GH GambleHub

Risk Yönetimi ve Uyum Komitesi

1) Atama ve görev

Risk Yönetimi ve Uyum Komitesi (bundan böyle Komite olarak anılacaktır) aşağıdakileri yapan bir kollektif organdır:
  • Risk İştahı ve uyum ilkelerini oluşturur ve sürdürür
  • temel politikaları/standartları ve bunların değişikliklerini onaylar;
  • Temel riskleri kontrol eder (operasyonel, düzenleyici, bilgi güvenliği/gizliliği, finansal, üçüncü taraflar);
  • Uyumluluk metriklerini ve SLO/SLA'ları kurar ve başarılarını izler;
  • Tırmanma ve çatışan öncelikleri ele alır;
  • denetime hazır bir durum sağlar (kanıt tabanı, çözüm protokolleri).

2) Kompozisyon ve bağımsızlık

Gerekli üyeler (oylama):
  • Uyumluluk Lideri/DPO (eş başkan)
  • CISO/Güvenlik Başkanı (eş başkan)
  • Hukuk Başkanı
  • Risk/Kurumsal Risk Başkanı
  • CFO/Finans (etki değerlendirmesi için)
  • İşletme/Ürün Temsilcisi (VP/Direktör)
  • Platform/Altyapı Yöneticisi veya CTO temsilcisi
Bağımsız katılımcılar (danışma):
  • İç denetim (gözlemci)
  • İK/L & D (Eğitim/Değerlendirmeler)
  • Tedarik/Satıcı Mgmt (üçüncü taraflar)
  • Veri/Platform (DWH/Lineage/CCM)

Bağımsızlık ilkeleri: çıkar çatışması olmaması, tekrarların belgelenmesi, gözlemcilerin rolünün sabitlenmesi.

3) Komite RACI

AktiviteRACBEN
Risk iştahı onayıRiskCEO/Yönetim KuruluUyum, Finansİç denetim
Majör politikaların onaylanmasıUyumluluk/DPOEşbaşkanlarYasal, güvenlik, ürünİç denetim
Feragat tırmanışıUyumlulukEşbaşkanlarYasal, güvenlik, sahipleriİç denetim
KPI/KRI İzlemeUyumluluk AnalitiğiEşbaşkanlarSecOps, VeriTahta
Olay Çözümü (Sev1)SecOpsEşbaşkanlarYasal/PR, Ürünİç denetim
Satıcı Riskleri (Girit) Satıcı MgmtEşbaşkanlarYasal, güvenlikİç denetim
Denetime hazırlıkUyumlulukEşbaşkanlarSahipleriTahta

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

4) Düzenleme ve sıklık

Normal mod: Ayda bir kez (90 dakika) + haftalık ekspres KPI/KRI izleme (15 dakika).
Kriz modu (olay/düzenleyici): Stabilizasyona kadar her 24-48 saatte bir toplantılar.
Yeterli Çoğunluk: Bir eş başkan da dahil olmak üzere seçmenlerin ≥ 2/3'ü.
Çözümler: basit çoğunluk; Yüksek riske göre - 2/3 ve eş başkanların veto hakkı (tüzükte düzeltme).

5) Gelen eserler (girişler)

Risk Kaydı ve Isı Haritası (güncellenmiş KRI).
Uyumluluk KPI/SLO: DSAR/SLA, Erişim Hijyeni, Sürüklenme, Kanıt Kapsamı и др.
Politikaya Göre Günlüğü Değiştirme (Büyük/Küçük/Acil Durum).
Feragat - son kullanma tarihleri ve telafi edici kontrollerle kayıt olun.
Olaylar ve Bulgular: Sev1/Sev2, tekrarlanabilirlik, iyileştirme durumu.
Satıcı Riski: Kritik sağlayıcılar, SLA/sertifika ihlalleri.
Denetim/değerlendirmeler: durumlar, açık yorumlar, düğme hazırlığı.

6) Çıktılar ve eserler (çıktılar)

Sahibi ile karar protokolü, vade tarihi, ciddiyeti ve beklenen risk etkisi.
Risk İştahı Bildirimi ve Öncelikleri Güncellendi.
Politikaların ve feragatnamelerin koşullarla güncellenmesi/reddedilmesi.
Yüksek risk altındaki Yönetim Kurulu/CEO için eskalasyon mektupları/çözümleri.
İletişim tek çağrı cihazları ve komutlar için görevler (ITSM/GRC biletleri).

7) Tipik çağrı (60-90 dakika)

1. KPI/KRI ve sapmaların özeti (10").
2. Incidents/Sev1-updates ve dersler (15").
3. Politikacılar: Büyük değişiklikler, çelişkili yorumlar, lokalizasyonlar (15").
4. Üçüncü taraflar: SLA/sertifika ihlalleri, alt işlemciler (10").
5. Feragatname: Uzatma/kapatma, kırmızı bölgeler (10").
6. Denetim/değerlendirmeler: hazır durum ve "denetim paketi" (10").
7. Çözümler ve görev dağılımı (10").

8) Karar verme ve tırmandırma prosedürleri

Karar kartı (şablon): bağlam - seçenekler - risk/maliyet üzerindeki etkisi - öneri - oylama.
Eskalasyon: eğer risk> İştah veya suç> SLA - Executive/Board'a götürün.
İnceleme: 30-60 gün sonra kararın etkisinin olgusal değerlendirmesi (etki incelemesi).

9) Entegrasyonlar ve uçtan uca akışlar

RBA: bulgular - Komite celbi - sahibi/nedeniyle - kapanış kontrolü.
CCM (sürekli izleme): uyarılar/metrikler - kural/eşik önceliklendirme.
Politika Yaşam Döngüsü/Değişim Mgmt: Büyük düzenlemeler - güncellemeler, iletişim, eğitim.
Satıcı DD/Dış Kaynak Kullanımı: puanlama modeli ve boşluk listeleri - sözleşme şartları/SLA.
Incident Mgmt: SOAR/PR/Legal playbooks - raporlar ve dersler.

10) Komite Performans Metrikleri

Zamanında İyileştirme: Komite görevlerinin %'si zamanında (önem derecesine göre) kapatıldı.
Karar Verme Süresi: Sorunun gündeme getirilmesinden çözüme kadar geçen ortalama süre.
Feragat Hijyeni: Geçerli son kullanma tarihi olan % istisnalar (hedef: %100).
Bulguları Tekrarla: 12 aydaki tekrarların oranı (hedef: ↓).
Denetim Hazırlık Süresi: Tam "denetim paketi'ne kadar geçen saatler.
Risk Azaltma Endeksi: Toplam risk oranının QoQ ∆.
İletişim SLA'sı: Büyük çözümler tarafından zamanında bildirilen rollerin yüzdesi.

11) Komite Şartı (şablon)

Amaç: risk ve uyum gözetimi; Şirketin ve müşterilerin çıkarlarını korumak.
Kapsam: tüm yargı alanları/iş kolları/BT sistemleri/üçüncü taraflar.
Yetki: politikaların/istisnaların onaylanması; Verilerin/denetimlerin sorgulanması; Gemide tırmanış.
Kompozisyon ve yeterli çoğunluk: (bkz. § 2 ve § 4).
Çıkar çatışmaları: beyanlar, tekrarlar, dergi.
Protokoller: Tam dakika standardı (gündem, çözümler, sesler, sahip, vade, kanıtlara bağlantılar).
Tüzüğün gözden geçirilmesi: yıllık olarak veya Kurulun talebi üzerine.

12) Belge şablonları

12. 1 Karar Kartı

Konu/Bağlam/Yönetmelikler/Riskler

Seçenekler ve değerleme (maliyet, zamanlama, SLA/KRI üzerindeki etkisi)

Karar sonrası öneri ve risk seviyesi

Performans sahibi ve son tarih

Oylama sonucu (karşı/karşı/çekimser)

12. Toplantının 2 dakikası

Tarih/yeterli çoğunluk/katılımcılar

Gündem

Tartışma (kısa, madde madde)

Çözümler (sahibi, vadesi, başarı metriği)

Açık sorunlar/yükselmeler

Uygulamalar (panolar, raporlar, WORM arşivine bağlantılar)

12. 3 Risk İştahı Matrisi (örnek)

RiskBirimIştahKırmızı bölge
PI sızıntısıOlaylar/yıl01+
DSAR suçlulukları%≤ 2%> 5%
SoD-ihlalleriVakalar/ay0≥ 1
Sürüklenme (yüksek/crit)Vakalar/ay≤ 5> 15

13) Komite panoları (minimum)

Risk Isı Haritası: Olasılık × etki × kalıntı risk.
Uyumluluk KPI Merkezi: DSAR, Erişim Hijyeni, Sürüklenme, Kanıt Kapsamı.
Olaylar ve Bulgular: Sev1/Sev2, MTTR, tekrarlanabilirlik.
Politika Değişiklikleri: Büyük/Küçük/Acil boru hattı ve eğitim durumu.
Satıcı Riskleri: sertifikalar, SLA'lar, alt işlemciler, olaylar.
Feragatlar ve Son Tarihler: aktif/süresi dolmuş, yükselmeler.
Denetim Hazırlığı: Denetimler/sertifikalar tarafından "denetim paketi" yüzdesi.

14) Komite yılı takvimi

Aylık: düzenli gündem (§ 7).
Üç aylık: Risk İştahı revizyonu, KPI/KRI eğilimleri, bulgular toplamı.
Yarı yıl: temel politikaların ve feragat portföyünün gözden geçirilmesi.
Yıllık: Komite Tüzüğü, Denetim/Sertifikasyon Planı, Öğrenilen Dersler.

15) Kriz modu (Sev1/Regulatory)

Acil çağrı; Savaş ritmi güncellemeleri (örn. Her 4 saatte bir).
Birleşik İletişim (Yasal/PR), Yasal Tutma kontrolü.
Erişim kontrolü/devre dışı bırakma entegrasyonu/veri yalıtımı için çözümler.
Ayrı olay protokolü ve eylemlerle ölüm sonrası.

16) Antipatterns

Yetki ve son tarihler olmadan bir "posta kutusu'olarak komite.
Protokol ve kanıt eksikliği - denetimde tartışma.
Son kullanma tarihi olmayan sürekli feragatlar ve telafi edici kontroller.
Çözümsüz gündemler: karar kartı yok, seçenek yok ve etki tahmini yok.
Sahipsiz KPI'lar ve Risk İştahı bağlantısı.
Yönetilen yeniden kullanımlar olmadan çıkar çatışmaları.

17) Komite olgunluk modeli (M0-M4)

M0 Hell-hoc: nadir toplantılar, metrikler ve protokoller yok.
M1 Resmileştirilmiş: charter, quorum, temel tutanaklar, aylık toplantılar.
M2 Yönetilebilir: KPI/KRI gösterge panoları, karar kartları, feragat kontrolü.
M3 Integrated: CCM/RBA/Policy-as-Code ile iletişim, "butonla denetime hazır".
M4 Garantili: tahmini KRI'lar, otomatik tırmanma, düzenli etki gözden geçirme kararları.

18) İlgili wiki makaleleri

Risk Bazlı Denetim (RBA)

Sürekli Uyumluluk İzleme (CCM)

KPI'lar ve uyumluluk metrikleri

Uyum politikası değişim yönetimi

Politikalar ve Prosedürler Yaşam Döngüsü

Durum Tespiti ve Dış Kaynak Kullanımı Riskleri

Yasal Tutma ve Veri Dondurma

Toplam

Güçlü bir Komite bir "toplantı'değil, bir risk yönetimi mekanizmasıdır: açık bir yetki, bağımsızlık ve yeterli çoğunluk, panolardaki veriler, sahipler ve son tarihler ile kararlar, uygulama ve kanıt tabanı. Uyum daha sonra iş üzerinde bir sürüklenme yerine stratejinin öngörülebilir bir ayağı haline gelir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.