Комитет по управлению рисками и комплаенсу

1) Назначение и мандат

• формирует и поддерживает Risk Appetite и принципы соответствия;
• утверждает ключевые политики/стандарты и их изменения;
• контролирует ключевые риски (операционные, регуляторные, ИБ/приватность, финансовые, третьи стороны);
• устанавливает метрики и SLO/SLA комплаенса и контролирует их достижение;
• решает вопросы эскалации и конфликта приоритетов;
• обеспечивает «audit-ready» состояние (доказательная база, протоколы решений).

2) Состав и независимость

• Руководитель комплаенса/DPO (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finance (для оценки воздействия)
• Представитель бизнеса/продукта (VP/Director)
• Руководитель платформы/инфраструктуры или CTO-delegate

• Внутренний аудит (наблюдатель)
• HR/L&D (обучение/аттестации)
• Procurement/Vendor Mgmt (третьи стороны)
• Data/Platform (DWH/Lineage/CCM)

Принципы независимости: отсутствие конфликта интересов, документирование recusals (самоотводов), фиксирование роли наблюдателей.

3) RACI Комитета

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Регламент и периодичность

Обычный режим: раз в месяц (90 минут) + еженедельный экспресс-мониторинг KPI/KRI (15 мин).
Кризисный режим (инцидент/регулятор): заседания каждые 24–48 ч до стабилизации.
Кворум: ≥ 2/3 голосующих, включая одного co-chair.
Решения: простое большинство; по high-risk — 2/3 и право вето у co-chairs (фиксировать в уставе).

5) Входящие артефакты (inputs)

Risk Register и Heatmap (обновленные KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Change Log по политикам (Major/Minor/Emergency).
Waivers-реестр с датами истечения и компенсирующими контролями.
Incidents & Findings: Sev1/Sev2, повторяемость, статус ремедиации.
Vendor Risk: критичные провайдеры, нарушения SLA/сертификатов.
Аудит/ассессменты: статусы, открытые замечания, готовность «по кнопке».

6) Выходы и артефакты (outputs)

Протокол решений с owner, due date, severity и ожидаемым эффектом на риск.
Обновленная Risk Appetite Statement и приоритеты.
Апрув/отклонение политик и исключений (waivers) с условиями.
Эскалационные письма/решения для Board/CEO при high-risk.
Коммуникационные one-pagers и задания для команд (tickeты в ITSM/GRC).

7) Типовая повестка (60–90 минут)

1. Резюме KPI/KRI и отклонений (10’).
2. Инциденты/Sev1-обновления и уроки (15’).
3. Политики: Major-изменения, конфликтные трактовки, локализации (15’).
4. Третьи стороны: нарушения SLA/сертификатов, субпроцессоры (10’).
5. Waivers: продление/закрытие, красные зоны (10’).
6. Аудит/ассессменты: статус готовности и «audit pack» (10’).
7. Решения и распределение задач (10’).

8) Процедуры принятия решений и эскалации

Decision card (шаблон): контекст → варианты → влияние на риск/стоимость → рекомендация → голосование.
Эскалация: если риск > Appetite или просрочка > SLA — вынос на Executive/Board.
Review: пост-фактум оценка эффекта решения через 30–60 дней (impact review).

9) Интеграции и сквозные потоки

RBA (риск-аудит): findings → повестка Комитета → owner/due → контроль закрытия.
CCM (непрерывный мониторинг): алерты/метрики → приоритизация правил/порогов.
Policy Lifecycle/Change Mgmt: Major-правки → апрув, коммуникация, обучение.
Vendor DD/Outsourcing: скоринг-модель и гап-листы → условия договора/SLA.
Incident Mgmt: плейбуки SOAR/PR/Legal → отчеты и уроки.

10) Метрики эффективности Комитета

On-time Remediation: % задач Комитета, закрытых в срок (по severity).
Decision Lead Time: медиана времени от поднятия вопроса до решения.
Waiver Hygiene: % исключений с актуальной датой истечения (цель: 100%).
Repeat Findings: доля повторов за 12 мес (цель: ↓).
Audit Readiness Time: часы до полного «audit pack».
Risk Reduction Index: ∆ суммарного риск-скора QoQ.
Communication SLA: % ролей, уведомленных вовремя по Major-решениям.

11) Устав Комитета (шаблон)

Цель: надзор за рисками и соответствием; защита интересов компании и клиентов.
Сфера: все юрисдикции/бизнес-линии/ИТ-системы/третьи стороны.
Полномочия: утверждение политик/исключений; запрос данных/аудитов; эскалация в Board.
Состав и кворум: (см. §2 и §4).
Конфликты интересов: декларации, recusals, журнал.
Протоколы: стандарт полных минуток (agenda, решения, голоса, owner, due, ссылки на evidence).
Пересмотр устава: ежегодно или по требованию Board.

12) Шаблоны документов

12.1 Decision Card

Тема/Контекст/Нормативы/Риски

Варианты и оценка (стоимость, сроки, влияние на SLA/KRI)

Рекомендация и уровень риска после решения

Владелец исполнения и срок

Итог голосования (за/против/воздержался)

12.2 Протокол заседания

Дата/кворум/участники

Повестка

Обсуждение (кратко, по пунктам)

Решения (owner, due, метрика успеха)

Открытые вопросы/эскалации

Приложения (дашборды, отчеты, ссылки на WORM-архив)

12.3 Матрица Risk Appetite (пример)

13) Дашборды Комитета (минимум)

Risk Heatmap: вероятность × влияние × остаточный риск.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, повторяемость.
Policy Changes: конвейер Major/Minor/Emergency и статус обучения.
Vendor Risks: сертификаты, SLA, субпроцессоры, инциденты.
Waivers & Deadlines: активные/просроченные, эскалации.
Audit Readiness: процент «audit pack» по аудитам/сертификациям.

14) Календарь года Комитета

Ежемесячно: регулярная повестка (§7).
Ежеквартально: пересмотр Risk Appetite, тренды KPI/KRI, итог по findings.
Полугодие: ревизия ключевых политик и waivers-портфеля.
Ежегодно: устав Комитета, план аудитов/сертификаций, учет уроков.

15) Кризисный режим (Sev1/Regulatory)

Немедленный созыв; battle-rhythm обновлений (напр., каждые 4 ч).
Единая коммуникация (Legal/PR), контроль Legal Hold.
Решения по контурации доступа/отключению интеграций/изоляции данных.
Отдельный протокол инцидента и пост-мортем с действиями.

16) Антипаттерны

Комитет как «почтовый ящик» без полномочий и дедлайнов.
Отсутствие протоколов и доказательств — спорность на аудите.
Вечные waivers без даты истечения и компенсирующих контролей.
Нерешаемые повестки: нет decision cards, нет вариантов и оценки эффекта.
KPI без владельцев и связи с Risk Appetite.
Конфликты интересов без управляемых recusals.

17) Модель зрелости Комитета (M0–M4)

M0 Ад-hoc: редкие встречи, без метрик и протоколов.
M1 Формализованный: устав, кворум, базовые протоколы, ежемесячные встречи.
M2 Управляемый: дашборды KPI/KRI, decision cards, контроль waivers.
M3 Интегрированный: связь с CCM/RBA/Policy-as-Code, «audit-ready по кнопке».
M4 Assured: прогнозные KRI, автоматическая эскалация, регулярные impact-review решений.

18) Связанные статьи wiki

Риск-ориентированный аудит (RBA)

Непрерывный мониторинг соответствия (CCM)

KPI и метрики комплаенса

Управление изменениями в политике комплаенса

Жизненный цикл политик и процедур

Due Diligence и риски аутсорсинга

Legal Hold и заморозка данных

Итог

Сильный Комитет — это не «совещание», а механизм управления риском: ясный мандат, независимость и кворум, данные в дашбордах, решения с владельцами и сроками, контроль исполнения и доказательная база. Тогда комплаенс становится предсказуемой опорой стратегии, а не тормозом бизнеса.