Töwekgelçilikleri dolandyrmak we ylalaşyk komiteti

1) Bellenilmegi we mandaty

• "Risk Appetite" we laýyklyk ýörelgelerini emele getirýär we goldaýar;
• esasy syýasatlary/standartlary we olaryň üýtgemelerini tassyklaýar;
• esasy töwekgelçiliklere (amal, düzgünleşdiriji, IB/gizlinlik, maliýe, üçünji taraplar) gözegçilik edýär;
• metrikleri we SLO/SLA laýyklygyny kesgitleýär we olaryň gazanylmagyna gözegçilik edýär;
• güýçlenmek we ileri tutulýan ugurlaryň gapma-garşylygy meselelerini çözýär;
• "audit-ready" ýagdaýyny üpjün edýär (subutnama bazasy, çözgütleriň teswirnamalary).

2) Düzümi we garaşsyzlygy

• Complayens/DPO (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finance (täsirine baha bermek üçin)
• Işewür/önüm wekili (VP/Director)
• Platforma/infrastruktura ýa-da CTO-delegate

• Içerki audit (synçy)
• HR/L & D (okuw/attestasiýa)
• Procurement/Vendor Mgmt (üçünji taraplar)
• Data/Platform (DWH/Lineage/CCM)

Garaşsyzlyk ýörelgeleri: gyzyklanma gapma-garşylygynyň ýoklugy, recusals (öz-özüňi ret etmek) resminamalaşdyrmak, synçylaryň roluny düzetmek.

3) Komitetiň RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Düzgünnama we ýygylyk

Adaty re modeim: aýda bir gezek (90 minut) + KPI/KRI hepdelik ekspress-gözegçilik (15 minut).
Krizis re regimeimi (waka/düzgünleşdiriji): durnuklaşýança her 24-48 sagatdan bir ýygnak.
Kworum: ≥ ses berýänleriň 2/3 bölegi, şol sanda bir co-chair.
Çözgütler: ýönekeý köplük; ýokary töwekgelçilik boýunça - 2/3 we co-chairs-de weto hukugy (tertipnamada bellemek).

5) Gelýän artefaktlar (inputs)

Risk Register we Heatmap (täzelenen KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Syýasatlar boýunça Change Log (Major/Minor/Emergency).
Möhleti gutaran we öwezini dolýan gözegçilikleri bolan Waivers-reýestri.
Incidents & Findings: Sev1/Sev2, gaýtalanma, remediasiýa ýagdaýy.
Vendor Risk: möhüm üpjün edijiler, SLA/şahadatnamalary bozmak.
Audit/maslahatlar: statuslar, açyk bellikler, taýynlyk "düwme boýunça".

6) Çykyş we artefaktlar (outputs)

Karar teswirnamasy owner, due date, severity we garaşylýan töwekgelçilik täsiri bilen.
Täzelenen Risk Appetite Statement we ileri tutulýan ugurlar.
Apruv/syýasatlaryň we kadadan çykmalaryň (waivers) şertleri bilen ret edilmegi.
Ýokary töwekgelçilikde Board/CEO üçin eskalasiýa hatlary/çözgütleri.
Aragatnaşyk one-pagers we toparlar üçin meseleler (ITSM/GRC-de ticketler).

7) Adaty gün tertibi (60-90 minut)

1. KPI/KRI we gyşarmalar barada gysgaça maglumat (10").
2. Wakalar/Sev1-täzelenmeler we sapaklar (15").
3. Syýasatçylar: Major-üýtgeşmeler, gapma-garşylykly düşündirişler, lokalizasiýalar (15").
4. Üçünji taraplar: SLA/şahadatnamalaryň bozulmagy, subprosessorlar (10").
5. Waivers: uzaltmak/ýapmak, gyzyl zolaklar (10").
6. Audit/maslahatlar: taýýarlyk ýagdaýy we "audit pack" (10").
7. Çözgütler we wezipeleri paýlamak (10").

8) Karar kabul etmegiň we güýçlendirmegiň tertibi

Decision card (şablon): kontekst → wariantlar → töwekgelçilige/bahasyna täsir etmek → maslahat → ses bermek.
Eskalasiýa: eger töwekgelçilik> Appetite ýa-da gijikdirme> SLA - Executive/Board-a geçirmek.
Syn: 30-60 günden soň çözgüdiň täsirine faktumdan soňky baha (impact syn).

9) Integrasiýalar we akymlar

RBA (töwekgelçilik-audit): findings → Komitetiň gün tertibi → owner/due → ýapylyş gözegçiligi.
CCM (üznüksiz gözegçilik): alertler/metrikler → düzgünleriň/çäkleriň ileri tutulmagy.
Policy Lifecycle/Change Mgmt: Major-düzedişler → apruv, aragatnaşyk, okuw.
Vendor DD/Outsourcing: skoring-model we gap-listler → şertnamanyň şertleri/SLA.
Incident Mgmt: pleybuklar SOAR/PR/Legal → hasabatlar we sapaklar.

10) Komitetiň netijeliliginiň metrikleri

On-time Remediation: Komitetiň wagtynda ýapylan maksatlarynyň% -i (severity boýunça).
"Decision Lead Time": meseläni gozgamakdan çözmäge çenli wagt medianasy.
Waiver Hygiene: Häzirki gutarýan senesi bilen kadadan çykmalar% (maksat: 100%).
Repeat Findings: 12 aýyň dowamynda gaýtalanmalaryň paýy (maksady: ↓).
Audit Readiness Time: doly "audit paketine" çenli sagat.
Töwekgelçilik Reduction Index: Koq umumy töwekgelçilik-skor ∆.
Communication SLA: Major-kararlar boýunça wagtynda habar berlen rollaryň% -i.

11) Komitetiň tertipnamasy (şablon)

Maksady: töwekgelçiliklere we laýyklyga gözegçilik etmek; kompaniýanyň we müşderileriň bähbitlerini goramak.
Sfera: ähli ýurisdiksiýalar/işewürlik liniýalary/IT-ulgamlar/üçünji taraplar.
Ygtyýarlyklar: syýasatlary/kadadan çykmalary tassyklamak; maglumatlaryň/auditleriň soralmagy; Board-da möwjemek.
Düzümi we kworumy: (§ 2 we § 4 serediň).
Gyzyklanma gapma-garşylyklary: deklarasiýalar, recusals, žurnal.
Teswirnamalar: doly minutlaryň standarty (agenda, çözgütler, sesler, owner, due, evidence salgylanmalary).
Tertipnama täzeden seredilmegi: her ýyl ýa-da Board-yň haýyşy boýunça.

12) Resminamalaryň şablonlary

12. 1 Decision Card

Mowzuk/Kontekst/Düzgünler/Töwekgelçilikler

Wariantlar we bahalandyrmalar (bahasy, möhletleri, SLA/KRI-e täsiri)

Teklipnama we karardan soň töwekgelçilik derejesi

Ýerine ýetirmegiň eýesi we möhleti

Ses bermegiň netijesi (tarapdar/garşy/saklandy)

12. 2 Mejlisiň teswirnamasy

Sene/kworum/gatnaşyjylar

Gün tertibi

Ara alyp maslahatlaşmak (gysgaça, bentler boýunça)

Çözgütler (owner, due, üstünlik metrikasy)

Açyk soraglar/eskalasiýa

Programmalar (daşbordlar, hasabatlar, WORM arhiwine baglanyşyklar)

12. 3 Risk Appetite matrisasy (mysal)

13) Komitetiň Daşbordlary (iň az)

Töwekgelçilik Heatmap: ähtimallygy × täsiri × galyndy töwekgelçiligi.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, gaýtalanma ukyby.
Policy Changes: Major/Minor/Gyssagly konweýer we okuw ýagdaýy.
Wendor Risks: şahadatnamalar, SLA, subprosessorlar, hadysalar.
Waivers & Deadlines: işjeň/möhleti geçen, möwjemeler.
Audit Readiness: auditler/şahadatnamalar boýunça "audit pack" göterimi.

14) Komitetiň ýyl senenamasy

Her aý: yzygiderli gün tertibi (§ 7).
Çärýekde: "Risk Appetite" -e täzeden garamak, KPI/KRI tendensiýalary, findings boýunça netije.
Ýarym ýyl: esasy syýasatlara we waivers-portfeline täzeden gözden geçirmek.
Her ýyl: Komitetiň tertipnamasy, auditleriň/şahadatnamalaryň meýilnamasy, sapaklaryň hasaba alynmagy.

15) Krizis düzgüni (Sev1/Regulatory)

Haýal etmän çagyrmak; battle-rhythm täzelenmeleri (mysal üçin, her 4 sagatda).
Bitewi aragatnaşyk (Legal/PR), Legal Hold gözegçiligi.
Giriş konturlary/integrasiýalary öçürmek/maglumatlary izolirlemek boýunça çözgütler.
Wakanyň aýratyn teswirnamasy we hereketler bilen post-mortem.

16) Antipatternler

Komitet ygtyýarlyksyz we möhletsiz "poçta gutusy" hökmünde.
Teswirnamalaryň we subutnamalaryň ýoklugy - auditde jedel.
Möhleti gutarmadyk we öwezini dolýan gözegçiliksiz baky waivers.
Çözülip bilinmeýän gün tertibi: hiç hili decision cards, hiç hili wariant we netijä baha bermek ýok.
Eýesiz we Töwekgelçilik Appetite bilen aragatnaşyksyz KPI.
Dolandyrylýan recusals bolmazdan gyzyklanma gapma-garşylyklary.

17) Komitetiň kämillik modeli (M0-M4)

M0 Ad-hoc: seýrek duşuşyklar, metrik we teswirnamasyz.
M1 Resmileşdirilen: tertipnama, kworum, esasy teswirnamalar, her aýda geçirilýän duşuşyklar.
M2 Dolandyrylýan: KPI/KRI dashbordlary, decision cards, waivers gözegçiligi.
M3 Integrated: CCM/RBA/Policy-as-Code, "düwme boýunça audit-ready".
M4 Assured: çak edilýän KRI, awtomatiki eskalasiýa, yzygiderli impact-review çözgütleri.

18) Baglanyşykly wiki maddalary

Töwekgelçilige gönükdirilen audit (RBA)

Yzygiderli laýyklyk gözegçiligi (CCM)

KPI we laýyklyk metrikleri

Laýyklyk syýasatynda üýtgeşmeleri dolandyrmak

Syýasatlaryň we proseduralaryň durmuş sikli

Due Diligence we daşarky töwekgelçilikler

Kanuny Hold we maglumatlary doňdurmak

Jemi

Güýçli komitet "maslahat" däl-de, töwekgelçiligi dolandyrmagyň mehanizmi bolup durýar: anyk mandat, garaşsyzlyk we kworum, daşbordlarda berlen, eýeler we möhletler bilen çözgütler, ýerine ýetirilişine gözegçilik we subutnama binýady. Şonda gabat gelmek telekeçiligiň tormozy däl-de, strategiýanyň öňünden aýdyp boljak sütünine öwrülýär.