GH GambleHub

რისკების რეესტრი და შეფასების მეთოდოლოგია

1) რატომ და რა შედის რეესტრში

მიზანი: ერთიანი სისტემის აღწერილობა, შეფასება, პრიორიტეტი და რისკების მონიტორინგი ფულზე (GGR/CF), ლიცენზია, მოთამაშეები, მონაცემები და რეპუტაცია.
გაშუქება: პროდუქტი/ინჟინერია (SDLC/ინციდენტები), ფინანსები და გადახდები (PSP/დასკვნები), KYC/AML/სანქციები, კონფიდენციალურობა (GDPR), TPRM/მოვაჭრეები, მარკეტინგი/SDK, მონაცემები (DWH H H H H H/BI), ინფრასტრუქტურა/BI I I I), ინფრასტრუქტურა DR, საფორტეპიანო ოპერაციები და VIP.

2) რისკების ტაქსონომია (მაგალითი)

ინფორმაციის უსაფრთხოება და კონფიდენციალურობა: PII/KYC გაჟონვა, უნებართვო დაშვება, ლოდინის წარუმატებლობა, DSAR ყალბი.
მარეგულირებელი/შესაბამისობა: ლიცენზიის პირობების დარღვევა, AML/KYC/სანქციები, სარეკლამო აკრძალვები.
ოპერაციული/ტექნოლოგია: დაუნდობელი PSP/KYC, გამოშვების დეფექტი, ლატენტობის დეგრადაცია, DR ინციდენტები.
თაღლითობა/ბოროტად გამოყენება: ფროიდის დეპოზიტები, ბონუსის აბუზი, გადახდის თავდასხმის ნიმუშები.
ფინანსური: პარტნიორების ლიკვიდობა, chargeback შოკი, კონცენტრაცია ერთ PSP- ზე.
Vendor/მიწოდების ჯაჭვი: დაუცველი SDK, დაბალი TOMs ქვე-პროცესორები.
რეპუტაცია/კლიენტი: საჩივრების ზრდა, NPS ვარდნა, RG დარღვევები.
სტრატეგიული/გეოპოლიტიკური: სანქციები, გადასახადების/კანონების შეცვლა, ტრაფიკის დაბლოკვა.

3) რისკის ბარათი (სავალდებულო ველები)

ID/რისკის სახელი

კატეგორია (ტაქსონომიიდან)

მოვლენის აღწერა (რა შეიძლება მოხდეს) და მიზეზები

აქტივები/პროცესები/იურისდიქციები გავლენის ქვეშ

რისკის მფლობელი (Risk Owner) და კურატორი (სპონსორი)

ხელმისაწვდომი (პრევენციული/დეტექტიური/კორექტირება)

ალბათობა (P) და გავლენა (I) კონტროლამდე (inherent)

ნარჩენი რისკი კონტროლის შემდეგ

მიმოქცევის გეგმა: შემცირება/თავიდან აცილება/მიღება/გადაცემა

ესკალაციის ბარიერი/საფრთხის დონე (დაბალი/საშუალო/მაღალი/კრიტიკული)

KRIs და გამომწვევები, მეტრიკა და მონაცემთა წყაროები

სტატუსი და ვადა (შემდეგი მიმოხილვა), რომელიც დაკავშირებულია SARA/ticets

კომუნიკაცია კონტროლის რეესტრთან (ID კონტროლი) და პოლიტიკოსებთან

აუდიტორული/კომიტეტების კომენტარები (ბოლო გადაწყვეტილებები)

4) შეფასების მასშტაბები (ნაგულისხმევი 5 × 5)

4. 1 ალბათობა (P)

1 - იშვიათად (<1/5 წელი)

2 - დაბალი (1/2-5 წელი)

3 - საშუალო (ყოველწლიურად)

4 - მაღალი (კვარტალი)

5 - ძალიან მაღალი (თვე/უფრო ხშირად)

4. 2 გავლენა (I) - ჩვენ ვირჩევთ მაქსიმუმს ფილიალებიდან

ფინანსები: 1: <10k· 2: 10-100k· 3:100 k-1m· 4:2 1-5m· 5:> - 5m

კონფიდენციალურობა/მონაცემები: 1: <1k ჩანაწერები·...· 5:> 1 მ ჩანაწერები/სპეციალური კლასები

რეგულატორი/ლიცენზია: 1: გაფრთხილება· 3: ჯარიმა/შემოწმება· 5: ლიცენზიის შეჩერება

წვდომა (SLO/SLA): 1: <15 წთ·...· 5:> 8 საათი კრიტიკული ზონებისთვის

საბოლოო ქულა: 'R = P × I' - დონე: 1-5 დაბალი, 6-10 საშუალო, 12-16 მაღალი, 20-25 კრიტიკული.

(ბარიერები შეიძლება ადაპტირდეს კომპანიასთან.)

5) სითბოს კარტრიჯის მატრიცა და რისკის მადა

Risk Appetite: დომენის ნებართვების დოკუმენტი (მაგალითად, PII გაჟონვა - ტოლერანტობის ნულოვანი; Dountaim P95 - X წთ/თვე; chargeback rate — ≤ Y%).
Heatmap: R ვიზუალიზაცია 5 × 5; მადის ზემოთ - ისინი მოითხოვენ CAPA- ს გეგმასა და ვადებს.
Risk Budget: კვოტები „მიღებული“ რისკებისთვის დასაბუთებით (ეკონომიკური მიზანშეწონილობა).

6) შეფასების მეთოდოლოგია

6. 1 მაღალი ხარისხის (სწრაფი დასაწყისი)

P/I + მასშტაბების ექსპერტიზის შეფასებები დასაბუთება, ინციდენტების ისტორიასთან შერიგება და KRIs მონაცემები.

6. 2 რაოდენობრივი (პრიორიტეტი ტოპ-10-ისთვის)

FAIR მიდგომა (გამარტივებული): ზიანის სიხშირე × სავარაუდო განაწილება (P10/P50/P90); სასარგებლოა შემცირების ვარიანტების შედარებისთვის.
Monte Carlo (1000-10k პროგონი): ზიანის და სიხშირის ცვალებადობა Loss Exceedance Curve (ზარალის ალბათობა> X).
TRA (Targeted Risk Analysis): წერტილის ანალიზი მონიტორინგის/კონტროლის სიხშირეების არჩევისთვის (შესაბამისი PCI/გამყიდველებისთვის).

7) KRIs და წყაროები

დომენების მაგალითები:
  • ხელმისაწვდომობა/ოპერაციები: MTTR, შეცდომები 5xx, P95 latency, ინციდენტები P1/P2,% autoskale, კლასტერის კონტეინერი.
  • უსაფრთხოება/კონფიდენციალურობა:% MFA coverage, საკრედიტო ნაკადის მცდელობები, უჩვეულო ექსპორტები, DSAR SLA, ანტიმალვარის დროშები.
  • გადახდები: ath rate of PSP, chargeback rate, ბანკის უკმარისობა, ხელის კასაუტების წილი.
  • KYC/AML: TAT, false positive rate, სანქციების ჰიტები, ესკალაციების წილი.
  • გამყიდველები: SLA compliance, ლატენტობის დრიფტი, ინციდენტების სიხშირე, სერთიფიკატების აქტუალობა.

KRIs აკავშირებს რისკებს და იწყებს ესკალაციას ბარიერების გასვლის დროს.

8) სიცოცხლის რისკის ციკლი (workflow)

1. იდენტიფიკაცია - ბარათის რეგისტრაცია.
2. inherent (inherent) - mapping მაკონტროლებელი შეფასება residual.
3. გასაჩივრების გადაწყვეტილება და CAPA გეგმა (თარიღები/მფლობელები).
4. KRIs/ინციდენტების მონიტორინგი, ბარათის განახლება.
5. კვარტალური რისკების კომიტეტი: ტოპ-N გადასინჯვა, მადის შეცვლა.
6. დახურვა/კონსოლიდაცია ან ზედამხედველობა (watchlist).

9) კონტროლი და აუდიტი

თითოეული რისკი უნდა ეხებოდეს კონკრეტულ კონტროლს (იხ. „შიდა კონტროლი და მათი აუდიტი“):
  • პრევენციული: RBAC/ABAC, SoD, ლიმიტები, დაშიფვრა, WebAuthn, სეგმენტი.
  • დეტექტივი: SIEM/ალერტები, კრიპტები, WORM ლოგოები, UEBA.
  • კორექტირება: გამოტოვება, გადახდების დაბლოკვა, გასაღებების მიმოხილვა, გადაუდებელი პატჩი.
  • DE/OE აუდიტი ამოწმებს, რომ ისინი აკონტროლებენ რისკს მადამდე და სტაბილურად მუშაობენ.

10) ბარათების მაგალითები (YAML, ფრაგმენტები)

10. 1 PII გაჟონვა ვენდორ SDK- ით (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP დეგრადაცია: გადახდის ავტორიზაციის წარუმატებლობა

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) საერთო და პორტფელის მენეჯმენტი

Top-N (Risk Register View): დახარისხება residul R და „მადის ზემოთ“.
თემები (Risk Themes): მტევანი (გამყიდველები, კონფიდენციალურობა, PSP) - თემების მფლობელები.
ურთიერთდამოკიდებულების ბარათები: რისკებს აკონტროლებდნენ მოვაჭრეები და პროცესები.
სკრიპტები და სტრესული ტესტები: თუ „PSP # 1 და KYC # 1 არ არის ხელმისაწვდომი 2 საათის განმავლობაში?“ - მთლიანი ზიანის შეფასება და სამოქმედო გეგმა.
LEC (Loss Exceedance Curve): წლიური ზარალის პროფილი საბჭოს/გამგეობისთვის.

12) ესკალაციის ბარიერები და სიგნალები

ოპერატიული: SLO/SLA დარღვევები Incident P1/P2.
Compliance/Privacy: ჭარბი ჭარბი რაოდენობა, DSAR წარუმატებლობა, ექსპორტი 'purpose' გარეშე - დაუყოვნებლივი ესკალაცია DPO/Legal.
Vendor: განმეორებითი SLA შეფერხებები მიმწოდებლისთვის CAPA, ხელშეკრულების გადასინჯვა.
Financial: chargeback> ბარიერი - სახელმძღვანელო შემოწმება, ლიმიტების/პრემიების კორექტირება.

13) RACI (გაფართოებული)

აქტივობაBoard/CEORisk CommitteeRisk OwnerSecurity/PrivacyDomain OwnersData/BIInternal Audit
რისკის მადასARCCCII
ტაქსონომია/მასშტაბებიIA/RCRCCI
რეესტრის შენარჩუნებაICA/RRRRI
შეფასება/განახლებაICA/RRRRI
ExcalationIA/RRRRII
აუდიტი/შემოწმებაICCCCCA/R

14) მრიცხველები (KPI/KRI) რისკის მართვის სისტემები

Coverage: კრიტიკული პროცესების 100% -ს აქვს რეგისტრირებული რისკები და მფლობელები.
მიმოხილვა დროში: ბარათების 95% -ზე მეტი დროულად გადახედეს.
Above Appetite: QoQ რისკების წილი მადაზე მეტია.
CAPA Closure (მაღალი/კრიტიკა): დროულად 95% ევრო.
Detection Lag: საშუალო დრო KRI- ს გადახრისგან ესკალაციამდე (ცდილობს).
Incident Recurrence: განმეორებითი ინციდენტები ერთი მიზეზის გამო - 0.

15) ჩეკის ფურცლები

15. 1 ბარათის შექმნა

  • მოვლენის/მიზეზების კატეგორია და აღწერა
  • აქტივები/პროცესები/იურისდიქციები აღინიშნება
  • შეფასებულია P/I (inherent) და residual დასაბუთებით
  • მაკონტროლებელი (ID), KRIs და მონაცემთა წყაროები
  • SARA გეგმა/ვადები/მფლობელები
  • ესკალაციის ბარიერი და საფრთხეების დონე

15. 2 კვარტალური კომიტეტი

  • ტოპ ათეულში residual და მადის ზემოთ
  • ახალი/ემერჯენტის რისკები, კანონების/მოვაჭრეების ცვლილებები
  • CAPA სტატუსი და დაგვიანება
  • გადაწყვეტილებები: მიღება/შემცირება/გადაცემა/თავიდან აცილება; მადის/ბარიერების განახლება

16) განხორციელების გზის რუკა (4-6 კვირა)

კვირეული 1-2: დაამტკიცეთ ტაქსონომია, მასშტაბები, მადის მიღება; შეარჩიეთ ინსტრუმენტი (ცხრილი/BI/IRM). კრიტიკულ პროცესებში 10-15 საწყისი ბარათის შექმნა.
არგუმენტები 3-4: რისკების დაკავშირება კონტროლთან და KRIs; ააშენეთ სითბოს ბარათი/დაშბორდები; რისკების კომიტეტის ამოქმედება.
კვირები 5-6: შემოიღეთ რაოდენობრივი შეფასება Top-5- ისთვის (FAIR/Monte Carlo Light), ავტომატიზაცია მოახდინეთ KRIs- ის შეგროვებას, ესკალაციებისა და ბორდის მოხსენებების ფორმირებას.

17) ვიკის დაკავშირებული მონაკვეთები

შიდა კონტროლები და მათი აუდიტი, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM და SLA, ინციდენტები და გაჟონვა, DR R R R R/BOOOOIAAAAAAAAOOOAANIAIAAIIAAAAAID AAAAAAA- სრული ციკლი „მეტრის და მტკიცებულებების კონტროლის რისკი“.

TL; DR

რისკების სამუშაო რეესტრი = მკაფიო ტაქსონომია + სტანდარტიზებული მასშტაბები + მადის/ბარიერების ბარათის მფლობელები, მაკონტროლებლები და KRIs გათბობის კარტი და კომიტეტები - პრიორიტეტული რაოდენობრივი შეფასება ტოპ რისკებისა და CAPA- სთვის დროულად. ეს რისკებს ხდის ბორდისა და რეგულატორებისთვის მართვადი, შედარებული და დადასტურებული.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.