Ռիսկի ջերմային քարտեզը

1) Նշանակումն ու արժեքը

Ռիսկի ջերմային քարտեզը (Risk Heatmap) տեսողական գործիք է ռիսկերների դասակարգման և հաղորդակցման համար, որոնք հիմնված են վերահսկման, չափումների և գործողությունների պլանների հետ։

Նպատակները

գերակայության լեզուն (բիզնես, այդ, իրավական բլոկներ);

թափանցիկ լուծումներ SARA/ներդրումների վերաբերյալ;

դինամիկայի հետևում (մինչև/հետո), «audit-ready» պատրաստակամությունը։

2) Տաքսոնոմիա և տարածք

Առաջարկվող օրինագծերը

Կարգավորիչ/Լիցենզիա, Գաղտնիություն/Տվյալներ, IB/Techross, Վճարումներ/AML/KYC, Վիրահատություն/հասանելիություն, Մարքեթինգ/Պատասխանատու գովազդ, մատակարարներ/VRM։

Խաչմերուկը

Իրավասություններ/շուկաներ, Բիզնես գծեր/ապրանքներ, Ծառայություններ/պլատֆորմներ, Կրիտիկական պրովայդերներ։

3) Հավանականության և ազդեցության մասշտաբները

3. 1 Հավանականություն (5 մակարդակ սանդղակի օրինակ)

1. Հազվադեպ (անգամ> 3 տարի/p <5%)

2. Ցածր (մեկ անգամ 1-3 տարեկան)

3. Միջին (ամեն տարի)

4. Բարձր (եռամսյակային)

5. Շատ բարձր (ամսական/ավելի հաճախ)

3. 2 Ազդեցություն (բազմաֆակտորային)

Գնահատեք առավելագույն չափանիշներից

Ֆինանսներ 'ուղղակի կորուստներ/տուգանքներ/chargeback։

Լիցենզիաներ/Իրավաբանական հետևանքներ 'կասեցում, արգելքներ, հետազոտություններ։

Գաղտնիությունը/Տվյալները 'PII ծավալը, ծանուցումները, վերահսկողական գործողությունները։

Վիրահատություններ/Aptaim: MTTR, SLO, կոտրված ուլտրաձայններ, RTO/RPO։

Հեղինակություն ՝ մեդիա, սոցիալական ցանցեր, գործընկերական սանկցիաներ։

1-5 սանդղակը հստակ շեմերով (օրինակ ՝ 1: <10k, 5:> 241m)։

4) Սկորինգը և ռիսկի մակարդակը

Անհատական ռիսկ ՝ «Score = Likelihood no Impact» (1-25)։

Կատեգորիաներ

20-25 - Critical (կարմիր)

12-19 - High (նարնջագույն)

6-11 - Մոսկվա (դեղին)

1-5 - Low (կանաչ)

Հիբրիդային ռիսկը 'ներկա վերահսկողություններից հետո (արդյունավետությունը ապացուցված է WinD/WindE/MSM)։

Ռուսական ռիսկը (Target) 'պլանավորված միջոցներից հետո։ գրանցվում է հասնելու ամսաթիվը։

5) Տվյալների աղբյուրները և կապ վերահսկողների հետ

GRC-2019 'ռիսկերի նկարագրություններ, սեփականատերեր, ռուսական/նպատակային գնահատականներ։

SSM/metriks: pass-rate կանոններ, միջադեպեր, KRI։

Wendors/VRM 'հավաստագրեր, SLA, միջադեպեր, տվյալների միգրացիայի փոփոխություններ։

Ֆինանսներ/Payments: Տուգանքներ, chargeback ratio, fraud loss%։

Բոլոր արժեքները, որոնք ազդում են մասշտաբի վրա, պետք է ունենան evidence հղումներ (logs/հաշվետվություններ) և թայմստամպ։

6) Համախմբում և համախմբում

Bottrone-up 'ծառայություններից/խմբակցություններից մինչև և ընկերություններից։

Ագրեգացիայի կանոնները 'առավելագույնը Impact-ով, percentil Likelihood-ով կամ կշռված մեդիանով (բիզնեսի ծավալով)։

Առանձին շերտեր (layers) ՝ Inherent (առանց վերահսկման), Residae (վերահսկողությունների հետ), Target (CAPA-ից հետո)։

Բաժանեք հարաբերական ռիսկերը (օրինակ, ընդհանուր ենթակառուցվածքային խոցելիությունը) և անկախ։

7) Տեսողականություն

Մատրիցա 5-5 գույնի կոդավորմամբ։ ինտերակտիվ ռիսկեր, որոնք ունեն քարտեր (նկարագրություն, սեփականատեր, վերահսկողներ, CAPA)։

Շերտերի անջատիչները ՝ Inherent/Residae/Target։

Ֆիլտրեր 'միգրացիա, ապրանք, տիրույթ, պրովայդեր, ժամանակահատվածը։

«Մինչև/հետո» և «դրեյֆը» (drift) 30-90 օրվա ընթացքում։

8) Դերեր և RACI

9) KRI-ն և շարժասանդուղքները

KRI-ի օրինակները (մուտքագրեք ռիսկի քարտեզի վրա)

Privacy: desar _ response _ p95, հեռացում TTL, բողոքներ/օմբուդսմեն։

Մոսկվա: P95 TTR խոցելիությունը, քննադատական «կարմիր» MSM կանոնները, SoD խախտումները։

Payments: chargeback ratio, fraud loss%, win-rate։

Oper.ru: SLO breach rate, p1/p2, RTO/RPO թեստեր։

Էսկալացիա ՝ Amert, երբ դուրս է գալիս նախազգուշացնող շեմերի համար, Red-ը պարտադիր CAPA-ն և «stop-the-2019» կրիտիկական գոտիների համար։

10) Որոշումների ընդունումը և կապը CAPA-ի հետ

Յուրաքանչյուր «կարմիր» կետի համար պարտական է գործողությունների պլանը 'Windrective/Winventive, սեփականատերը, ժամկետը, բյուջեն, KPI հաջողությունը։

Շեմի կանոնները (օրինակ)

Critical: CAPA 2430 օր, re-audit 60-90 օրվա ընթացքում; հանձնաժողովը շաբաթական է։

High: CAPA 2460 օր, 90 օր դիտարկումը։

Systement/Low: Եռամսյակի պլանում/կես տարի։

Նվազման անհնարինությունը waiver-ն է, որի ժամացույցը և փոխհատուցվող վերահսկումները։

11) Dashbords (նվազագույն)

Heatmap Pro 'ներկա մատրիցը + Residae/Target շերտերը։

Risk Trend: կետերի դինամիկան, «CAPA-ից հետո»։

Aleksands Linkage: pass-rate MSM ռիսկի վրա, «կարմիր» խաղերը։

Regulatory Exposure-ը 'էքսպոզենտների և մրցույթների ռիսկերը։

Vendor Risk: կրիտիկական պրովայդերների ջերմային քարտեզը (հավաստագրեր, SLA, պատահականներ)։

Audit-Readiness: completeness evidence/hash-quitans ռիսկի վրա։

12) Արդյունավետության մետրերը

Risk Reduction Index: Միջին կշռված ռիսկի սկոր զանգվածներով։

On-time CAPA-ն 'միջոցառումների տոկոսը ժամանակին (severity)։

Repeat Findings (12 մեզ) 'ռիսկերների մասնաբաժինը։

Evidence Completeness: Ռիսկերի տոկոսը ապացույցների ամբողջական փաթեթով։

Drift After Fix-ը '30-90 օր անց «կարմիր» գոտի տեղափոխվելու դեպքերը։

Coverage: բիզնես ակտիվների/միգրացիաների մասը, որոնք արտացոլված են քարտեզի վրա։

13) SOP (տեխնիկական ընթացակարգ)

SOP-1 'Մեթոդիկայի նախաձեռնումը

Որոշեք մասշտաբները և շեմերը պլանավորվում է համաձայնեցնել Հանձնաժողովում պլանավորվում է շտկել ռեպոզորիայում (տարբերակումը)։

SOP-2: Եռամսյակի ցիկլը

Մուտքային տվյալների հավաքումը/KRI-ն կանխատեսում է գնահատականների վերահաշվարկումը եվրոպական տերերի կողմից ռուսական էքսպորտի հրապարակումը։

SOP-3: Պատահականություն-տրիգեր

Critical/High-ի դեպքում քարտեզի չնախատեսված նորարարությունն է, CAPA-ի կապումը և re-audit պլանը։

SOP-4 'Վենդորական պաշտպանիչ

VRM-հարցումը/հավաստագրերը կանխատեսում են ռիսկերի նորարարությունը։

SOP-5: Արխիվը և ապացույցները

Heatmap (PDF/PNG/CSV) + hash-quitancia no WORM արխիվը հղում GRC-ում։

14) Արտեֆակտների օրինակները

14. 1 Ռիսկի քարտեզ (հատված)

ID/Անուն, սեփականատեր, տիրակալ/իրավասություն

Likelihood/Impact/Inherent/Residual/Target

Վերահսկել (ID, մետրիկներ, MSM կանոնները)

KRI և իրական արժեքներ

CAPA/waivers, ամսաթվերը, բյուջեն, KPI

Evidence հղում և hash-quitantia

14. 2 Շկալ քաղաքականություն (կանգնել)

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Զեկույց «առաջ/հետո»

Skrinschots heatmap (Residronvs Target)

Ռիսկի փոփոխություն

Կատարված CAPA, կայունության չափումներ

15) Անտիպատերնի

«Գեղեցիկ նկար» առանց վերահսկողության/KRI և CAPA-ի։

Պարզ մասշտաբները ցույց են տալիս գնահատականների մանիպուլյացիան։

Տարբերակման/ապացույցների բացակայությունը կետերի փոփոխության մեջ։

Նվազեցված ռիսկերի ամփոփումը առանց համախմբման կանոնների։

Ռուսական քարտեզի հազվագյուտ նորարարությունները չեն արտացոլում իրականությունը։

Waivers առանց պայմանագրերի և փոխհատուցող միջոցառումների։

16) Հասունության մոդելը (M0-M4)

M0 Ad-hoc: Տարբեր նկար, չկա մեթոդներ/մետրիկ։

M1 Plane: Windows-ը, զանգվածի նորարարությունները։

M2 Կառավարվող 'կապ/KRI, CAPA, dashbords, WORM արխիվը։

M3 Ինտեգրված 'ավտոմատ վերահաշվարկ (MSM), policy-/asurance-as-code, կտրվածքներ/վենդերներ։

M4 Synuous Assurance-ը 'կանխատեսելի KRI, բեմական մոդելավորում, «what-if», առաջնահերթությունների առաջարկություններ։

17) Կապված wiki հոդվածները

Ռիսկային աուդիտ (RBA)

KPI և կոմպլանսի մետրերը

Շարունակական կոմպոզիցիա (MSM)

Խախտումները վերացնելու պլանները (CAPA)

Կրկնվող աուդիտներ և կատարման վերահսկողություն

Ռեպոզիտորիա քաղաքական և ստանդարտներ

Կոմունայի ճանապարհային քարտեզը

Գործընկերների/VRM

Արդյունքը

Ռիսկի ջերմային քարտեզը ոչ թե զեկույց է, այլ կառավարման մեխանիզմ 'միասնական մասշտաբներ, կառավարությունների և KRI-ի հետ կապը, նորարարությունների իրականացումը, ապացուցված լուծումները և դիմադրության վերահսկումը։ Այս մոտեցումը դարձնում է օբյեկտիվ գերակայություն, արագացնում է էքսպորտային լուծումները և աջակցում է անընդհատ «audit-ready» պատրաստակամությունը։