Слайд 8. Risk Register: живой документ организации

Блок 4. Обработка рисков Risk Register: живой документ организации Слайд 8 / 14

Пример заполненного реестра рисков

ID	Риск	Описание	Влад.	Источник	Вер.	Возд.	Ранг	Стратегия	Статус	CAP
R-01	Ransomware на ERP	Шифрование бизнес-критичной системы	CISO	Threat Intel	4	5	20	Mitigate	Critical	CAP-01
R-02	Утечка ПДн через подрядчика	Нарушение ФЗ-152, штрафы до 18 млн ₽	DPO	Process Audit	3	4	12	Mitigate	High	CAP-02
R-03	BEC-атака на фин. отдел	Соц. инженерия, перевод средств	CFO	Incident Hist.	4	3	12	Mitigate	In Prog	CAP-03
R-04	DDoS на публичный сервис	Простой клиентского портала	CTO	Vuln Scan	3	2	6	Accept	Medium	—
R-05	Инсайдер в фин. отделе	Кража данных, вывод средств	CFO	Process Audit	2	5	10	Transfer	In Prog	—
R-07	0-day в VPN-шлюзе	Неизвестная уязвимость	CISO	Threat Intel	2	5	10	Mitigate	Critical	CAP-05
R-12	Целевая атака на банк региона	APT, нацеленная на финсектор	CISO	Industry Intel	2	5	10	Mitigate	High	CAP-09

Вероятность — как часто это реально происходит. Воздействие — деньги: простой, штрафы, потеря клиентов. Ранг = Вер. × Возд. → приоритизация бюджета. Стратегии: Mitigate — вложиться; Transfer — страхование; Accept — принять; Avoid — отказаться.

Мёртвый реестр

Обновление > 6 мес назад

Нет владельцев у рисков

Только качественный ранг

Все «In Progress» годами

Нет связи с CAP

Нет обзора на правлении

Ведётся в Excel одним человеком

Живой реестр

Обновляется ежемесячно

У каждого риска есть владелец

Количественная оценка топ-20

Статусы двигаются

Явная связь с планом действий

Ежеквартальный обзор у совета директоров

Ведётся в GRC-платформе

Мёртвый реестр опаснее отсутствия реестра — создаёт иллюзию контроля. Качество реестра это прямой индикатор зрелости управления рисками.