Скоринг ризиків і пріоритизація

1) Мета і результати

• порівнянними (єдині шкали і формули),
• прозорими (джерела даних і допущення задокументовані),
• вимірними (метрики і KRI прив'язані до контролів і інцидентів),
• виконуваними (кожному ризику відповідає план CAPA/waiver з датою закінчення).

Виходи: єдиний реєстр ризиків, приоритизований беклог мір, теплові карти, звіти про залишковий ризик, «audit-ready» артефакти.

2) Терміни та рівні ризику

Inherent Risk - ризик без урахування контролів.
Residual Risk - ризик з урахуванням поточних контролів (верифікованих ToD/ToE/CCM).
Target Risk - цільовий рівень після САРА/компенсуючих заходів.
Likelihood (L) - ймовірність настання сценарію в горизонті оцінки.
Impact (I) - найбільша з: фінанси, ліцензії/право, приватність/дані, операції/SLO, репутація.
KRI - індикатори ризику, що впливають на L/I (наприклад, dsar_response_p95, chargeback ratio).

3) Шкали та базові моделі

3. 1 Дискретна матриця (5 × 5 або 4 × 4)

Score = L × I → діапазон 1-25 (або 1-16).

• 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
• Порогові значення публікуються в «Політиці скорингу» і незмінно застосовуються до всіх доменів.

• 1 - раз на> 3 років; 2 - раз на 1-3 роки; 3 - щорічно; 4 - щокварталу; 5 - щомісяця/частіше.

• 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; при юридичних/ліцензійних ризиках рівень підвищується мінімум до 4-5.

3. 2 Кількісні моделі

ALE (Annualized Loss Expectancy): 'ALE = SLE × ARO', де'SLE'- середній збиток за подію,'ARO'- очікувана частота на рік.
FAIR-підхід (у спрощенні): моделюємо частоту (Threat Event Frequency) і величину втрат (Loss Magnitude), використовуємо перцентілі (p50/p95) для прийняття рішення.
Монте-Карло: розподілу для частоти і збитку (логнорм/гамма і т.п.), 10-100k прогонів → криві втрат (loss exceedance curve). Застосовувати для найдорожчих/регуляторно критичних ризиків.

Рекомендація: 80% кейсів - матриця 5 × 5, 20% (top-ризики) - ALE/FAIR/Монте-Карло.

4) Залишковий і цільовий ризик

1. Розрахувати Inherent за припущеннями «без контролів».
2. Врахувати ефективність існуючих контролів (перевірено ToD/ToE/CCM) → Residual.
3. Визначити Target з урахуванням планованих САРА/компенсуючих заходів і дати досягнення.
4. Якщо Target ≤ поріг терпимості (risk appetite) - ок; якщо ні - потрібно waiver з датою закінчення і компенсуючими контролями.

5) Джерела даних і докази

Метрики і KRI (дашборди, логи, звіти інцидентів).
Результати тестів контролів (CCM), аудитів (внутр ./зовнішніх).
Звіти провайдерів: SLA/сертифікати/інциденти/зміни локацій даних.
Фінансова аналітика: штрафи, chargeback, fraud loss%.
Кожна оцінка супроводжується посиланнями на evidence з таймштампом і хеш-квитанцією (WORM).

6) Пріоритизація ініціатив (переклад ризик → дію)

6. 1 RICE (адаптація під ризик)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reach - скільки клієнтів/транзакцій/юрисдикцій зачеплено.
Impact_adj - перетворений I (або ALE/втрати p95).
Confidence - достовірність оцінок (0. 5/0. 75/1. 0).
Effort - людино-тижня/вартість.
Сортування по RICE → швидкі виграші нагору.

6. 2 WSJF з поправкою на ризик

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

Risk Reduction - очікуване зниження Residual/ALE.
Time Criticality - дедлайни регуляторів/аудитів.
Business Value - дохід/економія, довіра клієнтів.

6. 3 Регуляторний пріоритет

Якщо ризик пов'язаний з ліцензіями/законом і є жорсткий дедлайн - він автоматично потрапляє в Critical/High незалежно від «економічного» скорингу.

7) Порогові правила та ескалації

Critical: негайний тріаж, CAPA ≤ 30 днів, re-audit через 60-90 днів; щотижневий комітет.
High: CAPA ≤ 60 днів, спостереження 90 днів.
Medium: включення в квартальний план.
Low: моніторинг + можливість «tech debt» слота.
KRI-пороги: Amber (попередження) і Red (обов'язкова ескалація і CAPA).

8) Ролі та RACI

9) Дашборди

Risk Heatmap: матриця 5 × 5, фільтри по доменам/країнам/провайдерам.
Risk Funnel: Inherent → Residual → Target (дельта зниження).
Top-N by ALE/p95 Loss: кількісні ризики.
KRI Watchlist: індикатори і пороги, тривоги Amber/Red.
CAPA Impact: очікуване/фактичне зниження; прогрес за термінами.
Waivers: чинні винятки, терміни і компенсуючі заходи.

10) Метрики ефективності

Risk Reduction Index: ∆ середньозваженого ризику (квартал/квартал).
On-time CAPA: % заходів в строк (по severity).
Repeat Findings (12 міс): частка повторних порушень.
Evidence Completeness: % ризиків з повним пакетом (ціль 100% для High +).
Prediction Accuracy: розбіжність оцінених і фактичних втрат/частот.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (стандартні процедури)

SOP-1: Ініціалізація та шкали

Визначити шкали L/I і пороги категорій → затвердити в Комітеті → зафіксувати в репозиторії (версіонування).

SOP-2: Квартальна переоцінка

Збір KRI/інцидентів → перерахунок L/I/ALE → рев'ю власниками → комітетна пріоритизація → публікація Roadmap.

SOP-3: Інцидент-тригер

При Critical/High інциденті - позаплановий перерахунок, коригування CAPA і пріоритетів.

SOP-4: Кількісний аналіз (Top-ризики)

Підготувати вхідні розподіли → Монте-Карло (≥10k прогонів) → криві втрат → рішення Комітету.

SOP-5: Архів і докази

Експорт зрізів (CSV/PDF) + хеш-квитанції → WORM-архів → посилання в картках GRC.

12) Шаблони і «as-code»

12. 1 Політика скорингу (фрагмент)

scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Картка ризику (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Пріоритизація (WSJF приклад)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Компенсуючі заходи і waivers

• вводимо компенсуючі контролі (ручні перевірки, ліміти, додатковий моніторинг) з метриками ефективності;
• оформляємо waiver з датою закінчення, власником і планом заміщення;
• обов'язковий re-audit через 30-90 днів.

14) Антипатерни

«Красива матриця» без зв'язку з KRI/контролями/інцидентами.
Плаваючі шкали і «ручний тюнінг» під бажаний результат.
Відсутність версіонування розрахунків і припущень.
Рідкісні перегляди → карта не відображає реальність.
Waivers без дати закінчення і компенсуючих заходів.
Відсутність кількісного аналізу для top-ризиків.

15) Модель зрілості (M0-M4)

M0 Ad-hoc: оцінки «на око», немає єдиної політики.
M1 Плановий: матриця 5 × 5, квартальні оновлення, базові дашборди.
M2 Керований: зв'язок з KRI/CCM, CAPA-лінковка, WORM-evidence.
M3 Інтегрований: ALE/FAIR/Монте-Карло для top-ризиків, WSJF/RICE в Roadmap, гейти CI/CD.
M4 Continuous Assurance: предиктивні KRI, авто-перерахунок, рекомендаційні пріоритети та «evidence-by-design».

16) Пов'язані статті wiki

Теплова карта ризиків

Ризик-орієнтований аудит (RBA)

KPI та метрики комплаєнсу

Безперервний моніторинг відповідності (CCM)

Плани усунення порушень (CAPA)

Репозиторій політик і нормативів

Дорожня карта комплаєнсу

Зовнішні перевірки сторонніми аудиторами

Підсумок

Скоринг ризиків і пріоритизація - це інженерна дисципліна, а не мистецтво: стабільні шкали і політики, доказові дані, кількісні методи для top-ризиків, явні пороги і ескалації, а також пряма зв'язка з CAPA і дорожньою картою. Такий підхід робить рішення прогнозованими, прискорює узгодження і знижує сукупний ризик бізнесу.