Ризик-орієнтований аудит

1) Суть ризик-орієнтованого аудиту (RBA)

• Пріоритет там, де поєднання ймовірності і впливу максимальні.
• Оцінка властивого ризику (без контролів) і залишкового ризику (з урахуванням контролів).
• Безперервний перегляд оцінки в міру зміни ландшафту ризиків (продукт, ринок, регуляторика, інциденти).

2) Терміни і рамки

Аудит-універсум - каталог процесів, систем, локацій, постачальників і регуляторних обов'язків, що потенційно підлягають аудиту.
Heatmap ризиків - візуалізація «Ймовірність × Вплив» з градацією за пріоритетами.
Risk Appetite/Tolerance - заявлена готовність компанії приймати ризик в заданих межах.
Рівні контролю - превентивні/детективні/коригуючі; дизайн і операційна ефективність.
Лінії захисту - 1-ша (бізнес та операції), 2-га (ризик/комплаєнс), 3-тя (внутрішній аудит).

3) Побудова аудит-універсуму

• Процеси: платежі, KYC/KYB, AML-моніторинг, управління інцидентами, DSAR, ретенція.
• Системи: ядро транзакцій, DWH/даталейк, IAM, CI/CD, хмари, DLP/EDRM.
• Юрисдикції та ліцензії, ключові вендори та аутсорсери.
• KPI/KRI, історія інцидентів/порушень, зовнішні Findings/санкції.
• Грошовий і репутаційний ефект, критичність для регуляторів (GDPR/PCI/AML/SOC 2).

4) Методологія оцінки ризику

1. Притаманний ризик (IR): складність процесу, обсяг даних, грошові потоки, зовнішні залежності.
2. Дизайн контролів (CD): наявність, покриття, зрілість політики-як-коду, автоматизація.
3. Операційна ефективність (OE): стабільність виконання, метрики MTTD/MTTR, рівень дрейфу.
4. Залишковий ризик (RR): 'RR = f (IR, CD, OE)'- нормуйте за шкалою (наприклад, 1-5).
5. Фактори-модифікатори: зміни регуляторики, нещодавні інциденти, результати минулих аудитів, ротація персоналу.

Приклад шкали впливу: фінансовий збиток, регуляторні штрафи, простої SLA, втрата даних, репутаційні наслідки.
Приклад шкали ймовірності: частота подій, експозиція, складність атак/зловживань, історичні тренди.

5) Пріоритизація і річний план аудиту

Сортуйте одиниці аудиту по залишковому ризику і стратегічної важливості.
Привласніть частоту: щорічно (високий), раз на 2 роки (середній), з моніторингу/тем (низький).
Увімкніть тематичні перевірки (наприклад, «Видалення та анонімізація даних», «Сегрегація обов'язків (SoD)», «PCI сегментація»).
Плануйте ресурси: навички, незалежність, уникайте конфлікту інтересів.

6) RACI і ролі

(R — Responsible; A — Accountable; C — Consulted)

7) Підходи до тестування контролів

Walkthrough: простежити потік «наскрізної транзакції »/даних.
Design effectiveness: перевірка наявності та доречності політики/контролю.
Operating effectiveness: вибіркова перевірка виконання за період.
Re-performance: відтворення розрахунків/сигналів правилами CaC.
CAATs/DA (computer-assisted audit techniques / data analytics): SQL/пітон-скрипти, контрольні запити до вітрин Compliance, порівняння IaC ↔ фактичних конфігів.
Continuous auditing: вбудовування контрольних тестів в шину подій (stream/batch).

8) Вибірка (sampling)

Статистична: випадкова/стратифікована, визначайте розмір за рівнем впевненості і допустимої помилки.
Цільова (judgmental): high-value/високий ризик, недавні зміни, винятки (waivers).
Аномальна: висновок з аналітики (outliers), near-miss інциденти, «топ порушники».
Наскрізна (100%): де можливо, використовуйте автоматизовану перевірку всього масиву (наприклад, SoD, TTL, санкційний скринінг).

9) Аналітика та джерела доказів (evidence)

Логи доступу (IAM), трасування змін (Git/CI/CD), конфіги інфраструктури (Terraform/K8s), звіти DLP/EDRM.
Вітрини «Compliance», журнали Legal Hold, DSAR-реєстр, звіти AML (SAR/STR).
Знімки дашбордів, експорт CSV/PDF, хеш-фіксація і WORM/immutability.
Протоколи інтерв'ю, чек-листи, артефакти тікетингу/ескалацій.

10) Проведення аудиту: SOP

1. Попередня оцінка: уточнити цілі, критерії, межі, власників.
2. Запит даних: список вивантажень, доступів, конфігурацій, період вибірки.
3. Польові роботи: walkthrough, контрольні тести, аналітика, інтерв'ю.
4. Калібрування висновків: зіставити з Risk Appetite, з нормативами і політиками.
5. Формування Findings: факт → критерій → вплив → причина → рекомендація → власник → термін.
6. Closing meeting: узгодження фактів, статусу і планів remediation.
7. Звіт і подальше спостереження: випуск, рейтинг, терміни закриття, повторна перевірка.

11) Класифікація Findings і рейтинг ризику

Severity: Critical/High/Medium/Low (прив'яжіть до впливу на безпеку, комплаєнс, фінанси, операції, репутацію).
Likelihood: Часта/Можлива/Рідкісна.
Risk score: матриця або числова функція (наприклад, 1-25).
Theme tags: IAM, Data Privacy, AML, PCI, DevSecOps, DR/BCP.

12) Метрики та KRI/KPI для ризик-аудиту

Coverage: частка аудит-універсуму, покритого в році.
On-time Remediation: % виправлень в строк (по severity).
Repeat Findings: частка повторів за 12 міс.
MTTR Findings: медіана часу до закриття.
Control Effectiveness Trend: частка Passed/Failed тестів за періодами.
Audit Readiness Time: час на збір evidence.
Risk Reduction Index: ∆ сумарного ризику після ремедіації.

13) Дашборди (мінімальний набір)

Risk Heatmap: процеси × ймовірність/вплив × залишковий ризик.
Findings Pipeline: статус (Open/In progress/Overdue/Closed) × власники.
Top Themes: часті категорії порушень (IAM/Privacy/PCI/AML/DevSecOps).
Aging & SLA: прострочення і дедлайни, що наближаються.
Repeat Issues: повторюваність за командами/системами.
Control Test Results: pass rate, тренди, FPR/TPR для детективних правил.

14) Шаблони артефактів

Аудит-область (Audit Scope)

Мета та критерії (стандарти/політики).
Обсяг: системи/період/локації/постачальники.
Методи: вибірка, аналітика, інтерв'ю, walkthrough.
Винятки та обмеження (якщо є).

Картка Finding

Ідентифікатор/Тема/Severity/Likelihood/Score.
Опис факту і критерій невідповідності.
Ризик і вплив (бізнес/регуляторика/безпека).
Рекомендація та план дій.
Власник і термін (due date).
Докази (посилання/хеші/архів).

Звіт з аудиту (структура)

1. Резюме для керівництва (Executive Summary).
2. Контекст і обсяг.
3. Методика та джерела даних.
4. Висновки та оцінка контролів.
5. Findings і пріоритети.
6. План ремедіації та контроль виконання.

15) Зв'язок з безперервним моніторингом (CCM) і комплаєнсом-as-code

Використовуйте результати CCM як вхід для ризик-оцінки та планування аудитів.
Політики-як-код дозволяють реперформити тести аудиторами, підвищуючи відтворюваність.
Впроваджуйте continuous auditing для областей з високим ризиком і доступною телеметрією.

16) Антипатерни

«Рівномірний» аудит без урахування ризику → втрата фокусу і ресурсів.
Звіти без вимірних рекомендацій і власників.
Непрозора методологія рейтингу ризику.
Ігнорування постачальників і ланцюжка сервісів.
Відсутність подальшого контролю (follow-up) - проблеми повертаються.

17) Модель зрілості RBA (M0-M4)

M0 Документний: разові перевірки, ручна вибірка.
M1 Каталог: аудит-універсум і базова heatmap.
M2 Політики і тести: стандартизовані чек-листи та контрольні запити.
M3 Інтегрований: зв'язок з CCM, даними SIEM/IGA/DLP, напівавтоматичний збір evidence.
M4 Безперервний: continuous auditing, пріоритизація в реальному часі, автоматизовані реперформи.

18) Практичні поради

Робіть калібрування шкал ризику за участю бізнесу та комплаєнсу - єдина «валюта» ризику.
Підтримуйте прозорість: документуйте метод і ваги, зберігайте історію змін.
Пов'язуйте план аудиту зі стратегією і Risk Appetite.
Вбудовуйте навчання власників процесів - аудит як економія майбутніх інцидентів.
Знижуйте «шум» аналітикою: стратифікація, правила винятків, пріоритизація по збитку.

19) Пов'язані статті wiki

Безперервний моніторинг відповідності (CCM)

Автоматизація комплаєнсу та звітності

Legal Hold і заморожування даних

Графіки зберігання та видалення даних

DSAR: запити користувачів на дані

PCI DSS / SOC 2: контроль і сертифікація

План безперервності бізнесу (BCP) і DRP

Підсумок

Ризик-орієнтований аудит концентрує увагу на найбільш значущих загрозах, вимірює ефективність контролів і прискорює прийняття коригувальних дій. Його сила - в даних і прозорій методології: коли пріоритизація зрозуміла, тести відтворювані, а рекомендації вимірні і закриваються в строк.