熱風險圖

1）目的和價值

風險熱圖（Risk Heatmap）是通過「概率×影響」矩陣對風險進行排名和通信的視覺工具，與控制，度量和行動計劃相關。

• 一種單一的優先排序語言（商業、商業、法律）；
• 透明的SARA/投資解決方案；
• 跟蹤揚聲器（措施之前/之後），準備就緒。

2）分類學和覆蓋範圍

• 監管機構/許可證,隱私/數據,IB/技術流程, 付款/AML/KYC,運營/可用性,營銷/負責任廣告,供應商/VRM。

• 轄區/市場，業務線/產品，服務/平臺，關鍵提供商。

3）概率與影響量表

3.1概率（5級量表示例）

1.很少（每次>3 年/p <5%）

2.低（每1-3年一次）

3.平均（每年）

4.高（季度）

5.非常高（每月/更頻繁）

3.2影響（多因素）

• 財務：直接損失/罰款/充電。
• 許可證/法律後果：暫停、禁止、調查。
• 隱私/數據：PII的範圍，通知，監督行動。
• Operation/Uptime：MTTR，SLO，中斷版本，RTO/RPO。
• 聲譽：媒體，社交媒體，合作夥伴制裁。
• 1-5比例尺具有明確的閾值（例如：1：<10k，5：>1m）。

4）評分和風險水平

個人風險：「Score=Likelihood × Impact」（1-25）。

• 20-25-Critical（紅色）
• 12-19-High（橙色）
• 6-11-Medium（黃色）
• 1-5-Low（綠色）
• 剩余風險：在考慮到目前的控制之後（效率由ToD/ToE/CCM確認）。
• 目標風險（Target）：在計劃措施之後；記錄到達日期。

5）數據源和與控制器的通信

GRC註冊表：風險說明，所有者，當前/目標評估。
SSM/度量標準：通過率控制規則，事件，KRI。
供應商/VRM：證書，SLA，事件，數據位置更改。
財務/付款：罰款，收費率，欺詐率。
影響量表的所有值都必須具有事件參考（logi/report）和時間戳。

6）聚合與整合

Bottom-up：從服務/轄區到域和公司。
聚合規則：Impact的最大值，Likelihood的溫度或加權中位（按業務量）。
單個層（layers）：內置（無控制）、住宅（帶控制）、目標（在CAPA之後）。
分享相關風險（例如一般的基礎設施漏洞）和獨立風險。

7）可視化

帶顏色編碼的矩陣5 × 5；使用彈出卡的交互式風險點（說明、所有者、控制、CAPA）。
圖層開關：Inherent/Residual/Target。
過濾器：管轄權，產品，域，提供商，時期。
「前/之後」措施趨勢和30-90天的「漂移」（漂移）。

8）角色和RACI

9）KRI和升級閾值

• 隱私：dsar_response_p95，TTL刪除，投訴/監察員。
• 安全：p95 TTR漏洞，關鍵的「紅色」CCM規則份額，SoD違規。
• 薪水：chargeback ratio, fraud loss%, win-rate上訴。
• 操作：SLO突破率，p1/p2事件，RTO/RPO測試。
• 升級：Amber在退出警告閾值時,Red是強制性的CAPA和關鍵區域的「停止線」。

10）與CAPA的決策和溝通

對於每個「紅色」點，必須制定一項行動計劃：Corrective/Preventive，所有者，截止日期，預算，KPI成功。

• 批評：CAPA ≤ 30天，re-audit 60-90天；委員會每周舉行一次。
• 高度：CAPA ≤ 60天，觀察90天。
• Medium/Low：進入季度/半年度計劃。
• 如果無法減少，則為具有到期日期和補償控制的Waiver。

11）Dashbords（最低）

Heatmap View：當前矩陣+住宅/目標層。
風險趨勢：分數動態，「在CAPA之前/之後」。
Controls Linkage：風險通過CCM，「紅色」門。
監管曝光：司法管轄區和許可證風險。
Vendor Risk：關鍵供應商熱卡（證書、SLA、事件）。
審核就緒：完全無拘無束的證據/風險哈希收據。

12）效率指標

風險減少指數：按季度∆加權平均風險懸崖。
上次CAPA：按時計費的百分比（按severity）。
Repeat Findings （12個月）：按相關風險重播的比例。
Evidence Completeness：全套證據的風險百分比。
Drift After Fix： 30-90天後返回「紅色」區域的案例。
Coverage：在地圖上反映的業務資產/司法管轄區的份額。

13） SOP（標準程序）

SOP-1： 技術的初始化

確定比額表和門檻→在委員會中商定→記錄在儲存庫中（審查）。

SOP-2： 季度周期

輸入數據收集/KRI →所有者重新計算→評分→委員會決定→發布行車記錄板→導出「審計包」。

SOP-3： 觸發事件

在Critical/High事件中-計劃外地圖更新，綁定到CAPA和重新審核計劃。

SOP-4： 溫多爾賽道

VRM調查/證書→供應商風險更新→鏡像措施確認（Vendor Mirror）。

SOP-5： 檔案和證據

快照熱圖（PDF/PNG/CSV）+哈希收據→ WORM存檔→ GRC中的鏈接。

14）工件模板

14.1風險卡（片段）

ID/名稱、所有者、域名/司法管轄區

Likelihood/Impact/Inherent/Residual/Target

控制（ID，度量，CCM規則）

KRI和實際值

CAPA/Waivers,日期,預算,KPI

Evidence鏈接和哈希收據

14.2量表政策（摘錄）

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14.3前後報告"

heatmap截圖（Residual vs Target）

風險變化表∆

執行CAPA、可持續性指標

15）反模式

「美麗的圖片」不涉及控制/KRI和CAPA。
模糊量表→估計的操縱。
缺乏考試成績/分數變化的證據。
在沒有匯總規則的情況下匯總不可比風險。
罕見的更新→地圖並不能反映現實。
Waivers沒有時間表和補償措施。

16）成熟度模型（M0-M4）

M0 Ad-hoc：一次性圖片,沒有方法/指標。
M1計劃：商定比額表，季度更新。
M2可管理：與控制/KRI、CAPA、dashbords、WORM存檔的捆綁。
M3集成：自動重新計算（CCM），policy -/assurance-as-code，司法管轄區/供應商切片。
M4連續保證：謂詞KRI，腳本建模，「如果」，優先級建議。

17）相關文章wiki

以風險為導向的審計（RBA）

KPI和合規度量

連續合規性監控（CCM）

補救計劃（CAPA）

重復審計和執行情況監測

策略和規範存儲庫

合並路線圖

合作夥伴合規指南/VRM

底線

熱風險圖不是報告，而是控制機制：統一量表，與控制和KRI的通信，定期更新，可證明的解決方案以及措施後的可持續性控制。這種方法使優先級客觀化，加快委員會決策並保持持續的「審核就緒」準備。