Risk puanlama ve önceliklendirme

1) Amaç ve sonuçlar

• Karşılaştırılabilir (birleşik ölçekler ve formüller),
• Şeffaf veri kaynakları ve varsayımlar belgelenmiştir),
• Ölçülebilir (kontrollere ve olaylara bağlı metrikler ve KRI),
• Yürütülebilir (her risk, son kullanma tarihi olan bir CAPA/feragat planına karşılık gelir).

Çıktılar: birleşik risk kaydı, öncelikli önlem birikimi, ısı haritaları, artık risk raporları, denetime hazır eserler.

2) Şartlar ve risk seviyeleri

İçsel Risk - risk hariç kontroller.
Kalıntı Risk - mevcut kontrolleri dikkate alan risk (doğrulanmış ToD/ToE/CCM).
Hedef Risk - CAPA/telafi edici önlemlerden sonra hedef seviye.
Olabilirlik (L) - değerlendirme ufkunda senaryo oluşma olasılığı.
Etki (I) - en büyüğü: finans, lisanslar/hukuk, gizlilik/veri, operasyonlar/SLO, itibar.
KRI - L/I'yi etkileyen risk göstergeleri (örneğin, dsar_response_p95, ters ibraz oranı).

3) Ölçekler ve temel modeller

3. 1 Ayrık matris (5 × 5 veya 4 × 4)

Skor = L × I - aralık 1-25 (veya 1-16).

• 20-25 = Kritik, 12-19 = Yüksek, 6-11 = Orta, 1-5 = Düşük.
• Eşikler Puanlama Politikasında yayınlanır ve her zaman tüm alanlar için geçerlidir.

• 1 -> 3 yılda bir; 2 - her 1-3 yılda bir; 3 - yıllık; 4 - üç ayda bir; 5 aylık/daha sık.

• 1 - <10k €; 2 - €10-100k; 3 - €100-300k; 4 - 300 k- 1 milyon avro; 5 -> 1 milyon avro; yasal/lisanslama riskleri ile seviye en az 4-5'e yükselir.

3. 2 Kantitatif modeller

ALE (Annualized Loss Expectation): 'ALE = SLE × ARO', burada 'SLE' olay başına ortalama hasar, 'ARO' yılda beklenen sıklıktır.
FAIR yaklaşımı (basitleştirmede): Sıklığı (Tehdit Olayı Sıklığı) ve kayıpların değerini (Kayıp Büyüklüğü) simüle ediyoruz, bir karar vermek için persentilleri (p50/p95) kullanıyoruz.
Monte Carlo: Frekans ve hasar dağılımları (lognorm/gamma, vb.), 10-100k çalışır - kayıp eğrileri (kayıp aşım eğrisi). En pahalı/düzenleyici kritik riskler için başvurun.

Öneri: Vakaların %80'i - matris 5 × 5, %20 (en yüksek riskler) - ALE/FAIR/Monte Carlo.

4) Artık ve hedef risk

1. "Kontrol yok" varsayımlarından Doğan'ı hesaplayın.
2. Mevcut kontrollerin etkinliğini göz önünde bulundurun (test edilmiş ToD/ToE/CCM).
3. Planlanan CAPA/telafi edici önlemleri ve başarı tarihini dikkate alarak Hedef belirleyin.
4. Hedef tolerans eşiğini (risk iştahı) ≤ - tamam; değilse, son kullanma tarihi olan feragat ve telafi edici kontroller gereklidir.

5) Veri kaynakları ve kanıtlar

Metrikler ve KRI (gösterge panoları, günlükler, olay raporları).
Kontrol testi sonuçları (CCM), denetimler (iç/dış).
Sağlayıcı raporları: Veri konumlarındaki SLA/sertifikalar/olaylar/değişiklikler.
Finansal analiz: para cezaları, ters ibraz, dolandırıcılık kaybı %.
Her skora bir zaman damgası ve bir hash makbuzu (WORM) ile kanıt bağlantıları eşlik eder.

6) Girişimlerin önceliklendirilmesi (risk transferi - eylem)

6. 1 RICE (risk adaptasyonu)

'RICE = (Reach × Impact_adj × Confidence )/Zahmetli'

Erişim - kaç müşteri/işlem/yargı alanı etkilenir.
Impact_adj - dönüştürülmüş I (veya ALE/loss p95).
Güven - derecelendirmelerin güvenilirliği (0. 5/0. 75/1. 0).
Çaba - adam-hafta/maliyet.
RICE sıralama - hızlı kazanır.

6. 2 risk ayarlı WSJF

'WSJF = Gecikme Maliyeti/İş Büyüklüğü', где

'Gecikme Maliyeti = Risk Azaltma + Zaman Kritikliği + İş Değeri'.

Risk Azaltma, Rezidüel/ALE'de beklenen düşüştür.
Zaman Kritikliği - düzenleyicilerin/denetimlerin son tarihleri.
İş Değeri - gelir/tasarruf, müşteri güveni.

6. 3 Düzenleyici öncelik

Risk lisanslarla/yasalarla ilgiliyse ve zor bir son tarih varsa, "ekonomik" puanlamaya bakılmaksızın otomatik olarak Kritik/Yüksek'e düşer.

7) Eşik kuralları ve yükselmeleri

Kritik: acil triyaj, 30 gün ≤ CAPA, 60-90 gün içinde yeniden denetim; Haftalık komite.
Yüksek: CAPA ≤ 60 gün, takip 90 gün.
Orta: Üç aylık plana dahil.
Düşük: izleme + "teknoloji borcu" slot yeteneği.
KRI eşikleri: Amber (uyarı) ve Kırmızı (zorunlu eskalasyon ve CAPA).

8) Roller ve RACI

9) Panolar

Risk Isı Haritası: matris 5 × 5, etki alanına/ülkeye/sağlayıcıya göre filtreler.
Risk Hunisi: Doğasında Var? Artık? Hedef.
ALE/p95 Kaybıyla Üst-N: kantitatif riskler.
KRI İzleme Listesi: göstergeler ve eşikler, Amber/Kırmızı alarmlar.
CAPA Etkisi: beklenen/fiili azalma; zaman çizelgelerinde ilerleme.
Feragat: mevcut istisnalar, son tarihler ve telafi edici önlemler.

10) Performans metrikleri

Risk Azaltma Endeksi: ∆ ağırlıklı ortalama risk oranı (çeyrek/çeyrek).
Zamanında CAPA: Önlemlerin % zamanında (ciddiyetine göre).
Bulgular (12 ay): Tekrarlanan ihlallerin oranı.
Kanıt Bütünlüğü: Tam paket ile % risk (Yüksek + için %100 hedef).
Tahmin Doğruluğu: Tahmini ve gerçek kayıpların/frekansların tutarsızlığı.
Deneme Zamanı/Plan Zamanı/Hedef Zamanı.

11) SOP (standart prosedürler)

SOP-1: Başlatma ve ölçekler

L/I ölçeklerini ve kategori eşiklerini tanımlayın - Komitede onaylayın - depodaki kayıt (sürüm oluşturma).

SOP-2: Üç aylık yeniden değerleme

KRI/olayların toplanması - L/I/ALE'nin yeniden hesaplanması - sahipler tarafından gözden geçirilmesi - komite önceliklendirmesi - Yol Haritası'nın yayınlanması.

SOP-3: Tetik Olayı

Kritik/Yüksek olay durumunda - planlanmamış yeniden hesaplama, CAPA'nın ayarlanması ve öncelikler.

SOP-4: Kantitatif analiz (Üst riskler)

Giriş dağılımlarını hazırlayın - Monte Carlo (≥10k çalışır) - kayıp eğrileri - Komite kararı.

SOP-5: Arşiv ve kanıt

Dilimleri dışa aktar (CSV/PDF) + hash makbuzları> WORM arşivi> GRC kartlarındaki bağlantılar.

12) Şablonlar ve "kod olarak"

12. 1 Puanlama politikası (snippet)

scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Risk Kartı (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Önceliklendirme (WSJF örneği)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Telafi edici önlemler ve feragatlar

• Performans ölçümleri ile telafi edici kontroller (manuel kontroller, limitler, ek izleme) sunuyoruz;
• Son kullanma tarihi, sahibi ve değiştirme planı ile feragat ediyoruz;
• 30-90 gün içinde zorunlu yeniden denetim.

14) Antipatterns

KRI/kontroller/olaylarla bağlantısı olmayan "güzel matris".
Kayan ölçekler ve istenen sonuca "manuel ayarlama".
Hesaplama ve varsayımların sürüm eksikliği.
Nadir revizyonlar - harita gerçeği yansıtmaz.
Son kullanma tarihi ve telafi edici önlemleri olmayan feragatnameler.
Üst riskler için kantitatif analiz eksikliği.

15) Olgunluk modeli (M0-M4)

Ad-hoc: "gözle" tahminler, tek bir politika yoktur.
M1 Planlanan: matris 5 × 5, üç aylık güncellemeler, temel gösterge panoları.
M2 Managed: KRI/CCM ile iletişim, CAPA bağlantısı, WORM kanıtı.
M3 Entegre: Üst riskler için ALE/FAIR/Monte Carlo, Yol Haritasında WSJF/RICE, CI/CD kapıları.
M4 Sürekli Güvence: Tahmini KRI, otomatik yeniden hesaplama, öneri öncelikleri ve tasarımın kanıtı.

16) İlgili wiki makaleleri

Isı risk haritası

Risk Bazlı Denetim (RBA)

KPI'lar ve uyumluluk metrikleri

Sürekli Uyumluluk İzleme (CCM)

İyileştirme Planları (CAPAs)

Politika ve uyumluluk deposu

Uyumluluk Yol Haritası

Dış denetçilerin dış denetimleri

Toplam

Risk puanlama ve önceliklendirme bir sanat değil, bir mühendislik disiplinidir: istikrarlı ölçekler ve politikalar, kanıtlanabilir veriler, en büyük riskler için nicel yöntemler, açık eşikler ve yükselmeler ve CAPA ve yol haritasına doğrudan bir bağlantı. Bu yaklaşım, kararları öngörülebilir hale getirir, onayları hızlandırır ve işletmenin genel riskini azaltır.