GH GambleHub

Isı risk haritası

1) Amaç ve değer

Risk Isı Haritası, kontrollere, metriklere ve eylem planlarına bağlı Olasılık ve Etki matrisi boyunca riski sıralamak × iletmek için görsel bir araçtır.

Hedefler:
  • Tek bir önceliklendirme dili (iş, bunlar, yasal bloklar);
  • Şeffaf CAPA/yatırım kararları;
  • İlerleme takibi (önlemlerden önce/sonra), denetime hazır.

2) Taksonomi ve kapsama alanı

Önerilen alanlar:
  • Düzenleyici/Lisanslar, Gizlilik/Veri, Bilgi Güvenliği/Teknik Süreçler, Ödemeler/AML/KYC, İşlemler/Kullanılabilirlik, Pazarlama/Sorumlu Reklamcılık, Tedarikçiler/VRM.
Bölümler:
  • Yargı Alanları/Pazarlar, İş Kolları/Ürünler, Hizmetler/Platformlar, Kritik Sağlayıcılar.

3) Olasılık ve etki ölçekleri

3. 1 Olasılık (5 seviyeli bir ölçek örneği)

1. Nadir (her> 3 yılda bir/p <%5)

2. Düşük (her 1-3 yılda bir)

3. Ortalama (yıllık)

4. Yüksek (üç aylık)

5. Çok yüksek (aylık/daha sık)

3. 2 Etki (çok değişkenli)

Kriterlerin maksimumuna göre değerlendirin:
  • Finans: doğrudan kayıplar/cezalar/ters ibraz.
  • Lisanslar/Yasal çıkarımlar: askıya almalar, yasaklar, soruşturmalar.
  • Gizlilik/Veri: PII kapsamı, bildirimler, denetleyici eylemler.
  • İşlemler/Çalışma Süresi: MTTR, SLO, kesintili sürümler, RTO/RPO.
  • İtibar: medya, sosyal ağlar, ortak yaptırımlar.
  • Açık eşiklerle 1-5 ölçeği (örn. 1: <10k €, 5:> 1m €).

4) Puanlama ve risk seviyeleri

Bireysel risk: 'Skor = Olasılık × Etki' (1-25).

Kategoriler:
  • 20-25 - Kritik (kırmızı)
  • 12-19 - Yüksek (turuncu)
  • 6-11 - Orta (sarı)
  • 1-5 - Düşük (yeşil)
  • Kalıntı risk: cari kontroller dikkate alındıktan sonra (etkinlik ToD/ToE/CCM tarafından doğrulanmıştır).
  • Hedef risk: Planlanan önlemlerden sonra; Başarı tarihi belirlendi.

5) Veri kaynakları ve kontrollere bağlantı

GRC-register: risk tanımları, sahipleri, mevcut/hedef değerlendirmeleri.
JMA/metrikler: kontrol kurallarının geçiş hızı, olaylar, KRI.
Satıcılar/VRM: sertifikalar, SLA'lar, olaylar, veri konumlarındaki değişiklikler.
Finans/Ödemeler: para cezaları, ters ibraz oranı, dolandırıcılık kaybı %.
Ölçekleri etkileyen tüm değerler kanıt bağlantılarına (günlükler/raporlar) ve zaman damgalarına sahip olmalıdır.

6) Toplama ve konsolidasyon

Aşağıdan yukarıya: hizmetlerden/yargı alanlarından etki alanlarına ve şirkete.
Toplama kuralları: Etki maksimumu, Olabilirlik yüzdesi veya ağırlıklı medyan (iş hacmine göre).
Ayrı katmanlar: Doğal (denetimsiz), Artık (denetimlerle), Hedef (CAPA'dan sonra).
Ayrı korelasyon riskleri (örneğin, paylaşılan altyapı güvenlik açığı) ve bağımsız olanlar.

7) Görselleştirme

Renk kodlu 5 × 5 matris; Açılır kartlarla etkileşimli risk noktaları (açıklama, sahip, kontroller, CAPA).
Katman anahtarları: Doğal/Artık/Hedef.
Filtreler: yargı, ürün, etki alanı, sağlayıcı, dönem.
Trendler'önce/sonra "30-90 gün içinde önlemler ve" sürüklenme "(drift).

8) Roller ve RACI

AktiviteRACBEN
Yöntem ve ölçeklerRisk Ofisi/Uyum MühRisk BaşkanıYasal/DPO, Finansİç denetim
Tahminlerin güncellenmesiRisk sahipleriFonksiyon BaşkanıKontrol sahipleriKomite
Kontrol bağlantısı/KRIUyumluluk MühUyumluluk BaşkanıSecOps/Veriİç denetim
Panoları yayınlamaUyumluluk AnalitiğiUyumluluk BaşkanıBI/Veri PlatformuExec/Yönetim Kurulu
İnceleme ve çözümlerRisk ve Uyum KomitesiYönetici sponsoruTüm DomainsTahta

9) KRI ve eskalasyon eşikleri

KRI örnekleri (haritadaki risklere bağlantı):
  • Gizlilik: dsar_response_p95, TTL silme, şikayet/ombudsman.
  • Güvenlik: p95 TTR güvenlik açıkları, kritik kırmızı CCM kurallarının paylaşımı, SoD ihlalleri.
  • Ödemeler: ters ibraz oranı, dolandırıcılık kaybı %, kazanç oranı temyiz.
  • Operasyonlar: SLO ihlal oranı, olaylar p1/p2, RTO/RPO testleri.
  • Eskalasyon: Uyarı eşiklerinin ötesine geçerken amber, Kırmızı - zorunlu CAPA ve kritik alanlar için "stop-the-line".

10) Karar verme ve CAPA ile iletişim

Her "kırmızı" nokta için bir eylem planı gereklidir: Düzeltici/Önleyici, sahip, dönem, bütçe, başarının KPI'sı.

Eşik kuralları (örnek):
  • Kritik: CAPA ≤ 30 gün, 60-90 gün içinde yeniden denetim; Komite - haftalık.
  • Yüksek: CAPA ≤ 60 gün, takip 90 gün.
  • Orta/Düşük: Çeyrek/yarım yıllık planda.
  • Azaltma mümkün değilse - son kullanma tarihi ve telafi edici kontroller ile feragat.

11) Gösterge panoları (minimum)

Isı Haritası Görünümü: geçerli matris + Artık/Hedef katmanları.

Risk Eğilimi: CAPA Öncesi/Sonrası

Kontroller Bağlantı: CCM geçiş hızı risk, kırmızı kapılar.
Yasal Maruziyet: Yargı Yetkisi ve Lisansa Göre Riskler.
Satıcı Riski: Kritik sağlayıcıların ısı haritası (sertifikalar, SLA, olaylar).
Denetim-Hazırlık: Riskler için bütünlük kanıtı/hash makbuzları.

12) Performans metrikleri

Risk Azaltma Endeksi: Ağırlıklı ortalama risk oranının çeyrekler bazında ∆.
Zamanında CAPA: Önlemlerin % zamanında (ciddiyetine göre).
Tekrar Bulguları (12 ay): ilgili riskler için tekrarların paylaşımı.
Kanıt Bütünlüğü: Tam kanıt paketi ile % riskler.
Düzeltme Sonrası Sürüklenme: 30-90 gün sonra "kırmızı" bölgeye geri dönme durumları.
Kapsam: Haritaya yansıyan ticari varlıkların/yargı alanlarının oranı.

13) SOP (standart prosedürler)

SOP-1: Yordam başlatma

Ölçekleri ve eşikleri belirleyin - Komitede kabul edin - depoda düzeltin (sürüm oluşturma).

SOP-2: Üç aylık döngü

Girdi veri toplama/KRI - derecelendirmelerin yeniden hesaplanması - sahipler tarafından gözden geçirilmesi - komite kararları - panoların yayınlanması - "denetim paketini" dışa aktarma.

SOP-3: Tetik Olayı

Kritik/Yüksek bir olayda, planlanmamış bir harita güncellemesi, CAPA bağlama ve yeniden denetim planı.

SOP-4: Satıcı döngüsü

VRM Anketi/Sertifikaları - Satıcı Risk Güncellemesi - Satıcı Aynası Onayı

SOP-5: Arşiv ve kanıt

Anlık görüntüler ısı haritası (PDF/PNG/CSV) + hash makbuzları - WORM arşivi - GRC'deki bağlantılar.

14) Eser desenleri

14. 1 Risk kartı (parça)

Kimlik/Ad, Sahibi, Etki Alanı/Yargı Alanları

Olasılık/Etki/Doğal/Artık/Hedef

Kontroller (ID, metrikler, CCM kuralları)

KRI ve gerçek değerler

CAPA/feragat, tarihler, bütçe, KPI'lar

Kanıt bağlantıları ve hash makbuzları

14. 2 Ölçekler politikası (deklanşör hızı)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Rapordan Önce/Sonra

Heatmap ekran görüntüleri (Residual vs Target)

Tablo ∆ - Riske Göre Değişiklikler

Tamamlanmış CAPA'lar, esneklik metrikleri

15) Antipatterns

Kontrollere/KRI ve CAPA'ya atıfta bulunmadan "güzel resim".
Belirsiz ölçekler - tahminlerin manipülasyonu.
Sürüm/puan değişikliği kanıtı yok.
Toplama kuralları olmadan farklı riskleri özetleyin.
Nadir güncellemeler - harita gerçeği yansıtmıyor.
Son tarihler ve telafi edici önlemler olmadan feragat.

16) Olgunluk modeli (M0-M4)

M0 Ad-hoc: Tek seferlik resim, yöntem/metrik yok.
M1 Planlı: kararlaştırılmış ölçekler, üç aylık güncellemeler.
M2 Managed: kontrollerle bağlantı/KRI, CAPA, panolar, WORM arşivi.
M3 Entegre: Otomatik yeniden hesaplama (CCM), poliçe/güvence kodu, yargı/satıcı tarafından dilimler.
M4 Sürekli Güvence: öngörülü KRI'lar, senaryo modelleme, what-if, öncelikli öneriler.

17) İlgili wiki makaleleri

Risk Bazlı Denetim (RBA)

KPI'lar ve uyumluluk metrikleri

Sürekli Uyumluluk İzleme (CCM)

İyileştirme Planları (CAPAs)

Yeniden denetim ve takip

Politika ve uyumluluk deposu

Uyumluluk Yol Haritası

İş Ortağı/VRM Uyumluluk Kılavuzu

Toplam

Risk ısı haritası bir rapor değil, bir yönetim mekanizmasıdır: Tek tip ölçekler, kontroller ve KRI'larla iletişim, düzenli güncellemeler, kanıtlanabilir kararlar ve ölçüm sonrası sürdürülebilirlik kontrolleri. Bu yaklaşım önceliklendirmeyi amaç edinir, komite kararlarını hızlandırır ve denetime hazır olmayı sürdürür.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.