Комітет з управління ризиками та комплаєнсу

1) Призначення і мандат

• формує і підтримує Risk Appetite і принципи відповідності;
• затверджує ключові політики/стандарти та їх зміни;
• контролює ключові ризики (операційні, регуляторні, ІБ/приватність, фінансові, треті сторони);
• встановлює метрики та SLO/SLA комплаєнсу та контролює їх досягнення;
• вирішує питання ескалації та конфлікту пріоритетів;
• забезпечує «audit-ready» стан (доказова база, протоколи рішень).

2) Склад і незалежність

• Керівник комплаєнсу/DPO (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finance (для оцінки впливу)
• Представник бізнесу/продукту (VP/Director)
• Керівник платформи/інфраструктури або CTO-delegate

• Внутрішній аудит (спостерігач)
• HR/L & D (навчання/атестації)
• Procurement/Vendor Mgmt (треті сторони)
• Data/Platform (DWH/Lineage/CCM)

Принципи незалежності: відсутність конфлікту інтересів, документування recusals (самовідводів), фіксування ролі спостерігачів.

3) RACI Комітету

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Регламент і періодичність

Звичайний режим: раз на місяць (90 хвилин) + щотижневий експрес-моніторинг KPI/KRI (15 хв).
Кризовий режим (інцидент/регулятор): засідання кожні 24-48 год до стабілізації.
Кворум: ≥ 2/3 голосуючих, включаючи одного co-chair.
Рішення: проста більшість; по high-risk - 2/3 і право вето у co-chairs (фіксувати в статуті).

5) Вхідні артефакти (inputs)

Risk Register і Heatmap (оновлені KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Change Log з політиків (Major/Minor/Emergency).
Waivers-реєстр з датами закінчення і компенсуючими контролями.
Incidents & Findings: Sev1/Sev2, повторюваність, статус ремедіації.
Vendor Risk: критичні провайдери, порушення SLA/сертифікатів.
Аудит/асесменти: статуси, відкриті зауваження, готовність «по кнопці».

6) Виходи та артефакти (outputs)

Протокол рішень з owner, due date, severity і очікуваним ефектом на ризик.
Оновлена Risk Appetite Statement і пріоритети.
Апрув/відхилення політик і винятків (waivers) з умовами.
Ескалаційні листи/рішення для Board/CEO при high-risk.
Комунікаційні one-pagers і завдання для команд (tickeти в ITSM/GRC).

7) Типова повістка (60-90 хвилин)

1. Резюме KPI/KRI і відхилень (10").
2. Інциденти/Sev1-оновлення та уроки (15").
3. Політики: Major-зміни, конфліктні трактування, локалізації (15").
4. Треті сторони: порушення SLA/сертифікатів, субпроцесори (10").
5. Waivers: продовження/закриття, червоні зони (10").
6. Аудит/асесменти: статус готовності і "audit pack" (10").
7. Рішення і розподіл завдань (10").

8) Процедури прийняття рішень та ескалації

Decision card (шаблон): контекст → варіанти → вплив на ризик/вартість → рекомендація → голосування.
Ескалація: якщо ризик> Appetite або прострочення> SLA - винос на Executive/Board.
Review: пост-фактум оцінка ефекту рішення через 30-60 днів (impact review).

9) Інтеграції та наскрізні потоки

RBA (ризик-аудит): findings → порядок денний Комітету → owner/due → контроль закриття.
CCM (безперервний моніторинг): алерти/метрики → пріоритизація правил/порогів.
Policy Lifecycle/Change Mgmt: Major-правки → апрув, комунікація, навчання.
Vendor DD/Outsourcing: скоринг-модель і гап-листи → умови договору/SLA.
Incident Mgmt: плейбуки SOAR/PR/Legal → звіти та уроки.

10) Метрики ефективності Комітету

On-time Remediation: % завдань Комітету, закритих в строк (по severity).
Decision Lead Time: медіана часу від підняття питання до вирішення.
Waiver Hygiene: % винятків з актуальною датою закінчення (мета: 100%).
Repeat Findings: частка повторів за 12 міс (мета: ↓).
Audit Readiness Time: годинник до повного «audit pack».
Risk Reduction Index: ∆ сумарного ризик-скора QoQ.
Communication SLA: % ролей, повідомлених вчасно за Major-рішеннями.

11) Статут Комітету (шаблон)

Мета: нагляд за ризиками та відповідністю; захист інтересів компанії та клієнтів.
Сфера: всі юрисдикції/бізнес-лінії/ІТ-системи/треті сторони.
Повноваження: затвердження політик/винятків; запит даних/аудитів; ескалація в Board.
Склад і кворум: (див. § 2 і § 4).
Конфлікти інтересів: декларації, recusals, журнал.
Протоколи: стандарт повних хвилинок (agenda, рішення, голоси, owner, due, посилання на evidence).
Перегляд статуту: щороку або на вимогу Board.

12) Шаблони документів

12. 1 Decision Card

Тема/Контекст/Нормативи/Ризики

Варіанти та оцінка (вартість, терміни, вплив на SLA/KRI)

Рекомендація та рівень ризику після вирішення

Власник виконання і термін

Підсумок голосування (за/проти/утримався)

12. 2 Протокол засідання

Дата/кворум/учасники

Повістка

Обговорення (коротко, за пунктами)

Рішення (owner, due, метрика успіху)

Відкриті питання/ескалації

Додатки (дашборди, звіти, посилання на WORM-архів)

12. 3 Матриця Risk Appetite (приклад)

13) Дашборди Комітету (мінімум)

Risk Heatmap: ймовірність × вплив × залишковий ризик.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, повторюваність.
Policy Changes: конвеєр Major/Minor/Emergency і статус навчання.
Vendor Risks: сертифікати, SLA, субпроцесори, інциденти.
Waivers & Deadlines: активні/прострочені, ескалації.
Audit Readiness: відсоток «audit pack» за аудитами/сертифікаціями.

14) Календар року Комітету

Щомісяця: регулярна повістка (§ 7).
Щоквартально: перегляд Risk Appetite, тренди KPI/KRI, підсумок по findings.
Півріччя: ревізія ключових політик і waivers-портфеля.
Щороку: статут Комітету, план аудитів/сертифікацій, облік уроків.

15) Кризовий режим (Sev1/Regulatory)

Негайне скликання; battle-rhythm оновлень (наприклад, кожні 4 год).
Єдина комунікація (Legal/PR), контроль Legal Hold.
Рішення щодо контурації доступу/відключення інтеграцій/ізоляції даних.
Окремий протокол інциденту і пост-мортем з діями.

16) Антипатерни

Комітет як «поштова скринька» без повноважень і дедлайнів.
Відсутність протоколів і доказів - спірність на аудиті.
Вічні waivers без дати закінчення і компенсуючих контролів.
Невирішувані повістки: немає decision cards, немає варіантів і оцінки ефекту.
KPI без власників і зв'язку з Risk Appetite.
Конфлікти інтересів без керованих recusals.

17) Модель зрілості Комітету (M0-M4)

M0 Ад-hoc: рідкісні зустрічі, без метрик і протоколів.
M1 Формалізований: статут, кворум, базові протоколи, щомісячні зустрічі.
M2 Керований: дашборди KPI/KRI, decision cards, контроль waivers.
M3 Інтегрований: зв'язок з CCM/RBA/Policy-as-Code, «audit-ready по кнопці».
M4 Assured: прогнозні KRI, автоматична ескалація, регулярні impact-review рішень.

18) Пов'язані статті wiki

Ризик-орієнтований аудит (RBA)

Безперервний моніторинг відповідності (CCM)

KPI та метрики комплаєнсу

Управління змінами в політиці комплаєнсу

Життєвий цикл політик і процедур

Due Diligence і ризики аутсорсингу

Legal Hold і заморожування даних

Підсумок

Сильний Комітет - це не «нарада», а механізм управління ризиком: ясний мандат, незалежність і кворум, дані в дашбордах, рішення з власниками і термінами, контроль виконання і доказова база. Тоді комплаєнс стає передбачуваною опорою стратегії, а не гальмом бізнесу.