जोखिम स्कोरिंग और प्राथमिकता
1) उद्देश्य और परिणाम
इसका उद्देश्य जोखिम मूल्यांकन और रैंकिंग को प्रजनन योग्य और सत्यापित करना है ताकि बजट/समय/संसाधनों पर निर्णय लिए जा सकें:- तुलनीय (एकीकृत तराजू और सूत्र),
- पारदर्शी (डेटा स्रोत और मान्यताएं प्रलेखित हैं),
- मापने योग्य (मैट्रिक्स और केआरआई नियंत्रण और घटनाओं से बंधे),
- निष्पादन योग्य (प्रत्येक जोखिम एक समाप्ति तिथि के साथ CAPA/छूट योजना से मेल खाता है)।
आउटपुट: एकीकृत जोखिम रजिस्टर, प्राथमिकता वाले माप बैकलॉग, गर्मी के नक्शे, अवशिष्ट जोखिम रिपोर्ट, ऑडिट-तैयार कलाकृतियां।
2) शर्तें और जोखिम का स्तर
अंतर्निहित जोखिम - नियंत्रण को छोड़ कर जोखिम।
अवशिष्ट जोखिम - चालू नियंत्रणों (सत्यापित ToD/ToE/CCM) को ध्यान में रखते हुए जोखिम।
सीएपीए/प्रतिपूरक उपायों के बाद लक्ष्य जोखिम - लक्ष्य स्तर।
संभावना (एल) - मूल्यांकन क्षितिज में परिदृश्य की घटना की संभावना।
प्रभाव (I) - सबसे बड़ा: वित्त, लाइसेंस/कानून, गोपनीयता/डेटा, संचालन/एसएलओ, प्रतिष्ठा।
केआरआई - जोखिम संकेतक जो L/I को प्रभावित करता है (उदाहरण के लिए, dsar_response_p95, चार्जबैक अनुपात)।
3) तराजू और बुनियादी मॉडल
3. 1 असतत मैट्रिक्स (5 × 5 या 4 × 4)
स्कोर = L × I → रेंज 1-25 (या 1-16)।
श्रेणियाँ (उदाहरण 5 × 5):- 20-25 = महत्वपूर्ण, 12-19 = उच्च, 6-11 = मध्यम, 1-5 = कम।
- थ्रेसहोल्ड स्कोरिंग पॉलिसी में प्रकाशित होते हैं और हमेशा सभी डोमेन पर लागू होते हैं।
- 1 - एक बार> 3 साल में; 2 - हर 1-3 साल में एक बार; 3 - सालाना; 4 - त्रैमासिक; 5 मासिक/अधिक बार।
- 1 - <€10k; 2 - €10 -100k; 3 - €100 -300k; 4 - €300k - €1m; 5 - >€1m; कानूनी/लाइसेंसिंग जोखिमों के साथ, स्तर कम से कम 4-5 तक बढ़ जाता है।
3. 2 मात्रात्मक मॉडल
ALE (वार्षिक हानि अपेक्षा): 'ALE = SLE × ARO', जहां 'SLE' प्रति घटना औसत क्षति है, 'ARO' प्रति वर्ष अपेक्षित आवृत्ति है।
FAIR दृष्टिकोण (सरलीकरण में): हम निर्णय लेने के लिए आवृत्ति (खतरा घटना आवृत्ति) और नुकसान के मूल्य (हानि परिमाण) का अनुकरण करते हैं, प्रतिशत (p50/p95) का उपयोग करते हैं।
मोंटे कार्लो: आवृत्ति और क्षति के लिए वितरण (lognorm/gamma, आदि), 10-100k चलाता है → हानि वक्र (नुकसान से अधिक वक्र)। सबसे महंगे/नियामक महत्वपूर्ण जोखिमों के लिए आवेदन करें।
सिफारिश: 80% मामले - मैट्रिक्स 5 × 5, 20% (शीर्ष जोखिम) - ALE/FAIR/मोंटे कार्लो।
4) अवशिष्ट और लक्ष्य जोखिम
1. "कोई नियंत्रण नहीं" धारणाओं से निहित गणना करें।
2. मौजूदा नियंत्रणों की प्रभावशीलता पर विचार करें (परीक्षण किया गया ToD/ToE/CCM) → अवशिष्ट।
3. नियोजित सीएपीए/प्रतिपूरक उपायों और उपलब्धि की तारीख को ध्यान में रखते हुए लक्ष्य निर्धारित करें।
4. यदि लक्ष्य - सहिष्णुता सीमा (जोखिम भूख) - ठीक है; यदि नहीं, तो समाप्ति तिथि और क्षतिपूर्ति नियंत्रण के साथ छूट की आवश्यकता है।
5) डेटा स्रोत और साक्ष्य
मेट्रिक्स और केआरआई (डैशबोर्ड, लॉग, घटना रिपोर्ट)।
नियंत्रण परीक्षण परिणाम (CCM), ऑडिट (आंतरिक/बाहरी)।
प्रदाता रिपोर्ट: एसएलए/प्रमाणपत्र/घटनाएं/डेटा स्थानों में परिवर्तन।
वित्तीय विश्लेषण: जुर्माना, चार्जबैक, धोखाधड़ी हानि%।
प्रत्येक स्कोर एक टाइमस्टैम्प और हैश रसीद (WORM) के साथ सबूत लिंक के साथ है।
6) पहलों का प्राथमिकता (जोखिम → कार्रवाई का हस्तांतरण)
6. 1 राइस (जोखिम अनुकूलन)
'RICE = (पहुंच × Impact_adj × आत्मविश्वास )/सहज'
पहुंच - कितने ग्राहक/लेन - देन/न्यायालय प्रभावित होते हैं।
Impact_adj - रूपांतरित I (या ALE/हानि p95)।
आत्मविश्वास - रेटिंग की विश्वसनीयता (0। 5/0. 75/1. 0).
प्रयास - मानव-सप्ताह/लागत।
RICE छंटाई - त्वरित जीत।
6. 2 जोखिम-समायोजित WSJF
'WSJF = देरी/नौकरी के आकार की लागत', где
'देरी की लागत = जोखिम में कमी + समय आलोचना + व्यापार मूल्य'।
जोखिम में कमी अवशिष्ट/एएलई में अपेक्षित गिरावट है।
समय आलोचना - नियामकों/लेखापरीक्षाओं की समय सीमा।
व्यवसाय मूल्य - आय/बचत, ग्राहक विश्वास।
6. 3 नियामक प्राथमिकता
यदि जोखिम लाइसेंस/कानून से संबंधित है और एक कठिन समय सीमा है, तो यह "आर्थिक" स्कोरिंग की परवाह किए बिना स्वचालित रूप से क्रिटिकल/हाई में गिर जाता है।
7) थ्रेशोल्ड नियम और वृद्धि
महत्वपूर्ण: तत्काल ट्राइएज, CAPA ≤ 30 दिन, 60-90 दिनों में फिर से ऑडिट; साप्ताहिक समिति।
उच्च: CAPA ≤ 60 दिन, अनुवर्ती 90 दिन।
मध्यम: त्रैमासिक योजना में समावेश।
कम: निगरानी + "तकनीकी ऋण" स्लॉट क्षमता।
केआरआई थ्रेसहोल्ड: एम्बर (चेतावनी) और रेड (अनिवार्य वृद्धि और सीएपीए)।
8) भूमिकाएँ और आरएसीआई
9) डैशबोर्ड
जोखिम हीटमैप: मैट्रिक्स 5 × 5, डोमेन/देश/प्रदाता द्वारा फिल्टर।
जोखिम फ़नल: इनहेरेंट → अवशिष्ट → लक्ष्य।
ALE/p95 हानि द्वारा शीर्ष-एन: मात्रात्मक जोखिम।
केआरआई वॉचलिस्ट: संकेतक और थ्रेसहोल्ड, एम्बर/रेड अलार्म।
CAPA प्रभाव: अपेक्षित/वास्तविक कमी; समयसीमा पर प्रगति।
छूट: वर्तमान अपवाद, समय सीमा और प्रतिपूरक उपाय।
10) प्रदर्शन मैट्रिक्स
जोखिम न्यूनीकरण सूचकांक: ∆ भारित औसत जोखिम दर (तिमाही/तिमाही)।
ऑन-टाइम CAPA: समय पर उपायों का% (गंभीरता से)।
दोहराएं निष्कर्ष (12 महीने): बार-बार उल्लंघन का अनुपात।
साक्ष्य पूर्णता: पूर्ण पैकेज के साथ% जोखिम (उच्च + के लिए 100% लक्ष्य)।
भविष्यवाणी सटीकता: अनुमानित और वास्तविक नुकसान/आवृत्तियों की विसंगति।
टाइम-टू-ट्राइएज/टाइम-टू-प्लान/टाइम-टू-टारगेट।
11) एसओपी (मानक प्रक्रियाएं)
SOP-1: आरंभीकरण और तराजू
L/I तराजू और श्रेणी थ्रेसहोल्ड को परिभाषित करें - समिति में अनुमोदित भंडार (वर्शनिंग) में रिकॉर्ड।
SOP-2: त्रैमासिक पुनर्मूल्यांकन
केआरआई/घटनाओं का संग्रह मालिकों द्वारा एल/आई/एएलई की पुनर्गणना समिति प्राथमिकता - रोडमैप का प्रकाशन।
SOP-3: ट्रिगर हादसा
महत्वपूर्ण/उच्च घटना के मामले में - अनिर्धारित पुनर्गणना, सीएपीए और प्राथमिकताओं का समायोजन।
SOP-4: मात्रात्मक विश्लेषण (शीर्ष-जोखिम)
इनपुट वितरण तैयार करें → मोंटे कार्लो (≥10k रन) → नुकसान घटता है → समिति का निर्णय।
SOP-5: पुरालेख और सबूत
निर्यात स्लाइस (CSV/PDF) + हैश रसीदें → WORM आर्काइव → लिंक GRC कार्ड में।
12) साँचा और "के रूप में कोड"
12. 1 स्कोरिंग नीति (स्निपेट)
scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"12. 2 जोखिम कार्ड (YAML)
yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]12. 3 प्राथमिकता (WSJF उदाहरण)
yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 213) प्रतिपूरक उपाय और छूट
यदि त्वरित निर्धारण संभव नहीं है:- हम प्रदर्शन मैट्रिक्स के साथ क्षतिपूर्ति नियंत्रण (मैनुअल चेक, सीमा, अतिरिक्त निगरानी) पेश करते हैं;
- हम समाप्ति तिथि, मालिक और प्रतिस्थापन योजना के साथ छूट जारी करते हैं;
- 30-90 दिनों में अनिवार्य री-ऑडिट।
14) एंटीपैटर्न
केआरआई/नियंत्रण/घटनाओं से कोई संबंध नहीं के साथ "सुंदर मैट्रिक्स"।
वांछित परिणाम के लिए फ्लोटिंग तराजू और "मैनुअल ट्यूनिंग"।
गणना और मान्यताओं के संस्करण का अभाव।
दुर्लभ संशोधन - नक्शा वास्तविकता को प्रतिबिंबित नहीं करता
बिना किसी समाप्ति तिथि और कोई प्रतिपूरक उपाय के साथ छूट।
शीर्ष जोखिमों के लिए मात्रात्मक विश्लेषण की कमी।
15) परिपक्वता मॉडल (M0-M4)
M0 Ad-hoc: अनुमान "आंख द्वारा", कोई एक नीति नहीं है।
M1 नियोजित: मैट्रिक्स 5 × 5, त्रैमासिक अपडेट, बुनियादी डैशबोर्ड।
M2 प्रबंधित: KRI/CCM, CAPA लिंकिंग, WORM साक्ष्य के साथ संचार।
M3 एकीकृत: शीर्ष जोखिमों के लिए ALE/FAIR/मोंटे कार्लो, रोडमैप में WSJF/RICE, CI/CD गेट्स।
एम 4 कंटीन्यूअस एश्योरेंस: प्रेडिक्टिव केआरआई, ऑटो-रिकॉल, सिफारिश प्राथमिकताएं और साक्ष्य-दर-डिजाइन।
16) संबंधित विकी लेख
गर्मी जोखिम मानचित्र
जोखिम-आधारित लेखा परीक्षा (आरबीए)
केपीआई और अनुपालन मैट्रिक्स
सतत अनुपालन निगरानी (सीसीएम)
उपचारात्मक योजनाएं (CAPAs)
नीति और अनुपालन भंडार
अनुपालन रोडमैप
बाहरी लेखा परीक्षकों द्वारा बाहरी ले
कुल
जोखिम स्कोरिंग और प्राथमिकता एक इंजीनियरिंग अनुशासन है, एक कला नहीं: स्थिर तराजू और नीतियां, सिद्ध डेटा, शीर्ष जोखिमों के लिए मात्रात्मक तरीके, स्पष्ट थ्रेसहोल्ड और वृद्धि, और सीएपीए और रोडमैप का सीधा लिंक। यह दृष्टिकोण निर्णयों को अनुमानित करता है, अनुमोदन में तेजी लाता है, और व्यवसाय के समग्र जोखिम को कम करता है।