Comitetul de gestionare și conformitate a riscurilor

1) Numirea și mandatul

• Construiește și menține principiile apetitului pentru risc și conformității
• aprobă politicile/standardele cheie și modificările acestora;
• controlează riscurile cheie (operaționale, de reglementare, de securitate a informațiilor/de confidențialitate, financiare, terțe părți);
• stabilește valori de conformitate și SLO/SLA și monitorizează realizarea acestora;
• abordează escaladarea și prioritățile conflictuale;
• oferă un stat gata de audit (bază de probe, protocoale de soluție).

2) Compoziția și independența

• Plumb de conformitate/DPO (copreședinte)
• CISO/șef al securității (copreședinte)
• Șef Cabinet Juridic
• Șeful riscului/riscului întreprinderii
• CFO/Finanțe (pentru evaluarea impactului)
• Reprezentant Afaceri/Produse (VP/Director)
• Manager de platformă/infrastructură sau CTO-delegat

• Audit intern (Observator)
• HR/L & D (Instruire/Evaluări)
• Achiziții/Furnizor Mgmt (terți)
• Date/Platformă (DWH/Lineage/CCM)

Principiile independenței: niciun conflict de interese, documentarea considerentelor, stabilirea rolului observatorilor.

3) Comitetul RACI

(R - Responsabil; A - Responsabil; C - Consultat; I - Informat)

4) Reglarea și frecvența

Mod normal: o dată pe lună (90 minute) + monitorizare săptămânală express KPI/KRI (15 minute).
Modul de criză (incident/regulator): întâlniri la fiecare 24-48 de ore până la stabilizare.
Cvorum: ≥ 2/3 din alegători, inclusiv un copreședinte.
Solutii: majoritate simpla; conform riscului ridicat - 2/3 și dreptul de veto al copreședinților (fixați în cartă).

5) artefacte de intrare (intrări)

Registrul riscurilor și Heatmap (KRI actualizat).
Conformitate KPI/SLO: DSAR/SLA, igiena accesului, derivă, acoperire dovezi и др.
Schimbare jurnal de politică (Major/Minor/de urgență).
Derogări-registru cu date de expirare și controale compensatorii.
Incidente și constatări: Sev1/Sev2, repetabilitate, stare de remediere.
Risc de furnizor: furnizori critici, încălcări SLA/certificat.
Audit/evaluări: statusuri, comentarii deschise, pregătirea butoanelor.

6) Ieșiri și artefacte (ieșiri)

Protocolul de decizie cu proprietarul, data scadentă, severitatea și efectul de risc așteptat.
Declarație și priorități actualizate privind apetitul pentru risc.
Actualizați/respingeți politicile și derogările cu condiții.
Scrisori/soluții de escaladare pentru Board/CEO cu risc ridicat.
Comunicare one-pagers și sarcini pentru comenzi (tichete în ITSM/GRC).

7) Citație tipică (60-90 minute)

1. Rezumatul KPI/KRI și abaterile (10").
2. Incidents/Sev1-updates și lecții (15").
3. Politicieni: Schimbări majore, interpretări contradictorii, localizări (15").
4. Terțe părți: încălcări ale SLA/certificatului, subprocesoare (10").
5. Derogări: Extensie/închidere, zone roşii (10 inchi).
6. Audit/evaluări: status gata și "audit pack" (10").
7. Soluții și alocarea sarcinilor (10").

8) Proceduri de luare a deciziilor și de escaladare

Card de decizie (model): context → opțiuni → impact asupra riscului/costului → recomandare → vot.
Escaladare: dacă riscul> Apetit sau delincvență> SLA - take-out către executiv/consiliu.
Revizuire: evaluarea post-factuală a efectului deciziei după 30-60 de zile (revizuirea impactului).

9) Integrări și fluxuri end-to-end

RBA: constatările → citația comitetului → proprietar/din cauza controlului → închidere.
CCM (monitorizare continuă): alerte/metrici → regula/prioritizarea pragului.
Policy Lifecycle/Change Mgmt: modificări majore → actualizări, comunicare, formare.
Furnizor DD/Outsourcing: model de notare și liste de decalaje → termenii contractuali/SLA.
Incident Mgmt: SOAR/PR/playbook-uri juridice → rapoarte și lecții.

10) Măsurătorile de performanță ale comitetului

Remedierea la timp:% din sarcinile Comitetului închise la timp (prin severitate).
Timpul de decizie: timpul median de la ridicarea problemei la rezolvare.
Igiena renunțării:% excluderi cu data expirării curente (țintă: 100%).
Constatări repetate: procentul de repetări în 12 luni (obiectiv: ↓).
Timp de pregătire pentru audit: Ore pentru a completa „pachetul de audit”.
Indicele de reducere a riscului: ∆ ratei totale de risc QoQ.
SLA comunicare:% din rolurile notificate la timp de către soluții majore.

11) Carta Comitetului (model)

Scop: supravegherea riscurilor și a conformității; protejarea intereselor companiei și ale clienților.
Domeniu de aplicare: toate jurisdicțiile/liniile de activitate/sistemele informatice/terțe părți.
Autoritate: aprobarea politicilor/excepțiilor; interogarea datelor/auditurilor; escaladarea în bord.
Compoziție și cvorum: (a se vedea § 2 și § 4).
Conflicte de interese: declarații, considerente, jurnal.
Protocoale: standard de minute complete (agendă, soluții, voci, proprietar, due, link-uri către dovezi).
Revizuirea cartei: anual sau la cererea comitetului.

12) Șabloane de document

12. 1 Carte de decizie

Subiect/Context/Reglementări/Riscuri

Opțiuni și evaluare (cost, calendar, impact asupra SLA/KRI)

Recomandarea post-decizie și nivelul de risc

Proprietarul performanței și data scadenței

Rezultatul votului (pentru/împotrivă/abținere)

12. 2 Procesul-verbal al şedinţei

Data/cvorum/participanți

Ordinea de zi

Discuție (scurt, articol cu articol)

Solutii (proprietar, due, succes metric)

Probleme deschise/escaladări

Aplicații (tablouri de bord, rapoarte, link-uri către arhiva WORM)

12. 3 Riscul Matricea apetitului (exemplu)

13) Tablouri de bord ale comitetului (minim)

Risc Heatmap: probabilitatea × impact × risc rezidual.
Centrul KPI de conformitate: DSAR, Igiena accesului, Drift, Acoperire dovezi.
Incidente și constatări: Sev1/Sev2, MTTR, repetabilitate.
Schimbări de politică: conducte majore/minore/de urgență și statutul de formare.
Riscuri furnizor: certificate, SLA, subprocesoare, incidente.
Derogări și termene limită: active/expirate, escaladări.
Pregătirea auditului: procentul „pachetului de audit” prin audituri/certificări.

14) Calendarul Anului Comitetului

Lunar: ordinea de zi regulată (§ 7).
Trimestrial: Revizuirea apetitului de risc, tendințele KPI/KRI, constatările totale.
Jumătate de an: revizuirea principalelor politici și a portofoliului de derogări.
Anual: Carta Comitetului, Planul de audit/certificare, Lecții învățate.

15) Modul de criză (Sev1/Regulatory)

Convocare imediată; actualizări battle-ritm (ex. la fiecare 4 ore).
Unified Communication (Legal/PR), Legal Hold control.
Solutii pentru controlul accesului/dezactivarea integrarii/izolarii datelor.
Protocol separat incident și post-mortem cu acțiuni.

16) Antipattern

Comitetul ca o „cutie poștală” fără autoritate și termene limită.
Lipsa protocoalelor și a dovezilor - controverse în audit.
Derogări perpetue fără dată de expirare și controale compensatorii.
Agende nerezolvabile: fără carduri de decizie, fără opțiuni și fără estimări ale efectelor.
KPI-uri fără proprietari și un link către apetitul de risc.
Conflicte de interese fără considerente gestionate.

17) Modelul de maturitate al comitetului (M0-M4)

M0 Hell-hoc: întâlniri rare, fără valori și protocoale.
M1 Formalizat: charter, cvorum, minute de bază, întâlniri lunare.
M2 Ușor de gestionat: tablouri de bord KPI/KRI, carduri de decizie, control derogări.
M3 Integrat: comunicare cu CCM/RBA/Policy-as-Code, „audit-ready by button”.
M4 Asigurat: IRC-uri predictive, escaladare automată, decizii regulate de evaluare a impactului.

18) Articole wiki înrudite

Audit bazat pe risc (RBA)

Monitorizarea continuă a conformității (CCM)

KPI-uri și măsurători de conformitate

Managementul schimbării politicii de conformitate

Ciclul de viață al politicilor și procedurilor

Due Diligence și riscurile de externalizare

Păstrarea legală și înghețarea datelor

Total

Un comitet puternic nu este o „reuniune”, ci un mecanism de gestionare a riscurilor: un mandat clar, independență și cvorum, date în tablouri de bord, decizii cu proprietarii și termene limită, punerea în aplicare și baza de probe. Conformitatea devine apoi un pilon previzibil al strategiei, mai degrabă decât un obstacol în afaceri.