ヒートリスクマップ
1)目的と価値
リスクヒートマップは、コントロール、メトリクス、アクションプランにリンクされた「影響の確率」マトリックス全体でリスクをランク付け×伝達するためのビジュアルツールです。
目的:- 単一の優先順位付け言語(ビジネス、それら、法的ブロック);
- 透明なCAPA/投資判断;
- 進捗状況の追跡(対策の前/後)、監査準備ができました。
2)分類学および適用範囲区域
推奨ドメイン:- 規制/ライセンス、プライバシー/データ、情報セキュリティ/技術プロセス、支払い/AML/KYC、運用/可用性、マーケティング/責任ある広告、サプライヤー/VRM。
- 管轄/市場、ビジネスライン/製品、サービス/プラットフォーム、重要なプロバイダー。
3)確率および影響のスケール
3.1確率(5段階スケールの例)
1.希少(3年に1 回/p <5%)
2.低い(1-3年に一度)
3.平均(年間)
4.高い(四半期ごと)
5.非常に高い(毎月/より頻繁に)
3.2インパクト(多変量)
基準の最大値に応じて評価します:- ファイナンス:直接損失/ペナルティ/チャージバック。
- ライセンス/法的影響:停止、禁止、調査。
- プライバシー/データ:PIIスコープ、通知、監督措置。
- 操作/稼働時間:MTTR、 SLO、中断されたリリース、RTO/RPO。
- 評判:メディア、ソーシャルネットワーク、パートナー制裁。
- 明確なしきい値を持つスケール1-5(例:1: <€10k、 5:> €1m)。
4)スコアリングとリスクレベル
個々のリスク:'スコア=影響×可能性'(1-25)。
カテゴリー:- 20-25-クリティカル(赤)
- 12-19-高(オレンジ)
- 6-11-中型(黄色)
- 1-5-低い(緑)
- 残留リスク:現在のコントロールを考慮した後(ToD/ToE/CCMで確認された有効性)。
- ターゲットリスク:計画された措置の後;達成日は確定しています。
5)データソースと制御へのリンク
GRC-register:リスク説明、所有者、現在/ターゲット評価。
JMA/メトリクス:制御規則、インシデント、KRIのパスレート。
ベンダー/VRM:証明書、SLA、インシデント、データ場所の変更。
ファイナンス/支払い:罰金、チャージバック率、詐欺損失%。
スケールに影響するすべての値には、証拠リンク(ログ/レポート)とタイムスタンプが必要です。
6)集約と統合
ボトムアップ:サービス/管轄からドメインおよび会社まで。
集計ルール:最大インパクト、可能性パーセンタイル、または重み付け中央値(ビジネス量による)。
別のレイヤー:固有(コントロールなし)、残留(コントロール付き)、ターゲット(CAPA後)。
相関するリスク(共有インフラストラクチャの脆弱性など)と独立したリスクを分離します。
7)可視化
色分けされた5 × 5のマトリックス;ポップアップカード(説明、所有者、コントロール、CAPA)とのインタラクティブなリスクポイント。
レイヤースイッチ:固有/残留/ターゲット。
フィルター:管轄、製品、ドメイン、プロバイダー、期間。
トレンド「前後」対策と「ドリフト」(ドリフト)30-90日で。
8)役割とRACI
9) KRIおよびエスカレーションのしきい値
KRI(地図上のリスクへのリンク)の例:- プライバシー:dsar_response_p95、 TTL削除、苦情/オンブズマン。
- セキュリティ:p95 TTRの脆弱性、重要な赤いCCMルールの共有、SoD違反。
- 支払い:チャージバック率、詐欺損失%、Win-Rateアピール。
- 操作:SLO違反率、インシデントp1/p2、 RTO/RPOテスト。
- エスカレーション:警告のしきい値を超えたときに琥珀色、赤-必須のCAPAとクリティカルエリアの「stop-the-line」。
10) CAPAとの意思決定とコミュニケーション
各「赤」ポイントには、アクションプランが必要です:是正/予防、所有者、用語、予算、成功のKPI。
しきい値ルール(例):- 重大:CAPA ≤ 30日、60-90日の再監査;委員会-毎週。
- 高い:CAPA ≤ 60日、フォローアップ90日。
- 中期/下期:四半期/半期計画。
- 削減が不可能な場合-有効期限と補償コントロールの放棄。
11)ダッシュボード(最小)
ヒートマップビュー:現在の行列+残り/ターゲットレイヤー。
リスクトレンド:CAPAの前/後。
制御リンク:危険、赤いゲートによるCCMのパスレート。
法令順守:管轄権とライセンスによるリスク。
ベンダーのリスク:重要なプロバイダ(証明書、SLA、インシデント)のヒートマップ。
監査準備:完全性の証拠/リスクのハッシュ領収書。
12)パフォーマンスメトリック
リスク低減指数:四半期ごとの加重平均リスク率の∆。
On-time CAPA:時間通りに(重症度による)測定の%。
リピート調査結果(12ヶ月):関連リスクの繰り返しのシェア。
証拠の完全性:完全な証拠パッケージで%のリスク。
修正後のドリフト:30-90日後に「赤い」ゾーンに戻るケース。
適用範囲:地図に反映される事業資産/管轄の割合。
13) SOP(標準的なプロシージャ)
SOP-1: プロシージャの初期化
スケールとしきい値を決定する→委員会で同意する→リポジトリで修正する(バージョン管理)。
SOP-2: 四半期サイクル
データ収集/KRI→評価の再計算→オーナーによるレビュー→委員会の決定→ダッシュボードの公開→エクスポート「監査パック」
SOP-3: トリガーインシデント
Critical/Highインシデントでは、予定されていないマップの更新、CAPAバインディング、および再監査計画が行われます。
SOP-4: ベンダー・ループ
VRM Survey/Certificates→Vendor Risk Update→Vendor Mirror Confirmation
SOP-5: アーカイブと証拠
スナップショットヒートマップ(PDF/PNG/CSV)+ハッシュレシート→WORMアーカイブ→GRC内のリンク。
14)アーティファクトパターン
14.1リスクカード(断片)
ID/名前、所有者、ドメイン/管轄
可能性/影響/固有/残留/ターゲット
コントロール(ID、メトリック、CCMルール)
KRIと実際の値
CAPA/免除、日付、予算、KPI
証拠リンクとハッシュレシート
14.2スケールポリシー(シャッタースピード)
Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly14.3レポートの前後
ヒートマップのスクリーンショット(残留vsターゲット)
表∆-リスクによる変化
完了したCAPA、レジリエンスメトリック
15) Antipatterns
コントロール/KRIとCAPAを参考にしない「美しい絵」。
不明確なスケール→推定の操作。
スコア変更のバージョニング/証拠はありません。
集計ルールなしで異なるリスクをまとめます。
まれな更新→マップは現実を反映していません。
期限および補償措置のない免除。
16)成熟度モデル(M0-M4)
M0アドホック:1回限りの画像、メソッド/メトリックはありません。
M1計画:合意されたスケール、四半期ごとの更新。
M2管理:コントロール/KRI、 CAPA、ダッシュボード、WORMアーカイブとのリンク。
M3統合:自動再計算(CCM)、ポリシー/保証コード、管轄/ベンダーによるスライス。
M4継続的保証:予測KRI、シナリオモデリング、what-if、優先度の推奨事項。
17)関連するwiki記事
リスクベース監査(RBA)
KPIとコンプライアンス指標
コンプライアンス継続監視(CCM)
修復計画(CAPA)
再監査とフォローアップ
ポリシーとコンプライアンスリポジトリ
コンプライアンスロードマップ
パートナー/VRMコンプライアンスガイド
合計
リスクヒートマップはレポートではなく、管理メカニズムです。均一なスケール、制御およびKRIとのコミュニケーション、定期的な更新、証明可能な意思決定、および測定後の持続可能性コントロールです。このアプローチは、優先順位付けの目的を作り、委員会の意思決定をスピードアップし、継続的な監査準備を維持します。