GH GambleHub

Реестр рисков и методология оценки

1) Зачем и что входит в реестр

Цель: единая система описания, оценки, приоритезации и мониторинга рисков, влияющих на деньги (GGR/CF), лицензии, игроков, данные и репутацию.
Охват: продукт/инженерия (SDLC/инциденты), финансы и платежи (PSP/выводы), KYC/AML/санкции, приватность (GDPR), TPRM/вендоры, маркетинг/SDK, данные (DWH/BI), инфраструктура/облака/DR, операции саппорта и VIP.

2) Таксономия рисков (пример)

Информационная безопасность и приватность: утечки PII/KYC, несанкционированный доступ, неуспех логирования, DSAR-фейлы.
Регуляторные/комплаенс: нарушения условий лицензий, AML/KYC/санкции, рекламные запреты.
Операционные/технологические: даунтайм PSP/KYC, дефект релиза, деградация latency, инциденты DR.
Мошенничество/злоупотребления: фрод-депозиты, бонусный абуз, платежные атакующие паттерны.
Финансовые: ликвидность партнеров, chargeback-шоки, концентрация на одном PSP.
Вендорские/цепочка поставок: уязвимые SDK, субпроцессоры с низкими TOMs.
Репутационные/клиентские: всплеск жалоб, NPS падение, нарушения RG.
Стратегические/геополитические: санкции, смены налогов/законов, блокировки трафика.

3) Карточка риска (обязательные поля)

ID / Название риска

Категория (из таксономии)

Описание события (что может случиться) и причины

Активы/процессы/юрисдикции под воздействием

Владелец риска (Risk Owner) и куратор (Sponsor)

Имеющиеся контроли (превентивные/детективные/корректирующие)

Вероятность (P) и Влияние (I) до контролей (inherent)

Остаточный риск (residual) после контролей

План обращения (treatment): снизить / избежать / принять / передать

Порог эскалации / уровень угрозы (Low/Medium/High/Critical)

KRIs и триггеры, метрики и источники данных

Статус и срок (Next Review), связанные CAPA/тикеты

Связь с реестром контролей (ID контролей) и политиками

Комментарии аудитора/комитетов (последние решения)

4) Шкалы оценки (по умолчанию 5×5)

4.1 Вероятность (P)

1 — Редко (<1/5 лет)

2 — Низкая (1/2–5 лет)

3 — Средняя (ежегодно)

4 — Высокая (квартал)

5 — Очень высокая (месяц/чаще)

4.2 Влияние (I) — выбираем максимум из веток

Финансы: 1:< €10k · 2: €10–100k · 3: €100k–1m · 4: €1–5m · 5: >€5m

Приватность/данные: 1: <1k записей · … · 5: >1M записей / спецкатегории

Регулятор/лицензии: 1: предупреждение · 3: штраф/проверка · 5: приостановка лицензии

Доступность (SLO/SLA): 1: <15 мин · … · 5: >8 ч для критичных зон

Итоговый балл: `R = P × I` → уровни: 1–5 Low, 6–10 Medium, 12–16 High, 20–25 Critical.

(Пороги можно адаптировать под компанию.)

5) Матрица теплокарты и аппетит к риску

Risk Appetite: документ с допусками по доменам (например, утечки PII — ноль толерантности; даунтайм P95 — ≤ X мин/мес; chargeback rate — ≤ Y%).
Heatmap: визуализация R на 5×5; выше аппетита — требуют плана и сроков CAPA.
Risk Budget: квоты на «принимаемые» риски с обоснованием (экономическая целесообразность).

6) Методологии оценки

6.1 Качественная (быстрый старт)

Экспертные оценки по шкалам P/I + обоснование, сверка с историей инцидентов и данными KRIs.

6.2 Количественная (приоритетно для Top-10)

FAIR-подход (упрощенно): частота событий × вероятностное распределение ущерба (P10/P50/P90); полезно для сравнения вариантов снижения.
Monte Carlo (1000–10k прогонов): вариативность ущерба и частоты → Loss Exceedance Curve (вероятность потерь >X).
TRA (Targeted Risk Analysis): точечный анализ для выбора частот мониторинга/контролей (актуально для PCI/вендоров).

7) KRIs и источники

Примеры на домены:
  • Доступность/операции: MTTR, ошибки 5xx, P95 latency, инциденты P1/P2, % автоскейла, емкость кластера.
  • Безопасность/приватность: % MFA coverage, попытки credential stuffing, необычные экспорты, DSAR SLA, флаги антимальвара.
  • Платежи: auth rate по PSP, chargeback rate, отказ банка, доля ручных кассаутов.
  • KYC/AML: TAT, false positive rate, санкционные хиты, доля эскалаций.
  • Вендоры: SLA compliance, дрейф латентности, частота инцидентов, актуальность сертификатов.

KRIs связываются с рисками и запускают эскалации при выходе за пороги.

8) Жизненный цикл риска (workflow)

1. Идентификация → регистрация карточки.
2. Оценка (inherent) → маппинг контролей → оценка residual.
3. Решение по обращению (treatment) и план CAPA (даты/владельцы).
4. Мониторинг KRIs/инцидентов, обновление карточки.
5. Ежеквартальный комитет по рискам: пересмотр Top-N, переразметка аппетита.
6. Закрытие/консолидация или перевод в наблюдение (watchlist).

9) Связь с контролями и аудитом

Каждый риск должен ссылаться на конкретные контроли (см. «Внутренние контроли и их аудит»):
  • Превентивные: RBAC/ABAC, SoD, лимиты, шифрование, WebAuthn, сегментация.
  • Детективные: SIEM/алерты, сверки, WORM-логи, UEBA.
  • Корректирующие: откаты, блокировки выплат, отзыв ключей, срочные патчи.
  • В аудите DE/OE проверяется, что контроли снижают риск до аппетита и работают стабильно.

10) Примеры карточек (YAML, фрагменты)

10.1 Утечка PII через вендорский SDK (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10.2 Деградация PSP: провал авторизации платежей

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Агрегирование и портфельное управление

Top-N (Risk Register View): сортировка по residual R и «выше аппетита».
Темы (Risk Themes): кластеры (вендоры, приватность, PSP) → владельцы тем.
Карты взаимозависимостей: риски↔контроли↔вендоры↔процессы.
Сценарии и стресс-тесты: что если «PSP#1 и KYC#1 недоступны 2 часа?» — оценка совокупного ущерба и план действий.
LEC (Loss Exceedance Curve): годовой профиль потерь для совета/борда.

12) Пороги эскалации и сигналы

Operational: SLO/SLA нарушения → Incident P1/P2.
Compliance/Privacy: превышение ретеншн, неуспех DSAR, экспорт без `purpose` → немедленная эскалация DPO/Legal.
Vendor: повторные SLA-срывы → CAPA у поставщика, пересмотр договора.
Financial: выход chargeback>порога → ручные проверки, корректировка лимитов/бонусов.

13) RACI (укрупненно)

АктивностьBoard/CEORisk CommitteeRisk OwnerSecurity/PrivacyDomain OwnersData/BIInternal Audit
Аппетит к рискуARCCCII
Таксономия/шкалыIA/RCRCCI
Ведение реестраICA/RRRRI
Оценка/обновленияICA/RRRRI
ЕкскалацииIA/RRRRII
Аудит/проверкиICCCCCA/R

14) Метрики (KPI/KRI) системы риск-менеджмента

Coverage: 100% критичных процессов имеют зарегистрированные риски и владельцев.
Review On-time: ≥ 95% карточек пересмотрены в срок.
Above Appetite: ↓ QoQ доля рисков выше аппетита.
CAPA Closure (High/Critical): ≥ 95% в срок.
Detection Lag: медиана времени от отклонения KRI до эскалации (стремится к ↓).
Incident Recurrence: повторные инциденты по одной причине — 0.

15) Чек-листы

15.1 Создание карточки

  • Категория и описание события/причин
  • Активы/процессы/юрисдикции отмечены
  • Оценены P/I (inherent) и residual с обоснованием
  • Маппинг контролей (ID), KRIs и источники данных
  • План CAPA/сроки/владельцы
  • Порог эскалации и уровня угроз

15.2 Ежеквартальный комитет

  • Топ-10 по residual и выше аппетита
  • Новые/эмерджент-риски, изменения законов/вендоров
  • Статус CAPA и просрочки
  • Решения: принять/снизить/передать/избежать; обновить аппетит/пороги

16) Дорожная карта внедрения (4–6 недель)

Недели 1–2: утвердить таксономию, шкалы, аппетит; выбрать инструмент (таблица/BI/IRM). Создать 10–15 стартовых карточек по критичным процессам.
Недели 3–4: связать риски с контролями и KRIs; построить теплокарту/дашборды; запустить комитет по рискам.
Недели 5–6: внедрить количественную оценку для Top-5 (FAIR/Monte Carlo light), автоматизировать сбор KRIs, формализовать эскалации и отчетность борду.

17) Связанные разделы wiki

Внутренние контроли и их аудит, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM и SLA, Инциденты и утечки, DR/BCP, Политика логов и WORM — для полного цикла «риск → контроль → метрика → доказательства».

TL;DR

Рабочий реестр рисков = четкая таксономия + стандартизированные шкалы + аппетит/пороги → карточки с владельцами, контролями и KRIs → теплокарта и комитеты → приоритетная количественная оценка для Top-рисков и CAPA в срок. Это делает риски управляемыми, сравнимыми и доказуемыми для борда и регуляторов.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.