Ռիսկային աուդիտ

1) Ռիսկային ռիսկի էությունը (RBA)

Ռիսկային աուդիտը մի մոտեցում է, որի դեպքում աուդիտների պլանավորումը և անցկացումը կենտրոնանում են ռիսկի բարձր մակարդակի վրա բիզնեսի և բիզնեսի նպատակների համար։ Հիմնական գաղափարները

Գերակայություն այնտեղ, որտեղ հավանականության և ազդեցության համադրությունը առավելագույն է։

Ռիսկի գնահատումը (առանց վերահսկման) և հիբրիդային ռիսկի (հաշվի առնելով վերահսկումները)։

Գնահատման շարունակական իրականացումը, քանի որ ռիսկի լանդշաֆտը (արտադրանք, շուկա, կարգավորող, պատահականություն)։

2) Տերմիններ և շրջանակներ

Աուդիտ-Universum-ը գործընթացների, համակարգերի, միգրացիաների, միգրացիայի և կարգավորող պարտականությունների կատալոգն է, պոտենցիալ ռուսական օրինագիծը։

Heatmap ռիսկերը «Պոտենցիալ Ազդեցությունը» տեսողական են գերակայությունների աստիճանով։

Risk Appetite/Toler.ru-ը հայտարարեց ընկերության պատրաստակամությունը ռիսկի ընդունել սահմանված սահմաններում։

Կառավարման մակարդակները ինդեքսիվ/դետեկտիվ/ուղղիչ են։ դիզայնը և վիրահատական արդյունավետությունը։

Պաշտպանության գծերը 1-ին (բիզնեսն ու վիրահատությունները), 2-րդ (ռիսկի/համադրման), 3-րդ (ներքին աուդիտ)։

3) Աուդիտի համընդհանուր կառուցվածք

Կազմեք վարչական միավորներ հիմնական կոդերով

Գործընթացներ ՝ վճարումներ, KYC/KYB, AML-2019, միջադեպերի կառավարում, DSAR, վերականգնումը։

Համակարգերը ՝ գործարքների միջուկը, MSH/Datalaik, IAM, CI/CD, ամպը, DLP/EDRM։

Իրավասությունները և լիցենզիաները, հիմնական վենդորները և աուտսորսները։

KPI/KRI, մրցույթի/խախտումների պատմությունը, արտաքին Findings/սանկցիաները։

Դրամական և հեղինակության ազդեցություն, քննադատություն կարգավորողների համար (GDPR/PCI/AML/SOC 2)։

4) Ռիսկի գնահատման մեթոդաբանությունը

1. Բնորոշ ռիսկը (IR) 'գործընթացի բարդությունը, տվյալների ծավալը, դրամական հոսքերը, արտաքին կախվածությունները։

2. Կառավարման դիզայնը (CD) 'առկայությունը, ծածկույթը, քաղաքական հասունությունը կոդի, ավտոմատիզացումը։

3. Վիրահատական արդյունավետությունը (OE) 'կատարման տեմպը, MTTD/MTTR մետրիկները, դրեյֆի մակարդակը։

4. Հիբրիդային ռիսկը (RR) '«RR = f (IR, CD, OE)» - նորմալացրեք սանդղակով (օրինակ, 1-5)։

5. Փոփոխական գործոնները 'կարգավորիչների փոփոխությունները, վերջին միջադեպերը, անցյալ աուդիտների արդյունքները, անձնակազմի լուծարումը։

Ազդեցության մասշտաբի օրինակը 'ֆինանսական վնասը, կարգավորող տուգանքները, SLA-ի արագությունը, տվյալների կորուստը, հեղինակության հետևանքները։

Հավանականության մասշտաբի օրինակ 'իրադարձությունների հաճախականությունը, էքսպոզիան, հարձակումների բարդությունը/չարաշահումը, պատմական միտումները։

5) Առաջնահերթություն և տարեկան պլան

Ներծծեք միավորները երկրորդային ռիսկի և կարևոր բաների միջոցով։

Վերցրեք հաճախականությունը 'ամեն տարի (բարձր), երկու տարին մեկ (միջին), մոնիտորինգի/նատրիումի (ցածր)։

Միացրեք թեմատիկ ստուգումները (օրինակ ՝ «Տվյալների հեռացում և անանուն», «Պարտականությունների (SoD)», «PCI հատվածը»)։

Պլանավորեք ռեսուրսներ 'հմտություններ, անկախություն, խուսափեք շահերի բախումից։

6) RACI և դերերը

Դերը	Պատասխանատվություն
Audit Committee / Board (A)	Պլանի հայտարարությունը, անկախության վերահսկումը
Head of Internal Audit (A/R)	Մեթոդաբանություն, գերակայություն, մրցույթի արտադրություն
Internal Auditors (R)	Դաշտային աշխատանք, թեստեր, նմուշներ, վերլուծություն
Risk/Compliance (C)	Ռիսկերի միասնական գնահատում, կարգավորող ինտերֆեյս
Process/System Owners (C)	Տվյալների հասանելիությունը, remediation պլանը
Legal/DPO (C)	Նորմերի մեկնաբանումը, գաղտնիությունը և տվյալների պահպանումը
SecOps/Data Platform/IAM (R/C)	Հանեք լոգանքները, դելիգները, dashbords evidence

(R — Responsible; A — Accountable; C — Consulted)

7) Վերահսկիչների փորձարկման մոտեցումները

Walkthrough: Հետևել «գործարքի »/տվյալների հոսքը։

Desportefectiveness: Քաղաքականության/վերահսկողության առկայության ստուգում։

Operating effectiveness: Ժամանակի ընթացքում կատարման ընտրական ստուգում։

Re-perform.ru 'CaC կանոնների բանաձևի/ազդանշանների վերարտադրումը։

CAATS/DA (computer-assisted audit/wwww.ant.ru): SQL/Peton-ջութակները, Compli.ru վիտրինների վերահսկողական հարցումները, IaC-ի համեմատությունը ռուսական դելիգների հետ։

Medinuus auditing-ը 'վերջնական թեստերի կառուցումը իրադարձությունների անվադողում (stream/batch)։

8) Vybork (sampling)

Վիճակագրական 'պատահական/ստրատիֆիկացված, որոշեք չափսը վստահության և թույլատրելի սխալի առումով։

Նպատակային (judgmental) ՝ high-value/բարձր ռիսկ, վերջին փոփոխությունները, բացառությունները (waivers)։

Աննորմալ 'վերլուծությունից եզրակացություն (www.iers), near-miss միջադեպերը, «բարձր խախտողները»։

Միջանցք (100 տոկոսը), որտեղ հնարավոր է օգտագործել բոլոր պարամետրերի ավտոմատացված ստուգումը (օրինակ, SoD, TTL, սանկցիոն սկրինինգը)։

9) Վերլուծություն և ապացույցների աղբյուրներ (evidence)

Մուտքի լոգները (IAM), փոփոխությունների հետքերը (Git/CI/CD), ենթակառուցվածքի (Terraform/K8s), DLP/EDRM զեկույցները։

«Compliant» վիտրինները, Legal Hold, DSAR-2019, AML (SAR/STR) զեկույցները։

Dashbords նկարները, CSV/PDF էքսպորտը, hash-ամրագրումը և WORM/immutability-ը։

Հարցազրույցի արձանագրությունները, չեկ թերթերը, թիկետինգի/էսկալացիայի արտեֆակտները։

10) Մրցույթի անցկացումը 'SOP

1. Նախնական գնահատումը 'ճշտել նպատակները, չափանիշները, սահմանները, սեփականատերերը։

2. Տվյալների հարցումը 'բեռնման, հասանելի, գենդերային, նմուշառման ժամանակահատվածը։

3. Դաշտային աշխատանք 'walkthrough, վերահսկողական թեստեր, վերլուծություն, հարցազրույցներ։

4. Եզրակացությունների տրամաբանությունը 'համեմատել Risk Appetite-ի հետ, նորմերի և քաղաքական գործիչների հետ։

5. Findings: Այն փաստը, որ ռուսական չափանիշները ազդում են ռուսական պատճառի վրա, բացատրում է առաջարկությունը մասնավոր սեփականատերը։

6. Closing meeting: Ռուսաստանի փաստերը, կարգավիճակը և remediation ծրագրերը։

7. Զեկույցը և հաջորդ դիտարկումը 'թողարկումը, վարկանիշը, փակման ժամանակը, կրկնվող ստուգումը։

11) Findings դասակարգումը և ռիսկի վարկանիշը

Severity: Critical/High/Windows/Low (ավելացրեք անվտանգության ազդեցությանը, ընկերակցությանը, ֆինանսներին, վիրահատություններին, հեղինակությանը)։

Likelihood: Հաճախակի/Հնարավոր/Red.

Risk score: մատրիցա կամ թվային ֆունկցիա (օրինակ, 1-25)։

Theme tags: IAM, Data Privacy, AML, PCI, DevSecOps, DR/BCP.

12) Metriki և KRI/KPI ռիսկային ռիսկի համար

Coverage 'աուդիտի համընդհանուր մասը, որը ծածկված է տարվա ընթացքում։

On-time Remediation: Ուղղումների տոկոսը ժամանակին (severity)։

Repeat Findings-ը 12 մեզ բաժանողների մասն է։

MTR Findings: MTTR-ն է։

Corl Effectiveness Trend-ը Passed/Failed թեստերի մասն է։

Audit Readiness Time-ը 'evidence հավաքելու ժամանակը։

Risk Reduction Index: Risk Reduction Index: Rights-ի ընդհանուր ռիսկի սկորը գոտկատեղից հետո։

13) Dashbords (նվազագույն հավաքածու)

Risk Heatmap: գործընթացները հավանականություն/ազդեցություն են տալիս հիբրիդային ռիսկի վրա։

Findings Pipeline: (Open/In progress/Overdue/Closed) ռուսական սեփականատերերը։

Top Themes: հաճախակի խախտումների կատեգորիաներ (IAM/Privacy/PCI/AML/DevSecOps)։

Aging & SLA 'ժամկետներ և մոտիկ dedlins։

Repeat Issues-ը 'թիմերի/համակարգերի կրկնությունը։

Corl Test Results: pass rate, միտումներ, FPR/TPR դետեկտիվ կանոնների համար։

14) Արտեֆակտների օրինակները

Աուդիտի տարածքը (Audit Scope)

Նպատակը և չափանիշները (ստանդարտներ/քաղաքականություն)։

Ծավալը 'համակարգեր/ժամանակահատվածներ/վայրեր/մատակարարներ։

Մեթոդներ 'ընտրություն, վերլուծություն, հարցազրույցներ, walkthrough։

Բացառություններ և սահմանափակումներ (եթե կա)։

Finding քարտը

Փաստի նկարագրությունը և անհամապատասխանության չափանիշը։

Ռիսկը և ազդեցությունը (բիզնես/կարգավորող/անվտանգություն)։

Առաջարկությունը և գործողությունների պլանը։

Սեփականատերը և ժամանակահատվածը (due date)։

Մոսկվա/Թեմա/Severity/Likelihood/Score.

Ապացույցներ (հղում/հեշի/արխիվ)։

Օրինագծի զեկույցը (կառուցվածքը)

1. Ղեկավարության ռեզյումե (Executive Summary)։

2. Համատեքստը և ծավալը։

3. Մեթոդաբանությունը և տվյալների աղբյուրները։

4. Եզրակացություններ և վերահսկման գնահատում։

5. Findings-ը և առաջնահերթությունները։

6. Ռեմեդիայի պլանը և կատարման վերահսկումը։

15) Կապը շարունակական մոնիտորինգի հետ (MSM) և կոմպլենսային-as-code-ի հետ։

Օգտագործեք SDM արդյունքները որպես ռիսկի գնահատման և աուդիտի պլանավորման հիմք։

Քաղաքական-կոդը թույլ է տալիս վերափոխել պրոտորատորների թեստերը 'ավելացնելով վերարտադրողականությունը։

Ներդրեք wwww.inus auditing-ը բարձր և հասանելի հեռուստացույց ունեցող տարածքների համար։

16) Անտիպատերնի

«Հավասարաչափ» աուդիտը, բացառությամբ ռիսկի, բացատրում է ֆոկուսի և ռեսուրսների կորուստը։

Հաշվետվություններ առանց չափված հաճախորդների և սեփականատերերի։

Ռիսկի վարկանիշի անթափանց մեթոդաբանությունը։

Անտեսելով ծառայություններն ու շղթաները։

Հետագա վերահսկողության բացակայությունը (follow-up), խնդիրները վերադառնում են։

17) RBA հասունության մոդելը (M0-M4)

M0 Փաստագրական 'տարբեր ստուգումներ, ձեռքով ընտրություն։

M1 Կատալոգ 'աուդիտ-universum և www.hatmap։

M2 Քաղաքականություն և թեստեր 'ստանդարտ չեկ թերթիկներ և վերահսկողական հարցումներ։

M3 Ինտեգրված 'կապ SNM-ի հետ, SIEM/IGA/DLP տվյալները, evidence կիսագնդի հավաքումը։

M4 Շարունակական 'www.inuus auditing, իրական ժամանակում գերակայություն, ավտոմատացված ռեպերֆորմներ։

18) Գործնական խորհուրդներ

Արեք ռիսկի սանդղակ, որը մասնակցում է բիզնեսին և կոմպլենսին, ռիսկի միակ «արժույթը» է։

Պահպանեք թափանցիկությունը 'փաստարկեք մեթոդը և քաշը, պահպանեք փոփոխության պատմությունը։

Միացրեք պլանը ռազմավարական և Risk Appetite-ի հետ։

Ուսուցանեք գործընթացների տերերին 'աուդիտ, ինչպես նաև ապագայի խնայողություններ։

Նվազեցրեք «աղմուկը» վերլուծությամբ 'ստրատիֆիկացիան, բացառման կանոնները, վնասների գերակայությունը։

19) Կապված wiki հոդվածները

Շարունակական կոմպոզիցիա (MSM)

Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան

Legal Hold-ը և տվյալների սառեցումը

Տվյալների պահպանման և տեղադրման գրաֆիկները

DSAR 'օգտագործողների հարցումները տվյալների վրա

PCI DSS/SOC 2 'վերահսկում և հավաստագրում

Բիզնեսի շարունակականության պլանը (BCP) և PPP

Արդյունքը

Ռիսկային աուդիտը կենտրոնանում է ամենակարևոր վտանգների վրա, չափում է վերահսկման արդյունավետությունը և արագացնում է ուղղիչ գործողությունների ընդունումը։ Նրա ուժը տվյալների և թափանցիկ մեթոդաբանության մեջ է, երբ գերակայությունը հասկանալի է, թեստերը վերարտադրվում են, իսկ առաջարկությունները չափվում և փակվում են ժամանակին։