Ռիսկերի կառավարման հանձնաժողովը և կոմպլասենցան
1) Նշանակումն ու մանդատը
Ռիսկերի կառավարման և կոմպլասենցիայի հանձնաժողովը (հետո 'Հանձնաժողովը) կոլեգիալ օրգանն է, որը
ձևավորում և աջակցում է Risk Appetite-ը և ինտեգրման սկզբունքները։
ասում է հիմնական քաղաքականությունները/ստանդարտները և դրանց փոփոխությունները։
վերահսկում է հիմնական ռիսկերը (վիրահատական, կարգավորող, IB/մասնավորեցումը, ֆինանսական, երրորդ կողմերը);
տեղադրում է պիտակները և SLO/SLA կոմպլենսները և վերահսկում նրանց նվաճումը։
լուծում է էսկալացիայի և գերակայությունների հակամարտությունը։
«ապահովում է audit-ready» վիճակը (ապացույցային հիմքը, որոշումների արձանագրությունները)։
2) Կազմը և անկախությունը
Պարտադիր մասնակիցները (voting)
Կոմպլանսի ղեկավարը/DPO (co-chant)
CISO/Head of Security (co-chair)
Head of Legal
Head of Risk/Enterprise Risk
CFO/Finance (ազդեցության գնահատման համար)
Բիզնեսի/ապրանքի ներկայացուցիչ (VP/Delor)
Պլատֆորմի ղեկավարը/ենթակառուցվածքը կամ CTO-integate
Անկախ մասնակիցները (advisory)
Ներքին աուդիտ (դիտորդ)
HR/L & D (ուսուցում/հավաստագրում)
Procurae/Vendor Mgmt (երրորդ կողմերը)
Data/Platform (DWH/Lineage/CCM)
Անկախության սկզբունքները 'շահերի բախման բացակայությունը, recusals (ինքնանպատակ) փաստաթղթավորումը, դիտորդների դերի ամրագրումը։
3) RACI Հանձնաժողովի RACI
(R — Responsible; A — Accountable; C — Consulted; I — Informed)
4) Կանոնակարգն ու պարբերականությունը
Սովորական ռեժիմը 'ամիսը մեկ անգամ (90 րոպե) + KPI/KRI (15 րոպե) շաբաթական էքսպրեսը։
Ճգնաժամային ռեժիմը (պատահականություն/կարգավորիչ) 'յուրաքանչյուր 24-48 ժամ մինչև եզրափակիչ։
Քվորում ՝ քվեարկողների 242/3, ներառյալ մեկ co-chant։
Որոշումները 'պարզ մեծամասնությունը; high-risk-2/3 և վետոյի իրավունքը co-chairs-ում (ամրագրել կանոնադրության մեջ)։
5) Ներառված արտեֆակտները (inputs)
Risk Register և Heatmap (նորարարված KRI)։
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Change Log քաղաքական (Major/Minor/Emergency)։
Waivers-2019-ը կոդավորման ամսաթվերով և փոխհատուցող վերահսկողություններով։
Incidents & Findings: Sev1/Sev2, կրկնապատկումը, ամրության կարգավիճակը։
Vendor Risk: քննադատական պրովայդերներ, SLA/հավաստագրերի խախտումներ։
Աուդիտ/կասեցում ՝ արձաններ, բաց մեկնաբանություններ, պատրաստակամություն «կոճակով»։
6) Ելքեր և արտեֆակտներ (24puts)
Owner, due date, severity և ակնկալվող ռիսկի ազդեցություն։
Նորարարված Risk Appetite Stations-ը և առաջնահերթությունները։
Apruv/շեղումը քաղաքական և բացառությունները (waivers) պայմաններով։
Ուղեկցող նամակներ/լուծումներ Board/CEO-ի համար high-risk-ում։
Հաղորդակցական one-pagers և առաջադրանքներ թիմերի համար (tickets ITSM/GRC)։
7) Տիպիկ օրակարգը (60-90 րոպե)
1. KPI/KRI և շեղումները (10")։
2. Միջադեպերը/Sev1 նորարարությունները և դասերը (15")։
3. Քաղաքական գործիչները ՝ Major-փոփոխությունները, հակամարտական մեկնաբանությունները, www.ru (15")։
4. Երրորդ կողմերը' SLA/հավաստագրերի խախտումներ, ենթահամակարգեր (10")։
5. Waivers: երկարացում/105, կարմիր գոտիներ (10")։
6. Աուդիտ/կասեցում. Պատրաստության կարգավիճակը և "audit pack" (10")։
7. Լուծումները և առաջադրանքների բաշխումը (10")։
8) Որոշումների կայացման և էսկալացիայի ընթացակարգերը
Decision card (ձևանմուշներ): այլընտրանքային տարբերակների ենթատեքստը ազդում է ռիսկի/արժեքի վրա, որը բացատրում է վերջնական քվեարկությունը։
Էսկալացիա 'եթե ռիսկը> Appetite կամ ուշացում> SLA - Executive/Board-ում։
Review: Post-factum գնահատում լուծման էֆեկտը 30-60 օրվա ընթացքում (impact review)։
9) Մոսկվա և հոսքեր
RBA (ռիսկի-աուդիտ): findings-ը մեջբերում է Windowner/due-ի օրակարգը։
MSM (շարունակական ստանդարտ) 'ալտերտեր/մետրիկներ, որոնք նպաստում են կանոնների/շեմերի գերակայությանը։
Policy Lifecycle/Change Mgmt: Major-and-Appruv, հաղորդակցություն, ուսուցում։
Vendor DD/Winsourcing: Արագ մոդելը և հապա թերթերը բացատրում են պայմանագրի պայմանները/SLA։
Incident Mgmt: SOAR/PR/Legal-ի պլեյբուսներ և դասեր։
10) Հանձնաժողովի արդյունավետության մետրիկները
On-time Remediation: Հանձնաժողովի խնդիրների տոկոսը, որոնք փակված են ժամանակին (severity)։
Decision Lead Time: Median ժամանակ հարցը բարձրացնելուց մինչև լուծումը։
Waiver Hygiene: Բացառությունների% -ը իրական ամսաթվով (նպատակը ՝ 100%)։
Repeat Findings-ը 12 մեզ բաժանողների մասն է (նպատակը ՝ 108)։
Audit Readiness Time: ժամացույց մինչև ամբողջական «audit pack»։
Risk Reduction Index-ը ՝ QoQ-ի ընդհանուր ռիսկի սկոր։
Communational SLA-ն 'այն դերերի տոկոսը, որոնք ժամանակին տեղեկացված են Major-լուծումներով։
11) Հանձնաժողովի կանոնադրությունը (ձևանմուշ)
Նպատակը 'ռիսկերի և ագրեսիայի համար։ պաշտպանել ընկերության և հաճախորդների շահերը։
Ոլորտը 'բոլոր իրավասությունները/բիզնես գծերը/IT համակարգերը/երրորդ կողմերը։
Լիազորությունները 'քաղաքական/բացառությունների հայտարարությունը; տվյալներ/աուդիտներ; էսկալացիա Board-ում։
Կազմը և քվորումը: (տե՛ ս 382 և 384)։
Շահերի հակամարտությունները ՝ ռուսական, recusals, ամսագիր։
Արձանագրությունները ՝ ամբողջական մինուտների (agenda, լուծումներ, ձայներ, owner, due, հղում evidence)։
Կանոնադրության իրականացումը 'ամեն տարի կամ Board-ի պահանջով։
12) Փաստաթղթերի ձևանմուշները
12. 1 Decision Card
Թեման/Կոնտեքստ/Ստանդարտներ/Ռիսկեր
Տարբերակներ և գնահատականներ (արժեքը, ժամանակը, ազդեցությունը SLA/KRI)
Առաջարկությունը և ռիսկի մակարդակը որոշումից հետո
Կատարման սեփականատերը և ժամանակահատվածը
Քվեարկության արդյունքը (/դեմ/ձեռնպահ)
12. 2 Արձանագրություն
/ քվորում/մասնակիցներ
Օրակարգը
Քննարկումը (հակիրճ, կետերով)
Որոշումները (owner, due, հաջողության մետրիկ)
Բաց հարցեր/էսկալացիա
Ծրագրեր (dashbords, հաշվետվություններ, հղում WORM արխիվին)
12. 3 Risk Appetite (օրինակ)
13) Դաշբորդի Հանձնաժողովը (նվազագույն)
Risk Heatmap: հավանականությունը ռուսական ազդեցությունն է։
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, կրկնություն։
Policy Changes: Major/Minor/Emergency փոխակրիչը և ուսուցման կարգավիճակը։
Vendor Risks: հավաստագրեր, SLA, ենթահամակարգեր, միջադեպեր։
Waivers & Deadlines: ակտիվ/ժամկետանց, էսկալացիա։
Audit Readiness-ը '«audit pack» տոկոսը բյուջեներով/հավաստագրերով։
14) Հանձնաժողովի տարվա օրացույցը
Ամսական 'կառավարական օրակարգը (657)։
Appetite-ը, KPI/KRI միտումները, findings-ի արդյունքը։
Կես տարի 'հիմնական քաղաքական և waivers-պորտֆելի ստուգումը։
Ամեն տարի, Հանձնաժողովի կանոնադրությունը, աուդիտի/հավաստագրման պլանը, դասերի իրականացումը։
15) Ճգնաժամային ռեժիմը (Sev1/Regulatory)
Չարտոնված կոմպոզիցիա; battle-rhythm no (օրինակ, յուրաքանչյուր 4 ժամ)։
Միասնական հաղորդակցություն (Legal/PR), Legal Hold վերահսկողությունը։
Մուտքագրման/անջատման/տվյալների մեկուսացման լուծումները։
Առանձին արձանագրություն նշվում է և փոստի մորտը գործողությունների հետ։
16) Անտիպատերնի
Հանձնաժողովը որպես «փոստի արկղ» առանց լիազորությունների և դեդլինների։
Մրցույթի և ապացույցների բացակայությունը աուդիտի վիճակն է։
Հավիտենական waivers առանց վճարման և փոխհատուցող վերահսկողության ամսաթվի։
Չլուծված օրակարգեր. Ոչ մի decision cards, ոչ մի տարբերակ և էֆեկտի գնահատական։
KPI-ն առանց սեփականատերերի և կապի Risk Appetite-ի հետ։
Շահերի հակամարտությունները առանց կառավարվող recusals-ի։
17) Հանձնաժողովի հասունության մոդելը (M0-M4)
M0 Ad-hoc-hoc-հազվագյուտ հանդիպումներ, առանց metric և metric-ի։
M1 Ֆորմալիզացված ՝ Կանոնադրություն, քվորում, հիմնական արձանագրություններ, ամսական հանդիպումներ։
M2 Կառավարվող 'KPI/KRI, decision cards, waivers վերահսկողություն։
M3 Ինտեգրված 'կապ MSM/RBA/Policy-as-Code, «audit-ready կոճակի վրա»։
M4 Assured: Կանխատեսելի KRI, ավտոմատ էսկալացիա, wwww.impact-review լուծումներ։
18) Կապված wiki հոդվածները
Ռիսկային աուդիտ (RBA)
Շարունակական կոմպոզիցիա (MSM)
KPI և կոմպլանսի մետրերը
Փոփոխությունների կառավարում կոմպլանսի քաղաքականության մեջ
Քաղաքական և ընթացակարգերի կյանքի ցիկլը
Due Diligence-ը և աուտսորսինգի ռիսկերը
Legal Hold-ը և տվյալների սառեցումը
Արդյունքը
Ուժեղ Հանձնաժողովը ոչ թե «հանդիպում» է, այլ ձեռնարկության կառավարման մեխանիզմը 'պարզ մանդատը, անկախությունը և քվորումը, դաշբորդներում տվյալները, սեփականատերերի և ժամկետների լուծումները, կատարման վերահսկումը և ապացույցների բազան։ Այդ ժամանակ համեմատությունը դառնում է ռազմավարության կանխատեսելի աջակցություն, ոչ թե բիզնեսի արգելակ։