რისკის თერმული რუკა

1) დანიშნულება და ღირებულება

რისკის თერმული რუკა (Risk Heatmap) არის ვიზუალური ინსტრუმენტი რანგისა და რისკის კომუნიკაციისთვის მატრიქსის „ალბათობის × ეფექტი“, რომელიც დაკავშირებულია მაკონტროლებლებთან, მეტრიკებთან და მოქმედების გეგმებთან.

მიზნები:

პრიორიტეტიზაციის ერთიანი ენა (ბიზნესი, ისინი, იურიდიული ბლოკები);
გამჭვირვალე გადაწყვეტილებები SARA/ინვესტიციების შესახებ;
დინამიკის თვალყურის დევნება (ზომების მიღებამდე), მზადყოფნა „audit-ready“.

2) ტაქსონომია და საფარის არეალი

რეკომენდებული დომენები:

მარეგულირებელი/ლიცენზიები, კონფიდენციალურობა/მონაცემები, IB/Techpers, გადახდები/AML/KYC, ოპერაციები/წვდომა, მარკეტინგი/პასუხისმგებლობის რეკლამა, მომწოდებლები/VRM.

მონაკვეთები:

იურისდიქციები/ბაზრები, ბიზნეს ხაზები/პროდუქტები, სერვისები/პლატფორმები, კრიტიკული პროვაიდერები.

3) ალბათობისა და გავლენის მასშტაბები

3. 1 ალბათობა (5 დონის მასშტაბის მაგალითი)

1. იშვიათად (ერთხელ> 3 წელიწადში/პ <5%)

2. დაბალი (1-3 წელიწადში ერთხელ)

3. საშუალო (ყოველწლიურად)

4. მაღალი (კვარტალურად)

5. ძალიან მაღალი (ყოველთვიურად/უფრო ხშირად)

3. 2 გავლენა (მრავალმხრივი)

შეაფასეთ კრიტერიუმები:

ფინანსები: პირდაპირი ზარალი/ჯარიმები/ჯარიმა.
ლიცენზიები/იურიდიული შედეგები: შეჩერება, აკრძალვები, გამოძიება.
კონფიდენციალურობა/მონაცემები: PII მოცულობა, შეტყობინებები, საზედამხედველო მოქმედებები.
ოპერაციები/აფთიაქი: MTTR, SLO, იმედგაცრუებული გამოშვებები, RTO/RPO.
რეპუტაცია: მედია, სოციალური ქსელები, პარტნიორობის სანქციები.
მასშტაბი 1-5 მკაფიო რეიდებით (მაგალითად, 1: <10k, 5:> - 1m).

4) სკორინგი და რისკის დონე

ინდივიდუალური რისკი: 'Score = Likelihood × Impact' (1-25).

კატეგორიები:

20-25 - Critical (წითელი)
12-19 - მაღალი (ნარინჯისფერი)
6-11 - საშუალო (ყვითელი)
1-5 - დაბალი (მწვანე)
ნარჩენი რისკი: მიმდინარე კონტროლის გათვალისწინების შემდეგ (ეფექტურობა დადასტურებულია ToD/ToE/CCM).
მიზნობრივი რისკი: დაგეგმილი ზომების შემდეგ; მიღწევის თარიღი აღირიცხება.

5) მონაცემთა წყაროები და კონტროლი

GRC რეესტრი: რისკების აღწერილობა, მფლობელები, მიმდინარე/მიზნობრივი შეფასებები.
SSM/მეტრიკა: pass-rate კონტროლის წესები, ინციდენტები, KRI.
გამყიდველები/VRM: სერთიფიკატები, SLA, ინციდენტები, მონაცემთა ადგილმდებარეობის ცვლილებები.
ფინანსები/Payments: ჯარიმები, chargeback ratio, fraud loss%.
მასშტაბზე გავლენის მქონე ყველა მნიშვნელობას უნდა ჰქონდეს evidence ბმულები (logs/მოხსენებები) და timstamps.

6) კონსოლიდაცია და კონსოლიდაცია

Bottom-up: სერვისებიდან/იურისდიქციებიდან დომენებამდე და კომპანიებამდე.
აგრეგაციის წესები: მაქსიმუმი Impact- ისთვის, Likelihood- ის სრულყოფილი, ან შეჩერებული საშუალო (ბიზნესის თვალსაზრისით).
ცალკეული ფენები: Inherent (მაკონტროლებელი გარეშე), Residual (მაკონტროლებელი), Target (CAPA- ს შემდეგ).
გაიზიარეთ კორელაციის რისკები (მაგალითად, ზოგადი ინფრასტრუქტურული დაუცველობა) და დამოუკიდებელი.

7) ვიზუალიზაცია

მატრიცა 5 × 5 ფერის კოდირებით; ინტერაქტიული წერტილები-რისკები მოძრავი ბარათებით (აღწერა, მფლობელი, მაკონტროლებელი, CAPA).
ფენის კონცენტრატორები: Inherent/Residual/Target.
ფილტრები: იურისდიქცია, პროდუქტი, დომენი, პროვაიდერი, პერიოდი.
ტენდენციები "მანამდე/" ზომებისა და დრიფტის" შემდეგ 30-90 დღეში.

8) როლები და RACI

აქტივობა	R	A	C	I
ტექნიკა და მასშტაბები	Risk Office / Compliance Eng	Head of Risk	Legal/DPO, Finance	Internal Audit
კლასების განახლება	Risk Owners	Head of Function	Control Owners	Committee
კავშირი კონტროლთან/KRI	Compliance Eng	Head of Compliance	SecOps/Data	Internal Audit
დაშბორდის გამოქვეყნება	Compliance Analytics	Head of Compliance	BI/Data Platform	Exec/Board
შურისძიება და გადაწყვეტილებები	Risk & Compliance Committee	Executive Sponsor	All Domains	Board

9) KRI და ესკალაციის ბარიერები

KRI მაგალითები (მიჩვეული რისკები რუკაზე):

პირადი: dsar _ response _ p95, წაშლა TTL- ზე, საჩივრები/ომბუდსმენი.
უსაფრთხოება: p95 TTR დაუცველობა, კრიტიკული „წითელი“ CCM წესების წილი, SoD დარღვევები.
Payments: chargeback ratio, fraud loss%, გასაჩივრების win-rate.
ოპერაციები: SLO breach rate, ინციდენტები p1/p2, RTO/RPO ტესტები.
ესკალაცია: ამბერი გამაფრთხილებელი ბარიერების გასვლისას, Red არის სავალდებულო CAPA და „stop-the-line“ კრიტიკული ზონებისთვის.

10) გადაწყვეტილების მიღება და CAPA- სთან ურთიერთობა

თითოეული „წითელი“ წერტილისთვის სავალდებულოა სამოქმედო გეგმა: Corrective/Preventive, მფლობელი, ვადა, ბიუჯეტი, KPI წარმატება.

ბარიერი წესები (მაგალითი):

კრიტიკული: CAPA - 30 დღე, re-audit 60-90 დღის შემდეგ; კომიტეტი ყოველკვირეულად.
მაღალი: CAPA - 60 დღე, დაკვირვება 90 დღე.
საშუალო/დაბალი: კვარტალი/ნახევარი წლის გეგმა.
შემცირების შეუძლებლობის შემთხვევაში - ვეივერი გასვლის თარიღით და კომპენსაციის კონტროლით.

11) დაშბორდი (მინიმალური)

Heatmap View: მიმდინარე მატრიცა + Residual/Target.
Risk Trend: ქულების დინამიკა, „CAPA- ს შემდეგ/შემდეგ“.
Controls Linkage: pass-rate CCM რისკებში, „წითელი“ კარიბჭეები.
რეგულირების ექსპოზიცია: რისკები იურისდიქციებისა და ლიცენზიების შესახებ.
Vendor Risk: კრიტიკული პროვაიდერების თერმული რუკა (სერთიფიკატები, SLA, ინციდენტები).
Audit-Readiness: რისკების ჰაშის ქვითრები.

12) ეფექტურობის მეტრიკა

Risk Reduction Index: კვარტლების საშუალო შეწონილი რისკის შემცველი.
On-time CAPA: ზომების% დროულად (დროის მიხედვით).
Repeat Findings (12 თვე): გამეორების წილი დაკავშირებულ რისკებში.
Evidence Completeness: რისკების% სრული მტკიცებულებების პაკეტით.
Drift After Fix: „წითელ“ ზონაში დაბრუნების შემთხვევები 30-90 დღის შემდეგ.
Coverage: რუკაზე ასახული ბიზნეს აქტივების/იურისდიქციების წილი.

13) SOP (სტანდარტული პროცედურები)

SOP-1: ტექნიკის ინიციალიზაცია

კომიტეტმა უნდა დაადგინოს მასშტაბები და ბარიერები და კოორდინაცია მოახდინოს საცავებში (ვერსიები).

SOP-2: კვარტალური ციკლი

შეყვანის მონაცემების შეგროვება/KRI - გადახედვა რეპროდუქციის მფლობელების მიერ - კომიტეტის გადაწყვეტილებები - დაშბორდების გამოქვეყნება „აუდიტის პაკეტის“ ექსპორტზე.

SOP-3: ტრიგერის ინციდენტი

Critical/High ინციდენტის დროს - ბარათის დაუგეგმავი განახლება, CAPA- სთან დაკავშირება და re-audit გეგმა.

SOP-4: ვენდორის წრე

VRM გამოკითხვა/სერთიფიკატები - მომწოდებლის რისკების განახლება, სარკის ზომების დადასტურება (Vendor Mirror).

SOP-5: არქივი და მტკიცებულებები

Heatmap Snapshots (PDF/PNG/CSV) + hash ქვითრები - WORM არქივი ბმულები GRC- ში.

14) არტეფაქტების შაბლონები

14. 1 რისკის ბარათი (ფრაგმენტი)

ID/სახელი, მფლობელი, დომენი/იურისდიქცია

Likelihood/Impact/Inherent/Residual/Target

კონტროლერი (ID, მეტრიკა, CCM წესები)

KRI და ფაქტობრივი მნიშვნელობები

CAPA/waivers, თარიღები, ბიუჯეტი, KPI

Evidence ბმულები და hash ქვითრები

14. 2 მასშტაბის პოლიტიკა (გამძლეობა)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 ანგარიში „დაწყებამდე“

Heatmap ეკრანის კადრები

რისკების გაცვლის ცხრილი

დამზადებულია CAPA- ს მიერ, სტაბილურობის მეტრიკა

15) ანტიპატერები

„ლამაზი სურათი“ კონტროლის გარეშე/KRI და CAPA.
უცნაური მასშტაბები - შეფასების მანიპულირება.
ქულების შეცვლის ვერსიის/მტკიცებულების არარსებობა.
არასასურველი რისკების შეჯამება აგრეგაციის წესების გარეშე.
იშვიათი განახლებები და რუკა არ ასახავს რეალობას.
Waivers ვადების გარეშე და ანაზღაურებადი ზომები.

16) სიმწიფის მოდელი (M0-M4)

M0 Ad-hoc: ერთჯერადი სურათი, არ არსებობს მეთოდები/მეტრიკა.
M1 დაგეგმილი: შეთანხმებული მასშტაბები, კვარტალური განახლებები.
M2 კონტროლირებადი: შეკუმშვა კონტროლთან/KRI, CAPA, დაშბორდები, WORM არქივი.
M3 ინტეგრირებული: ავტომატური გადაანგარიშება (CCM), policy-/assurance-as-code, ნაჭრები იურისდიქციების/მოვაჭრეების მიხედვით.
M4 Continuous Assurance: წინამორბედი KRI, სცენარის მოდელირება, „რა-if“, პრიორიტეტული რეკომენდაციები.

17) ვიკის დაკავშირებული სტატიები

რისკზე ორიენტირებული აუდიტი (RBA)

KPI და კომპლექსის მეტრიკა

შესაბამისობის უწყვეტი მონიტორინგი (CCM)

დარღვევების აღმოფხვრის გეგმები (CAPA)

განმეორებითი აუდიტი და შესრულების კონტროლი

საცავი პოლიტიკოსი და სტანდარტები

შესაბამისობის გზის რუკა

პარტნიორების შესაბამისობის სახელმძღვანელო/VRM

შედეგი

თერმული რისკის რუკა არ არის მოხსენება, არამედ მართვის მექანიზმი: ერთიანი მასშტაბები, კონტროლი და KRI, რეგულარული განახლებები, დადასტურებული გადაწყვეტილებები და სტაბილურობის კონტროლი ზომების შემდეგ. ეს მიდგომა პრიორიტეტს უწევს ობიექტურს, აჩქარებს კომიტეტის გადაწყვეტილებებს და მხარს უჭერს მუდმივ „აუდიტს“ მზადყოფნას.

რისკის თერმული რუკა

შედეგი

დაგვიკავშირდით

სწრაფი კავშირი

ვიდეო მალე განახლდება

ჩვენ ახლა ძალიან დაკავებული ვართ პროექტებით