GH GambleHub

Mapa térmico de risco

1) Destino e valor

O mapa térmico de risco (Risk Heatmap) é uma ferramenta visual de classificação e comunicação de risco da matriz Probabilidade x Influência, vinculada a controles, métricas e planos de ação.

Objetivos:
  • uma única linguagem de priorização (negócios, esses, blocos legais);
  • soluções transparentes de SARA/investimento;
  • Rastreamento da dinâmica (antes/depois das medidas), prontidão de «audit-ready».

2) Taxonomia e área de revestimento

Domínios recomendados:
  • Regulação/Licenças, Privacidade/Dados, IB/Processos Técnicos, Pagamentos/AML/KYC, Operações/disponibilidade, Marketing/Publicidade Responsável, Fornecedores/ERRM.
Seções:
  • Jurisdição/mercados, Linhas de negócios/produtos, Serviços/plataformas, Provedores críticos.

3) Escalas de probabilidade e influência

3. 1 Probabilidade (exemplo da escala de 5 níveis)

1. Raramente (> 3 anos/p <5%)

2. Baixa (de 1 a 3 anos)

3. Média (anual)

4. Alta (trimestral)

5. Muito alta (mensalidade/frequência)

3. 2 Influência (multifacetado)

Avalie o máximo dos critérios:
  • Finanças: perdas diretas/multas/chargeback.
  • Licenças/Efeitos legais: suspensão, proibição, investigação.
  • Privacidade/Dados: quantidade de PII, notificações, ações de supervisão.
  • Operações/Farmácia: MTTR, SLO, lançamentos frustrados, RTO/RPO.
  • Reputação, mídia, redes sociais, sanções parceiras.
  • Escala 1-5 com liminares nítidos (por exemplo, 1: <€10k, 5:> €1m).

4) Mapeamento e níveis de risco

Risco individual: 'Score = Likelihood x Impact' (1-25).

Categorias:
  • 20-25 - Critical (vermelho)
  • 12-19 - High (laranja)
  • 6-11 - Medium (amarelo)
  • 1-5 - Low (verde)
  • Risco residual: após a contabilidade dos controles atuais (eficácia confirmada ToD/ToE/CCM).
  • Risco de destino (target): após as medidas previstas; a data de realização é registrada.

5) Fontes de dados e comunicação com controladores

Registro GRC: descrições de risco, proprietários, avaliações atuais/alvo.
CVM/métricas: pass-rate regras de controle, incidentes, KRI.
Vendedores/VRM: certificados, SLA, incidentes, mudanças de localização de dados.
Finanças/Payments: multas, chargeback ratio, fraud loss%.
Todos os valores que afetam as escalas devem ter links evidence (logs/relatórios) e temporizadores.

6) Agregação e consolidação

Bottom-up: de serviços/jurisdição para domínios e empresas.
As regras de agregação são o máximo de Impact, o percurso de Likelihood, ou a mediana ponderada (em termos de volume de negócios).
Camadas individuais (layers): Inherent (sem controle), Residencial (com controladores), Target (após CAPA).
Compartilhe riscos correlacionados (por exemplo, vulnerabilidade geral de infraestrutura) e independentes.

7) Visualização

Matriz 5 x 5 com codificação de cores; pontos de risco interativos com cartões pop-up (descrição, proprietário, controladores, CAPA).
Alternadores de camadas: Inherent/Residencial/Target.
Filtros: jurisdição, produto, domínio, provedor, período.
Tendências «antes/depois» medidas e «à deriva» (draft) em 30 a 90 dias.

8) Papéis e RACI

AtividadeRACI
Metodologia e escalasRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Atualizar avaliaçõesRisk OwnersHead of FunctionControl OwnersCommittee
Conexão com controladores/KRICompliance EngHead of ComplianceSecOps/DataInternal Audit
Publicar dashboardsCompliance AnalyticsHead of ComplianceBI/Data PlatformExec/Board
Revidar e decidirRisk & Compliance CommitteeExecutive SponsorAll DomainsBoard

9) KRI e liminares de escalação

Exemplos de KRI (coloque a riscos no mapa):
  • Privaciy: dsar _ response _ p95, remoção por TTL, queixas/mediador.
  • Segurança: vulnerabilidade p95 TTR, proporção de regras «vermelhas» críticas CCM, violações SoD.
  • Payments: chargeback ratio, fraud loss%, win-rate apelações.
  • Operations: SLO breach rate, incidentes p1/p2, RTO/RPO testes.
  • Escaladas: Amber ao sair das liminares de alerta, Red - CAPA obrigatório e «stop-the-line» para zonas críticas.

10) Tomada de decisões e comunicação com CAPA

Para cada ponto «vermelho», o plano de ação é obrigatório: Corretive/Preventive, proprietário, prazo, orçamento, KPI de sucesso.

Regras de liminares (exemplo):
  • Crítica: CAPA ≤ 30 dias, re-auditoria daqui a 60-90 dias; O comité é semanal.
  • High: CAPA ≤ 60 dias, observação 90 dias.
  • Medium/Low: no plano trimestre/semestre.
  • Se a redução não for possível, waiver com data de vencimento e controles compensatórios.

11) Dashboards (mínimo)

Heatmap View: matriz atual + camadas Residual/Target.
Risk Trend: dinâmica de pontos, «antes/depois do CAPA».
Controls Linkage: pass-rate CCM em risco, gates «vermelhos».
Regulatory Exposure: riscos de jurisdições e licenças.
Vendor Risk: mapa térmico de provedores críticos (certificados, SLA, incidentes).
Audit-Readiness: completeness evidence/recibos de risco hash.

12) Métricas de eficiência

Risk Reducção Index: ∆ de risco médio ponderado por bairros.
On-time CAPA:% de medidas dentro do prazo (severity).
Repeat Findings (12 m): proporção de repetições de riscos relacionados.
Evidence Completeness:% dos riscos com conjunto completo de provas.
Draft After Fix: Casos de retorno à zona «vermelha» após 30 a 90 dias.
Coverage: participação de ativos de negócios/jurisdições refletidos no mapa.

13) SOP (procedimentos padrão)

SOP-1: Inicialização da metodologia

Definir escalas e liminares → concordar no Comitê → fixar no repositório (versioning).

SOP-2: Ciclo trimestral

Coleta de dados de entrada/KRI → repassa as avaliações → os proprietários → soluções de comitê → publicação de dashboards → exportação de «check pack».

SOP-3: Incidente desencadeador

Em Critical/High Incidente - Atualização de cartão não programada, vinculação a CAPA e plano de ré-auditoria.

SOP-4: Caminho Vendor

VRM Pesquisa/Certificados → Atualização de Risco Provedores → Confirmação de Medidas Espelhadas (Vendor Mirror).

SOP-5: Arquivo e provas

heatmap (PDF/PNG/CSV) + recibos hash → arquivo WORM → links GRC.

14) Modelos de artefatos

14. 1 Cartão de risco (fatia)

ID/Nome, proprietário, domínio/jurisdição

Likelihood/Impact/Inherent/Residual/Target

Controladores (ID, métricas, regras CCM)

KRI e valores reais

CAPA/waivers, datas, orçamento, KPI

Links de evidência e recibos de hash

14. 2 Política de escalas (suprimento)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Relatório «antes/depois»

Capturas de tela heatmap (Residencial vs Target)

Tabela de ∆ de risco

CAPA executado, métricas de estabilidade

15) Antipattern

«Imagem bonita» sem vinculação a controladores/KRI e CAPA.
Escalas impróprias → manipulação de notas.
Não há versionagem/prova de alteração de pontos.
Some riscos não comparáveis sem regras de agregação.
Raras atualizações → mapa não reflete a realidade.
Waivers sem prazo ou medidas compensatórias.

16) Modelo de maturidade (M0-M4)

M0 Ad-house: imagem única, sem métodos/métricas.
M1 Programado: escalas alinhadas, atualizações trimestrais.
M2 Controlado: ligação com controladores/KRI, CAPA, dashboard, arquivo WORM.
M3 Integrado: Revezamento automático (CCM), policy-/assunção-as-código, cortes por jurisdição/vendedor.
M4 Contínuo Assunção: KRI preditivo, simulação de cenário, «what-if», recomendações de prioridade.

17) Artigos wiki relacionados

Auditoria orientada por risco (RBA)

KPI e métricas de complaens

Monitoramento Contínuo de Conformidade (CCM)

Planos de Solução de Violações (CAPA)

Novas auditorias e controles de execução

Repositório de políticas e regulamentos

Mapa de trânsito da complacência

Manual de Complacência para Associados/VRM

Resultado

O mapa térmico de risco não é um relatório, mas um mecanismo de controle, como uma única escala, comunicação com controladores e KRI, atualizações regulares, soluções prováveis e controle de estabilidade após as medidas. Esta abordagem torna a priorização objetiva, acelera as decisões de comitê e mantém a preparação permanente de «audit-ready».

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.