Tavakkalchiliklarning issiqlik xaritasi

1) Maqsadi va qiymati

Tavakkalchiliklarning issiqlik xaritasi (Risk Heatmap) - «Ehtimollik × Ta’sir» matritsasi bo’yicha xatarlarni reytinglash va kommunikatsiya qilish uchun nazorat, metrika va harakatlar rejalariga bog’langan vizual vosita.

• ustuvorlikning yagona tili (biznes, texnik, huquqiy bloklar);
• SARA/investitsiyalar bo’yicha shaffof qarorlar;
• dinamikani kuzatish (chora-tadbirlardan oldin/keyin), «audit-ready» ning tayyorligi.

2) Taksonomiya va qoplash sohasi

• Regulyator/Litsenziyalar, Maxfiylik/Ma’lumotlar, Axborot texnologiyalari/Texnologik jarayonlar, To’lovlar/AML/KYC, Operatsiyalar/Foydalanish imkoniyati, Marketing/Mas’uliyatli reklama, Etkazib beruvchilar/VRM.

• Yurisdiksiyalar/bozorlar, Biznes-liniyalar/mahsulotlar, Servislar/platformalar, Tanqidiy provayderlar.

3) Ehtimollik va ta’sir shkalalari

3. 1 Ehtimollik (5-darajali shkalaga misol)

1. Kamdan-kam hollarda (bir marta> 3 yil/p <5%)

2. Past (1-3 yilda bir marta)

3. O’rtacha (har yili)

4. Yuqori (har chorakda)

5. Juda yuqori (oylik/tez-tez)

3. 2 Ta’sir (ko’p faktorli)

• Moliya: to’g «ridan to’g» ri yo’qotishlar/jarimalar/chargeback.
• Litsenziyalar/Yuridik oqibatlar: to’xtatib turish, taqiqlar, tekshiruvlar.
• Shaxsiy/Ma’lumotlar: PII hajmi, bildirishnomalar, nazorat harakatlari.
• Operatsiyalar/Aptaym: MTTR, SLO, buzilgan relizlar, RTO/RPO.
• Obro’si: media, ijtimoiy tarmoqlar, sheriklik sanksiyalari.
• Aniq chegarali 1-5 shkalasi (masalan, 1: <€10k, 5:> €1m).

4) Skoring va tavakkalchilik darajalari

Individual tavakkalchilik:’Score = Likelihood × Impact’(1-25).

• 20-25 - Critical (qizil)
• 12-19 - Yuqori (to’q sariq)
• 6-11 - Medium (sariq)
• 1-5 - Low (yashil)
• Qoldiq xavf: joriy nazoratlarni hisobga olgandan so’ng (samaradorlik ToD/ToE/CCM tomonidan tasdiqlangan).
• Maqsadli tavakkalchilik (Target): rejalashtirilgan chora-tadbirlardan keyin; erishilgan sana qayd etiladi.

5) Ma’lumotlar manbalari va nazorat bilan aloqa

GRC-reyestr: tavakkalchiliklar tavsifi, egalari, joriy/maqsadli baholashlar.
SSM/metriklar: nazorat qoidalarining pass-rate, hodisalar, KRI.
Vendorlar/VRM: sertifikatlar, SLA, hodisalar, maʼlumot joylashuvidagi oʻzgarishlar.
Moliya/Payments: jarimalar, chargeback ratio, fraud loss%.
Shkalalarga ta’sir qiluvchi barcha qiymatlar evidence-havolalar (loglar/hisobotlar) va taymshamplarga ega bo’lishi kerak.

6) Agregatsiyalash va konsolidatsiyalash

Bottom-up: servislardan/yurisdiksiyalardan domenlar va kompaniyalarga.
Agregatsiya qoidalari: Impact bo’yicha maksimal, Likelihood bo’yicha pertsentil yoki tortilgan mediana (biznes hajmi bo’yicha).
Alohida qatlamlar (layers): Inherent (nazoratsiz), Residual (nazoratsiz), Target (CAPA dan keyin).
O’zaro bog’liqlik xavfini (masalan, umumiy infratuzilma zaifligi) va mustaqil xavflarni baham ko’ring.

7) Vizualizatsiya

Matritsasi 5 × 5 rangli kodlangan; ko’rinib turgan kartochkalari bo’lgan interaktiv xavf nuqtalari (tavsif, egasi, nazorat, CAPA).
Qatlam almashtirgichlari: Inherent/Residual/Target.
Filtrlar: yurisdiksiya, mahsulot, domen, provayder, davr.
30-90 kun ichida «to’g» ridan to’g «ri» va «drift» (drift) trendlari.

8) Rollar va RACI

9) KRI va eskalatsiya ostonalari

• Privacy: dsar_response_p95, TTL orqali olib tashlash, shikoyatlar/ombudsman.
• Security: p95 TTR zaifliklari, muhim «qizil» CCM qoidalari ulushi, SoD qoidabuzarliklari.
• Payments: chargeback ratio, fraud loss%, win-rate apellyatsiyalar.
• Operations: SLO breach rate, p1/p2 hodisalari, RTO/RPO testlari.
• Eskalatsiyalar: Amber ogohlantiruvchi ostonalardan chiqishda, Red - muhim zonalar uchun majburiy CAPA va «stop-the-line».

10) Qarorlar qabul qilish va CAPA bilan aloqa

Har bir «qizil» nuqta uchun harakatlar rejasi majburiydir: Corrective/Preventive, egasi, muddati, byudjeti, muvaffaqiyat KPI.

• Critical: CAPA ≤ 30 kun, re-audit 60-90 kun; qo’mita - har hafta.
• High: CAPA ≤ 60 kun, kuzatuv 90 kun.
• Medium/Low: chorak/yarim yillik rejasiga.
• Pasaytirish mumkin bo’lmaganda - tugash sanasi va kompensatsiya nazorati bilan waiver.

11) Dashbordlar (minimal)

Heatmap View: joriy matrix + Residual/Target qatlamlari.
Risk Trend: ballar dinamikasi, «CAPA dan oldin/keyin».
Controls Linkage: xavf-xatarlar bo’yicha pass-rate CCM, «qizil» geytlar.
Regulatory Exposure: yurisdiksiyalar va litsenziyalar bo’yicha xavflar.
Vendor Risk: muhim provayderlarning issiqlik xaritasi (sertifikatlar, SLA, hodisalar).
Audit-Readiness: completeness evidence/xesh-kvitansiyalar.

12) Samaradorlik metrikasi

Risk Reduction Index: choraklar bo’yicha o’rtacha o’lchangan risk-skor ∆.
On-time CAPA: muddatida oʻlchov% (severity boʻyicha).
Repeat Findings (12 oy): bog’liq tavakkalchiliklar bo’yicha takrorlar ulushi.
Evidence Completeness: dalillarning to’liq to’plami bilan tavakkalchiliklar%.
Drift After Fix: 30-90 kundan keyin «qizil» zonaga qaytish holatlari.
Coverage: xaritada aks ettirilgan biznes-aktivlar/yurisdiksiyalar ulushi.

13) SOP (standart tartib-taomillar)

SOP-1: Metodikani boshlash

Shkalalar va chegaralarni belgilash → Qo’mitada kelishish → Repozitoriyada qayd etish (versiyalash).

SOP-2: Choraklik sikl

Kirish ma’lumotlarini yig’ish/KRI → baholarni qayta hisoblash → egalari tomonidan qayta hisoblash → qo’mita qarorlari → dashbordlarni e’lon qilish → eksport qilish «audit pack».

SOP-3: Hodisa-trigger

Critical/High hodisasida - rejadan tashqari xaritani yangilash, CAPA bilan bog’lash va re-audit rejasi.

SOP-4: Vendor konturi

VRM-so’rov/sertifikatlar → yetkazib beruvchilarning xatarlarini yangilash → ko’zgu choralarini tasdiqlash (Vendor Mirror).

SOP-5: Arxiv va dalillar

Snapshotlar heatmap (PDF/PNG/CSV) + xesh-kvitansiyalar → WORM-arxiv → GRCdagi havolalar.

14) Artefaktlar shablonlari

14. 1 Tavakkalchilik kartochkasi (parcha)

ID/Nomi, egasi, domeni/yurisdiksiyasi

Likelihood/Impact/Inherent/Residual/Target

Nazorat (ID, metrika, CCM qoidalari)

KRI va haqiqiy qiymatlar

CAPA/waivers, sanalar, budjet, KPI

Evidence-havolalar va xesh-kvitansiyalar

14. 2 Shkalalar siyosati

Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 «Oldin/keyin» hisoboti

Heatmap skrinshotlari (Residual vs Target)

Tavakkalchiliklar bo’yicha ∆-o’zgarishlar jadvali

Bajarilgan CAPA, barqarorlik metrikasi

15) Antipatternlar

«Chiroyli rasm» nazoratsiz/KRI va CAPA.
Noaniq shkalalar → baholarni manipulyatsiya qilish.
Ballar o’zgarishining versiyalashtirilishi/dalillari yo’qligi.
Agregatsiya qilish qoidalarisiz taqqoslanmaydigan tavakkalchiliklarni jamlash.
Noyob yangilanishlar → xarita haqiqatni aks ettirmaydi.
Waivers muddatsiz va kompensatsiya choralarisiz.

16) Etuklik modeli (M0-M4)

M0 Ad-hoc: bir martalik rasm, usullar/metriklar yoʻq.
M1 Rejali: kelishilgan shkalalar, choraklik yangilanishlar.
M2 Boshqariladigan: nazorat bogʻlamasi/KRI, CAPA, dashbordlar, WORM arxivi.
M3 Integratsiyalashgan: avtomatik qayta hisoblash (CCM), policy-/assurance-as-code, yurisdiksiyalar/vendorlar bo’yicha kesmalar.
M4 Continuous Assurance: prognozli KRI, ssenariy modellashtirish, «what-if», ustuvorlik bo’yicha tavsiyalar.

17) wiki bilan bog’liq moddalar

Tavakkalchilikka yo’naltirilgan audit (RBA)

KPI va komplayens metrikasi

Muvofiqlikning uzluksiz monitoringi (CCM)

Qoidabuzarliklarni bartaraf etish rejalari (CAPA)

Takroriy auditlar va bajarilishini nazorat qilish

Siyosat va normativlar ombori

Komplayensning yo’l xaritasi

Hamkorlar/VRM uchun komplayens qo’llanmasi

Jami

Tavakkalchiliklarning issiqlik xaritasi - bu hisobot emas, balki boshqaruv mexanizmi: yagona shkalalar, nazorat va KRI bilan aloqa, muntazam yangilanishlar, isbotlanadigan qarorlar va chora-tadbirlardan keyin barqarorlikni nazorat qilish. Bunday yondashuv ustuvorlikni ob’ektiv qiladi, qo’mita qarorlarini tezlashtiradi va doimiy «audit-ready» tayyorligini ta’minlaydi.