GH GambleHub

Registro de risco e metodologia de avaliação

1) Porquê e o que está no registro

Objetivo: um único sistema de descrição, avaliação, priorização e monitoramento dos riscos do dinheiro (GGR/CF), licenças, jogadores, dados e reputação.
Abrangência: produto/engenharia (SDLC/incidentes), finanças e pagamentos (PSP/conclusões), KYC/AML/sanções, privacidade (GDPR), TPRM/vendedores, marketing/SDK, dados (DWH/BI), infraestrutura/nuvem/DK R, operações de safort e VIP.

2) Taxonomia de risco (exemplo)

Segurança da Informação e Privacidade: vazamentos PII/KYC, acesso não autorizado, não-regulação, fales DSAR.
Regulação/Complacência: violações de licenças, AML/KYC/sanções, proibições publicitárias.
Operação/tecnologia: downthaim PSP/KYC, defeito de lançamento, degradação latency, incidentes DR..
Fraude/abuso: depósitos de frod, abuse de bónus, pattern de pagamento.
Financeira: Liquidez dos parceiros, chargeback, concentração em um PSP.
Vendor/cadeia de fornecimento: SDK vulnerável, subprocessadores com TOMs baixos.
Reputação/clientes, aumento de queixas, queda de NPS, violações de RG.
Sanções estratégicas/geopolíticas, mudanças de impostos/leis, bloqueios de tráfego.

3) Cartão de risco (campos obrigatórios)

ID/Nome de risco

Categoria (de taxonomia)

Descrição do evento (o que pode acontecer) e razões

Ativos/processos/jurisdição sob influência

Proprietário de risco (Risk Owner) e supervisor (Sponsor)

Controladores disponíveis (preventivos/detetives/corretivos)

Probabilidade (P) e Influência (I) até os controles (inherent)

Risco residual após os controles

Plano de circulação (treatment): reduzir/evitar/aceitar/transmitir

Limite de escalação/nível de ameaça (Low/Medium/High/Critical)

KRIs e desencadeadores, métricas e fontes de dados

Status e prazo (Next Review) associados por SARA/tíquetes

Comunicação com o Registro de Controladores (ID de controle) e as políticas

Comentários do auditor/comitê (últimas decisões)

4) Escalas de avaliação (padrão 5 x 5)

4. 1 Probabilidade (P)

1 - Raramente (<1/5 anos)

2 - Baixa (1/2-5 anos)

3 - Média (anual)

4 - Alta (quarteirão)

5 - Muito alto (mês/mais frequente)

4. 2 Influência (I) - Selecionamos o máximo de ramais

Finanças: 1: <€10k _ 2: €10-100k = 3: €100k-1m = 4: €1-5m = 5:> €5m

Privacidade/Dados: 1: <1k de gravações\... _ 5:> 1M de gravações/catologias especiais

Regulador/licenças: 1: Aviso de 3: multa/verificação de 5: suspensão da licença

Disponibilidade (SLO/SLA): 1: <15 min =... _ 5:> 8 h para zonas críticas

Pontuação final: 'R = P x I' níveis →: 1-5 Low, 6-10 Medium, 12-16 High, 20-25 Critical.

(As liminares podem ser adaptadas à empresa.)

5) Matriz de tabuleiro de calor e apetite por risco

Risk Appetite: documento com permissões de domínio (por exemplo, vazamentos PII - zero tolerância; downthaim P95 - ≤ X min/mes; chargeback rate — ≤ Y%).
Heatmap: visualização de R em 5 x 5; acima do apetite - exigem um plano e prazos de CAPA.
Risk Budget: quotas de riscos «assumidos» com justificativa (viabilidade econômica).

6) Metodologias de avaliação

6. 1 Qualidade (partida rápida)

Avaliações de especialistas por P/I + justificativa, combinação com o histórico de incidentes e dados do KRIs.

6. 2 Quantitativo (prioridade para Top-10)

Abordagem FAIR (simplificado): taxa de eventos x probabilidade de distribuição de danos (P10/P50/P90); útil para comparar as opções de redução.
Monte Carlo (1000-10k upons): variabilidade de danos e frequência → Loss Exceedance Curve (probabilidade de perda> X).
TRA (Targeted Risk Analisis): análise de ponto para selecionar frequências de monitoramento/controle (válida para PCI/vendedores).

7) KRIs e fontes

Exemplos para domínios:
  • Disponibilidade/operações: MTTR, erros 5xx, P95 latency, incidentes P1/P2,% skale automático, capacidade do cluster.
  • Segurança/privacidade:% MFA coverage, tentativas de stuffing credential, exportação incomum, DSAR SLA, bandeiras antimalvar.
  • Pagamentos: auth rate PSP, rate de marceback, banco recusado, fatia de caixa manual.
  • KYC/AML: TAT, falso rate positivo, sucessos de sanções, proporções de escalações.
  • Vendedores: SLA compliance, latência à deriva, frequência de incidentes, relevância de certificados.

Os KRIs associam-se aos riscos e iniciam escalas quando ultrapassam os limites.

8) Ciclo de vida de risco (workflow)

1. Identificação → registro do cartão.
2. Avaliação (inherent) → mapping controladores → avaliação residencial.
3. Solução de conversão (treatment) e plano CAPA (datas/proprietários).
4. Monitoramento KRIs/incidentes, atualização do cartão.
5. Comité Trimestral de Risco, revisão Top-N, redefinição de apetite.
6. Fechar/consolidar ou traduzir em observação (watchlist).

9) Comunicação com controladores e auditoria

Cada risco deve referir-se a controles específicos (consulte «Controladores internos e suas auditorias»):
  • Preventivo: RBAC/ABAC, SoD, limites, criptografia, WebAuthn, segmentação.
  • Detectives: SIEM/alertas, controladores, logs WORM, UEBA.
  • Correções, cancelamentos, revogação de chaves, patches de emergência.
  • A auditoria DE/OE verifica que os controladores reduzem o risco para apetite e funcionam de forma estável.

10) Exemplos de cartões (YAML, fatias)

10. 1 Fuga de PII por SDK (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 Degradação PSP: falha na autorização de pagamento

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Agregação e gerenciamento de carteira

Top-N (Risk Register View): triagem por residencial R e «acima do apetite».
Temas (Risk Themes): clusters (vendedores, privacidade, PSP) → donos de tópicos.
Mapas de interdependências, riski↔kontroli↔vendory↔protsessy.
Cenários e testes de stress: e se «PSP # 1 e KYC # 1 não estiverem disponíveis por 2 horas?» - avaliação do prejuízo total e plano de ação.
LEC (Loss Exceedance Curve): perfil de perda anual para conselho/borda.

12) Liminares de escalada e sinais

Operational: SLO/SLA violações → Invent P1/P2.
Compliance/Privaciy: excesso de retenções, inoperância DSAR, exportação sem 'purpose' → escalação imediata DPO/Legal.
Vendor: interrupções SLA repetidas → CAPA do fornecedor, renegociação do contrato.
Financial: saída chargeback> liminares → verificações manuais, correção de limites/bônus.

13) RASI (acentuado)

AtividadeBoard/CEORisk CommitteeRisk OwnerSecurity/PrivacyDomain OwnersData/BIInternal Audit
Apetite por riscoARCCCII
Taxonomia/escalasIA/RCRCCI
Manter registroICA/RRRRI
Avaliação/AtualizaçãoICA/RRRRI
EcescalaçõesIA/RRRRII
Auditoria/verificaçãoICCCCCA/R

14) Métricas (KPI/KRI) de gerenciamento de risco

Coverage: 100% dos processos críticos têm riscos registrados e proprietários.
Review On-time: ≥ 95% dos cartões são revistos em tempo.
Above Appetite: ↓ QoQ proporção de risco superior ao apetite.
CAPA Closure (High/Critical): ≥ 95% dentro do prazo.
Detation Lag: Mediana do tempo desde desvio de KRI até escalação (busca ↓).
Invident Recurrence: Incidentes repetidos por uma razão: 0.

15) Folhas de cheque

15. 1 Criação de cartão

  • Categoria e descrição do evento/causa
  • Ativos/processos/jurisdições são marcados
  • Avaliados P/I (inherent) e residual com justificativa
  • Controladores de Mupping (ID), KRIs e fontes de dados
  • Plano SARAH/data/proprietários
  • Limite de escalada e nível de ameaça

15. 2 Comitê Trimestral

  • Top 10 residencial e mais apetite
  • Riscos novos/emergent, mudanças nas leis/vendedores
  • Status da CAPA e vencimentos
  • Decisões: aceitar/reduzir/transmitir/evitar; atualizar o apetite/limiar

16) Mapa de trânsito de implementação (4-6 semanas)

Semanas 1-2: aprovar taxonomia, escalas, apetite; selecionar a ferramenta (tabela/BI/IRM). Criar 10-15 cartões iniciais para processos críticos.
Semanas 3-4: Associar riscos a controles e KRIs; construir uma caixa de calor/dashboards; Iniciar o Comité de Risco.
Semanas 5-6: Implementar quantificações para Top-5 (FAIR/Monte Carlo Light), automatizar a coleta de KRIs, formalizar escalas e relatórios de bordão.

17) Seções wiki associadas

Controladores internos e suas auditorias, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM e SLA, Incidentes e Fugas, DR./BCP, Política de Logs e WORM - para um ciclo completo de «risco → Controlo → métrica → prova».

TL; DR

Registro de risco de trabalho = taxonomia clara + escalas normalizadas + apetite/liminares → cartões com proprietários, controladores e KRIs → câmaras térmicas e comitês → quantificação prioritária para os riscos Top e CAPA dentro do prazo. Isso torna os riscos controláveis, comparáveis e prováveis para o borda e os reguladores.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.