GH GambleHub

Mapeamento de riscos e priorização

1) Metas e resultados

O objetivo é tornar a avaliação e classificação dos riscos reproduzíveis e verificáveis para que as decisões sobre orçamentos/prazos/recursos sejam:
  • comparáveis (escalas e fórmulas unificadas),
  • transparentes (fontes de dados e permissões documentadas),
  • mensuráveis (métricas e KRI estão ligados a controladores e incidentes),
  • executáveis (cada risco corresponde a um plano CAPA/waiver com data de vencimento).

Saídas: um único registro de risco, um backlog de medidas priorizado, mapas térmicos, relatórios de risco residual, artefatos «audit-ready».

2) Termos e níveis de risco

Inherent Risk - Risco sem controle.
Residual Risk - risco com base nos controles atuais (ToD/ToE/CCM verificados).

Target Risk é a meta após as medidas de compensação SARAH/

Likelihood (L) é a probabilidade de um cenário no horizonte de avaliação.
O Impact (I) é o maior entre finanças, licenças/direito, privacidade/dados, operações/SLO, reputação.
KRI - Indicadores de risco que afetam L/I (por exemplo, dsar _ response _ p95, chargeback ratio).

3) Escalas e modelos básicos

3. 1 Matriz discreta (5 x 5 ou 4 x 4)

Score = L x I → faixa 1-25 (ou 1-16).

Categorias (exemplo 5 x 5):
  • 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
  • As liminares são publicadas na «Política de varredura» e aplicadas invariavelmente a todos os domínios.
Escala Likelihood (5 níveis, por exemplo):
  • 1 - cada 3 anos; 2 - cada 1 a 3 anos; 3 - anualmente; 4 - trimestral; 5 - mensalidade/frequência.
Escala de Impact (por critério max, por exemplo):
  • 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; para riscos legais/de licenciamento, o nível é elevado para, no mínimo, 4-5.

3. 2 Modelos quantitativos

ALE: 'ALE = SLE x ARO', onde 'SLE' é a média de danos por evento, 'ARO' é a frequência prevista por ano.
Abordagem FAIR (em simplificação): Modelamos a frequência (Threat Event Frequency) e o valor da perda (Loss Magnitude) e usamos os percentis (p50/p95) para tomar uma decisão.
Monte Carlo: distribuição para frequência e danos (lognorm/gama, etc.), 10-100k upons → curvas de perda (loss exceedance curve). Aplicar para os riscos críticos mais caros/regulatórios.

Recomendação: 80% das malas - matriz 5 x 5, 20% (riscos top) - ALE/FAIR/Monte Carlo.

4) Risco residual e alvo

1. Calcular o Inherent com suposições «sem controle».
2. Considerando a eficácia dos controles existentes (verificado ToD/ToE/CCM) → Residencial.
3. Definir Target com base nas medidas de compensação SARAH/data de realização planejadas.
4. Se Target ≤ o limite de tolerância (risk appetite) - ok; se não, é necessário um waiver com data de vencimento e controles compensatórios.

5) Fontes de dados e provas

Métricas e KRI (dashboards, logs, relatórios de incidentes).
Resultados dos testes de controle (CCM), auditorias (interna/externa).
Os relatórios dos provedores são SLA/certificados/incidentes/alterações de localização de dados.
Analista financeiro: multas, chargeback, fraud loss%.
Cada avaliação é acompanhada de links de evidence com o tempo e o recibo hash (WORM).

6) Priorizar iniciativas (tradução de risco → ação)

6. 1 RICE (adaptação a risco)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reach - Quantos clientes/transações/jurisdições estão bloqueados.
Impacto _ adj - Convertido I (ou ALE/perda p95).
Confidence - veracidade das avaliações (0. 5/0. 75/1. 0).
Effort - semana de homem/custo.
Triagem RICE → ganhos rápidos para cima.

6. 2 WSJF com correção de risco

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

Risk Reducção - a redução prevista do Residencial/ALE.
Time Criticality - Deadline de reguladores/auditorias.
Business Value - renda/poupança, confiança dos clientes.

6. 3 Prioridade regulatória

Se o risco estiver associado a licenças/leis e houver um deadline rígido, ele será automaticamente inserido no Critical/High independentemente de «economicamente».

7) Regras de limite e escalação

Critical: triagem imediata, CAPA ≤ 30 dias, re-auditoria daqui a 60-90 dias; comité semanal.
High: CAPA ≤ 60 dias, observação 90 dias.
Medium, incluído no plano trimestral.
Low: monitoramento + capacidade «tech debt» slot.
Liminares KRI: Amber (aviso) e Red (escalação obrigatória e CAPA).

8) Papéis e RACI

AtividadeRACI
Metodologia de varreduraRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Avaliação de riscos específicosRisk OwnersHead of FunctionControl Owners, DataCommittee
Verificação de controlesCompliance / Internal AuditHead of ComplianceSecOpsBoard
Priorizar iniciativasCompliance OpsHead of ComplianceProduct/FinanceExec
Monitoramento KRI/dashboardCompliance AnalyticsHead of ComplianceData PlatformExec/Board

9) Dashboards

Risk Heatmap: matriz 5 x 5, filtros para domínios/países/provedores.
Risk Funnel: Inherent → Residencial → Target.
Top-N by ALE/p95 Loss: riscos quantitativos.
KRI Watchlist: indicadores e liminares, ansiedade Amber/Red.
CAPA Impact: redução prevista/real; progressos de prazo.
Waivers: exceções em vigor, prazos e medidas compensatórias.

10) Métricas de eficiência

Risk Reductions Index: ∆ de risco-score médio ponderado (trimestre/trimestre).
On-time CAPA:% de medidas dentro do prazo (severity).
Repeat Findings (12 m): proporção de violações repetidas.
Evidence Completeness:% de risco com pacote completo (meta 100% para High +).
Predição Accuracy: variação entre perdas/frequências estimadas e reais.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (procedimentos padrão)

SOP-1: Inicialização e escalas

Definir escalas L/I e liminares de categorias → aprovar no Comitê → fixar no repositório (versioning).

SOP-2: Reavaliação trimestral

Recolher KRI/Incidentes → rever L/I/ALE → os proprietários → priorizar comitê → publicar Roadmap.

SOP-3: Incidente desencadeador

Em Critical/High Incidente - contagem não programada, ajuste de CAPA e prioridades.

SOP-4: Análise quantitativa (Riscos Top)

Preparar as distribuições de entrada de Monte Carlo ( upons) as curvas de perda a decisão do Comitê.

SOP-5: Arquivo e provas

Exportar cortes (CSV/PDF) + recibos hash → arquivo WORM → links em cartões GRC.

12) Modelos e «o-código»

12. 1 Política de varredura (fatia)


scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Cartão de risco (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Priorização (exemplo WSJF)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Medidas compensatórias e waivers

Se o fixe rápido não for possível:
  • introduzindo controles de compensação (verificações manuais, limites, monitoramento adicional) com métricas de eficiência;
  • formalizamos um waiver com data de vencimento, dono e plano de substituição;
  • A ré-auditoria obrigatória daqui a 30 ou 90 dias.

14) Antipattern

«Matriz bonita» sem ligação com KRI/controladores/incidentes.
Escalas flutuantes e sintonização manual para o resultado desejado.
Não há versionagem de cálculos ou suposições.
As raras revisões do mapa não refletem a realidade.
Waivers sem data de vencimento ou medidas compensatórias.
Falta de análise quantitativa para os riscos top.

15) Modelo de maturidade (M0-M4)

M0 Ad-House: Avaliações de olho, não há uma única política.
M1 Planeado: matriz 5 x 5, atualizações trimestrais, dashboards básicos.
M2 Controlado: Comunicação com KRI/CCM, CAPA Linkovs, WORM-evidence.
M3 Integrado: ALE/FAIR/Monte Carlo para riscos top, WSJF/RICE em Roadmap, gates CI/CD.
M4 Contínuo Assunção: KRI preditivo, recontagem automática, prioridades de recomendação e «evidence-by-design».

16) Artigos wiki relacionados

Mapa térmico de risco

Auditoria orientada por risco (RBA)

KPI e métricas de complaens

Monitoramento Contínuo de Conformidade (CCM)

Planos de Solução de Violações (CAPA)

Repositório de políticas e regulamentos

Mapa de trânsito da complacência

Verificações externas por auditores de terceiros

Resultado

O mapeamento de riscos e a priorização são uma disciplina de engenharia, e não de arte: escalas e políticas estáveis, dados comprovados, métodos quantitativos para riscos top, liminares e escalações explícitas, e uma ligação direta com a CAPA e a folha de trânsito. Esta abordagem torna as soluções previsíveis, acelera a negociação e reduz o risco total do negócio.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.