Тәуекелдердің жылу картасы

1) Мақсаты және құндылығы

Тәуекелдердің жылу картасы (Risk Heatmap) - бақылауларға, метрикаларға және іс-қимыл жоспарларына байланыстырылған «Ықтималдық × Әсер» матрицасы бойынша тәуекелдерді ранжирлеу және коммуникациялауға арналған көрнекі құрал.

• басымдықтың бірыңғай тілі (бизнес, техникалық, құқықтық блоктар);
• САРА/инвестициялар бойынша ашық шешімдер;
• динамиканы қадағалау (шараларға дейін/кейін), «audit-ready» дайындығы.

2) Таксономия және жабын аумағы

• Реттеуші/Лицензиялар, Құпиялылық/Деректер, АҚ/Техпроцесстер, Төлемдер/AML/KYC, Операциялар/Қолжетімділік, Маркетинг/Жауапты жарнама, Жеткізушілер/VRM.

• Юрисдикциялар/нарықтар, Бизнес-желілер/өнімдер, Сервистер/платформалар, Сындарлы провайдерлер.

3) Ықтималдық және әсер ету шкалалары

3. 1 Ықтималдық (5-деңгейлік шкала мысалы)

1. Сирек (> 3 жылда бір рет/p <5%)

2. Төмен (1-3 жылда бір рет)

3. Орташа (жыл сайын)

4. Жоғары (тоқсан сайын)

5. Өте жоғары (ай сайын/жиірек)

3. 2 Әсер (көпфакторлы)

• Қаржы: тікелей шығындар/айыппұлдар/chargeback.
• Лицензиялар/Заңды салдары: тоқтата тұру, тыйым салу, тергеу.
• Жекелік/Деректер: PII көлемі, хабарламалар, қадағалау әрекеттері.
• Операциялар/Аптайм: MTTR, SLO, үзілген релиздер, RTO/RPO.
• Беделі: медиа, әлеуметтік желілер, серіктестік санкциялар.
• Нақты шектері бар 1-5 шкаласы (мысалы, 1: <€10k, 5:> €1m).

4) Скоринг және тәуекел деңгейлері

Жеке тәуекел: 'Score = Likelihood × Impact' (1-25).

• 20-25 - Critical (қызыл)
• 12-19 - High (қызғылт сары)
• 6-11 - Medium (сары)
• 1-5 - Low (жасыл)
• Қалдық тәуекел: ағымдағы бақылауларды есепке алғаннан кейін (тиімділігі ToD/ToE/CCM расталған).
• Нысаналы тәуекел (Target): жоспарланған шаралардан кейін; қол жеткізу күні белгіленеді.

5) Деректер көздері және бақылаулармен байланыс

GRC-тізілім: тәуекелдердің сипаттамалары, иелері, ағымдағы/нысаналы бағалау.
ССМ/метриктер: бақылау ережелерінің pass-rate, инциденттер, KRI.
Вендорлар/VRM: сертификаттар, SLA, инциденттер, деректер орналасуын өзгерту.
Қаржы/Payments: айыппұлдар, chargeback ratio, fraud loss%.
Шкалаларға әсер ететін барлық мәндердің evidence сілтемелері (логтары/есептері) және таймштамдары болуы тиіс.

6) Агрегаттау және шоғырландыру

Bottom-up: сервистерден/юрисдикциялардан домендер мен компанияларға.
Агрегациялау ережесі: Impact бойынша максимум, Likelihood бойынша перцентиль немесе өлшенген медиана (бизнес көлемі бойынша).
Жеке қабаттар (layers): Inherent (бақылаусыз), Residual (бақылаусыз), Target (CAPA-дан кейін).
Өзара байланысты тәуекелдерді (мысалы, жалпы инфрақұрылымдық осалдықты) және тәуелсіз тәуекелдерді бөлісіңіз.

7) Визуализация

Түсті кодталған 5 × 5 матрицасы; қалқымалы карточкалары бар интерактивті нүкте-тәуекелдер (сипаттама, иесі, бақылаулар, CAPA).
Қабат қосқыштары: Inherent/Residual/Target.
Сүзгілер: юрисдикция, өнім, домен, провайдер, кезең.
Шараларға дейінгі/кейінгі трендтер және 30-90 күн ішіндегі «дрейф» (drift).

8) Рөлдер және RACI

9) KRI және эскалация шегі

• Privacy: dsar_response_p95, TTL бойынша жою, шағымдар/омбудсмен.
• Security: p95 TTR осалдықтары, сыни «қызыл» CCM ережелерінің үлесі, SoD бұзушылықтары.
• Payments: chargeback ratio, fraud loss%, win-rate апелляциялары.
• Operations: SLO breach rate, инциденттер p1/p2, RTO/RPO тесттер.
• Эскалациялар: Ескерту шегінен шығу кезінде Amber, Red - қауіпті аймақтар үшін міндетті CAPA және «stop-the-line».

10) Шешім қабылдау және CAPA-мен байланыс

Әрбір «қызыл» нүкте үшін іс-қимыл жоспары міндетті: Corrective/Preventive, иесі, мерзімі, бюджеті, табыстың KPI.

• Critical: CAPA ≤ 30 күн, re-audit 60-90 күннен кейін; комитет - апта сайын.
• High: CAPA ≤ 60 күн, бақылау 90 күн.
• Medium/Low: тоқсан/жартыжылдық жоспарына.
• Төмендеу мүмкін болмаған жағдайда - аяқталу күні және өтемдік бақылаулары бар waiver.

11) Дашбордтар (минимум)

Heatmap View: ағымдағы матрица + Residual/Target қабаттары.
Risk Trend: балл динамикасы, «CAPA-ға дейін/кейін».
Controls Linkage: тәуекелдер бойынша pass-rate CCM, «қызыл» гейттер.
Regulatory Exposure: юрисдикциялар мен лицензиялар бойынша тәуекелдер.
Vendor Risk: сыни провайдерлердің жылу картасы (сертификаттар, SLA, инциденттер).
Audit-Readiness: completeness evidence/тәуекелдер бойынша хеш-түбіртектер.

12) Тиімділік метрикасы

Risk Reduction Index: тоқсандар бойынша орташа өлшенген тәуекел-скор ∆.
On-time CAPA: мерзімінде шаралар% (severity бойынша).
Repeat Findings (12 ай): байланысты тәуекелдер бойынша қайталау үлесі.
Evidence Completeness: дәлелдемелердің толық пакетімен тәуекелдер%.
Drift After Fix: 30-90 күннен кейін «қызыл» аймаққа қайту жағдайлары.
Coverage: картада көрсетілген бизнес-активтердің/юрисдикциялардың үлесі.

13) SOP (стандартты рәсімдер)

SOP-1: Әдістемені бастамалау

Шкалалар мен табалдырықтарды анықтау → Комитетте келісу → репозиторийде бекіту (нұсқалау).

SOP-2: Тоқсандық цикл

Кіріс деректерін жинау/KRI → бағаларды қайта есептеу → иелерімен есеп → комитет шешімдері → дашбордтарды жариялау → экспорт «audit pack».

SOP-3: Оқиға-триггер

Critical/High оқиғасы кезінде - жоспардан тыс картаны жаңарту, CAPA-ға байланыстыру және re-audit жоспары.

SOP-4: Вендор сұлбасы

VRM сауалнама/сертификаттар → жеткізушілердің тәуекелдерін жаңарту → айна шараларын растау (Vendor Mirror).

SOP-5: Мұрағат және дәлелдемелер

Snapshot heatmap (PDF/PNG/CSV) + хеш-түбіртектер → WORM-мұрағат → GRC сілтемелер.

14) Артефактілердің үлгілері

14. 1 Тәуекел карточкасы (фрагмент)

ID/Атауы, иесі, домені/юрисдикциясы

Likelihood/Impact/Inherent/Residual/Target

Бақылау (ID, метрика, CCM ережелері)

KRI және нақты мәндері

CAPA/waivers, күндер, бюджет, KPI

Evidence сілтемелері мен хеш-түбіртектер

14. 2 Шкала саясаты (үзінді)

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 «дейін/кейін» есеп

Heatmap скриншоттары (Residual vs Target)

Тәуекелдер бойынша өзгерістердің ∆-кестесі

Орындалған CAPA, орнықтылық метрикасы

15) Антипаттерндер

«Әдемі сурет» бақылауға байланыссыз/KRI және CAPA.
Анық емес шкала → бағаларды манипуляциялау.
Ұпайлар өзгерісінің нұсқалауының/дәлелдемелерінің болмауы.
Біріктіру ережесінсіз салыстыруға келмейтін тәуекелдерді қосу.
Сирек жаңартулар → карта шындықты көрсетпейді.
Waivers мерзімсіз және өтемдік шараларсыз.

16) Жетілу моделі (M0-M4)

M0 Ad-hoc: бір реттік сурет, әдістер/метриктер жоқ.
M1 Жоспарлы: келісілген шкалалар, тоқсандық жаңартулар.
M2 Басқарылатын: бақылау байланысы/KRI, CAPA, дашбордтар, WORM-мұрағат.
M3 Біріктірілген: автоматты қайта есептеу (CCM), policy-/assurance-as-code, юрисдикциялар/вендорлар бойынша кесінділер.
M4 Continuous Assurance: болжамды KRI, сценарийлік модельдеу, «what-if», басымдықтар бойынша ұсынымдар.

17) Байланысты wiki баптары

Тәуекелге бағдарланған аудит (RBA)

KPI және комплаенс өлшемдері

Үздіксіз сәйкестік мониторингі (CCM)

Бұзушылықтарды жою жоспарлары (CAPA)

Қайталама аудиттер және орындалуын бақылау

Саясат пен нормативтердің репозиторийі

Комплаенс жол картасы

Серіктестер/VRM үшін комплаенс нұсқаулығы

Жиынтығы

Тәуекелдердің жылу картасы - бұл есеп емес, басқару тетігі: бірыңғай шәкіл, бақылаумен және KRI-мен байланыс, тұрақты жаңартулар, дәлелденетін шешімдер және шаралардан кейінгі тұрақтылықты бақылау. Мұндай тәсіл басымдықты объективті етеді, комитеттің шешімдерін жеделдетеді және тұрақты «audit-ready» дайындығын қолдайды.