GH GambleHub

Harta riscului termic

1) Scop și valoare

The Risk Heatmap este un instrument vizual pentru clasificarea și comunicarea riscului în matricea Probability × Impact, legată de controale, metrici și planuri de acțiune.

Obiective:
  • un limbaj unic de prioritizare (afaceri, blocuri juridice);
  • transparente CAPA/decizii de investiții;
  • urmărirea progresului (înainte/după măsuri), gata de audit.

2) Taxonomie și aria de acoperire

Domenii recomandate:
  • Reglementari/Licente, Confidentialitate/Date, Securitatea Informatiei/Procese Tehnice, Plati/AML/KYC, Operatiuni/Disponibilitate, Marketing/Publicitate Responsabila, Furnizori/VRM.
Secţiuni:
  • Jurisdicții/piețe, linii de afaceri/produse, servicii/platforme, furnizori critici.

3) Scale de probabilitate și impact

3. 1 Probabilitate (exemplu de scară de 5 niveluri)

1. Rare (o dată la 3 ani/p <5%)

2. Scăzut (o dată la 1-3 ani)

3. Medie (anual)

4. Ridicat (trimestrial)

5. Foarte mare (lunar/mai frecvent)

3. 2 Impact (multivariat)

Evaluați în funcție de maximul criteriilor:
  • Finanțe: pierderi/penalități directe/chargeback.
  • Licențe/Implicații juridice: suspendări, interdicții, investigații.
  • Confidențialitate/Date: domeniul de aplicare PII, notificări, acțiuni de supraveghere.
  • Operațiuni/Uptime: MTTR, SLO, versiuni întrerupte, RTO/RPO.
  • Reputație: mass-media, rețele sociale, sancțiuni partenere.
  • Scala 1-5 cu praguri clare (de ex. 1: <€10k, 5:> €1m).

4) Scoring și niveluri de risc

Risc individual: 'Scor = Probabilitate × Impact' (1-25).

Categorii:
  • 20-25 - Critic (roșu)
  • 12-19 - Ridicat (portocaliu)
  • 6-11 - Mediu (galben)
  • 1-5 - Scăzut (verde)
  • Risc rezidual: după luarea în considerare a controalelor curente (eficacitate confirmată de ToD/ToE/CCM).
  • Riscul țintă: după măsurile planificate; data realizării este stabilită.

5) Sursele de date și legătura cu controalele

Registrul GRC: descrieri de risc, proprietari, evaluări curente/țintă.
JMA/metrics: rata de trecere a regulilor de control, incidente, KRI.
Furnizori/VRM: certificate, SLA, incidente, modificări în locațiile de date.
Finanțe/Plăți: amenzi, raportul chargeback, pierderea fraudei%.
Toate valorile care afectează scalele trebuie să aibă legături de probă (jurnale/rapoarte) și marcaje de timp.

6) Agregare și consolidare

Bottom-up: de la servicii/jurisdicții la domenii și companii.
Reguli de agregare: Impact maxim, probabilitate percentilă sau ponderată mediană (în funcție de volumul afacerii).
Straturi separate: Inerent (fără controale), Rezidual (cu comenzi), Target (după CAPA).
Riscuri de corelare separate (de exemplu, vulnerabilitatea infrastructurii partajate) și cele independente.

7) Vizualizare

Matrice cu coduri de culoare 5 × 5; puncte de risc interactive cu carduri pop-up (descriere, proprietar, controale, CAPA).
Comutatoare strat: inerente/reziduale/țintă.
Filtre: jurisdicție, produs, domeniu, furnizor, perioadă.
Tendințe „înainte/după” măsuri și „derivă” (derivă) în 30-90 de zile.

8) Roluri și RACI

ActivitateRACI
Metodă și cântareBiroul de risc/Conformitate EngȘef de riscJuridic/DPO, FinanțeAudit intern
Actualizarea estimărilorProprietarii de riscuriȘef de funcțieProprietarii de controlComitetul
Legătura de control/KRIConformitateȘef de conformitateSecOps/DateAudit intern
Publicarea tablourilor de bordAnaliza conformitățiiȘef de conformitateBI/Platforma de datePlacă de lucru
Revizuire și soluțiiComitetul de risc și conformitateSponsor executivToate domeniileConsiliul de administrație

9) RCI și praguri de escaladare

Exemple de IRK (legătura cu riscurile de pe hartă):
  • Confidențialitate: dsar_response_p95, ștergerea TTL, plângeri/ombudsman.
  • Securitate: p95 vulnerabilități TTR, cota de reguli critice roșii CCM, încălcări SoD.
  • Plăți: raportul chargeback, pierderea fraudei%, recursuri win-rate.
  • Operațiuni: rata de încălcare a SLO, incidente p1/p2, teste RTO/RPO.
  • Escaladare: Amber atunci când depășește pragurile de avertizare, Red - CAPA obligatorie și „stop-the-line” pentru zonele critice.

10) Luarea deciziilor și comunicarea cu CAPA

Pentru fiecare punct „roșu” este necesar un plan de acțiune: corectiv/preventiv, proprietar, termen, buget, KPI de succes.

Reguli prag (exemplu):
  • Critic: CAPA ≤ 30 de zile, re-audit în 60-90 de zile; comitet - săptămânal.
  • Ridicat: CAPA ≤ 60 de zile, urmărire 90 de zile.
  • Mediu/Scăzut: În planul trimestru/semestru.
  • Dacă reducerea este imposibilă - renunțarea la data expirării și controalele compensatorii.

11) Tablouri de bord (minim)

Vizualizare Heatmap: matrice curentă + straturi reziduale/țintă.
Tendință de risc: Înainte/după CAPA.
Controale Legătură: CCM pass-rate de risc, porti rosii.
Expunerea la reglementări: riscuri în funcție de jurisdicție și licență.
Riscul furnizorului: harta termică a furnizorilor critici (certificate, SLA, incidente).
Audit-Readiness: dovezi complete/chitanțe hash pentru riscuri.

12) Măsurători de performanță

Indicele de reducere a riscului: ∆ ratei de risc medii ponderate pe trimestre.
CAPA la timp:% din măsuri la timp (prin severitate).
Constatări repetate (12 luni): ponderea repetărilor pentru riscurile asociate.
Dovezi Caracterul complet:% riscuri cu pachet complet de dovezi.
Drift After Fix: cazuri de întoarcere în zona „roșie” după 30-90 de zile.
Acoperire: Proporția activelor/jurisdicțiilor comerciale reflectate pe hartă.

13) POS (proceduri standard)

SOP-1: Inițializarea procedurii

Determinați cântarele și pragurile → conveniți în cadrul Comitetului → fixați în depozit (versionare).

SOP-2: Ciclu trimestrial

Colectarea datelor de intrare/recalcularea → a ratingurilor → revizuirea de către proprietari → deciziile comitetului → publicarea tablourilor de bord → exportul „pachetului de audit”.

SOP-3: Incident de declanșare

Într-un incident critic/ridicat, o actualizare neprogramată a hărții, obligatoriu CAPA și plan de re-audit.

SOP-4: Bucla furnizorului

Sondaj VRM/certificate → actualizarea riscului furnizorului → confirmarea oglinzii furnizorului

SOP-5: Arhivă și dovezi

Snapshots heatmap (PDF/PNG/CSV) + chitanțe hash → arhiva WORM → link-uri în GRC.

14) Modele artefact

14. 1 Card de risc (fragment)

ID/Nume, Proprietar, Domeniu/Jurisdicții

Probabilitate/Impact/Inerent/Rezidual/Target

Controale (ID, valori, reguli CCM)

IRC și valorile reale

CAPA/derogări, date, buget, KPI-uri

Legături de probă și chitanțe hash

14. 2 Politica de scale (viteza obturatorului)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Înainte/după raport

Capturi de ecran Heatmap (Rezidual vs Target)

Tabelul ∆ - Modificări în funcție de risc

CAPA-uri finalizate, măsurători de reziliență

15) Antipattern

„Imagine frumoasă” fără referire la controale/KRI și CAPA.
Scale neclare → manipularea estimărilor.
Nu există versiuni/dovezi de schimbare a scorului.
Rezumați riscurile disparate fără reguli de agregare.
Actualizări rare → hartă nu reflectă realitatea.
Derogări fără termene limită și măsuri compensatorii.

16) Modelul de maturitate (M0-M4)

M0 Ad-hoc: imagine unică, fără metode/metrici.
M1 Planificat: scale convenite, actualizări trimestriale.
M2 Gestionat: legătură cu controale/KRI, CAPA, tablouri de bord, arhivă WORM.
M3 Integrat: recalculare automată (CCM), politică/asigurare-ca-cod, felii de jurisdicție/furnizor.
M4 Continuous Assurance: IRK-uri predictive, modelarea scenariilor, ce-dacă, recomandări prioritare.

17) Articole wiki înrudite

Audit bazat pe risc (RBA)

KPI-uri și măsurători de conformitate

Monitorizarea continuă a conformității (CCM)

Planuri de remediere (CAPA)

Reauditări și monitorizare

Depozit de politici și de conformitate

Foaie de parcurs privind conformitatea

Ghid de conformitate pentru parteneri/VRM

Total

Harta termică a riscurilor nu este un raport, ci un mecanism de gestionare: scale uniforme, comunicarea cu controalele și IRK-urile, actualizări periodice, decizii dovedibile și controale de durabilitate post-măsură. Această abordare face ca prioritizarea să fie obiectivă, accelerează deciziile comitetului și menține pregătirea în curs de desfășurare pentru audit.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.