Баҳодиҳии хатар ва афзалият

1) Мақсад ва натиҷаҳо

• муқоисашаванда (миқёс ва формулаҳои муттаҳидшуда),
• шаффоф (манбаъҳои маълумот ва пиндоштҳо ҳуҷҷатгузорӣ карда мешаванд),
• андозагирӣ (ченакҳо ва KRI, ки ба назорат ва ҳодисаҳо алоқаманданд),
• иҷрошаванда (ҳар як хатар ба нақшаи CAPA/радкунӣ бо мӯҳлати муқарраршуда мувофиқат мекунад).

Натиҷаҳо: феҳристи ягонаи хавфҳо, ақибмонии андозагирии афзалиятнок, харитаҳои гармӣ, ҳисоботи боқимонда дар бораи хатар, артефактҳои ба аудит омодашуда.

2) Шартҳо ва сатҳи хавфҳо

Хатари хос - бидуни назорат.
Хатари боқимонда - хавф бо назардошти назорати ҷорӣ (тасдиқшуда ба DD/TO/CCM).
Хатари мақсаднок - сатҳи мақсаднок пас аз CAPA/чораҳои ҷубронӣ.
Эҳтимолият (L) - эҳтимолияти пайдоиши сенария дар уфуқи арзёбӣ.
Таъсир (I) - бузургтарин: молия, литсензия/қонун, махфият/маълумот, амалиёт/SLO, эътибори.
KRI - нишондиҳандаҳои хавф, ки ба L/I таъсир мерасонанд (масалан, dsar_response_p95, таносуби пардохт).

3) Тарозу ва моделҳои асосӣ

3. 1 Матритсаи дискретӣ (5 × 5 ё 4 × 4)

Хол = L × I → диапазони 1-25 (ё 1-16).

• 20-25 = Танқидӣ, 12-19 = Баланд, 6-11 = Миёна, 1-5 = Паст.
• Ҳудудҳо дар сиёсати баҳодиҳӣ нашр карда мешаванд ва ҳамеша ба ҳама соҳаҳо татбиқ карда мешаванд.

• 1 - як маротиба дар> 3 сол; 2 - ҳар 1-3 сол як маротиба; 3 - солона; 4 - семоҳа; 5 моҳ/бештар зуд-зуд.

• 1 - <€10к; 2 - €10-100к; 3 - €100-300к; 4 - €300 к- 1 миллион евро; 5 -> 1 миллион евро; бо хатарҳои ҳуқуқӣ/литсензионӣ, сатҳ ҳадди аққал ба 4-5 мерасад.

3. 2 Моделҳои миқдорӣ

ALE (Интизории солонаи талафот): 'ALE = SLE × ARO', ки дар он 'SLE' зарари миёнаи як ҳодиса аст, 'ARO' басомади пешбинишуда дар як сол мебошад.
Равиши FAIR (бо соддагардонӣ): мо басомад (басомади ҳодисаҳои таҳдид) ва арзиши талафотро (Бузургии талафот) тақлид мекунем, барои қабули қарор фоизҳоро (p50/p95) истифода мебарем.
Монте-Карло: тақсимот барои басомад ва хисорот (логнорм/гамма ва ғайра), 10-100к ҷингилаҳои талафот (каҷи зиён). Барои хатарҳои гаронбаҳо/танзимкунанда муроҷиат кунед.

Тавсия: 80% ҳолатҳо - матритсаи 5 × 5, 20% (хатарҳои болоӣ) - ALE/FAIR/Monte Carlo.

4) Хатари боқимонда ва мақсаднок

1. Аз пиндоштҳои "бе назорат" хосиятро ҳисоб кунед.

2. Самаранокии назорати мавҷударо дида бароед (санҷидашудаи To

3. Муайян кардани Ҳадаф бо назардошти чораҳои банақшагирифташудаи CAPA/ҷубронпулӣ ва санаи ноил шудан.
4. Агар Ҳадаф ≤ ҳадди таҳаммулпазирӣ (иштиҳои хавф) - хуб; дар акси ҳол, даст кашидан аз мӯҳлати истифода ва назорати ҷуброн талаб карда мешавад.

5) Манбаъҳои маълумот ва далелҳо

Метрика ва KRI (панели панелҳо, гузоришҳо, гузоришҳо дар бораи ҳодисаҳо).
Натиҷаҳои санҷиши назорат (CCM), аудитҳо (дохилӣ/беруна).
Ҳисоботҳои провайдер: SLA/шаҳодатномаҳо/ҳодисаҳо/тағирот дар макони маълумот.
Таҳлили молиявӣ: ҷарима, баргардонидан, талафи қаллобӣ%.
Ҳар як хол бо истинодҳои далелҳо бо мӯҳлат ва гирифтани ҳаш (WORM) ҳамроҳ карда мешавад.

6) Афзалияти ташаббусҳо (интиқоли хатар → амал)

6. 1 RICE (мутобиқсозии хатар)

'RICE = (Расидан ба эътимод )/Кӯшиш кунед'

Расидан - чӣ қадар муштариён/транзаксияҳо/қаламравҳо таъсир мерасонанд.
Impact_adj - табдилёфтаи I (ё ALE/талафот p95).
Боварӣ - эътимоднокии рейтингҳо (0. 5/0. 75/1. 0).
Кӯшиш - одам-ҳафта/арзиш.
Навъбандии RICE → зуд пирӯз мешавад.

6. 2 WSJF бо назардошти хавф

'WSJF = Арзиши таъхир/андозаи кор', gde

'Арзиши таъхир = Кам кардани хатар + Танқиди вақт + Арзиши тиҷорат'.

Коҳиши хатар коҳиши интизорравандаи пасмонда/ALE мебошад.
Танқиди вақт - мӯҳлатҳои танзимгарон/аудитҳо.
Арзиши тиҷорат - даромад/пасандоз, эътимоди муштариён.

6. 3 Афзалияти танзим

Агар хатар бо литсензияҳо/қонунҳо алоқаманд бошад ва мӯҳлати ниҳоӣ вуҷуд дошта бошад, новобаста аз баҳодиҳии "иқтисодӣ", он ба таври худкор ба Critical/High меафтад.

7) Қоидаҳо ва авҷгирии ҳадди ниҳоӣ

Муҳим: транзити фаврӣ, CAPA ≤ 30 рӯз, санҷиши такрорӣ дар 60-90 рӯз; кумитаи ҳафтаина.
Баланд: CAPA ≤ 60 рӯз, пайгирӣ 90 рӯз.
Миёна: Дохилшавӣ ба нақшаи семоҳа.
Паст: мониторинг + қобилияти ковокии "қарзи технологӣ".
Ҳадди KRI: Амбер (огоҳӣ) ва Сурх (густариши ҳатмӣ ва CAPA).

8) Нақшҳо ва RACI

9) Панели панелҳо

Харитаи гармидиҳӣ: матритсаи 5 × 5, филтрҳо аз рӯи домен/кишвар/провайдер.
Funnel хавф: Inherent → боқимонда → Ҳадаф.
Top-N аз ҷониби ALE/p95 Талафот: хатарҳои миқдорӣ.
Рӯйхати назоратии KRI: нишондиҳандаҳо ва ҳудудҳо, ҳушдорҳои Амбер/Сурх.
Таъсири CAPA: коҳиши чашмдошт/воқеӣ; пешрафт дар мӯҳлатҳо.
Озодкунӣ: истисноҳои ҷорӣ, мӯҳлатҳо ва чораҳои ҷубронӣ.

10) Нишондиҳандаҳои иҷро

Индекси коҳиши хавфҳо: ∆ вазни миёнаи хавф (семоҳа/семоҳа).
CAPA-и саривақтӣ:% ченакҳо сари вақт (аз рӯи вазнинӣ).
Бозёфтҳои такрорӣ (12 моҳ): таносуби қонуншиканиҳои такрорӣ.
Пуррагии далелҳо:% хатарҳо бо бастаи пурра (ҳадафи 100% барои High +).
Дурустии пешгӯӣ: номутобиқатии талафот/басомадҳои тахминӣ ва воқеӣ.
Вақт-ба-триаж/Вақт-ба-нақша/Вақт-ба-Ҳадаф.

11) SOP (расмиёти стандартӣ)

SOP-1: Оғоз ва миқёс

Тарозуи L/I ва ҳудудҳои категорияро дар Кумита § сабт дар анбор муайян кунед (версия).

SOP-2: Азнавбаҳодиҳии семоҳа

Ҷамъоварии KRI/ҳодисаҳо → азнавбаҳодиҳии L/I/ALE → баррасии соҳибон → афзалияти кумита → нашри харитаи роҳ.

SOP-3: Ҳодисаи триггер

Дар ҳолати ҳодисаи интиқодӣ/баланд - ҳисобкунии ғайринақшавӣ, тасҳеҳи CAPA ва афзалиятҳо.

SOP-4: Таҳлили миқдорӣ (Хатарҳои болоӣ)

Тақсимоти вурудро § Монте-Карло (≥ 10к кор мекунад) → хатҳои талафот → қарори Кумита омода кунед.

SOP-5: бойгонӣ ва далелҳо

Иловаро ба содирот (CSV/PDF) + квитансияҳои ҳаш → бойгонии WORM → пайвандҳо дар кортҳои GRC.

12) Қолабҳо ва "ҳамчун рамз"

12. 1 Сиёсати баҳодиҳӣ (порча)

scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Корти хавф (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Афзалият (мисоли WSJF)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Тадбирҳои ҷубронӣ ва озодкунӣ

• мо назорати ҷубронпулиро (чекҳои дастӣ, маҳдудиятҳо, мониторинги иловагӣ) бо ченакҳои иҷро ҷорӣ менамоем;
• мо бо мӯҳлати муқарраршуда, соҳиб ва нақшаи ивазкунӣ рад мекунем;
• аудити такрории ҳатмӣ дар давоми 30-90 рӯз.

14) Антипаттернҳо

"Матритсаи зебо" бидуни пайвастшавӣ ба KRI/назорат/ҳодисаҳо.
Тарозуи шинокунанда ва "танзими дастӣ" ба натиҷаи дилхоҳ.
Набудани таҳрири ҳисобҳо ва пиндоштҳо.
Нусхаҳои нодир → харита воқеиятро инъикос намекунад.
Озодкунӣ бидуни мӯҳлати истифода ва чораҳои ҷубронӣ.
Набудани таҳлили миқдорӣ барои хатарҳои болоӣ.

15) Модели камолот (M0-M4)

M0 Ad-hoc: тахминҳо "аз ҷониби чашм", сиёсати ягона вуҷуд надорад.
Банақшагирии M1: матритсаи 5 × 5, навсозиҳои семоҳа, панелҳои асосӣ.
Идоракунии M2: иртибот бо KRI/CCM, пайвасткунии CAPA, далелҳои WORM.
M3 Интегралӣ: ALE/FAIR/Монте Карло барои хавфҳои боло, WSJF/RICE дар харитаи роҳ, дарвозаҳои CI/CD.
Кафолати муттасили M4: пешгӯии KRI, ҳисобкунии худкор, афзалиятҳои тавсия ва тарроҳии далелҳо.

16) Мақолаҳои марбут ба вики

Харитаи хатари гармӣ

Аудит дар асоси хавф (RBA)

Нишондиҳандаҳои KPI ва мутобиқат

Мониторинги доимии мутобиқат (CCM)

Нақшаҳои барқарорсозӣ (CAPA's)

Анбори сиёсат ва риояи

Мутобиқати харитаи роҳ

Аудити беруна аз ҷониби аудиторҳои беруна

Ҷамъ

Баҳодиҳӣ ва афзалият додани хатарҳо як фанни муҳандисӣ мебошад, на санъат: миқёс ва сиёсатҳои устувор, маълумоти исботшаванда, усулҳои миқдорӣ барои хатарҳои болоӣ, ҳадди ниҳоӣ ва авҷгирӣ ва пайванди мустақим ба CAPA ва харитаи роҳ. Ин равиш қарорҳоро пешгӯишаванда мекунад, тасдиқҳоро суръат мебахшад ва хатари умумии тиҷоратро коҳиш медиҳад.