Registrul riscurilor și metodologia de evaluare

1) De ce și ce este inclus în registru

Scop: sistem unificat de descriere, evaluare, prioritizare și monitorizare a riscurilor care afectează banii (GGR/CF), licențe, jucători, date și reputație.
Acoperire: Produs/Inginerie (SDLC/Incidente), Finanțe și Plăți (PSP/Constatări), KYC/AML/Sancțiuni, Confidențialitate (GDPR), TPRM/Furnizori, Marketing/SDK, Date (DWWH H/BD I), Infrastructură/Nori/DR, Operațiuni de asistență și VIP.

2) Taxonomia riscurilor (exemplu)

Securitatea și confidențialitatea informațiilor: scurgeri PII/KYC, acces neautorizat, eșec de înregistrare, fișiere DSAR.
Reglementare/conformitate: încălcarea termenilor de licență, sancțiuni AML/KYC/, interdicții de publicitate.
Operare/tehnologică: downtime PSP/KYC, defect de eliberare, degradare latență, incidente DR.
Fraudă/abuz: depozite de fraudă, abuz de bonus, modele de atac de plată.
Financiar: lichiditatea partenerilor, șocurile de chargeback, concentrarea pe un PSP.
Furnizor/lanț de aprovizionare: SDK-uri vulnerabile, subprocesoare cu TOM-uri scăzute.
Reputație/client: spike în plângeri, cădere NPS, încălcări RG.
Strategic/geopolitic: sancțiuni, modificări fiscale/legislative, blocaje de trafic.

3) Risc card (câmpuri obligatorii)

ID/Nume de risc

Categorie (din taxonomie)

Descrierea evenimentului (ce se poate întâmpla) și cauza

Active/procese/jurisdicții sub influența

Proprietar de risc și sponsor

Controale disponibile (preventiv/detectiv/corectiv)

Probabilitatea (P) și impactul (I) înainte de controale (inerente)

Risc rezidual după controale

Plan de tratament: reducere/evitare/acceptare/transfer

Prag de escaladare/nivel de amenințare (scăzut/mediu/ridicat/critic)

IRC-uri și declanșatoare, valori și surse de date

Next Review Starea și data scadentă asociate CAPAs/Tickets

Conectarea la registrul de control (ID-uri de control) și politici

Comentariile auditorului/comitetului (Ultimele rezoluții)

4) Cântare de evaluare (implicit 5 × 5)

4. 1 Probabilitate (P)

1 - Rare (<1/5 ani)

2 - Scăzut (1/2-5 ani)

3 - Medie (anual)

4 - Ridicat (trimestru)

5 - Foarte ridicat (luna/mai des)

4. 2 Impact (I) - selectați maxim din ramuri

Finanţe: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Confidențialitate/Date: 1: <1k înregistrări·...· 5:> 1M înregistrări/categorii speciale

Regulator/Licențe: 1: Avertisment· 3: Penalizare/Revizuire· 5: Suspendarea licenței

Disponibilitate (SLO/SLA): 1: <15 min·...· 5:> 8 h pentru zonele critice

Scorul final: 'R = P × I' → niveluri: 1-5 Scăzut, 6-10 Mediu, 12-16 Ridicat, 20-25 Critic.

(Pragurile pot fi adaptate companiei.)

5) Matrice hartă de căldură și apetitul de risc

Apetitul de risc: un document cu toleranțe pe domenii (de exemplu, scurgeri PII - toleranță zero; downtime P95 - ≤ X min/lună; rata de chargeback - ≤ Y%).
Heatmap: vizualizarea R la 5 × 5; peste apetit - necesită planul CAPA și cronologie.
Bugetul de risc: cote pentru riscurile „acceptate” cu justificare (fezabilitate economică).

6) Metodologii de evaluare

6. 1 Calitate (pornire rapidă)

Evaluările experților privind scalele P/I + justificarea, reconcilierea cu istoricul incidentelor și datele IRK.

6. 2 cantitativ (prioritate pentru Top-10)

Abordarea echitabilă (simplificată): frecvența evenimentelor × distribuția probabilistică a daunelor (P10/P50/P90); util pentru compararea opțiunilor de reducere.
Monte Carlo (1000-10k rulează): variabilitatea daunelor și frecvența → curba de depășire a pierderilor (probabilitatea de pierdere> X).
TRA (Analiza specifică a riscurilor): analiză punctuală pentru selectarea frecvențelor de monitorizare/control (relevante pentru ICP/furnizori).

7) IRC-uri și surse

• Disponibilitate/Operațiuni: MTTR, erori 5xx, latență P95, incidente P1/P2,% autoscale, capacitate cluster.
• Securitate/confidențialitate:% acoperire MFA, încercări de umplere acreditare, exporturi neobișnuite, DSAR SLA, steaguri anti-alvar.
• Plăți: rata aut prin PSP, rata chargeback, eșecul bancar, cota de încasări manuale.
• KYC/AML: TAT, rata fals pozitivă, sancțiuni, cota de escaladare.
• Furnizori: conformitate SLA, derivă latență, frecvența incidentelor, relevanța certificatelor.

IRC-urile se asociază cu riscurile și declanșează escaladări atunci când depășesc pragurile.

8) Ciclul de viață al riscului (fluxul de lucru)

1. Identificarea → înregistrarea cardului.
2. Cartografierea inerentă a → de control → reziduală.
3. Decizia de tratament și planul CAPA (date/proprietari).
4. IRC-uri/monitorizarea incidentelor, actualizarea cardului.
5. Comitetul trimestrial de risc: revizuirea Top-N, re-etichetarea apetitului.
6. Închideți/consolidați sau urmăriți lista.

9) Comunicarea cu controalele și auditul

• Proactiv: RBAC/ABAC, SoD, limite, criptare, WebAuthn, segmentare.
• Detectiv: SIEM/alerte, reconcilieri, jurnale WORM, UEBA.
• Corectiv: rollback-uri, încuietori de plată, revocare cheie, patch-uri urgente.
• Auditul DE/OE verifică faptul că controalele reduc riscul la apetit și funcționează stabil.

10) Carduri de probă (YAML, fragmente)

10. 1 scurgere PII prin intermediul furnizorului SDK (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 Degradarea PSP: eșecul autorizației de plată

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Agregarea și gestionarea portofoliului

Top-N (Risk Register View): sortate după R rezidual și „apetitul de mai sus”.
Subiecte (Teme de risc): clustere (furnizori, confidențialitate, PSP) → proprietarii de subiecte.
Hărți de dependență: riski↔kontroli↔vendory↔protsessy.
Scenarii și teste de stres: Ce se întâmplă dacă „PSP # 1 și KYC # 1 nu sunt disponibile timp de 2 ore?” - evaluarea cumulativă a daunelor şi planul de acţiune.
LEC (Loss Exceedance Curve): Profilul anual de pierderi pentru consiliu/bord.

12) Praguri și semnale de escaladare

Operațional: încălcarea SLO/SLA → Incident P1/P2.
Conformitate/Confidențialitate: depășirea retenției, eșecul DSAR, exportul fără „scop” → escaladarea imediată a DPO/juridică.
Furnizor: eșecuri SLA repetate → CAPA la furnizor, revizuirea contractului.
Financiar: exit chargeback> prag → verificări manuale, ajustarea limitelor/bonusurilor.

13) RACI (mărită)

14) Metrica (KPI/KRI) sistemului de management al riscului

Acoperire: 100% din procesele critice au înregistrat riscuri și proprietari.
Recenzie La timp: ≥ 95% dintre carduri sunt revizuite la timp.
Peste apetit: ↓ QoQ, proporția riscurilor este mai mare decât apetitul.
Închiderea CAPA (ridicată/critică): ≥ 95% la timp.
Lag de detectare: timpul median de la devierea IRC la escaladare (tinde să ↓).
Incident Recurență: incidente repetate pentru un singur motiv - 0.

15) Liste de verificare

15. 1 Crearea unui card

• Eveniment/Cauza Categorie și Descriere
• Active/procese/jurisdicții marcate
• P/I estimat (inerent) și rezidual cu justificare
• Control Mapping (ID), KRI-uri și surse de date
• Planul CAPA/Date/Proprietari
• Pragul de escaladare și nivelul de amenințare

15. 2 Comitetul trimestrial

• Top 10 pentru apetitul rezidual și peste
• Riscuri noi/emergente, modificări ale legilor/vânzătorilor
• Statutul CAPA și al delincvenței
• Decizii: acceptare/reducere/transfer/evitare; actualizarea apetitului/pragurilor

16) Foaie de parcurs de implementare (4-6 săptămâni)

Săptămânile 1-2: aprobarea taxonomiei, cântarelor, apetitului; Selectați un instrument (tabel/BI/IRM). Creați 10-15 carduri de pornire pentru procese critice.
Săptămânile 3-4: asocierea riscurilor cu controalele și IRK-urile; construi o hartă de căldură/tablouri de bord; lansa un comitet de risc.
Săptămânile 5-6: implementarea cuantificării pentru Top-5 (FAIR/Monte Carlo light), automatizarea colectării IRK-urilor, oficializarea escaladărilor și raportarea board-urilor.

17) Secțiuni wiki conexe

Controalele interne și auditurile acestora, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/cel mai mic privilegiu, TPRM și SLA, incidente și scurgeri, DR/BCP, politica de jurnal și WORM - pentru întregul ciclu „risc → control → → metrice”.

TL; DR

Registrul riscurilor de lucru = taxonomie clară + cântare standardizate + apetit/praguri → carduri cu proprietarii, controale și IRK-uri → hartă termică și comitete → cuantificarea prioritară a riscurilor și CAPA-urilor la timp. Acest lucru face ca riscurile să poată fi gestionate, comparabile și dovedite pentru consiliul de administrație și autoritățile de reglementare.