Скоринг рисков и приоритизация

1) Цель и результаты

• сопоставимыми (единые шкалы и формулы),
• прозрачными (источники данных и допущения задокументированы),
• измеримыми (метрики и KRI привязаны к контролям и инцидентам),
• исполняемыми (каждому риску соответствует план CAPA/waiver с датой истечения).

Выходы: единый реестр рисков, приоритизированный бэклог мер, тепловые карты, отчеты об остаточном риске, «audit-ready» артефакты.

2) Термины и уровни риска

Inherent Risk — риск без учета контролей.
Residual Risk — риск с учетом текущих контролей (верифицированных ToD/ToE/CCM).
Target Risk — целевой уровень после CAPA/компенсирующих мер.
Likelihood (L) — вероятность наступления сценария в горизонте оценки.
Impact (I) — наибольшее из: финансы, лицензии/право, приватность/данные, операции/SLO, репутация.
KRI — индикаторы риска, влияющие на L/I (например, dsar_response_p95, chargeback ratio).

3) Шкалы и базовые модели

3.1 Дискретная матрица (5×5 или 4×4)

Score = L × I → диапазон 1–25 (или 1–16).

• 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
• Пороговые значения публикуются в «Политике скоринга» и неизменно применяются к всем доменам.

• 1 — раз в >3 лет; 2 — раз в 1–3 года; 3 — ежегодно; 4 — ежеквартально; 5 — ежемесячно/чаще.

• 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; при юридических/лицензионных рисках уровень повышается минимум до 4–5.

3.2 Количественные модели

ALE (Annualized Loss Expectancy): `ALE = SLE × ARO`, где `SLE` — средний ущерб за событие, `ARO` — ожидаемая частота в год.
FAIR-подход (в упрощении): моделируем частоту (Threat Event Frequency) и величину потерь (Loss Magnitude), используем перцентили (p50/p95) для принятия решения.
Монте-Карло: распределения для частоты и ущерба (логнорм/гамма и т. п.), 10–100k прогонов → кривые потерь (loss exceedance curve). Применять для самых дорогих/регуляторно критичных рисков.

Рекомендация: 80% кейсов — матрица 5×5, 20% (top-риски) — ALE/FAIR/Монте-Карло.

4) Остаточный и целевой риск

1. Рассчитать Inherent по допущениям «без контролей».
2. Учесть эффективность существующих контролей (проверено ToD/ToE/CCM) → Residual.
3. Определить Target с учетом планируемых CAPA/компенсирующих мер и даты достижения.
4. Если Target ≤ порог терпимости (risk appetite) — ок; если нет — требуется waiver с датой истечения и компенсирующими контролями.

5) Источники данных и доказательства

Метрики и KRI (дашборды, логи, отчеты инцидентов).
Результаты тестов контролей (CCM), аудитов (внутр./внешних).
Отчеты провайдеров: SLA/сертификаты/инциденты/изменения локаций данных.
Финансовая аналитика: штрафы, chargeback, fraud loss %.
Каждая оценка сопровождается ссылками на evidence с таймштампом и хеш-квитанцией (WORM).

6) Приоритизация инициатив (перевод риск → действие)

6.1 RICE (адаптация под риск)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reach — сколько клиентов/транзакций/юрисдикций задето.
Impact_adj — преобразованный I (или ALE/потери p95).
Confidence — достоверность оценок (0.5/0.75/1.0).
Effort — человеко-недели/стоимость.
Сортировка по RICE → быстрые выигрыши наверх.

6.2 WSJF с поправкой на риск

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

Risk Reduction — ожидаемое снижение Residual/ALE.
Time Criticality — дедлайны регуляторов/аудитов.
Business Value — доход/экономия, доверие клиентов.

6.3 Регуляторный приоритет

Если риск связан с лицензиями/законом и есть жесткий дедлайн — он автоматически попадает в Critical/High независимо от «экономического» скоринга.

7) Пороговые правила и эскалации

Critical: немедленный триаж, CAPA ≤ 30 дней, re-audit через 60–90 дней; еженедельный комитет.
High: CAPA ≤ 60 дней, наблюдение 90 дней.
Medium: включение в квартальный план.
Low: мониторинг + возможность «tech debt» слота.
KRI-пороги: Amber (предупреждение) и Red (обязательная эскалация и CAPA).

8) Роли и RACI

9) Дашборды

Risk Heatmap: матрица 5×5, фильтры по доменам/странам/провайдерам.
Risk Funnel: Inherent → Residual → Target (дельта снижения).
Top-N by ALE/p95 Loss: количественные риски.
KRI Watchlist: индикаторы и пороги, тревоги Amber/Red.
CAPA Impact: ожидаемое/фактическое снижение; прогресс по срокам.
Waivers: действующие исключения, сроки и компенсирующие меры.

10) Метрики эффективности

Risk Reduction Index: ∆ средневзвешенного риск-скора (квартал/квартал).
On-time CAPA: % мер в срок (по severity).
Repeat Findings (12 мес): доля повторных нарушений.
Evidence Completeness: % рисков с полным пакетом (цель 100% для High+).
Prediction Accuracy: расхождение оцененных и фактических потерь/частот.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (стандартные процедуры)

SOP-1: Инициализация и шкалы

Определить шкалы L/I и пороги категорий → утвердить в Комитете → зафиксировать в репозитории (версионирование).

SOP-2: Квартальная переоценка

Сбор KRI/инцидентов → пересчет L/I/ALE → ревью владельцами → комитетная приоритизация → публикация Roadmap.

SOP-3: Инцидент-триггер

При Critical/High инциденте — внеплановый пересчет, корректировка CAPA и приоритетов.

SOP-4: Количественный анализ (Top-риски)

Подготовить входные распределения → Монте-Карло (≥10k прогонов) → кривые потерь → решение Комитета.

SOP-5: Архив и доказательства

Экспорт срезов (CSV/PDF) + хеш-квитанции → WORM-архив → ссылки в карточках GRC.

12) Шаблоны и «as-code»

12.1 Политика скоринга (фрагмент)

scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12.2 Карточка риска (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12.3 Приоритизация (WSJF пример)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Компенсирующие меры и waivers

• вводим компенсирующие контроли (ручные проверки, лимиты, дополнительный мониторинг) с метриками эффективности;
• оформляем waiver с датой истечения, владельцем и планом замещения;
• обязательный re-audit через 30–90 дней.

14) Антипаттерны

«Красивая матрица» без связи с KRI/контролями/инцидентами.
Плавающие шкалы и «ручной тюнинг» под желаемый результат.
Отсутствие версионирования расчетов и допущений.
Редкие пересмотры → карта не отражает реальность.
Waivers без даты истечения и компенсирующих мер.
Отсутствие количественного анализа для top-рисков.

15) Модель зрелости (M0–M4)

M0 Ad-hoc: оценки «на глаз», нет единой политики.
M1 Плановый: матрица 5×5, квартальные обновления, базовые дашборды.
M2 Управляемый: связь с KRI/CCM, CAPA-линковка, WORM-evidence.
M3 Интегрированный: ALE/FAIR/Монте-Карло для top-рисков, WSJF/RICE в Roadmap, гейты CI/CD.
M4 Continuous Assurance: предиктивные KRI, авто-пересчет, рекомендационные приоритеты и «evidence-by-design».

16) Связанные статьи wiki

Тепловая карта рисков

Риск-ориентированный аудит (RBA)

KPI и метрики комплаенса

Непрерывный мониторинг соответствия (CCM)

Планы устранения нарушений (CAPA)

Репозиторий политик и нормативов

Дорожная карта комплаенса

Внешние проверки сторонними аудиторами

Итог

Скоринг рисков и приоритизация — это инженерная дисциплина, а не искусство: стабильные шкалы и политики, доказуемые данные, количественные методы для top-рисков, явные пороги и эскалации, а также прямая связка с CAPA и дорожной картой. Такой подход делает решения прогнозируемыми, ускоряет согласования и снижает совокупный риск бизнеса.