風險管理和合規委員會
1)任命和授權
風險管理和合規委員會(以下簡稱委員會)是合議機構,負責:- 形成並維護Risk Appetite和合規原則;
- 核準關鍵政策/標準及其修訂;
- 控制關鍵風險(運營、監管、知識產權、金融、第三方);
- 建立合規性指標和SLO/SLA並監督其實現;
- 處理升級和優先事項沖突;
- 提供「審核就緒」狀態(證據基礎、解決方案協議)。
2)組成和獨立
強制性成員(voting):- Compliance/DPO(合作董事)負責人)
- CISO/Head of Security (co-chair)
- Head of Legal
- Head of Risk/Enterprise Risk
- CFO/財務(用於影響評估)
- 業務/產品代表(VP/Director)
- 平臺/基礎架構主管或CTO delegate
- 內部審計(觀察員)
- HR/L&D(培訓/認證)
- Procurement/Vendor Mgmt(第三方)
- Data/Platform (DWH/Lineage/CCM)
獨立原則:不存在利益沖突,記錄記錄(自我報告),記錄觀察員的作用。
3)委員會的RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
4)規則和頻率
常規模式:每月一次(90分鐘)+每周KPI/KRI快速監控(15分鐘)。
危機制度(事件/監管機構):在穩定之前每24至48小時舉行一次會議。
法定人數:≥ 2/3的投票人,包括一名共同主席。
解決方案:簡單多數;高風險為2/3,而否決權則由co-chairs(記錄在法規中)。
5)傳入文物(inputs)
Risk Register和Heatmap(更新的KRI)。
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
政策變更記錄(主要/次要/緊急情況)。
帶有到期日期和補償控制的Waivers註冊表。
Incidents&Findings:Sev1/Sev2,可重復性,重復狀態。
Vendor Risk:關鍵提供商,SLA/證書違規行為。
審計/評選:狀態、公開評論、「按鍵」準備。
6)出口和文物(outputs)
解決方案協議,具有所有者,盡職調查和預期風險影響。
更新的Risk Appetite聲明和優先事項。
有條件的策略和例外(waivers)的apruv/拒絕。
高風險的Board/CEO升級信/解決方案。
通信一頁和團隊任務(ITSM/GRC中的標記)。
7)示範議程(60-90分鐘)
1.KPI/KRI和異常摘要(10英寸)。
2.事件/Sev1更新和教訓(15英寸)。
3.政策:主要變化,沖突解釋,本地化(15英寸)。
4.第三方:違反SLA/證書,子處理器(10英寸)。
5.Waivers:擴展/關閉,紅色區域(10英寸)。
6.審計/摘要:準備狀態和"審核包"(10")。
7.解決方案和任務分配(10")。
8)決策和升級程序
決策卡(模板):上下文 選項 風險/成本影響 建議 表決 。
升級:如果風險>Appetite或逾期>SLA-Executive/Board外賣。
評論:事後評估30-60天後的決策效果(影響評論)。
9)集成和端到端流
RBA(風險審計):findings →委員會議程→ 所有者/due →關閉控制。
CCM(連續監測):Alerts/度量標準 →規則/閾值的優先級。
Policy Lifecycle/Change Mgmt:主要編輯→ apruv,溝通,培訓。
Vendor DD/Outsourcing:得分模型和差距表→ 合同/SLA條款。
Incident Mgmt:SOAR/PR/Legal花花公子→報告和教訓。
10)委員會績效指標
重新定期:委員會按時結束任務的百分比(按性別分列)。
決策領導時間:從提出問題到解決的時間中位數。
Waiver Hygiene:當前到期日的%例外(目標:100%)。
Repeat Findings:12個月內重播的比例(目標:↓)。
審計準備時間:一個小時到完整的「審計包」。
風險減少指數:QoQ總風險∆。
Communication SLA:根據主要解決方案及時通知的角色百分比。
11)委員會章程(模板)
目標:風險和合規監督;保護公司和客戶的利益。
範圍:所有轄區/業務線/IT系統/第三方。
權力:批準政策/例外;查詢數據/審計;升級到董事會。
組成和法定人數:(參見第2和第4節)。
利益沖突:聲明,記錄,期刊。
協議:全分鐘標準(agenda,決定,聲音,所有者,due,對事件的引用)。
章程修訂:每年或應董事會要求。
12)文檔模板
12.1 Decision Card
主題/背景/規範/風險
選擇和評估(成本、時間、對SLA/KRI的影響)
決定後的建議和風險水平
執行所有者和期限
投票總數(贊成/反對/棄權)
12.2會議紀要
日期/法定人數/參與者
二.議程
討論(簡要介紹項目)
解決方案(owner, due,成功指標)
公開問題/上報
應用程序(dashbords,報告,WORM存檔鏈接)
12.3 Risk Appetite矩陣(示例)
13)委員會的達什伯德(最低)
風險熱圖:概率×影響×殘留風險。
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents&Findings:Sev1/Sev2,MTTR,可重復性。
政策變化:專業/次要/緊急流水線和學習狀態。
Vendor Risks:證書、SLA、子處理器、事件。
Waivers&Deadlines:主動/過期,升級。
審計準備:審計/認證的「審計包」百分比。
14)委員會年度日歷
每月:定期傳票(第7條)。
每季度:Risk Appetite修訂版,KPI/KRI趨勢,findings總數。
上半年:對關鍵政策和Waivers投資組合的修訂。
每年:委員會章程,審計/認證計劃,吸取教訓。
15)危機處理(Sev1/Regulatory)
立即召集;戰鬥節奏更新(例如,每4小時)。
統一通信(法律/PR),法律保持控制。
訪問回路/禁用數據集成/隔離解決方案。
一個單獨的事件協議和帶有行動的後太平間。
16)反模式
該委員會是「郵箱」,沒有權力和截止日期。
缺乏協議和證據是審計中的爭議。
永恒的等待者,沒有到期日期和補償控制。
懸而未決的議程:沒有決策卡,沒有選擇和效果評估。
KPI沒有所有者,也沒有與Risk Appetite的聯系。
沒有托管回收的利益沖突。
17)委員會成熟度模式(M0-M4)
M0地獄專用:罕見的會議,沒有指標和協議。
M1正式化:章程,法定人數,基本協議,每月會議。
M2可控:KPI/KRI dashboards, decision cards, waivers控制。
M3集成:與CCM/RBA/Policy-as-Code的通信,「按鍵試用」。
M4 Assured:預測KRI、自動升級、定期影響審查解決方案。
18)相關的wiki文章
以風險為導向的審計(RBA)
連續合規性監控(CCM)
KPI和合規度量
法規遵從性政策變更管理
策略和過程生命周期
盡職調查與外包風險
法律保留和數據凍結
底線
強大的委員會不是「會議」,而是風險管理機制:明確的任務授權,獨立性和法定人數,行車記錄簿中的數據,與所有者和時間表有關的決定,績效控制和證據基礎。然後,合規性成為可預測的戰略支柱而不是業務的剎車。