GH GambleHub

Тепловая карта рисков

1) Назначение и ценность

Тепловая карта рисков (Risk Heatmap) — визуальный инструмент для ранжирования и коммуникации рисков по матрице «Вероятность × Влияние», привязанный к контролям, метрикам и планам действий.

Цели:
  • единый язык приоритизации (бизнес, тех, правовой блоки);
  • прозрачные решения по CAPA/инвестициям;
  • отслеживание динамики (до/после мер), готовность «audit-ready».

2) Таксономия и область покрытия

Рекомендуемые домены:
  • Регуляторика/Лицензии, Приватность/Данные, ИБ/Техпроцессы, Платежи/AML/KYC, Операции/Доступность, Маркетинг/Ответственная реклама, Поставщики/VRM.
Сечения:
  • Юрисдикции/рынки, Бизнес-линии/продукты, Сервисы/платформы, Критичные провайдеры.

3) Шкалы вероятности и влияния

3.1 Вероятность (пример 5-уровневой шкалы)

1. Редко (раз в >3 лет / p<5%)

2. Низкая (раз в 1–3 года)

3. Средняя (ежегодно)

4. Высокая (ежеквартально)

5. Очень высокая (ежемесячно/чаще)

3.2 Влияние (многофакторно)

Оценивайте по максимальному из критериев:
  • Финансы: прямые потери/штрафы/chargeback.
  • Лицензии/Юридические последствия: приостановка, запреты, расследования.
  • Приватность/Данные: объем PII, уведомления, надзорные действия.
  • Операции/Аптайм: MTTR, SLO, сорванные релизы, RTO/RPO.
  • Репутация: медиа, социальные сети, партнерские санкции.
  • Шкала 1–5 с четкими порогами (например, 1: <€10k, 5: >€1m).

4) Скоринг и уровни риска

Индивидуальный риск: `Score = Likelihood × Impact` (1–25).

Категории:
  • 20–25 — Critical (красный)
  • 12–19 — High (оранжевый)
  • 6–11 — Medium (желтый)
  • 1–5 — Low (зеленый)
  • Остаточный риск: после учета текущих контролей (эффективность подтверждена ToD/ToE/CCM).
  • Целевой риск (Target): после планируемых мер; фиксируется дата достижения.

5) Источники данных и связь с контролями

GRC-реестр: описания рисков, владельцы, текущие/целевая оценки.
CCM/метрики: pass-rate контрольных правил, инциденты, KRI.
Вендоры/VRM: сертификаты, SLA, инциденты, изменения локаций данных.
Финансы/Payments: штрафы, chargeback ratio, fraud loss %.
Все значения, влияющие на шкалы, должны иметь evidence-ссылки (логи/отчеты) и таймштампы.

6) Агрегирование и консолидация

Bottom-up: от сервисов/юрисдикций к доменам и компании.
Правила агрегации: максимум по Impact, перцентиль по Likelihood, или взвешенная медиана (по объему бизнеса).
Отдельные слои (layers): Inherent (без контролей), Residual (с контролями), Target (после CAPA).
Разделяйте коррелирующие риски (например, общая инфраструктурная уязвимость) и независимые.

7) Визуализация

Матрица 5×5 с цветовой кодировкой; интерактивные точки-риски со всплывающими карточками (описание, владелец, контролы, CAPA).
Переключатели слоев: Inherent / Residual / Target.
Фильтры: юрисдикция, продукт, домен, провайдер, период.
Тренды «до/после» мер и «дрейф» (drift) за 30–90 дней.

8) Роли и RACI

АктивностьRACI
Методика и шкалыRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Актуализация оценокRisk OwnersHead of FunctionControl OwnersCommittee
Связка с контролями/KRICompliance EngHead of ComplianceSecOps/DataInternal Audit
Публикация дашбордовCompliance AnalyticsHead of ComplianceBI/Data PlatformExec/Board
Ревью и решенияRisk & Compliance CommitteeExecutive SponsorAll DomainsBoard

9) KRI и пороги эскалаций

Примеры KRI (привяжите к рискам на карте):
  • Privacy: dsar_response_p95, удаление по TTL, жалобы/омбудсмен.
  • Security: уязвимости p95 TTR, доля критичных «красных» CCM-правил, SoD-нарушения.
  • Payments: chargeback ratio, fraud loss %, win-rate апелляций.
  • Operations: SLO breach rate, инциденты p1/p2, RTO/RPO тесты.
  • Эскалации: Amber при выходе за предупреждающие пороги, Red — обязательный CAPA и «stop-the-line» для критичных зон.

10) Принятие решений и связь с CAPA

Для каждой «красной» точки обязателен план действий: Corrective/Preventive, владелец, срок, бюджет, KPI успеха.

Пороговые правила (пример):
  • Critical: CAPA ≤ 30 дней, re-audit через 60–90 дней; комитет — еженедельно.
  • High: CAPA ≤ 60 дней, наблюдение 90 дней.
  • Medium/Low: в план квартала/полугодия.
  • При невозможности снижения — waiver с датой истечения и компенсирующими контролями.

11) Дашборды (минимум)

Heatmap View: текущая матрица + слои Residual/Target.
Risk Trend: динамика баллов, «до/после CAPA».
Controls Linkage: pass-rate CCM по рискам, «красные» гейты.
Regulatory Exposure: риски по юрисдикциям и лицензиям.
Vendor Risk: тепловая карта критичных провайдеров (сертификаты, SLA, инциденты).
Audit-Readiness: completeness evidence/хеш-квитанции по рискам.

12) Метрики эффективности

Risk Reduction Index: ∆ средневзвешенного риск-скора по кварталам.
On-time CAPA: % мер в срок (по severity).
Repeat Findings (12 мес): доля повторов по связанным рискам.
Evidence Completeness: % рисков с полным пакетом доказательств.
Drift After Fix: случаи возврата в «красную» зону спустя 30–90 дней.
Coverage: доля бизнес-активов/юрисдикций, отраженных на карте.

13) SOP (стандартные процедуры)

SOP-1: Инициализация методики

Определить шкалы и пороги → согласовать в Комитете → зафиксировать в репозитории (версионирование).

SOP-2: Квартальный цикл

Сбор входных данных/KRI → пересчет оценок → ревью владельцами → комитетные решения → публикация дашбордов → экспорт «audit pack».

SOP-3: Инцидент-триггер

При Critical/High инциденте — внеплановое обновление карты, привязка к CAPA и план re-audit.

SOP-4: Вендорский контур

VRM-опрос/сертификаты → обновление рисков поставщиков → подтверждение зеркальных мер (Vendor Mirror).

SOP-5: Архив и доказательства

Снапшоты heatmap (PDF/PNG/CSV) + хеш-квитанции → WORM-архив → ссылки в GRC.

14) Шаблоны артефактов

14.1 Карточка риска (фрагмент)

ID/Название, владелец, домен/юрисдикции

Likelihood/Impact/Inherent/Residual/Target

Контроли (ID, метрики, CCM-правила)

KRI и фактические значения

CAPA/waivers, даты, бюджет, KPI

Evidence-ссылки и хеш-квитанции

14.2 Политика шкал (выдержка)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14.3 Отчет «до/после»

Скриншоты heatmap (Residual vs Target)

Таблица ∆-изменений по рискам

Выполненные CAPA, метрики устойчивости

15) Антипаттерны

«Красивая картинка» без привязки к контролям/KRI и CAPA.
Нечеткие шкалы → манипулирование оценками.
Отсутствие версионирования/доказательств изменения баллов.
Суммирование несопоставимых рисков без правил агрегирования.
Редкие обновления → карта не отражает реальность.
Waivers без сроков и компенсирующих мер.

16) Модель зрелости (M0–M4)

M0 Ad-hoc: разовая картинка, нет методов/метрик.
M1 Плановый: согласованные шкалы, квартальные обновления.
M2 Управляемый: связка с контролями/KRI, CAPA, дашборды, WORM-архив.
M3 Интегрированный: автоматический перерасчет (CCM), policy-/assurance-as-code, срезы по юрисдикциям/вендорам.
M4 Continuous Assurance: предиктивные KRI, сценарное моделирование, «what-if», рекомендации по приоритетам.

17) Связанные статьи wiki

Риск-ориентированный аудит (RBA)

KPI и метрики комплаенса

Непрерывный мониторинг соответствия (CCM)

Планы устранения нарушений (CAPA)

Повторные аудиты и контроль исполнения

Репозиторий политик и нормативов

Дорожная карта комплаенса

Руководство по комплаенсу для партнеров / VRM

Итог

Тепловая карта рисков — это не отчет, а механизм управления: единые шкалы, связь с контролями и KRI, регулярные обновления, доказуемые решения и контроль устойчивости после мер. Такой подход делает приоритизацию объективной, ускоряет комитетные решения и поддерживает постоянную «audit-ready» готовность.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.