Tavakkalchiliklarni boshqarish va komplayens qo’mitasi

1) Tayinlash va mandat

• Risk Appetite va muvofiqlik tamoyillarini shakllantiradi va qo’llab-quvvatlaydi;
• asosiy siyosat/standartlarni va ularga kiritilgan o’zgartirishlarni tasdiqlaydi;
• asosiy xavflarni (operatsion, tartibga soluvchi, axborot-kommunikatsiya texnologiyalari/maxfiylik, moliyaviy, uchinchi tomonlar) nazorat qiladi;
• metrikalarni va SLO/SLA komplayensini o’rnatadi va ularning erishilishini nazorat qiladi;
• ustuvorliklarning keskinlashuvi va to’qnashuvi masalalarini hal etadi;
• «audit-ready» holatini ta’minlaydi (dalillar bazasi, qarorlar bayonnomalari).

2) Tarkibi va mustaqilligi

• Komplayens/DPO rahbari (co-chair)
• CISO/Head of Security (co-chair)
• Head of Legal
• Head of Risk/Enterprise Risk
• CFO/Finance (ta’sirni baholash uchun)
• Biznes/mahsulot vakili (VP/Director)
• Platforma/infratuzilma yoki CTO-delegate rahbari

• Ichki audit (kuzatuvchi)
• HR/L & D (o’qitish/attestatsiyadan o’tkazish)
• Procurement/Vendor Mgmt (uchinchi tomonlar)
• Data/Platform (DWH/Lineage/CCM)

Mustaqillik tamoyillari: manfaatlar to’qnashuvining yo’qligi, recusals (o’zini o’zi rad etish) ni hujjatlashtirish, kuzatuvchilarning rolini qayd etish.

3) Qo’mitaning

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Reglament va davriylik

Oddiy rejim: oyiga bir marta (90 daqiqa) + KPI/KRI haftalik ekspress-monitoringi (15 daqiqa).
Inqiroz rejimi (hodisa/regulyator): barqarorlashgunga qadar har 24-48 soatda majlislar.
Kvorum: ovoz beruvchilarning 2/3 ≥, shu jumladan bitta co-chair.
Qarorlar: oddiy ko’pchilik; high-risk bo’yicha - 2/3 va co-chairs-da veto huquqi (ustavda qayd etish).

5) Kiruvchi artefaktlar (inputs)

Risk Register va Heatmap (yangilangan KRI).
Compliance KPI/SLO: DSAR/SLA, Access Hygiene, Drift, Evidence Coverage и др.
Siyosat bo’yicha Change Log (Major/Minor/Emergency).
Muddati tugagan va kompensatsiya nazorati mavjud bo’lgan Waivers-reyestr.
Incidents & Findings: Sev1/Sev2, takrorlanuvchanlik, remediatsiya holati.
Vendor Risk: tanqidiy provayderlar, SLA/sertifikatlarni buzish.
Audit/assessmentlar: maqomlar, ochiq sharhlar, «tugma bo’yicha» tayyorlik.

6) Chiqishlar va artefaktlar (outputs)

Echimlar protokoli owner, due date, severity va kutilayotgan xavf effekti bilan.
Yangilangan Risk Appetite Statement va ustuvorliklar.
Apruv/chetlatish siyosati va istisnolari (waivers) shartlari bilan.
Yuqori-tavakkalchilikda Board/CEO uchun eskalatsiya xatlari/yechimlari.
Kommunikatsiya one-pagers va jamoalar uchun topshiriqlar (ITSM/GRCdagi ticketlar).

7) Namunaviy kun tartibi (60-90 daqiqa)

1. KPI/KRI va og’ishlar rezyumesi (10").
2. Hodisalar/Sev1-yangilanishlar va darslar (15").
3. Siyosatchilar: Major-o’zgarishlar, ziddiyatli talqinlar, mahalliylashtirish (15").
4. Uchinchi tomonlar: SLA/sertifikatlarning buzilishi, subprotsessorlar (10").
5. Waivers: uzaytirish/yopish, qizil zonalar (10").
6. Audit/assessmentlar: tayyorlik maqomi va "audit pack" (10").
7. Vazifalarni hal etish va taqsimlash (10").

8) Qarorlar qabul qilish va eskalatsiya qilish tartib-taomillari

Decision card (shablon): kontekst → variantlar → xavf-xatar/qiymatga ta’siri → tavsiya → ovoz berish.
Eskalatsiya: agar tavakkalchilik> Appetite yoki kechikish> SLA - Executive/Boardga olib chiqish.
Review: 30-60 kundan keyin qaror samarasini post-faktum baholash (impact review).

9) Integratsiyalar va uzluksiz oqimlar

RBA (xavf-audit): findings → Qo’mita kun tartibi → owner/due → yopilish nazorati.
CCM (uzluksiz monitoring): alertlar/metriklar → qoidalar/chegaralarning ustuvorligi.
Policy Lifecycle/Change Mgmt: Major-tuzatishlar → apruv, kommunikatsiya, o’qitish.
Vendor DD/Outsourcing: skoring-model va gap-varaqlar → shartnoma shartlari/SLA.
Incident Mgmt: pleybuklar SOAR/PR/Legal → hisobotlar va darslar.

10) Qo’mitaning samaradorlik metrikasi

On-time Remediation: Qo’mitaning o’z vaqtida yopilgan vazifalari% (severity bo’yicha).
Decision Lead Time: masalani ko’tarishdan echimgacha bo’lgan vaqt medianasi.
Waiver Hygiene: amaldagi muddati tugagan istisnolar% (maqsad: 100%).
Repeat Findings: 12 oylik takrorlash ulushi (maqsad: ↓).
Audit Readiness Time: soat to’liq «audit pack» gacha.
Risk Reduction Index: QoQ jami risk-skor ∆.
Communication SLA: Major-yechimlar boʻyicha oʻz vaqtida xabardor qilingan rollar%.

11) Qo’mita ustavi (shablon)

Maqsad: tavakkalchiliklar va muvofiqlikni nazorat qilish; kompaniya va mijozlar manfaatlarini himoya qilish.
Soha: barcha yurisdiksiyalar/biznes-liniyalar/IT-tizimlar/uchinchi tomonlar.
Vakolatlari: siyosatni/istisnolarni tasdiqlash; ma’lumotlar/auditlarni so’rash; Board-da eskalatsiya.
Tarkibi va kvorumi: (§ 2 va § 4 ga qarang).
Manfaatlar to’qnashuvi: deklaratsiyalar, recusals, jurnal.
Protokollar: to’liq daqiqalar standarti (agenda, yechimlar, ovozlar, owner, due, evidence havolalari).
Ustavni qayta ko’rib chiqish: har yili yoki Board talabiga binoan.

12) Hujjatlar shablonlari

12. 1 Decision Card

Mavzu/Kontekst/Normativlar/Tavakkalchiliklar

Variantlar va baholash (qiymati, muddatlari, SLA/KRI ga ta’siri)

Tavsiya va xatar darajasi

Ijro egasi va muddati

Ovoz berish yakuni (yoqlab/qarshi/betaraf)

12. 2. Majlis bayonnomasi

Sana/kvorum/ishtirokchilar

Kun tartibi

Muhokama qilish (qisqacha, bandlar bo’yicha)

Yechimlar (owner, due, muvaffaqiyat metrikasi)

Ochiq savollar/eskalatsiya

Ilovalar (dashbordlar, hisobotlar, WORM arxiviga havolalar)

12. 3 Risk Appetite matritsasi (misol)

13) Qo’mita dashbordlari (minimal)

Risk Heatmap: ehtimollik × ta’sir × qoldiq xavf.
Compliance KPI Center: DSAR, Access Hygiene, Drift, Evidence Coverage.
Incidents & Findings: Sev1/Sev2, MTTR, takrorlanuvchanlik.
Policy Changes: Major/Minor/Emergency konveyeri va o’qitish maqomi.
Vendor Risks: sertifikatlar, SLA, subprosessorlar, hodisalar.
Waivers & Deadlines: aktiv/muddati oʻtgan, eskalatsiyalar.
Audit Readiness: audit/sertifikatlar bo’yicha «audit pack» foizi.

14) Qo’mitaning yil kalendari

Har oyda: muntazam kun tartibi (§ 7).
Har chorakda: Risk Appetite qayta ko’rib chiqilishi, KPI/KRI trendlari, findings bo’yicha natijalar.
Yarim yil: asosiy siyosat va waivers-portfelni taftish qilish.
Har yili: Qo’mita ustavi, audit/sertifikatlashtirish rejasi, darslarni hisobga olish.

15) Inqiroz rejimi (Sev1/Regulatory)

Darhol chaqirish; battle-rhythm yangilanishlar (masalan, har 4 soatda).
Yagona kommunikatsiya (Legal/PR), Legal Hold nazorati.
Kirish konturatsiyasi/integratsiyalarni o’chirish/ma’lumotlarni izolyatsiya qilish bo’yicha qarorlar.
Alohida hodisa bayonnomasi va harakatlar bilan post-mortem.

16) Antipatternlar

Qo’mita vakolatlari va muddatlari bo’lmagan «pochta qutisi» sifatida.
Bayonnoma va dalillarning yo’qligi auditdagi nizolardir.
Muddati tugagan va kompensatsion nazoratsiz abadiy waivers.
Hal qilib bo’lmaydigan kun tartibi: decision cards yo’q, ta’sirni baholash yo’q.
KPI egasiz va Risk Appetite bilan aloqasiz.
Boshqariladigan recusals bo’lmagan manfaatlar to’qnashuvi.

17) Qo’mitaning etuklik modeli (M0-M4)

M0 Ad-hoc: nodir uchrashuvlar, metrik va protokollarsiz.
M1 Rasmiylashtirilgan: ustav, kvorum, bazaviy protokollar, oylik uchrashuvlar.
M2 Boshqariladigan: KPI/KRI dashbordlari, decision cards, waivers nazorati.
M3 Integratsiyalashgan: CCM/RBA/Policy-as-Code bilan aloqa, «tugma bo’yicha audit-ready».
M4 Assured: prognoz KRI, avtomatik eskalatsiya, muntazam impact-review yechimlari.

18) wiki bilan bog’liq moddalar

Tavakkalchilikka yo’naltirilgan audit (RBA)

Muvofiqlikning uzluksiz monitoringi (CCM)

KPI va komplayens metrikasi

Komplayens siyosatidagi oʻzgarishlarni boshqarish

Siyosat va tartib-taomillarning hayot sikli

Due Diligence va autsorsing xavfi

Legal Hold va muzlatish

Jami

Kuchli qoʻmita - bu «yigʻilish» emas, balki xavfni boshqarish mexanizmi: aniq mandat, mustaqillik va kvorum, dashbordlarda berilgan qarorlar, egalari va muddatlari bilan qarorlar, ijrosini nazorat qilish va dalillar bazasi. Shunda komplayens biznesning to’sig’i emas, balki strategiyaning oldindan aytib bo’ladigan tayanchiga aylanadi.