GH GambleHub

რისკებისა და შესაბამისობის მართვის კომიტეტი

1) დანიშვნა და მანდატი

რისკებისა და შესაბამისობის მართვის კომიტეტი (შემდგომში კომიტეტი) არის კოლეგიური ორგანო, რომელიც:
  • ქმნის და მხარს უჭერს Risk Appetite- ს და შესაბამისობის პრინციპებს;
  • ამტკიცებს მთავარ პოლიტიკოსებს/სტანდარტებს და მათ ცვლილებებს;
  • აკონტროლებს საკვანძო რისკებს (ოპერაციული, მარეგულირებელი, IB/კონფიდენციალურობა, ფინანსური, მესამე მხარეები);
  • ადგენს მეტრიკებს და SLO/SLA შესაბამისობას და აკონტროლებს მათ მიღწევას;
  • წყვეტს პრიორიტეტების ესკალაციისა და კონფლიქტის საკითხებს;
  • უზრუნველყოფს „audit-ready“ სახელმწიფოს (მტკიცებულებების საფუძველი, გადაწყვეტილებების ოქმები).

2) შემადგენლობა და დამოუკიდებლობა

სავალდებულო მონაწილეები:
  • Complaence/DPO (co-chair) ხელმძღვანელი
  • CISO/Head of Security (co-chair)
  • Head of Legal
  • Head of Risk/Enterprise Risk
  • CFO/Finance (გავლენის შესაფასებლად)
  • ბიზნესის/პროდუქტის წარმომადგენელი (VP/Director)
  • პლატფორმის/ინფრასტრუქტურის მენეჯერი ან CTO დელეგატი
დამოუკიდებელი მონაწილეები:
  • შიდა აუდიტი (დამკვირვებელი)
  • HR/L & D (ტრენინგი/სერტიფიკაცია)
  • განვითარება/Vendor Mgmt (მესამე მხარეები)
  • Data/Platform (DWH/Lineage/CCM)

დამოუკიდებლობის პრინციპები: ინტერესთა კონფლიქტის არარსებობა, ჩანაწერების (თვითგანადგურების) დოკუმენტაცია, დამკვირვებლების როლის დაფიქსირება.

3) RACI კომიტეტი

აქტივობაRACI
Risk Appetite- ის განცხადებაRiskCEO/BoardCompliance, FinanceInternal Audit
მაიორი პოლიტიკოსის მოწონებაCompliance/DPOCo-ChairsLegal, Security, ProductInternal Audit
ესკალაციაComplianceCo-ChairsLegal, Security, OwnersInternal Audit
KPI/KRI მონიტორინგიCompliance AnalyticsCo-ChairsSecOps, DataBoard
ინციდენტების გადაწყვეტილებები (Sev1)SecOpsCo-ChairsLegal/PR, ProductInternal Audit
ვენდორის რისკები (კრეტა) Vendor MgmtCo-ChairsLegal, SecurityInternal Audit
მზადყოფნა აუდიტისთვისComplianceCo-ChairsOwnersBoard

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) რეგულაციები და სიხშირე

ჩვეულებრივი რეჟიმი: თვეში ერთხელ (90 წუთი) + KPI/KRI ყოველკვირეული ექსპრეს მონიტორინგი (15 წუთი).
კრიზისული რეჟიმი (ინციდენტი/რეგულატორი): შეხვედრები სტაბილიზაციამდე 24-48 საათში.
Quorum: ხმის მიცემის 2/3, მათ შორის ერთი co-chair.
გადაწყვეტილებები: მარტივი უმრავლესობა; High-risk - 2/3 და ვეტოს უფლება co-chairs- ში (ჩაწერა წესდებაში).

5) შემომავალი არტეფაქტები

Risk Register და Heatmap (განახლებული KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Change Log პოლიტიკოსებისთვის (Major/Minor/Emergency).
Waivers რეესტრი გასვლის თარიღებით და კომპენსაციის კონტროლით.
Incidents & Findings: Sev1/Sev2, განმეორება, რემედიაციის სტატუსი.
Vendor Risk: კრიტიკული პროვაიდერები, SLA/სერთიფიკატების დარღვევები.
აუდიტი/ასესმენტები: სტატუსები, ღია კომენტარები, მზადყოფნა „ღილაკზე“.

6) გასასვლელი და ნივთები (გარეთ)

გადაწყვეტილებების ოქმი owner, due date, severity და მოსალოდნელი რისკის ეფექტით.
განახლებული Risk Appetite Statement და პრიორიტეტები.
პოლიტიკოსისა და გამონაკლისების აფროვი/გადახრა (გამონაკლისი) პირობებით.
ესკალაციის წერილები/გადაწყვეტილებები Board/CEO- სთვის მაღალი რანგით.
საკომუნიკაციო ერთჯერადი საგნები და დავალებები გუნდებისთვის (tickets ITSM/GRC).

7) ტიპიური დღის წესრიგი (60-90 წუთი)

1. რეზიუმე KPI/KRI და გადახრები (10").
2. ინციდენტები/Sev1 განახლებები და გაკვეთილები (15").
3. პოლიტიკოსები: მაიორი ცვლილებები, კონფლიქტური ინტერპრეტაციები, ლოკალიზაცია (15").
4. მესამე მხარეები: SLA/სერთიფიკატების დარღვევები, სუბპროცესორები (10").
5. Waivers: გაფართოება/დახურვა, წითელი ზონები (10").
6. აუდიტი/ასესმენტები: მზადყოფნის სტატუსი და "აუდიტის პაკეტი" (10").
7. პრობლემების გადაჭრა და განაწილება (10").

8) გადაწყვეტილების მიღების და ესკალაციის პროცედურები

Decision card (შაბლონი): კონტექსტი, ვარიანტები, გავლენა რისკზე/ღირებულებაზე, რეკომენდაცია - ხმის მიცემა.
ესკალაცია: თუ რისკი> Appetite ან შეფერხება> SLA - გამონაკლისი/Board.
მიმოხილვა: პოსტ-ფაქტორი აფასებს გადაწყვეტილების ეფექტს 30-60 დღის შემდეგ (იმპაქტიური მიმოხილვა).

9) ინტეგრაცია და ნაკადები

RBA (რისკის აუდიტი): findings - owner/due კომიტეტის დღის წესრიგი დახურვის კონტროლი.
CCM (უწყვეტი მონიტორინგი): ალერტები/მეტრიკა - წესების/რეიდების პრიორიტეტი.
Policy Lifecycle/Change Mgmt: Major რედაქტორები, აფროვი, კომუნიკაცია, ტრენინგი.
Vendor DD/Outsourcing: მორიელის მოდელი და gap სიები - ხელშეკრულების პირობები/SLA.
Incident Mgmt: SOAR/PR/Legal ფლეიბუქები - მოხსენებები და გაკვეთილები.

10) კომიტეტის ეფექტურობის მეტრიკა

დროის აღდგენა: კომიტეტის ამოცანების% დროულად დახურული (დროის მიხედვით).
Decision Lead Time: საშუალო დრო საკითხის გადასაჭრელად.
Waiver Hygiene:% გამონაკლისი მიმდინარე გასვლის თარიღით (მიზანი: 100%).
Repeat Findings: განმეორებითი წილი 12 თვის განმავლობაში (მიზანი:).
Audit Readiness Time: საათი სრული audit pack.
Risk Reduction Index: QoQ- ის მთლიანი რისკი.
კომუნიკაციის SLA: მაიორი გადაწყვეტილებების დროულად ინფორმირებული როლების%.

11) კომიტეტის წესდება (შაბლონი)

მიზანი: რისკების და შესაბამისობის ზედამხედველობა; კომპანიის და მომხმარებლების ინტერესების დაცვა.
სფერო: ყველა იურისდიქცია/ბიზნეს ხაზი/IT სისტემა/მესამე მხარე.
უფლებამოსილება: პოლიტიკოსის დამტკიცება/გამონაკლისი; მონაცემთა/აუდიტის მოთხოვნა; ბორდზე ესკალაცია.
შემადგენლობა და კვორუმი: (იხ. § 2 და § 4).
ინტერესთა კონფლიქტები: დეკლარაციები, ჩანაწერები, ჟურნალი.
ოქმები: სრული მინუსების სტანდარტი (agenda, გადაწყვეტილებები, ხმები, owner, due, მითითებები evidence).
წესდების გადასინჯვა: ყოველწლიურად ან Board- ის მოთხოვნით.

12) დოკუმენტების შაბლონები

12. 1 Decision Card

თემა/კონტექსტი/სტანდარტები/რისკები

პარამეტრები და შეფასება (ღირებულება, დრო, გავლენა SLA/KRI- ზე)

რეკომენდაცია და რისკის დონე გადაწყვეტილების შემდეგ

შესრულების მფლობელი და ვადა

კენჭისყრის შედეგი (წინააღმდეგ/წინააღმდეგ/თავი შეიკავა)

12. 2 შეხვედრის ოქმი

თარიღი/კვორუმი/მონაწილეები

დღის წესრიგი

დისკუსია (მოკლედ, წერტილებზე)

გადაწყვეტილებები (owner, due, წარმატების მეტრიკა)

ღია კითხვები/ესკალაცია

პროგრამები (დაშბორდები, მოხსენებები, ბმულები WORM არქივზე)

12. 3 Risk Appetite მატრიცა (მაგალითი)

რისკიერთეულიAppetiteწითელი ზონა
PI გაჟონვაინციდენტები/წელი01+
DSAR შეფერხებები%≤ 2%> 5%
SoD დარღვევებისაქმეები/თვე0≥ 1
Drift (high/crit)საქმეები/თვე≤ 5> 15

13) დაშბორდის კომიტეტი (მინიმალური)

Risk Heatmap: ალბათობა × ეფექტის ნარჩენი რისკი.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, განმეორება.
Policy Changes: კონვეიერი Major/Minor/Emergency და ტრენინგის სტატუსი.
Vendor Risks: სერთიფიკატები, SLA, სუბპროცესორები, ინციდენტები.
Waivers & Deadlines: აქტიური/ვადაგადაცილებული, ესკალაცია.
Audit Readiness: აუდიტის/სერტიფიკაციის „აუდიტის პაკეტის“ პროცენტი.

14) კომიტეტის წლის კალენდარი

ყოველთვიურად: რეგულარული დღის წესრიგი (§ 7).
კვარტალი: Risk Appetite- ის გადასინჯვა, KPI/KRI ტენდენციები, findings შედეგი.
ექვსი თვის განმავლობაში: ძირითადი პოლიტიკოსის გადასინჯვა და ვავერსის პორტფელი.
ყოველწლიურად: კომიტეტის წესდება, აუდიტის/სერტიფიკაციის გეგმა, გაკვეთილების აღრიცხვა.

15) კრიზისული რეჟიმი (Sev1/Regulatory)

დაუყოვნებელი მოწვევა; battle-rhythm განახლებები (მაგ., ყოველ 4 საათში).
ერთიანი კომუნიკაცია (Legal/PR), Legal Hold კონტროლი.
გადაწყვეტილებები წვდომის შეფუთვის/მონაცემთა ინტეგრაციის/იზოლაციის გამორთვის შესახებ.
ინციდენტის ცალკეული ოქმი და პოსტ-შურისმაძიებლები მოქმედებებით.

16) ანტიპატერები

კომიტეტი, როგორც საფოსტო ყუთი, უფლებამოსილებისა და ვადების გარეშე.
ოქმების და მტკიცებულებების არარსებობა აუდიტზე საკამათოა.
მარადიული ტალღები გასვლის თარიღისა და კომპენსაციის კონტროლის გარეშე.
გადაუჭრელი დღის წესრიგი: არ არსებობს decision cards, არ არსებობს ვარიანტები და ეფექტის შეფასება.
KPI მფლობელების გარეშე და დაუკავშირდა Risk Appetite- ს.
ინტერესთა კონფლიქტი კონტროლირებადი ჩანაწერების გარეშე.

17) კომიტეტის სიმწიფის მოდელი (M0-M4)

M0 AD-hoc: იშვიათი შეხვედრები, მეტრიკის და ოქმების გარეშე.
M1 ფორმალიზებული: ქარტია, კვორუმი, ძირითადი ოქმები, ყოველთვიური შეხვედრები.
M2 კონტროლირებადი: KPI/KRI dashbords, decision cards, waivers კონტროლი.
M3 ინტეგრირებული: კავშირი CCM/RBA/Policy-as-Code, „ღილაკზე audit-ready“.
M4 Assured: პროგნოზირებული KRI, ავტომატური ესკალაცია, რეგულარული იმპაქტიური მიმოხილვები გადაწყვეტილებები.

18) ვიკის დაკავშირებული სტატიები

რისკზე ორიენტირებული აუდიტი (RBA)

შესაბამისობის უწყვეტი მონიტორინგი (CCM)

KPI და კომპლექსის მეტრიკა

კომპლექსის პოლიტიკაში ცვლილებების მენეჯმენტი

პოლიტიკის და პროცედურების სასიცოცხლო ციკლი

Due Diligence და აუთსორსინგის რისკები

Legal Hold და გაყინვა

შედეგი

ძლიერი კომიტეტი არ არის „შეხვედრა“, არამედ რისკის მართვის მექანიზმი: მკაფიო მანდატი, დამოუკიდებლობა და კვორუმი, მონაცემები დაშბორდში, გადაწყვეტილებები მფლობელებთან და ვადებთან, შესრულების კონტროლი და მტკიცებულებების საფუძველი. შემდეგ შესაბამისობა ხდება სტრატეგიის პროგნოზირებადი მხარდაჭერა და არა ბიზნესის მუხრუჭი.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.