वृद्धि।

रचना और कोरम: (देखें) 2 और 4)।

ब्याज का टकराव: घोषणाएं, पुनरावृत्ति, पत्रिका।

प्रोटोकॉल: पूर्ण मिनटों का मानक (एजेंडा, समाधान, आवाज़, मालिक, कारण, साक्ष्य के लिंक)।

चार्टर का संशोधन: वार्षिक या बोर्ड के अनुरोध पर।

12) दस्तावेज़ टेम्पलेट

12. 1 निर्णय पत्र

विषय/संदर्भ/विनियम/जोखिम

विकल्प और मूल्यांकन (लागत, समय, एसएलए/केआरआई पर प्रभाव)

निर्णय के बाद की सिफारिश और जोखिम स्तर

निष्पादन स्वामी और नियत तिथि

मतदान परिणाम (/के खिलाफ/संक्षिप्त)

12. बैठक के 2 मिनट

दिनांक/कोरम/प्रतिभागी

एजेंडा

चर्चा (संक्षिप्त, मद द्वारा मद)

समाधान (मालिक, कारण, सफलता मीट्रिक)

खुले मुद्दे/वृद्धि

अनुप्रयोग (डैशबोर्ड, रिपोर्ट, WORM संग्रह के लिंक)

12. 3 जोखिम भूख मैट्रिक्स (उदाहरण)

जोखिमइकाईभूखलाल क्षेत्र
PI रिसावघटनाएं/वर्ष01+
DSAR दोषपूर्ण%≤ 2%> 5%
SoD-उल्लंघनमामले/माह0≥ 1
बहाव (उच्च/पंक्ति)मामले/माह≤ 5> 15

13) समिति डैशबोर्ड (न्यूनतम)

जोखिम हीटमैप: संभावना × प्रभाव × अवशिष्ट जोखिम।

अनुपालन केपीआई केंद्र: डीएसएआर, एक्सेस हाइजीन, बहाव, साक्ष्य कवरेज।

घटनाएं और निष्कर्ष: Sev1/Sev2, MTTR, दोहराव।

नीतिगत परिवर्तन: प्रमुख/माइनर/आपातकालीन पाइपलाइन और प्रशिक्षण की स्थिति।

विक्रेता जोखिम: प्रमाणपत्र, एसएलए, उप-प्रोसेसर, घटनाएं।

वेवर्स एंड डेडलाइन: सक्रिय/समाप्त, वृद्धि।

ऑडिट रेडीनेस: ऑडिट/सर्टिफिकेशन द्वारा प्रतिशत "ऑडिट पैक"।

14) समिति वर्ष कैलेंडर

मासिक: नियमित एजेंडा () 7)।

त्रैमासिक: जोखिम भूख संशोधन, केपीआई/केआरआई रुझान, कुल निष्कर्ष।

अर्ध वर्ष: प्रमुख नीतियों और छूट पोर्टफोलियो का संशोधन।

वार्षिक: समिति चार्टर, लेखा परीक्षा/प्रमाणन योजना, सबक सीखा।

15) संकट मोड (Sev1/Regulatory)

तत्काल दीक्षांत समारोह; युद्ध-ताल अपडेट (जैसे) हर 4 घंटे में)।

एकीकृत संचार (कानूनी/पीआर), कानूनी पकड़ नियंत्रण।

एकीकरण/डेटा अलगाव को अक्षम करने के लिए समाधान।

कार्रवाई के साथ अलग घटना प्रोटोकॉल और पोस्टमार्टम।

16) एंटीपैटर्न

प्राधिकरण और समय सीमा के बिना "मेलबॉक्स" के रूप में समिति।

प्रोटोकॉल और साक्ष्य का अभाव - ऑडिट में विवाद।

बिना किसी समाप्ति तिथि और क्षतिपूर्ति नियंत्रण के साथ सदा की छूट।

अनसुलझे एजेंडा: कोई निर्णय कार्ड, कोई विकल्प और कोई प्रभाव अनुमान नहीं।

मालिकों के बिना केपीआई और जोखिम भूख का लिंक।

प्रबंधित पुनरावृत्ति के बिना ब्याज का टकराव।

17) समिति परिपक्वता मॉडल (M0-M4)

M0 हेल-तदर्थ: दुर्लभ बैठकें, कोई मैट्रिक्स और प्रोटोकॉल नहीं।

एम 1 औपचारिक: चार्टर, कोरम, मूल मिनट, मासिक बैठकें।

एम 2 प्रबंधनीय: केपीआई/केआरआई डैशबोर्ड, निर्णय कार्ड, छूट नियंत्रण।

M3 एकीकृत: CCM/RBA/पॉलिसी-as-Code के साथ संचार, "बटन द्वारा ऑडिट-रेडी"।

M4 आश्वासन: भविष्यवाणी केआरआई, स्वचालित वृद्धि, नियमित प्रभाव-समीक्षा निर्णय।

18) संबंधित विकी लेख

जोखिम-आधारित लेखा परीक्षा (आरबीए)

सतत अनुपालन निगरानी (सीसीएम)

केपीआई और अनुपालन मैट्रिक्स

अनुपालन नीति परिवर्तन प्रबंधन

नीतियां और प्रक्रियाएं जीवनचक्र

परिश्रम और आउटसोर्सिंग जोखिम के कारण

कानूनी पकड़ और डेटा फ्रीज

कुल

एक मजबूत समिति एक "बैठक" नहीं है, बल्कि एक जोखिम प्रबंधन तंत्र है: एक स्पष्ट जनादेश, स्वतंत्रता और कोरम, डैशबोर्ड में डेटा, मालिकों के साथ निर्णय और समय सीमा, प्रवर्तन और साक्ष्य आधार। अनुपालन तब व्यवसाय पर एक ड्रैग के बजाय रणनीति का एक पूर्वानुमानित स्तंभ बन जाता है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।