जोखिम रजिस्टर और मूल्यांकन पद्धति
1) रजिस्टर में क्यों और क्या शामिल है
उद्देश्य: धन (जीजीआर/सीएफ), लाइसेंस, खिलाड़ियों, डेटा और प्रतिष्ठा को प्रभावित करने वाले जोखिमों के विवरण, मूल्यांकन, प्राथमिकता और निगरानी की एकीकृत प्रणाली।
कवरेज: उत्पाद/इंजीनियरिंग (एसडीएलसी/घटनाएं), वित्त और भुगतान (पीएसपी/निष्कर्ष), केवाईसी/एएमएल/प्रतिबंध, गोपनीयता (जीडीपीआर), टीपीआरएम/विक्रेता, विपणन/एसडीके, डेटा (डीडब्ल्यूएच/बी)), बुनियादी ढांचा/बादल/डीआर, सहायता संचालन और वीआईपी।
2) जोखिम वर्गीकरण (उदाहरण)
सूचना सुरक्षा और गोपनीयता: पीआईआई/केवाईसी लीक, अनधिकृत पहुंच, लॉगिंग विफलता, डीएसएआर फाइलें।
नियामक/अनुपालन: लाइसेंस शर्तों का उल्लंघन, एएमएल/केवाईसी/प्रतिबंध, विज्ञापन प्रतिबंध।
परिचालन/तकनीकी: डाउनटाइम पीएसपी/केवाईसी, रिलीज दोष, विलंबता गिरावट, डीआर घटनाएं।
धोखाधड़ी/दुरुपयोग: धोखाधड़ी जमा, बोनस दुरुपयोग, भुगतान हमला पैटर्न।
वित्तीय: साझेदार तरलता, चार्जबैक झटके, एक पीएसपी पर एकाग्रता।
विक्रेता/आपूर्ति श्रृंखला: कमजोर एसडीके, कम टीओएम वाले उप-प्रोसेसर।
प्रतिष्ठित/ग्राहक: शिकायतों में स्पाइक, एनपीएस ड्रॉप, आरजी उल्लंघन।
रणनीतिक/भू-राजनीतिक: प्रतिबंध, कर/कानून में बदलाव, यातायात रुकावटें।
3) जोखिम कार्ड (आवश्यक क्षेत्र)
आईडी/जोखिम नाम
श्रेणी (वर्गीकरण से)
घटना विवरण (क्या हो सकता है) और कारण
आस्तियों/प्रक्रियाओं/न्यायालयों के प्रभाव में
जोखिम स्वामी और प्रायोजक
उपलब्ध नियंत्रण (निवारक/जासूसी/सुधारात्मक)
नियंत्रण से पहले संभावना (पी) और प्रभाव (I)
नियंत्रण के बाद अवशिष्ट जोखिम
उपचार योजना: कम करना/बचना/स्वीकार करना/हस्तांतरण
वृद्धि सीमा/खतरा स्तर (निम्न/मध्यम/उच्च/महत्वपूर्ण)
केआरआई और ट्रिगर, मैट्रिक्स और डेटा स्रोत
अगली समीक्षा स्थिति और नियत तिथि एसोसिएटेड CAPAs/टिकट
नियंत्रण रजिस्ट्री (नियंत्रण आईडी) और नीतियों से संबंध
लेखा परीक्षक/समिति टिप्पणियां (नवीनतम संकल्प)
4) रेटिंग तराजू (डिफ़ॉल्ट 5 × 5)
4. 1 संभावना (पी)
1 - दुर्लभ (<1/5 वर्ष)
2 - कम (1/2-5 वर्ष)
3 - औसत (सालाना)
4 - उच्च (तिमाही)
5 - बहुत अधिक (महीना/अधिक बार)
4. 2 प्रभाव (I) - शाखाओं से अधिकतम चुनें
वित्त: 1: <€10k €10 2: €100k -100k· 3: €1 -1m· 4: €5m -5m· 5:>
गोपनीयता/डेटा: 1: <1k रिकॉर्ड्स·...· 5:> 1M रिकॉर्ड/विशेष श्रेणियां
नियामक/लाइसेंस: 1: चेतावनी· 3: दंड/समीक्षा· 5: लाइसेंस निलंबन
उपलब्धता (SLO/SLA): 1: <15 min·... 5:> 8 h महत्वपूर्ण क्षेत्रों के लिए
अंतिम स्कोर: 'R = P × I' → स्तर: 1-5 लो, 6-10 मीडियम, 12-16 हाई, 20-25 क्रिटिकल।
(थ्रेसहोल्ड को कंपनी के लिए अनुकूलित किया जा सकता है।)
5) हीट मैप मैट्रिक्स और जोखिम भूख
जोखिम भूख: डोमेन द्वारा सहिष्णुता के साथ एक दस्तावेज (उदाहरण के लिए, पीआईआई लीक - शून्य सहिष्णुता; डाउनटाइम P95 - ≤ X मिनट/महीना; चार्जबैक दर - ≤ Y%)।
हीटमैप: 5 × 5 पर आर का दृश्य; भूख से ऊपर - CAPA योजना और समयरेखा की आवश्यकता होती है।
जोखिम बजट: औचित्य (आर्थिक व्यवहार्यता) के साथ "स्वीकृत" जोखिमों के लिए कोटा।
6) मूल्यांकन पद्धति
6. 1 गुणवत्ता (तेज शुरुआत)
P/I तराजू + औचित्य, घटना इतिहास और KRI डेटा के साथ सामंजस्य पर विशेषज्ञ मूल्यांकन।
6. 2 मात्रात्मक (शीर्ष -10 के लिए प्राथमिकता)
FAIR दृष्टिकोण (सरलीकृत): क्षति की घटनाओं × संभाव्य वितरण की आवृत्ति (P10/P50/P90); कमी विकल्पों की तुलना करने के लिए उपयोगी।
मोंटे कार्लो (1000-10k रन): क्षति और आवृत्ति की परिवर्तनशीलता → हानि अधिकता वक्र (नुकसान की संभावना> एक्स)।
टीआरए (लक्षित जोखिम विश्लेषण): निगरानी/नियंत्रण आवृत्तियों (पीसीआई/विक्रेताओं के लिए प्रासंगिक) के चयन के लिए बिंदु विश्लेषण।
7) केआरआई और स्रोत
डोमेन के लिए उदाहरण:- उपलब्धता/संचालन: एमटीटीआर, 5xx त्रुटियां, P95 विलंबता, P1/P2 घटनाएं,% ऑटोस्केल, क्लस्टर क्षमता।
- सुरक्षा/गोपनीयता:% एमएफए कवरेज, क्रेडेंशियल स्टफिंग प्रयास, असामान्य निर्यात, डीएसएआर एसएलए, अलवर झंडे।
- भुगतान: PSP, चार्जबैक दर, बैंक की विफलता, मैनुअल कैशआउट की हिस्सेदारी।
- KYC/AML: TAT, झूठी सकारात्मक दर, प्रतिबंध हिट, वृद्धि हिट।
- विक्रेता: एसएलए अनुपालन, विलंबता बहाव, घटनाओं की आवृत्ति, प्रमाणपत्रों की प्रासंगिकता।
केआरआई जोखिम से जुड़ ते हैं और थ्रेसहोल्ड से परे जाने पर वृद्धि को ट्रिगर करते हैं।
8) जोखिम जीवन चक्र (वर्कफ़्लो)
1. पहचान - कार्ड का पंजीकरण।
2. अंतर्निहित → नियंत्रण मानचित्रण → अवशिष्ट।
3. उपचार निर्णय और CAPA योजना (तारीखें/मालिक)।
4. केआरआई/घटना निगरानी, कार्ड अद्यतन।
5. त्रैमासिक जोखिम समिति: शीर्ष-एन संशोधन, भूख फिर से लेबलिंग।
6. बन्द/समेकित या निगरानी सूची।
9) नियंत्रण और लेखा परीक्षा के साथ संचार
प्रत्येक जोखिम को विशिष्ट नियंत्रणों का संदर्भ देना चाहिए (आंतरिक नियंत्रण और उनके ऑडिट देखें)
सक्रिय: आरबीएसी/एबीएसी, एसओडी, सीमा, एन्क्रिप्शन, वेबऑटन, विभाजन।
जासूस: SIEM/अलर्ट, सामंजस्य, WORM लॉग, UEBA।
सुधारात्मक: रोलबैक, पेआउट लॉक, प्रमुख निरसन, तत्काल पैच।
डीई/ओई ऑडिट सत्यापित करता है कि नियंत्रण भूख के जोखिम को कम करता है और काम करता है।
10) नमूना कार्ड (YAML, टुकड़े)
10. 1 पीआईआई विक्रेता एसडीके (टियर -1) के माध्यम से रिसाव
yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5 # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-1510. 2 पीएसपी क्षरण: भुगतान प्राधिकरण विफलता
yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"11) एकत्रीकरण और पोर्टफोलियो प्रबंधन
शीर्ष-एन (जोखिम रजिस्टर दृश्य): अवशिष्ट आर और "भूख से ऊपर" द्वारा क्रमबद्ध।
विषय (जोखिम विषय): समूह (विक्रेता, गोपनीयता, पीएसपी) → विषय मालिक।
निर्भरता मानचित्र: riski↔kontroli↔vendory↔protsessy।
परिदृश्य और तनाव परीक्षण: क्या होगा यदि "PSP # 1 और KYC # 1 2 घंटों के लिए उपलब्ध नहीं हैं?" - संचयी क्षति मूल्यांकन और कार्य योजना।
LEC (हानि अधिकता वक्र): परिषद/बोर्ड के लिए वार्षिक हानि प्रोफ़ाइल।
12) एस्केलेशन थ्रेसहोल्ड और सिग्नल
परिचालन: SLO/SLA उल्लंघन → हादसा P1/P2।
अनुपालन/गोपनीयता: प्रतिधारण से अधिक, डीएसएआर विफलता, 'उद्देश्य' के बिना निर्यात → तत्काल डीपीओ/कानूनी वृद्धि।
विक्रेता: बार-बार एसएलए विफलताएं - आपूर्तिकर्ता पर CAPA, अनुबंध संशोधन।
वित्तीय: निकास चार्जबैक> सीमा - मैनुअल जांच, सीमा/बोनस का समायोजन।
13) आरएसीआई (बढ़ाहुआ)
14) जोखिम प्रबंधन प्रणाली के मेट्रिक्स (केपीआई/केआरआई)
कवरेज: 100% महत्वपूर्ण प्रक्रियाओं में जोखिम और मालिक पंजीकृत हैं
ऑन-टाइम की समीक्षा करें: ≥ 95% कार्ड समय पर संशोधित किए जाते हैं।
भूख से ऊपर: ↓ QoQ, जोखिमों का अनुपात भूख से अधिक है।
CAPA क्लोजर (उच्च/महत्वपूर्ण): ≥ 95% समय पर।
डिटेक्शन लैग: KRI विचलन से वृद्धि के लिए औसत समय (↓ तक जाता है)।
हादसा पुनरावृत्ति: एक कारण से बार - 0।
15) चेकलिस्ट
15. 1 कार्ड बनाना
- घटना/कारण श्रेणी और विवरण
- संपत्ति/प्रक्रियाएं/न्यायालय चिह्नित
- अनुमानित पी/आई (अंतर्निहित) और औचित्य के साथ अवशिष्ट
- नियंत्रण मानचित्रण (आईडी), केआरआई और डेटा स्रोत
- CAPA योजना/दिनांक/मालिक
- एस्केलेशन थ्रेशोल्ड और थ्रेट लेवल
15. 2 त्रैमासिक समिति
- अवशिष्ट और भूख से ऊपर के लिए शीर्ष 10
- नए/उभरते जोखिम, कानूनों/विक्रेताओं में बदलाव
- CAPA और Delinquency स्थिति
- निर्णय: स्वीकार/कम/हस्तांतरण/बचना; भूख/थ्रेसहोल्ड अपडेट करें
16) कार्यान्वयन रोडमैप (4-6 सप्ताह)
सप्ताह 1-2: वर्गीकरण, तराजू, भूख को मंजूरी दें; एक उपकरण (तालिका/BI/IRM) चुनें। महत्वपूर्ण प्रक्रियाओं के लिए 10-15 प्रारंभ कार्ड बना
सप्ताह 3-4: नियंत्रण और केआरआई के साथ जोखिम; हीट मैप/डैशबोर्ड बनाएं; एक जोखिम समिति शुरू करें।
सप्ताह 5-6: Top-5 (FAIR/मोंटे कार्लो लाइट) के लिए परिमाणीकरण लागू करें, केआरआई संग्रह को स्वचालित करें, वृद्धि और बोर्ड रिपोर्टिंग को औपचारिक रूप दें।
17) संबंधित विकी खंड
आंतरिक नियंत्रण और उनके ऑडिट, आईएसओ 27001/27701, एसओसी 2, पीसीआई डीएसएस, आईजीए/आरबीएसी/अल्प विशेषाधिकार, टीपीआरएम और एसएलए, घटनाएं और लीक, डीआर/बीसीपी, लॉग पॉलिसी और पूर्ण "चक्र के लिए - → नियंत्रण → मीट्रिक → सबूत।"
टीएल; डीआर
कार्य जोखिम रजिस्टर = स्पष्ट वर्गीकरण + मानकीकृत तराजू + भूख/थ्रेसहोल्ड - मालिकों, नियंत्रण और केआरआई के साथ कार्ड - शीर्ष जोखिमों और सीएपीए के लिए प्राथमिकता मात्रा। यह बोर्ड और नियामकों के लिए जोखिम प्रबंधनीय, तुलनीय और सिद्ध करने योग्य बनाता है।