Тәуекелдерді басқару және комплаенс комитеті

1) Тағайындау және мандат

• Risk Appetite және сәйкестік қағидаттарын қалыптастырады және қолдайды;
• түйінді саясатты/стандарттарды және олардың өзгерістерін бекітеді;
• негізгі тәуекелдерді (операциялық, реттеуші, АҚ/жекешелендіру, қаржылық, үшінші тараптар) бақылайды;
• метрлер мен SLO/SLA комплаенс орнатады және олардың жетістіктерін бақылайды;
• басымдықтардың шиеленісуі мен қақтығысы мәселелерін шешеді;
• «audit-ready» жай-күйін қамтамасыз етеді (дәлелдеу базасы, шешімдер хаттамалары).

2) Құрамы және тәуелсіздігі

• Комплаенс басшысы/DPO (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finance (әсер етуді бағалау үшін)
• Бизнес/өнім өкілі (VP/Director)
• Платформа/инфрақұрылым жетекшісі немесе CTO-delegate

• Ішкі аудит (бақылаушы)
• HR/L & D (оқыту/аттестаттау)
• Procurement/Vendor Mgmt (үшінші тараптар)
• Data/Platform (DWH/Lineage/CCM)

Тәуелсіздік қағидаттары: мүдделер қақтығысының болмауы, recusals (өздігінен бас тарту) құжаттамасы, бақылаушылардың рөлін белгілеу.

3) Комитеттің RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Регламент және кезеңділік

Әдеттегі режим: айына бір рет (90 минут) + апталық KPI/KRI экспресс-мониторинг (15 минут).
Дағдарыстық режим (инцидент/реттеуші): тұрақтандыруға дейін әрбір 24-48 сағат отырыстар.
Кворум: бір co-chair қоса алғанда, дауыс берушілердің 2/3 ≥.
Шешімдер: қарапайым көпшілік; high-risk бойынша - 2/3 және co-chairs-те вето құқығы (жарғыда белгілеу).

5) Кіріс артефактілері (inputs)

Risk Register және Heatmap (жаңартылған KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Саясат бойынша Change Log (Major/Minor/Emergency).
Waivers - мерзімі өткен және өтемдік бақылаулары бар тізілім.
Incidents & Findings: Sev1/Sev2, қайталануы, ремедиация мәртебесі.
Vendor Risk: сындарлы провайдерлер, SLA/сертификаттардың бұзылуы.
Аудит/түсініктемелер: мәртебелер, ашық ескертулер, «батырмамен» дайындық.

6) Шығулар мен артефактілер (outputs)

owner, due date, severity және күтілетін тәуекел әсері бар шешімдер хаттамасы.
Жаңартылған Risk Appetite Statement және басымдықтар.
Апрув/ауытқу саясаты және ерекшеліктер (waivers) шарттарымен.
Board/CEO үшін эскалациялық хаттар/шешімдер high-risk кезінде.
Командаларға арналған коммуникациялық one-pagers және тапсырмалар (ITSM/GRC-дегі tickets).

7) Үлгілік шақыру қағазы (60-90 минут)

1. KPI/KRI және ауытқулар түйіндемесі (10").
2. Инциденттер/Sev1-жаңартулар және сабақтар (15").
3. Саясат: Major-өзгерістер, жанжалды түсіндірмелер, оқшаулау (15").
4. Үшінші жақтар: SLA/сертификаттардың бұзылуы, субпроцессорлар (10").
5. Waivers: ұзарту/жабу, қызыл аймақтар (10").
6. Аудит/түсініктемелер: дайындық мәртебесі және "audit pack" (10").
7. Шешiмдер және мiндеттердi бөлу (10").

8) Шешімдер қабылдау және эскалация рәсімдері

Decision card (үлгі): контексті → нұсқалар → тәуекелге/құнға әсері → ұсыным → дауыс беру.
Эскалация: егер тәуекел> Appetite немесе кешіктірілсе> SLA - Executive/Board-ға шығару.
Review: 30-60 күннен кейін шешім нәтижесін постфактум бағалау (impact review).

9) Интеграциялар және толассыз ағындар

RBA (тәуекел-аудит): findings → Комитеттің күн тәртібі → owner/due → жабуды бақылау.
CCM (үздіксіз мониторинг): алерта/метрика → ережелер/шектердің басымдығы.
Policy Lifecycle/Change Mgmt: Major-түзету → апров, коммуникация, оқыту.
Vendor DD/Outsourcing: скоринг-модель және гап-парақтар → шарт шарттары/SLA.
Incident Mgmt: SOAR/PR/Legal ойнатқыштары → есептер мен сабақтар.

10) Комитеттің тиімділік

On-time Remediation: Комитеттің мерзімінде жабылған міндеттерінің% (severity бойынша).
Decision Lead Time: мәселені көтеруден шешуге дейінгі уақыттың медианы.
Waiver Hygiene: өзекті мерзімі өткен ерекшеліктер% (мақсаты: 100%).
Repeat Findings: 12 айдағы қайталау үлесі (мақсаты: ↓).
Audit Readiness Time: толық «audit pack» сағатына дейін.
Risk Reduction Index: QoQ жиынтық тәуекел-скоры ∆.
Communication SLA: Major шешімдері бойынша уақытында хабарланған рөлдер%.

11) Комитеттің жарғысы (шаблон)

Мақсаты: тәуекелдерді және сәйкестікті қадағалау; компания мен клиенттердің мүдделерін қорғау.
Сфера: барлық юрисдикциялар/бизнес-желілер/АТ-жүйелері/үшінші тараптар.
Өкілеттіктер: саясатты/ерекшеліктерді бекіту; деректерді/аудиттерді сұрату; Board жүйесінде эскалация.
Құрамы мен кворумы: (§ 2 және § 4 қараңыз).
Мүдделер қайшылығы: декларациялар, recusals, журнал.
Хаттамалар: толық минуттардың стандарты (agenda, шешімдер, дауыстар, owner, due, evidence сілтемелері).
Жарғыны қайта қарау: жыл сайын немесе Board талабы бойынша.

12) Құжаттардың үлгілері

12. 1 Decision Card

Тақырып/Контекст/Нормативтер/Тәуекелдер

Нұсқалар және бағалау (құны, мерзімдері, SLA/KRI-ге әсері)

Ұсыным және шешімнен кейінгі тәуекел деңгейі

Орындау иесі және мерзімі

Дауыс беру қорытындысы (жақтап/қарсы/қалыс қалды)

12. 2 Отырыстың хаттамасы

Күні/кворумы/қатысушылар

Күн тәртібі

Талқылау (қысқаша, тармақтар бойынша)

Шешімдер (owner, due, жетістік метрикасы)

Ашық сұрақтар/эскалация

Бағдарламалар (дашбордтар, есептер, WORM-мұрағатқа сілтемелер)

12. 3 Risk Appetite матрицасы (мысал)

13) Комитеттің дашбордтары (ең аз)

Тәуекел Heatmap: ықтималдық × әсер × қалдық тәуекел.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, қайталануы.
Policy Changes: Major/Minor/Emergency конвейері және оқу мәртебесі.
Vendor Risks: сертификаттар, SLA, субпроцессорлар, инциденттер.
Waivers & Deadlines: белсенді/мерзімі өткен, эскалация.
Audit Readiness: аудит/сертификаттау бойынша «audit pack» пайызы.

14) Комитеттің жыл күнтізбесі

Ай сайын: тұрақты шақыру қағазы (§ 7).
Тоқсан сайын: Risk Appetite қайта қарау, KPI/KRI трендтері, findings бойынша қорытынды.
Жартыжылдық: негізгі саясаттарға және waivers-портфельге ревизия.
Жыл сайын: Комитеттің жарғысы, аудит/сертификаттау жоспары, сабақтарды есепке алу.

15) Дағдарыс режимі (Sev1/Regulatory)

Дереу шақыру; battle-rhythm жаңартулар (мысалы, әрбір 4 сағат).
Бірыңғай коммуникация (Legal/PR), Legal Hold бақылауы.
Деректерді интеграциялау/оқшаулау қолжетімділігін контурациялау/ажырату бойынша шешімдер.
Оқыс оқиғаның жеке хаттамасы және әрекеттері бар пост-мортем.

16) Антипаттерндер

Комитет өкілеттігі мен мерзімі ұзартылмаған «пошта жәшігі» ретінде.
Хаттамалар мен дәлелдемелердің болмауы - аудиттегі дау.
Мерзімі аяқталмаған және өтемдік бақылаусыз мәңгілік waivers.
Шешілмейтін күн тәртібі: decision cards жоқ, параметрлер мен әсерді бағалау жоқ.
KPI иелері және Тәуекел Appetite байланыссыз.
Басқарылатын recusals жоқ мүдделер қайшылықтары.

17) Комитеттің жетілу моделі (M0-M4)

M0 Ад-hoc: сирек кездесулер, метрикаларсыз және хаттамаларсыз.
M1 Қалыптастырылған: жарғы, кворум, базалық хаттамалар, ай сайынғы кездесулер.
M2 Басқарылатын: KPI/KRI дашбордтар, decision карталар, waivers бақылау.
M3 Интеграцияланған: CCM/RBA/Policy-as-Code, «түймешігі бойынша audit-ready».
M4 Assured: болжамды KRI, автоматты эскалация, тұрақты impact-review шешімдер.

18) Байланысты wiki баптары

Тәуекелге бағдарланған аудит (RBA)

Үздіксіз сәйкестік мониторингі (CCM)

KPI және комплаенс өлшемдері

Комплаенс саясатындағы өзгерістерді басқару

Саясаттар мен рәсімдердің өмірлік циклі

Due Diligence және аутсорсинг тәуекелдері

Legal Hold және деректерді мұздату

Жиынтығы

Күшті комитет - бұл «кеңес» емес, тәуекелді басқару тетігі: айқын мандат, тәуелсіздік және кворум, дашбордтарда берілген, иелерімен және мерзімдерімен шешімдер, орындалуын бақылау және дәлелдеу базасы. Сонда комплаенс бизнестің тежегіші емес, стратегияның болжамды тірегіне айналады.