風險登記冊和評估方法
1)註冊表中的原因和內容
目的:建立統一的系統來描述、評估、優先考慮和監測影響金錢的風險、許可證、參與者、數據和聲譽。
覆蓋範圍:產品/工程(SDLC/事件),財務和支付(PSP/結論),KYC/AML/制裁,隱私(GDPR),TPRM/供應商,營銷/SDK,數據(DWH/BI),基礎設施/雲/數據。R,劄幌操作和VIP。
2)風險分類法(示例)
信息安全和隱私:PII/KYC泄漏,未經授權的訪問,無法編譯,DSAR偽造。
法規/合規性:違反許可證條款,AML/KYC/制裁,廣告禁令。
運營/技術:PSP/KYC市區,發布缺陷,後期退化,DR事件。
欺詐/濫用:欺詐存款,獎勵借口,付款攻擊模式。
財務:合作夥伴流動性,沖擊,專註於單個PSP。
Vendor/供應鏈:易受攻擊的SDK, TOM低的子處理器。
聲譽/客戶:投訴激增,NPS下降,RG違規。
戰略/地緣政治:制裁,稅收/法律變更,交通堵塞。
3)風險卡(必填字段)
ID/風險名稱
類別(來自分類學)
事件描述(可能發生的事情)和原因
受影響資產/流程/司法管轄區
風險所有者(風險所有者)和策展人(Sponsor)
現有控制(預防/偵探/糾正)
控制前的概率(P)和影響(I)(單數)
控制後殘余風險(居住)
處理計劃: 減少/避免/接受/轉讓
升級閾值/威脅級別(Low/Medium/High/Critical)
KRI和觸發器、指標和數據源
狀態和期限(Next Review)、相關的SARA/tikets
與控制註冊表(ID控制)和策略的通信
審計/委員會的評論(最近的決定)
4)評分量表(默認為5 × 5)
4.1概率(P)
1-很少(<1/5年)
2-低(1/2-5歲)
3-平均每年)
4-高(季度)
5-非常高(月份/頻率)
4.2影響(I)-從分支中選擇最大值
財務: 1: <10k· 2:10-100 k· 3: 100k-1m· 4: 1-5m· 5:> 5m
隱私/數據: 1: <1k條目·5:> 1M條目/特別條目
監管機構/許可證: 1:警告·3:罰款/檢查·5:吊銷許可證
可用性(SLO/SLA): 1:<15 min· 5:>關鍵區域8小時
最終得分:'R=P × I' →級別:1-5 Low,6-10 Medium,12-16 High,20-25 Critical。
(閾值可以適應公司。)
5)熱卡矩陣和風險偏好
風險附錄: 域公差文檔(例如,PII泄漏-零容忍度;市區P95-≤ X分鐘/月;chargeback rate — ≤ Y%).
Heatmap:R成像5 × 5;高於胃口-需要CAPA的計劃和時間表。
風險預算:「接受」風險的配額,並附有理由(經濟可行性)。
6)評估方法
6.1質量(快速啟動)
根據P/I量表進行專家評估+理由,與事件歷史和KRI數據進行對賬。
6.2定量(Top-10的優先級)
FAIR方法(簡化):事件頻率×損害概率分布(P10/P50/P90);用於比較下降選項。
Monte Carlo (1000-10k運行):損壞和頻率變異性→ Loss Exceedance Curve(損失概率>X)。
TRA(目標風險分析):用於選擇監控/控制頻率的點分析(與PCI/供應商相關)。
7) KRI和來源
域的示例:- 可用性/操作:MTTR、5xx錯誤、P95 latency、P1/P2事件、%自動軌跡、群集容量。
- 安全/隱私:%MFA封面,嘗試信用擠壓,不尋常的出口,DSAR SLA,反惡意標誌。
- 付款:PSP收費率、chargeback收費率、銀行故障、手持卡索份額。
- KYC/AML:TAT,假正價,制裁命中,升級份額。
- 供應商:SLA合規性、潛伏期漂移、事件發生率、證書相關性。
KRI與風險相關聯,並在超出閾值時觸發升級。
8)風險生命周期(工作流)
1.卡的識別→註冊。
2.評估(單一)→控制制圖→駐地評估。
3.處理解決方案(處理)和CAPA計劃(日期/所有者)。
4.監視KRIs/事件,更新卡片。
5.季度風險委員會:Top-N修訂,重新定義食欲。
6.關閉/合並或轉換為監視(觀察列表)。
9)與管制和審計的溝通
每個風險都必須引用特定的控制(請參閱「內部控制及其審核」):- 預防:RBAC/ABAC,SoD,限制,加密,WebAuthn,分段。
- 偵探:SIEM/Alerts,對賬,WORM博客,UEBA。
- 糾正:回扣,付款鎖定,鑰匙召回,緊急補丁。
- 在DE/OE審核中,檢查對照組將風險降低到食欲並穩定運行。
10)卡示例(YAML,片段)
10.1通過Vendor SDK泄漏PII (Tier-1)
yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5 # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-1510.2 PSP退化:付款授權失敗
yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"11)匯總和投資組合管理
Top-N (Risk Register View):按住宅R和「高於食欲」排序。
主題(風險主題):集群(供應商,隱私,PSP)→主題所有者。
相互依存的地圖:riski↔kontroli↔vendory↔protsessy。
場景和壓力測試:如果「PSP#1和KYC#1沒有2小時?」-總損失評估和行動計劃。
LEC (Loss Exceedance Curve):理事會/董事會年度損失概況。
12)升級閾值和信號
運營:SLO/SLA違規行為→事件P1/P2。
合規性/保密性:重建過多,DSAR未完成,導出沒有「purpose」 → DPO/Legal立即升級。
Vendor:在供應商處重復SLA中斷→ CAPA,合同修訂。
金融:chargeback退出>閾值→手動檢查、限額/獎金調整。
13)RACI(集合)
14)風險管理體系指標(KPI/KRI)
Coverage: 100%的關鍵流程都有記錄的風險和所有者。
時間回顧:≥ 95%的卡片按時修改。
Above Appetite: ↓ QoQ風險比例高於食欲。
CAPA Closure (High/Critical):按時≥ 95%。
檢測拉格:從KRI偏轉到升級(趨於↓)的時間中位數。
事件恢復:重復事件的一個原因-0。
15)支票單
15.1卡片制作
- 事件/原因的類別和描述
- 資產/流程/管轄區註明
- P/I(獨立)和有理由的居民評分
- Mapping Control (ID), KRI和數據源
- SARA計劃/時限/所有者
- 升級閾值和威脅級別
15.2季度委員會
- 按居住和食欲排名前10位
- 新的/發育中的風險,法律/供應商的變化
- CAPA狀態和逾期
- 決定:接受/減少/轉讓/避免;更新食欲/閾值
16)實施路線圖(4-6周)
第一至第二周:批準分類法,規模,食欲;選擇工具(表/BI/IRM)。根據關鍵過程創建10-15張起始卡。
3-4周:將風險與控制和KRI聯系起來;建造熱卡/dashbords;啟動風險委員會。
5-6周:引入Top-5量化(FAIR/Monte Carlo light),自動收集KRI,正式升級和向董事會報告。
17)相關的wiki部分
內部控制及其審計,ISO 27001/27701,SOC 2,PCI DSS,IGA/RBAC/Least Privilege,TPRM和SLA,事件和泄漏,DR/BCP,Log Policy和WORM-用於整個「風險→控制→證據指標」周期→".
TL;DR
工作風險登記冊=清晰的分類法+標準化量表+食欲/閾值→與所有者、控制者和KRIs的卡片→熱卡和委員會→按時優先量化頂級風險和CAPA。這使得風險是可管理的,可比較的,並且可以證明對董事會和監管機構。