Komitet ds. Zarządzania Ryzykiem i Zgodności

1) Mianowanie i mandat

• Buduje i utrzymuje apetyt na ryzyko i zasady zgodności
• zatwierdza kluczowe polityki/standardy i ich zmiany;
• kontroluje kluczowe ryzyko (operacyjne, regulacyjne, bezpieczeństwo informacji/prywatność, finansowe, osoby trzecie);
• ustanawia wskaźniki zgodności i SLO/SLA oraz monitoruje ich osiągnięcie;
• zajmuje się eskalacją i sprzecznymi priorytetami;
• zapewnia stan gotowości audytu (baza dowodów, protokoły rozwiązań).

2) Skład i niezależność

• Zgodność Lead/DPO (współprzewodniczący)
• CISO/szef ochrony (współprzewodniczący)
• Kierownik działu prawnego
• Szef ryzyka/ryzyka przedsiębiorstwa
• CFO/Finance (do oceny skutków)
• Przedstawiciel Biznesu/Produktu (Wiceprezes/Dyrektor)
• Zarządca platformy/infrastruktury lub CTO-delegat

• Audyt wewnętrzny (obserwator)
• HR/L & D (szkolenia/oceny)
• Zamówienia/Sprzedawca Mgmt (osoby trzecie)
• Dane/platforma (DWH/Lineage/CCM)

Zasady niezależności: brak konfliktu interesów, dokumentowanie recuzji, ustalanie roli obserwatorów.

3) Komitet RACI

(R - Odpowiedzialny; A - Odpowiedzialność; C - Konsultowane; I - Poinformowany)

4) Regulacja i częstotliwość

Tryb normalny: raz w miesiącu (90 minut) + cotygodniowy ekspresowy monitoring KPI/KRI (15 minut).
Tryb kryzysowy (incydent/regulator): spotkania co 24-48 godzin do momentu stabilizacji.
Kworum: ≥ 2/3 wyborców, w tym jeden współprzewodniczący.
Rozwiązania: prosta większość; zgodnie z wysokim ryzykiem - 2/3 i prawo weta współkrzeseł (ustalić w karcie).

5) Artefakty przychodzące (wejścia)

Rejestr ryzyka i Heatmap (zaktualizowany KRI).
Zgodność KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage да.
Zmień dziennik według zasad (Major/Minor/Emergency).
Rejestr zwolnień z terminów wygaśnięcia i kontroli wyrównawczych.
Incydenty i ustalenia: Sev1/Sev2, powtarzalność, stan rekultywacji.
Ryzyko dostawcy: dostawcy krytyczny, naruszenie SLA/certyfikat.
Audyt/oceny: statusy, komentarze otwarte, gotowość przycisku.

6) Produkty i artefakty (produkty)

Protokół decyzji z właścicielem, termin, dotkliwość i oczekiwany efekt ryzyka.
Zaktualizowane oświadczenie i priorytety dotyczące apetytu ryzyka.
Aktualizacja/odrzucenie zasad i zwolnień z warunków.
Listy eskalacyjne/rozwiązania dla Zarządu/CEO wysokiego ryzyka.
Komunikacja pagery i zadania dla poleceń (bilety w ITSM/GRC).

7) Typowe wezwania (60-90 minut)

1. Podsumowanie KPI/KRI i odchylenia (10").
2. Incidents/Sev1-updates i lekcje (15").
3. Politycy: Poważne zmiany, sprzeczne interpretacje, lokalizacje (15").
4. Osoby trzecie: naruszenia SLA/certyfikatu, podwykonawcy przetwórstwa (10").
5. Zwolnienia: Przedłużenie/zamknięcie, czerwone strefy (10").
6. Audyt/oceny: stan gotowości i "pakiet audytu" (10").
7. Rozwiązania i przydział zadań (10").

8) Procedury podejmowania decyzji i eskalacji

Karta decyzji (szablon): kontekst → opcje → wpływ na ryzyko/koszt → zalecenie → głosowanie.
Eskalacja: jeśli ryzyko> Apetyt lub przestępczość> SLA - wyjazd do zarządu/zarządu.
Przegląd: post-faktyczna ocena skutków decyzji po 30-60 dniach (przegląd skutków).

9) Integracja i przepływy końcowe

RBA: ustalenia → wezwanie komisji → właściciel/due → kontrola zamknięcia.
CCM (monitorowanie ciągłe): wpisy/mierniki → zasada/priorytet progowy.
Polityka Cykl życia/Zmiana Mgmt: Główne edycje → aktualizacje, komunikacja, szkolenia.
Sprzedawca DD/Outsourcing: model punktacji i listy luk → warunki umowy/SLA.
Incydent Mgmt: SOAR/PR/Playbooks prawne → raporty i lekcje.

10) Wskaźniki wydajności Komitetu

Rekultywacja czasowa:% zadań Komisji zamkniętych na czas (ze względu na stopień dotkliwości).
Czas realizacji decyzji: mediana czasu od podniesienia kwestii do rozwiązania.
Zrzeczenie się higieny:% wyłączeń z aktualną datą wygaśnięcia (cel: 100%).

• Czas gotowości audytu: Godziny do pełnego „pakietu audytu”.
• Wskaźnik redukcji ryzyka: w odniesieniu do całkowitego wskaźnika ryzyka QoQ.
• Komunikacja SLA:% ról zgłoszonych na czas przez główne rozwiązania.

11) Karta Komitetu (szablon)

Cel: nadzór nad ryzykiem i przestrzeganiem przepisów; ochrona interesów firmy i klientów.
Zakres: wszystkie jurysdykcje/linie biznesowe/systemy informatyczne/osoby trzecie.
Organ: zatwierdzanie polityk/wyjątków; sprawdzanie danych/audytów; eskalacja w zarządzie.
Skład i kworum: (patrz § 2 i § 4).
Konflikty interesów: deklaracje, recuzje, dziennik.
Protokoły: standard pełnych minut (porządek obrad, rozwiązania, głosy, właściciel, należne, linki do dowodów).
Zmiana karty: corocznie lub na wniosek Rady.

12) Szablony dokumentów

12. 1 Karta decyzji

Temat/Kontekst/Rozporządzenia/Zagrożenia

Opcje i wycena (koszt, harmonogram, wpływ na SLA/KRI)

Zalecenie po podjęciu decyzji i poziom ryzyka

Właściciel wykonania i termin wymagalności

Wynik głosowania (za/przeciw/wstrzymało się)

12. 2 Protokół posiedzenia

Data/kworum/uczestnicy

Porządek obrad

Dyskusja (krótki, punkt po punkcie)

Rozwiązania (właściciel, due, success metric)

Otwarte problemy/eskalacje

Aplikacje (deski rozdzielcze, raporty, linki do archiwum WORM)

12. 3 Macierz apetytu ryzyka (przykład)

13) Deski rozdzielcze komitetu (minimum)

Mapa ryzyka: prawdopodobieństwo × wpływ × ryzyko resztkowe.
Centrum zgodności KPI: DSAR, higiena dostępu, dryf, pokrycie dowodów.
Incydenty i ustalenia: Sev1/Sev2, MTTR, powtarzalność.
Zmiany w polityce: Główny/niewielki/awaryjny rurociąg i status szkolenia.
Ryzyko sprzedawcy: certyfikaty, SLA, procesory podwykonawców, incydenty.
Zwolnienia i terminy: aktywne/wygasłe, eskalacje.
Gotowość do audytu: procent „pakietu audytu” przez audyty/certyfikaty.

14) Kalendarz Roku Komitetu

Miesięczny: regularny porządek obrad (§ 7).
Kwartał: Przegląd apetytu ryzyka, tendencje KPI/KRI, ustalenia ogółem.
Półrocze: przegląd portfela kluczowych polityk i zwolnień.
Roczne: Karta Komitetu, plan audytu/certyfikacji, wyciągnięte wnioski.

15) Tryb kryzysowy (Sev1/Regulatory)

Natychmiastowe zwołanie; aktualizacje rytmu walki (np. co 4 godziny).
Ujednolicony komunikat (Legal/PR), Kontrola prawna Hold.
Rozwiązania do kontroli dostępu/wyłączania integracji/izolacji danych.
Oddzielny protokół incydentu i pośmiertnie z działaniami.

16) Antypattery

Komitet jako „skrzynka pocztowa” bez autorytetu i terminów.
Brak protokołów i dowodów - kontrowersje w audycie.
Zwolnienia wieczyste bez terminu ważności i kontroli wyrównawczych.
Nierozstrzygnięte agendy: brak kart decyzji, brak opcji i oszacowania skutków.
KPI bez właścicieli i link do Risk Appetite.
Konflikty interesów bez zarządzanych recuzji.

17) Model zapadalności komitetu (M0-M4)

M0 Hell-hoc: rzadkie spotkania, brak metryk i protokołów.
M1 Sformalizowane: czarter, kworum, protokoły podstawowe, miesięczne spotkania.
M2 Zarządzalne: deski rozdzielcze KPI/KRI, karty decyzyjne, kontrola zwolnień.
M3 Zintegrowana: komunikacja z CCM/RBA/Policy-as-Code, „audyt gotowy za pomocą przycisku”.
M4 Zapewniono: prognostyczne KRI, automatyczna eskalacja, regularne decyzje dotyczące oceny wpływu.

18) Powiązane artykuły wiki

Audyt oparty na ryzyku (RBA)

Ciągły monitoring zgodności (CCM)

KPI i wskaźniki zgodności

Zarządzanie zmianami w polityce zgodności

Polityka i procedury Cykl życia

Należyta staranność i ryzyko outsourcingu

Prawne przechowywanie i zamrażanie danych

Razem

Silny komitet nie jest „spotkaniem”, lecz mechanizmem zarządzania ryzykiem: jasnym mandatem, niezależnością i kworum, danymi w deskach rozdzielczych, decyzjami z właścicielami i terminami, podstawą egzekwowania i dowodami. Następnie zgodność staje się przewidywalnym filarem strategii, a nie przeciągiem na biznes.