Töwekgelçilikleriň ýylylyk kartasy

1) Maksady we gymmaty

Töwekgelçilikleriň ýylylyk kartasy (Risk Heatmap) - gözegçiliklere, metriklere we hereket meýilnamalaryna baglanan "Ähtimallyk × Täsir" matrisi boýunça töwekgelçilikleri tertipleşdirmek we aragatnaşyk etmek üçin wizual gural.

• ileri tutulýan ýeke-täk dil (işewürlik, tehniki, hukuk bloklary);
• SARA/maýa goýumlary boýunça aç-açan çözgütler;
• dinamikany yzarlamak (çärelere çenli/soň), "audit-ready" taýynlygy.

2) Taksonomiýa we örtügiň meýdany

• Düzgünleşdiriji/Ygtyýarnamalar, Gizlinlik/Maglumatlar, IB/Tehniki amallar, Tölegler/AML/KYC, Amallar/Elýeterlilik, Marketing/Jogapkär mahabat, Üpjün edijiler/VRM.

• Ýurisdiksiýalar/bazarlar, Işewürlik liniýalary/önümler, Hyzmatlar/platformalar, Möhüm üpjün edijiler.

3) Ähtimallyk we täsir derejesi

3. 1 Ähtimallyk (5 derejeli masştabyň mysaly)

1. Seýrek (her gezek> 3 ýyl/p <5%)

2. Pes (1-3 ýylda bir gezek)

3. Ortaça (her ýyl)

4. Ýokary (çärýekde)

5. Örän ýokary (aýda/ýygy-ýygydan)

3. 2 Täsir (köp faktorly)

• Maliýe: göni ýitgiler/jerimeler/çargeback.
• Ygtyýarnamalar/Hukuk netijeleri: togtatmak, gadaganlyklar, derňewler.
• Gizlinlik/Maglumatlar: PII göwrümi, habarnamalar, gözegçilik hereketleri.
• Amallar/Apteim: MTTR, SLO, bozulan goýberilişler, RTO/RPO.
• Abraýy: metbugat, sosial ulgamlar, hyzmatdaş sanksiýalary.
• Açyk bosagaly 1-5 şkalasy (mysal üçin 1: <€10k, 5:> €1m).

4) Skoring we töwekgelçilik derejeleri

Aýry-aýry töwekgelçilikler: 'Score = Likelihood × Impact' (1-25).

• 20-25 - Critical (gyzyl)
• 12-19 - Ýokary (mämişi)
• 6-11 - Orta (sary)
• 1-5 - Pes (ýaşyl)
• Galyndy töwekgelçiligi: häzirki gözegçilikleri hasaba alandan soň (netijelilik ToD/ToE/CCM tarapyndan tassyklandy).
• Maksat töwekgelçiligi (Maksat): meýilleşdirilen çärelerden soň; gazanylan senesi ýazylýar.

5) Maglumatlaryň çeşmeleri we gözegçilikler bilen baglanyşygy

GRC-sanawy: töwekgelçilikleriň beýany, eýeleri, häzirki/maksatly bahalandyrmalar.
SSM/metrikler: gözegçilik düzgünleriniň pass-rate, hadysalar, KRI.
Satyjylar/VRM: şahadatnamalar, SLA, hadysalar, maglumat ýerleriniň üýtgemegi.
Maliýe/Tölegler: jerimeler, chargeback ratio, fraud loss%.
Şkalalara täsir edýän ähli manylaryň evidence-baglanyşyklary (logleri/hasabatlary) we taýmstamplary bolmaly.

6) Jemlemek we jemlemek

Bottom-up: hyzmatlardan/ýurisdiksiýalardan domenlere we kompaniýalara.
Agregasiýa düzgünleri: Impact boýunça iň ýokary, Likelihood boýunça persentil ýa-da deňagramly mediýa (işewürlik boýunça).
Aýry-aýry gatlaklar (layers): Inherent (gözegçiliksiz), Residual (gözegçiliksiz), Target (CAPA-dan soň).
Baglanyşdyryjy töwekgelçilikleri (mysal üçin, umumy infrastruktura gowşaklygy) we garaşsyz töwekgelçilikleri bölüň.

7) Wizualizasiýa

Reňk kody bolan 5 × 5 matrisa; açylýan kartoçkalar bilen interaktiw töwekgelçilik nokatlary (düşündiriş, eýesi, gözegçilikler, CAPA).
Gatlak açarlary: Inherent/Residual/Target.
Süzgüçler: ýurisdiksiýa, önüm, domen, üpjün ediji, döwür.
30-90 günde "öň/soň" we "drift" (drift) tendensiýalary.

8) Rollar we RACI

9) KRI we eskalasiýa bosagalary

• Gizlinlik: dsar_response_p95, TTL boýunça aýyrmak, şikaýatlar/ombudsmen.
• Howpsuzlyk: p95 TTR gowşaklygy, möhüm "gyzyl" CCM düzgünleriniň paýy, SoD bozulmalary.
• Payments: chargeback ratio, fraud loss%, win-rate apellyasiýa.
• Operations: SLO breach rate, p1/p2 hadysalary, RTO/RPO synaglary.
• Eskalasiýa: Amber duýduryş çäklerinden çykanda, Red - möhüm zolaklar üçin hökmany CAPA we "stop-the-line".

10) Kararlary kabul etmek we CAPA bilen aragatnaşyk

Her "gyzyl" nokat üçin hereket meýilnamasy hökmanydyr: Corrective/Preventive, eýesi, möhleti, býudjeti, üstünlik KPI.

• Critical: CAPA ≤ 30 gün, re-audit 60-90 günden soň; komitet - hepdede.
• High: CAPA ≤ 60 gün, 90 gün gözegçilik.
• Orta/Low: çärýek/ýarym ýyl meýilnamasyna.
• Peseltmek mümkin bolmadyk halatynda - gutarýan senesi we öwezini dolýan gözegçilikleri bolan waiver.

11) Daşbordlar (iň az)

Heatmap View: häzirki matrisa + Residual/Target gatlaklary.
Risk Trend: bal dinamikasy, "CAPA-dan öň/soň".
Controls Linkage: töwekgelçilikler boýunça pass-rate CCM, "gyzyl" geýtlar.
Regulatory Exposure: ýurisdiksiýalar we ygtyýarnamalar boýunça töwekgelçilikler.
Vendor Risk: möhüm üpjün edijileriň ýylylyk kartasy (şahadatnamalar, SLA, hadysalar).
Audit-Readiness: completeness evidence/töwekgelçilikler boýunça heş-kwitansiýalar.

12) Netijelilik metrikasy

Risk Reduction Index: Çärýekler boýunça ortaça töwekgelçilik-skor ∆.
On-time CAPA:% wagtynda (severity).
Repeat Findings (12 aý): baglanyşykly töwekgelçilikler boýunça gaýtalanmalaryň paýy.
"Evidence Completeness": subutnamalaryň doly bukjasy bilen töwekgelçilikleriň%.
Drift After Fix: 30-90 günden soň "gyzyl" zona gaýdyp gelmek ýagdaýlary.
Coverage: kartada görkezilen işewürlik aktiwleriniň/ýurisdiksiýalarynyň paýy.

13) SOP (standart amallar)

SOP-1: Usulyýet başlangyç

Şkalalary we bosagalary kesgitlemek → Komitetde ylalaşmak → repozitoriýada düzmek (wersiýalaşdyrmak).

SOP-2: Çärýek aýlawy

Giriş maglumatlary ýygnamak/KRI → bahalary gaýtadan sanamak → eýeler tarapyndan täzeden hasaplamak → komitet çözgütleri → daşbordlary çap etmek → eksport "audit pack".

SOP-3: Trigger hadysasy

Critical/High hadysasynda - kartyň meýilleşdirilmedik täzelenmesi, CAPA-a baglanyşyk we re-audit meýilnamasy.

SOP-4: Wendor kontury

VRM-anket/şahadatnamalar → üpjün edijileriň töwekgelçiliklerini täzelemek → aýna çärelerini tassyklamak (Vendor Mirror).

SOP-5: Arhiw we subutnamalar

Heatmap snapshotlar (PDF/PNG/CSV) + heş-kwitansiýalar → WORM-arhiw → GRC-e baglanyşyklar.

14) Artefaktlaryň şablonlary

14. 1 Töwekgelçilik kartoçkasy (bölek)

ID/Ady, eýesi, domeni/ýurisdiksiýasy

Likelihood/Impact/Inherent/Residual/Target

Gözegçilikler (ID, metrikler, CCM düzgünleri)

KRI we hakyky bahalary

CAPA/waivers, seneler, býudjet, KPI

Evidence baglanyşyklary we heş-kwitansiýalar

14. 2 Şkalanyň syýasaty (çydamlylyk)

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 "Öň/soň" hasabaty

Heatmap ekran suratlary (Residual vs Target)

Töwekgelçilikler boýunça ∆-çalyşmalar tablisasy

Ýerine ýetirilen CAPA, durnuklylyk metrikleri

15) Antipatternler

"Owadan surat" gözegçiliksiz/KRI we CAPA.
Düşnüksiz ölçekler → bahalary manipulirlemek.
Ballaryň üýtgemeginiň wersiýalaşdyrylmagynyň/subutnamalarynyň ýoklugy.
Deňeşdirip bolmajak töwekgelçilikleri jemlemek.
Seýrek täzelenmeler → kartoçka hakykaty görkezmeýär.
Waivers möhletsiz we öwezini dolmak çäresiz.

16) Kämillik modeli (M0-M4)

M0 Ad-hoc: bir gezeklik surat, usullar/metrikler ýok.
M1 Meýilleşdirilen: ylalaşylan şkalalar, çärýekleýin täzelenmeler.
M2 Dolandyrylýan: gözegçilikler bilen baglanyşyk/KRI, CAPA, daşbordlar, WORM-arhiw.
M3 Integrirlenen: awtomatiki gaýtadan hasaplamak (CCM), policy-/assurance-as-code, ýurisdiksiýalar/satyjylar boýunça kesişler.
M4 Continuous Assurance: öňünden aýdylýan KRI, ssenariý modellemesi, "what-if", ileri tutulýan ugurlar boýunça teklipler.

17) Baglanyşykly wiki maddalary

Töwekgelçilige gönükdirilen audit (RBA)

KPI we laýyklyk metrikleri

Yzygiderli laýyklyk gözegçiligi (CCM)

Düzgün bozmalary ýok etmek meýilnamalary (CAPA)

Gaýtalanýan auditler we ýerine ýetirilişine gözegçilik

Syýasatlaryň we ülňüleriň ammary

Gabat geliş ýol kartasy

Hyzmatdaşlar/VRM üçin ylalaşyk gollanmasy

Jemi

Töwekgelçilikleriň ýylylyk kartasy hasabat däl-de, dolandyryş mehanizmi bolup durýar: ýeke-täk şkalalar, gözegçilik we KRI bilen aragatnaşyk, yzygiderli täzelenmeler, subut edilýän çözgütler we çärelerden soň durnuklylyga gözegçilik. Şeýle çemeleşme ileri tutulmagy obýektiw edýär, komitetiň kararlaryny çaltlaşdyrýar we hemişe "audit-ready" taýýarlygyny saklaýar.