GH GambleHub

Теплова карта ризиків

1) Призначення та цінність

Теплова карта ризиків (Risk Heatmap) - візуальний інструмент для ранжирування і комунікації ризиків по матриці «Ймовірність × Вплив», прив'язаний до контролів, метриків і планів дій.

Цілі:
  • єдина мова пріоритизації (бізнес, тих, правовий блоки);
  • прозорі рішення щодо САРА/інвестицій;
  • відстеження динаміки (до/після заходів), готовність «audit-ready».

2) Таксономія і область покриття

Рекомендовані домени:
  • Регуляторика/Ліцензії, Приватність/Дані, ІБ/Техпроцеси, Платежі/AML/KYC, Операції/Доступність, Маркетинг/Відповідальна реклама, Постачальники/VRM.
Перерізи:
  • Юрисдикції/ринки, Бізнес-лінії/продукти, Сервіси/платформи, Критичні провайдери.

3) Шкали ймовірності та впливу

3. 1 Ймовірність (приклад 5-рівневої шкали)

1. Рідко (раз на> 3 років/p <5%)

2. Низька (раз на 1-3 роки)

3. Середня (щорічно)

4. Висока (щоквартально)

5. Дуже висока (щомісяця/частіше)

3. 2 Вплив (багатофакторно)

Оцінюйте за максимальним з критеріїв:
  • Фінанси: прямі втрати/штрафи/chargeback.
  • Ліцензії/Юридичні наслідки: припинення, заборони, розслідування.
  • Приватність/Дані: обсяг PII, повідомлення, наглядові дії.
  • Операції/Аптайм: MTTR, SLO, зірвані релізи, RTO/RPO.
  • Репутація: медіа, соціальні мережі, партнерські санкції.
  • Шкала 1-5 з чіткими порогами (наприклад, 1: <€10k, 5: >€1m).

4) Скоринг і рівні ризику

Індивідуальний ризик: `Score = Likelihood × Impact` (1–25).

Категорії:
  • 20-25 - Critical (червоний)
  • 12-19 - High (помаранчевий)
  • 6-11 - Medium (жовтий)
  • 1-5 - Low (зелений)
  • Залишковий ризик: після обліку поточних контролів (ефективність підтверджена ToD/ToE/CCM).
  • Цільовий ризик (Target): після планованих заходів; фіксується дата досягнення.

5) Джерела даних і зв'язок з контролями

GRC-реєстр: описи ризиків, власники, поточні/цільова оцінки.
ССМ/метрики: pass-rate контрольних правил, інциденти, KRI.
Вендори/VRM: сертифікати, SLA, інциденти, зміни локацій даних.
Фінанси/Payments: штрафи, chargeback ratio, fraud loss%.
Всі значення, що впливають на шкали, повинні мати evidence-посилання (логи/звіти) і таймштампи.

6) Агрегування та консолідація

Bottom-up: від сервісів/юрисдикцій до доменів і компанії.
Правила агрегації: максимум по Impact, перцентиль по Likelihood, або зважена медіана (за обсягом бізнесу).
Окремі шари (layers): Inherent (без контролів), Residual (з контролями), Target (після CAPA).
Поділяйте корелюючі ризики (наприклад, загальна інфраструктурна вразливість) і незалежні.

7) Візуалізація

Матриця 5 × 5 з колірним кодуванням; інтерактивні точки-ризики зі спливаючими картками (опис, власник, контроль, CAPA).
Перемикачі шарів: Inherent / Residual / Target.
Фільтри: юрисдикція, продукт, домен, провайдер, період.
Тренди «до/після» мір і «дрейф» (drift) за 30-90 днів.

8) Ролі та RACI

АктивністьRACI
Методика та шкалиRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Актуалізація оцінокRisk OwnersHead of FunctionControl OwnersCommittee
Зв'язка з контролями/KRICompliance EngHead of ComplianceSecOps/DataInternal Audit
Публікація дашбордівCompliance AnalyticsHead of ComplianceBI/Data PlatformExec/Board
Рев'ю та рішенняRisk & Compliance CommitteeExecutive SponsorAll DomainsBoard

9) KRI і пороги ескалацій

Приклади KRI (прив'яжіть до ризиків на карті):
  • Privacy: dsar_response_p95, видалення по TTL, скарги/омбудсмен.
  • Security: вразливості p95 TTR, частка критичних «червоних» CCM-правил, SoD-порушення.
  • Payments: chargeback ratio, fraud loss%, win-rate апеляцій.
  • Operations: SLO breach rate, інциденти p1/p2, RTO/RPO тести.
  • Ескалації: Amber при виході за попереджувальні пороги, Red - обов'язковий CAPA і «stop-the-line» для критичних зон.

10) Прийняття рішень і зв'язок з CAPA

Для кожної «червоної» точки обов'язковий план дій: Corrective/Preventive, власник, термін, бюджет, KPI успіху.

Порогові правила (приклад):
  • Critical: CAPA ≤ 30 днів, re-audit через 60-90 днів; комітет - щотижня.
  • High: CAPA ≤ 60 днів, спостереження 90 днів.
  • Medium/Low: в план кварталу/півріччя.
  • При неможливості зниження - waiver з датою закінчення і компенсуючими контролями.

11) Дашборди (мінімум)

Heatmap View: поточна матриця + шари Residual/Target.
Risk Trend: динаміка балів, «до/після CAPA».
Controls Linkage: pass-rate CCM за ризиками, «червоні» гейти.
Regulatory Exposure: ризики по юрисдикціях і ліцензіях.
Vendor Risk: теплова карта критичних провайдерів (сертифікати, SLA, інциденти).
Audit-Readiness: completeness evidence/хеш-квитанції за ризиками.

12) Метрики ефективності

Risk Reduction Index: ∆ середньозваженого ризику по кварталах.
On-time CAPA: % заходів в строк (по severity).
Repeat Findings (12 міс): частка повторів за пов'язаними ризиками.
Evidence Completeness: % ризиків з повним пакетом доказів.
Drift After Fix: випадки повернення в «червону» зону через 30-90 днів.
Coverage: частка бізнес-активів/юрисдикцій, відображених на карті.

13) SOP (стандартні процедури)

SOP-1: Ініціалізація методики

Визначити шкали і пороги → узгодити в Комітеті → зафіксувати в репозиторії (версіонування).

SOP-2: Квартальний цикл

Збір вхідних даних/KRI → перерахунок оцінок → рев'ю власниками → комітетні рішення → публікація дашбордів → експорт «audit pack».

SOP-3: Інцидент-тригер

При Critical/High інциденті - позапланове оновлення карти, прив'язка до CAPA і план re-audit.

SOP-4: Вендорський контур

VRM-опитування/сертифікати → оновлення ризиків постачальників → підтвердження дзеркальних заходів (Vendor Mirror).

SOP-5: Архів і докази

Снапшоти heatmap (PDF/PNG/CSV) + хеш-квитанції → WORM-архів → посилання в GRC.

14) Шаблони артефактів

14. 1 Картка ризику (фрагмент)

ID/Назва, власник, домен/юрисдикції

Likelihood/Impact/Inherent/Residual/Target

Контролі (ID, метрики, CCM-правила)

KRI та фактичні значення

CAPA/waivers, дати, бюджет, KPI

Evidence-посилання та хеш-квитанції

14. 2 Політика шкал (витримка)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Звіт «до/після»

Скріншоти heatmap (Residual vs Target)

Таблиця ∆ змін за ризиками

Виконані CAPA, метрики стійкості

15) Антипатерни

«Красива картинка» без прив'язки до контролів/KRI і CAPA.
Нечіткі шкали → маніпулювання оцінками.
Відсутність версіонування/доказів зміни балів.
Підсумовування непорівнянних ризиків без правил агрегування.
Рідкісні оновлення → карта не відображає реальність.
Waivers без термінів і компенсуючих заходів.

16) Модель зрілості (M0-M4)

M0 Ad-hoc: разова картинка, немає методів/метрик.
M1 Плановий: узгоджені шкали, квартальні оновлення.
M2 Керований: зв'язка з контролями/KRI, CAPA, дашборди, WORM-архів.
M3 Інтегрований: автоматичний перерахунок (CCM), policy-/assurance-as-code, зрізи по юрисдикціях/вендорах.
M4 Continuous Assurance: предиктивні KRI, сценарне моделювання, «what-if», рекомендації щодо пріоритетів.

17) Пов'язані статті wiki

Ризик-орієнтований аудит (RBA)

KPI та метрики комплаєнсу

Безперервний моніторинг відповідності (CCM)

Плани усунення порушень (CAPA)

Повторні аудити та контроль виконання

Репозиторій політик і нормативів

Дорожня карта комплаєнсу

Посібник з комплаєнсу для партнерів/VRM

Підсумок

Теплова карта ризиків - це не звіт, а механізм управління: єдині шкали, зв'язок з контролями і KRI, регулярні оновлення, доказові рішення і контроль стійкості після заходів. Такий підхід робить пріоритизацію об'єктивною, прискорює комітетні рішення і підтримує постійну «audit-ready» готовність.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.