GH GambleHub

Risk kaydı ve değerlendirme metodolojisi

1) Neden ve ne kayıt dahil

Amaç: Parayı (GGR/CF), lisansları, oyuncuları, verileri ve itibarı etkileyen risklerin tanımlanması, değerlendirilmesi, önceliklendirilmesi ve izlenmesi için birleşik sistem.
Kapsam: Ürün/Mühendislik (SDLC/Olaylar), Finans ve Ödemeler (PSP/Bulgular), KYC/AML/Yaptırımlar, Gizlilik (GDPR), TPRM/Satıcılar, Pazarlama/SDK, Veri (DWH/BI), Altyapı/Bulutlar/DR, Destek Operasyonları ve VIP.

2) Risk taksonomisi (örnek)

Bilgi güvenliği ve gizliliği: PII/KYC sızıntıları, yetkisiz erişim, kayıt hatası, DSAR dosyaları.
Düzenleyici/uyumluluk: lisans şartlarının ihlali, AML/KYC/yaptırımlar, reklam yasakları.
Çalışma/teknolojik: duruş süresi PSP/KYC, sürüm hatası, gecikme bozulması, DR olayları.
Dolandırıcılık/kötüye kullanım: dolandırıcılık depozitoları, bonus kötüye kullanımı, ödeme saldırı modelleri.
Finansal: ortak likiditesi, ters ibraz şokları, bir PSP'ye yoğunlaşma.
Satıcı/tedarik zinciri: savunmasız SDK'lar, düşük TOM'lu alt işlemciler.
İtibar/müşteri: Şikayetlerde artış, NPS düşüşü, RG ihlalleri.
Stratejik/jeopolitik: yaptırımlar, vergi/yasa değişiklikleri, trafik tıkanıklıkları.

3) Risk kartı (gerekli alanlar)

Kimlik/Risk Adı

Kategori (taksonomiden)

Olay açıklaması (ne olabilir) ve nedeni

Etkisi altındaki varlıklar/süreçler/yargı bölgeleri

Risk Sahibi ve Sponsor

Mevcut kontroller (önleyici/dedektif/düzeltici)

Kontrollerden önce Olasılık (P) ve Etki (I) (doğal)

Kontrollerden sonra kalan risk

Tedavi planı: azaltmak/önlemek/kabul etmek/transfer

Tırmanma Eşiği/Tehdit Seviyesi (Düşük/Orta/Yüksek/Kritik)

KRI'ler ve tetikleyiciler, metrikler ve veri kaynakları

Sonraki İnceleme Durum ve Bitiş Tarihi İlişkili CAPA'lar/Biletler

Kontrol Kayıt Defterine (Kontrol Kimlikleri) ve Politikalara Bağlantı

Denetçi/Komite Yorumları (Son Kararlar)

4) Derecelendirme ölçekleri (varsayılan 5 × 5)

4. 1 Olasılık (P)

1 - Nadir (<1/5 yıl)

2 - Düşük (1/2-5 yıl)

3 - Ortalama (yıllık)

4 - Yüksek (çeyrek)

5 - Çok yüksek (ay/daha sık)

4. 2 Etki (I) - dallardan maksimum seçin

Finans: 1: <10k €· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Gizlilik/Veri: 1: <1k kayıtları·...· 5:> 1M kayıtları/özel kategoriler

Regülatör/Lisanslar: 1: Uyarı· 3: Ceza/İnceleme· 5: Lisans Askıya Alma

Kullanılabilirlik (SLO/SLA): 1: <15 dakika·...· 5:> 8 saat kritik alanlar için

Final skoru: 'R = P × I' - seviyeleri: 1-5 Düşük, 6-10 Orta, 12-16 Yüksek, 20-25 Kritik.

(Eşikler şirkete uyarlanabilir.)

5) Isı haritası matrisi ve risk iştahı

Risk İştahı: Etki alanına göre toleransları olan bir belge (örneğin, PII sızıntıları - sıfır tolerans; Kesinti süresi P95 - ≤ X min/ay; ters ibraz oranı - ≤ % Y).
Isı haritası: R'nin 5 × 5'te görselleştirilmesi; İştah üstü - CAPA planı ve zaman çizelgesi gerektirir.
Risk Bütçesi: Gerekçeli'kabul edilen "riskler için kotalar (ekonomik fizibilite).

6) Değerleme metodolojileri

6. 1 Kalite (hızlı başlangıç)

P/I ölçeklerinde uzman değerlendirmeleri + gerekçe, olay geçmişi ile uzlaşma ve KRI verileri.

6. 2 Kantitatif (Top-10 için öncelik)

FAIR yaklaşımı (basitleştirilmiş): olayların sıklığı × hasarın olasılıksal dağılımı (P10/P50/P90); Azaltma seçeneklerini karşılaştırmak için kullanışlıdır.
Monte Carlo (1000-10k çalışır): hasar ve frekans değişkenliği - Kayıp Aşım Eğrisi (kayıp olasılığı> X).
TRA (Hedefli Risk Analizi): İzleme/kontrol frekanslarını seçmek için nokta analizi (PCI/satıcılar için uygun).

7) KRI'lar ve kaynaklar

Alanlar için örnekler:
  • Kullanılabilirlik/İşlemler: MTTR, 5xx hataları, P95 gecikme, P1/P2 olayları, % otomatik ölçeklendirme, küme kapasitesi.
  • Güvenlik/gizlilik: % MFA kapsamı, kimlik bilgisi doldurma girişimleri, sıra dışı ihracat, DSAR SLA, anti-alvar bayrakları.
  • Ödemeler: PSP tarafından otomatik ödeme oranı, geri ödeme oranı, banka başarısızlığı, manuel nakit çıkışlarının payı.
  • KYC/AML: TAT, yanlış pozitif oran, yaptırım isabetleri, tırmanma payı.
  • Satıcılar: SLA uyumluluğu, gecikme sapması, olayların sıklığı, sertifikaların uygunluğu.

KRI'lar risklerle ilişkilendirir ve eşiklerin ötesine geçtiklerinde yükselmeleri tetikler.

8) Risk yaşam döngüsü (iş akışı)

1. Kimlik - kartın kaydı.
2. Inherent> Control Mapping> Residual.
3. Tedavi kararı ve CAPA planı (tarihler/sahipler).
4. KRI'ler/olay izleme, kart güncelleme.
5. Üç Aylık Risk Komitesi: Üst-N revizyonu, iştah yeniden etiketleme.
6. Kapatma/birleştirme veya izleme listesi.

9) Kontroller ve denetim ile iletişim

Her risk belirli kontrolleri referans almalıdır (bakınız İç Kontroller ve Denetimleri):
  • Proaktif: RBAC/ABAC, SoD, limitler, şifreleme, WebAuthn, segmentasyon.
  • Dedektif: SIEM/uyarılar, mutabakatlar, WORM kayıtları, UEBA.
  • Düzeltici: geri dönüşler, ödeme kilitleri, anahtar iptali, acil yamalar.
  • DE/OE denetimi, kontrollerin iştah riskini azalttığını ve istikrarlı bir şekilde çalıştığını doğrular.

10) Örnek kartlar (YAML, parçalar)

10. Satıcı SDK'sı üzerinden 1 PII sızıntısı (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP Bozulması: Ödeme Yetkilendirme Hatası

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Toplama ve Portföy Yönetimi

Top-N (Risk Register View): Artık R ve "iştah üstü'ne göre sıralanır.
Konular (Risk Temaları): kümeler (satıcılar, gizlilik, PSP) - konu sahipleri.
Bağımlılık haritaları: riski↔kontroli↔vendory↔protsessy.
Senaryolar ve stres testleri: "PSP # 1 ve KYC # 1 2 saat boyunca kullanılamazsa ne olur?" - kümülatif hasar tespiti ve eylem planı.
LEC (Zarar Aşım Eğrisi): Konsey/kurul için yıllık zarar profili.

12) Tırmanma eşikleri ve sinyalleri

Operasyonel: SLO/SLA ihlali - Olay P1/P2.
Uyumluluk/Gizlilik: Tutmanın aşılması, DSAR arızası, 'amaç' olmadan ihracat - derhal DPO/Yasal sorun.
Satıcı: tekrarlanan SLA arızaları - tedarikçide CAPA, sözleşme revizyonu.
Finansal: çıkış ters ibrazı> eşik> manuel kontroller, limitlerin/bonusların ayarlanması.

13) RACI (büyütülmüş)

AktiviteYönetim Kurulu/CEORisk komitesiRisk sahibiGüvenlik/GizlilikDomain sahipleriVeri/BIİç denetim
Risk iştahıARCCCBENBEN
Taksonomi/ÖlçeklerBENA/RCRCCBEN
Kaydın bakımıBENCA/RRRRBEN
Değerlendirme/GüncellemelerBENCA/RRRRBEN
EksalasyonlarBENA/RRRRBENBEN
Denetimler/denetimlerBENCCCCCA/R

14) Risk yönetim sisteminin metrikleri (KPI/KRI)

Kapsam: Kritik süreçlerin %100'ünde kayıtlı riskler ve sahipler vardır.
İnceleme Zamanında: Kartların ≥ %95'i zamanında revize edilir.
İştah Üstü: QoQ ↓ risklerin oranı iştahtan daha yüksektir.
CAPA Kapatma (Yüksek/Kritik): ≥ %95 zamanında.
Algılama Gecikmesi: KRI sapmasından tırmanmaya medyan zaman (↓ eğilimi gösterir).
Olay Tekrarlama: Bir nedenden dolayı tekrarlanan olaylar - 0.

15) Kontrol listeleri

15. 1 Kart oluşturma

  • Olay/Sebep Kategorisi ve Açıklaması
  • Varlıklar/süreçler/yargı bölgeleri işaretlendi
  • Tahmini P/I (doğal) ve gerekçe ile kalıntı
  • Kontrol Eşlemesi (ID), KRI'lar ve Veri Kaynakları
  • CAPA Planı/Tarihleri/Sahipleri
  • Tırmanma Eşiği ve Tehdit Seviyesi

15. 2 Üç aylık komite

  • Kalıntı ve iştah üstü için ilk 10
  • Yeni/ortaya çıkan riskler, yasalarda/satıcılarda değişiklikler
  • CAPA ve Suçluluk Durumu
  • Kararlar: kabul/azaltmak/aktarmak/önlemek; İştah/eşikleri güncelleme

16) Uygulama Yol Haritası (4-6 hafta)

Hafta 1-2: taksonomi, ölçekler, iştah onaylayın; Bir araç seçin (tablo/BI/IRM). Kritik süreçler için 10-15 başlangıç kartı oluşturun.
3-4. Haftalar: Riskleri kontroller ve KRI'larla ilişkilendirin; Bir ısı haritası/gösterge panoları oluşturun; Risk komitesi kurulsun.
5-6. Haftalar: Top-5 için niceleme uygulamak (FAIR/Monte Carlo ışığı), KRI'lerin toplanmasını otomatikleştirmek, yükselmeleri resmileştirmek ve yönetim kurulu raporlaması.

17) İlgili wiki bölümleri

İç kontroller ve denetimleri, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM ve SLA, Olaylar ve Sızıntılar, DR/BCP, Log Policy ve WORM - tüm döngü için "risk? Kontrol? Metrik? Kanıt".

TL; DR

Çalışma riski kaydı = açık taksonomi + standart ölçekler + iştah/eşikler - sahipleri, kontrolleri ve KRI'leri olan kartlar - ısı haritası ve komiteler - En büyük riskler ve zamanında CAPA'lar için öncelikli niceleme. Bu, riskleri yönetim kurulu ve düzenleyiciler için yönetilebilir, karşılaştırılabilir ve kanıtlanabilir kılar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.