انتقل إلى المحتوى

سجل المخاطر

يلتقط سجل المخاطر مخاطر الهندسة المعمارية عبر دورة حياتها الكاملة — من التحديد إلى التخفيف، والتقييم المتبقي، والمراقبة والإغلاق (أو القبول الرسمي). وهو موجود بوصفه علامة التبويب المخاطر ضمن وحدة GRC على المسار /grc?tab=risk.

المواءمة مع TOGAF

ينفّذ السجل عملية إدارة مخاطر الهندسة المعمارية من TOGAF ADM المرحلة G — حوكمة التنفيذ (TOGAF 10 §27):

خطوة TOGAF ما تلتقطه
تصنيف المخاطر Category (الأمن، الامتثال، التشغيل، التقنية، المالية، السمعة، الاستراتيجية)
تحديد المخاطر Title، Description، Source (يدوي أو مُرقّى من نتيجة TurboLens)
التقييم الأولي Initial probability × Initial impact → Initial level (مُشتق تلقائيًا)
التخفيف واحدة أو أكثر من مهام التخفيف — عناصر عمل مملوكة، لمرة واحدة أو متكررة (انظر مهام التخفيف أدناه). كما تحمل المخاطرة Owner وTarget resolution date.
التقييم المتبقي Residual probability × Residual impact → Residual level (قابل للتحرير بمجرد التخطيط للتخفيف). يبقى تقييمًا يدويًا — إكمال المهمة لا يضبطه تلقائيًا. تُبرز صفحة التفاصيل ملخصًا للمهام بصيغة «X/Y مفتوحة · Z متأخرة» إلى جانب كتلة المتبقي كسياق للحكم البشري (متوائم مع ISO 31000).
المراقبة / القبول سير عمل Status: identified → analysed → mitigation_planned → in_progress → mitigated → monitoring → closed (مع فرع جانبي accepted يتطلب مبررًا صريحًا)

إنشاء مخاطرة

ينتهي مساران بكليهما إلى نافذة Create risk ذاتها — كل صيغة تملأ مسبقًا حقولًا مختلفة كي تتمكن من التحرير والإرسال:

  1. يدوي — علامة تبويب المخاطر ← + New risk. نموذج فارغ.
  2. من نتيجة امتثال — GRC ← Compliance ← Create risk على نتيجة غير ممتثلة. يملأ مسبقًا الفئة compliance، والاحتمالية/الأثر من خطورة اللائحة + الحالة، والوصف من المتطلب + الفجوة.

تتضمن كلتا الصيغتين حقول Owner وCategory وTarget resolution date كي تتمكن من إسناد المساءلة وقت الإنشاء — دون الحاجة إلى إعادة فتح المخاطرة لإضافتها.

الترقية عديمة الأثر الجانبي (idempotent) — بمجرد ترقية نتيجة ما، يتحوّل زرّها إلى Open risk R-000123 وينتقل مباشرةً إلى صفحة تفاصيل المخاطرة.

الملكية ← مهمة + إشعار

إسناد مالك إلى المخاطرة (سواء وقت الإنشاء أو لاحقًا) يؤدي تلقائيًا إلى:

  • إنشاء مهمة نظام على صفحة مهام المالك. يقرأ الوصف [Risk R-000123] <title>، ويعكس تاريخ الاستحقاق تاريخ الحل المستهدف للمخاطرة، ويقفز الرابط إلى تفاصيل المخاطرة. تُعلَّم المهمة تلقائيًا منجَزة عندما تبلغ المخاطرة mitigated / monitoring / accepted / closed.
  • إطلاق إشعار جرس (risk_assigned) — يظهر في قائمة الجرس المنسدلة وصفحة الإشعارات، مع بريد إلكتروني اختياري إذا اختار المستخدم تفعيله. الإسناد الذاتي يطلق الجرس أيضًا، فيبقى السجل متسقًا عبر سير العمل الجماعي والشخصي.

مسح المالك أو إعادة إسناده يبقي المهمة متزامنة — تُزال القديمة أو يُعاد إسنادها.

تنطلق المنظومة نفسها بصورة مستقلة لكل مهمة تخفيف على المخاطرة، فلا يرى المساهم إلا العمل الذي يملكه — انظر مهام التخفيف أدناه.

ربط المخاطر بالبطاقات

ترتبط المخاطر بالبطاقات بعلاقة متعدد إلى متعدد. يمكن أن تؤثر مخاطرة واحدة في عدة تطبيقات أو مكوّنات تقنية، ويمكن أن ترتبط ببطاقة واحدة عدة مخاطر:

  • من صفحة تفاصيل المخاطرة: لوحة Affected cards ← ابحث وأضف. انقر على × لإلغاء الربط.
  • من أي صفحة تفاصيل بطاقة: تسرد علامة تبويب Risks الجديدة كل مخاطرة مرتبطة بتلك البطاقة، مع مسار بنقرة واحدة للعودة إلى السجل.

مهام التخفيف

يُلتقط التخفيف بوصفه عناصر عمل مملوكة، لا نصًا حرًا. على صفحة تفاصيل المخاطرة تحل لوحة Mitigation tasks محل «خطة التخفيف» القديمة ذات الحقل الواحد — كل صف مهمة فعلية لها مالكها وتاريخ استحقاقها وسِجِلّها و(اختياريًا) قاعدة تكرار.

لمرة واحدة مقابل متكررة

مهمة التخفيف لمرة واحدة افتراضيًا — ملائمة للغرض في «طرح MFA» أو «توقيع SCCs المحدّثة» أو أي عمل ذي طابع مشروعي. بدّل Repeats في نافذة المهمة لتحصل على مراجعة ضبط متكررة: مثل «إعادة المصادقة على وثائق النقل عبر الحدود كل 12 شهرًا»، أو «إجراء تمرين الاستجابة للحوادث في OT كل 3 أشهر»، أو «تدقيق بيانات اعتماد Jenkins أسبوعيًا».

تجمع المهام المتكررة دورة واحدة (occurrence) لكل فترة. تُنشأ الدورة التالية تلقائيًا عند إغلاق الحالية — بصورة صحيحة تقويميًا، فالمهمة الشهرية المستحقة في 31 يناير تتدحرج إلى 28 فبراير، لا إلى 3 مارس.

نافذة المهلة المسبقة

الغرض كله من مراجعة الضبط المتكررة هو أن يُذكَّر المُسنَد إليه قبيل تاريخ الاستحقاق، لا لحظة إغلاق الدورة السابقة. تحمل كل مهمة متكررة Lead time (أيامًا) — كم يومًا قبل due_date تصبح الدورة نشطة وتظهر في قائمة /todos للمُسنَد إليه.

لذلك تتحرك كل دورة عبر ثلاث حالات مرئية:

الحالة ما تعنيه مرئية في /todos؟
Scheduled الدورة التالية موجودة للتدقيق («المراجعة التالية: مستحقة 2026-11-15») لكنها خاملة. ما زال اليوم خارج نافذة المهلة. لا
Open فُتحت نافذة المهلة. توجد مهمة نظام في قائمة المُسنَد إليه بصيغة [Risk R-000123] <task title>؛ ويُطلَق إشعار task_assigned. نعم (علامة تبويب Open)
Done / Skipped أغلق المُسنَد إليه الدورة. تتحوّل المهمة إلى done لتبقى في علامة تبويب Done للمُسنَد إليه كسجل تاريخي. نعم (علامة تبويب Done)

تقترح نافذة المهمة مهلة مسبقة منطقية لكل وحدة تكرار (يوم واحد للمهام اليومية، و2 للأسبوعية، و7 للشهرية، و14 للسنوية — مع تقييد بنصف الدورة كي لا تتداخل النافذة مع الدورة السابقة). يتحدّث التلميح تلقائيًا عند تغيير الوحدة أو الفترة، إلى أن تحرّر الحقل بنفسك.

مرة واحدة يوميًا عند 03:00 UTC تفحص عملية خلفية كل دورة مجدولة وترقّي تلك التي فُتحت نافذة مهلتها. أتحتاج إلى بدء مراجعة مبكرًا؟ انقر Activate now (أيقونة الصاعقة على صف المهمة) لتحويل دورة مجدولة إلى مفتوحة فورًا — نفس منظومة المهمة + الإشعار، لكن دون انتظار.

سجل التدقيق لكل دورة

انقر على سهم التوسعة على صف المهمة لرؤية سجل دوراتها الكامل. تختم كل دورة:

  • تاريخ الاستحقاق المستهدف وقت الجدولة.
  • مَن جرى إسناده لحظة فتح الدورة (assigned_owner_id)، فتحتفظ المراجعات التاريخية بمالكها الأصلي حتى لو دوّرت الدور لاحقًا.
  • للدورات المغلقة: مَن أكملها (completed_by)، والطابع الزمني، ولقطة المالك عند الإكمال (قد تختلف عن المالك المُسنَد إذا دوّرته في منتصف الدورة)، وأي ملاحظات إغلاق نصية حرة.
  • للدورات المُفعَّلة: طابع التفعيل الزمني (كي يستطيع التدقيق التحقق من أن مهمة الترقية اليومية انطلقت في اليوم الصحيح).

يصمد هذا أمام سنوات من تدوير المالكين بنظافة — فالإجابة التدقيقية عن «مَن وقّع على مراجعة يناير 2024؟» صفّ واحد بعيدة عن المهمة، لا ضائعة في إعادة موازنة الملكية.

الأذونات والمُسنَد إليهم

  • إضافة / تحرير / حذف المهام — يتطلب risks.manage (admin / bpm_admin / member افتراضيًا).
  • إكمال الدورة المفتوحةrisks.manage أو المستخدم المُسنَد حاليًا إلى تلك الدورة. فيستطيع المُشاهِد (Viewer) المُسنَد إلى مراجعة ضبط إغلاق دورته دون تصعيد.
  • تخطّي دورة / Activate now — يتطلب دائمًا risks.manage. التخطّي يدفع التكرار قدمًا دون الادعاء بإنجاز العمل؛ والتفعيل يسحب دورة مجدولة إلى الأمام وهو إجراء تخطيطي.

الترقية من نتيجة امتثال في TurboLens

عند النقر على Create risk على نتيجة غير ممتثلة (انظر TurboLens) تحصل المخاطرة الجديدة أيضًا على مهمة تخفيف لمرة واحدة مزروعة من نص المعالجة في النتيجة — فيتحوّل تحليل الفجوة إلى عمل قابل للتنفيذ ومملوك على الفور.

التصدير

يكتب زر Export في سجل المخاطر ملف .xlsx من ورقتين: الورقة 1 هي شبكة المخاطر المُرشَّحة، والورقة 2 صفّ لكل دورة عبر كل مهمة على كل مخاطرة ضمن مجموعة الترشيح نفسها، بما في ذلك المهلة المسبقة وطوابع التفعيل الزمنية. استخدمه لحِزم التدقيق أو للتسليم إلى أصحاب المصلحة الذين لا يملكون تسجيل دخول إلى Turbo EA. كما يحمل كل صف مهمة في لوحة التفاصيل زرّه الخاص Export history لمصنّف لكل مهمة على حدة.

الاستيراد

يحمّل زر Import بجوار Export المخاطر بالجملة من ملف .xlsx. انقر Download template للحصول على مصنّف مبدئي بالعناوين الصحيحة، واملأ مخاطرة واحدة لكل صف، ثم ارفعه. الصف الذي يطابق reference فيه مخاطرة موجودة يُتخطّى (لا يحدّث المستورِد المخاطر الموجودة أبدًا)، فإعادة استيراد سجل سبق تصديره عديمة الأثر الجانبي؛ وكل صف آخر ينشئ مخاطرة جديدة تمامًا بمرجع R-NNNNNN مُولَّد حديثًا. تُخبرك المعاينة بعدد الصفوف التي ستُتخطّى قبل أن تؤكد.

الأعمدة المعتمَدة: title (مطلوب)، وdescription، وcategory، وinitial_probability، وinitial_impact، وresidual_probability، وresidual_impact، وstatus، وowner_email، وtarget_resolution_date (YYYY-MM-DD) وcards (أسماء بطاقات مفصولة بفاصلة منقوطة). يُطابَق المالكون بالبريد الإلكتروني والبطاقات بالاسم الدقيق على أساس أفضل جهد — أي شيء يتعذّر مطابقته يُتخطّى بتحذير غير حاجب وتُستورد المخاطرة رغم ذلك. قبل كتابة أي شيء تحصل على معاينة تبيّن عدد الصفوف التي ستُنشأ، وأيّها به أخطاء، وأي تحذيرات؛ ولا يُحفَظ شيء حتى تؤكد. يتطلب إذن risks.manage.

مصفوفة المخاطر

يعرض كل من نظرة الأمن العامة في TurboLens وصفحة سجل المخاطر خريطة حرارية 4×4 للاحتمالية × الأثر. الخلايا قابلة للنقر — انقر إحداها لترشيح القائمة أدناه إلى تلك الفئة فقط، وانقر مجددًا (أو على × في الشريحة) للمسح. على سجل المخاطر يمكنك تبديل المصفوفة بين عرضَي Initial وResidual كي يظهر تقدّم التخفيف بصريًا.

شبكة السجل

السجل عبارة عن AG Grid يعكس معايير المخزون: أعمدة قابلة للفرز والترشيح وتغيير الحجم مع تفضيلات دائمة لكل مستخدم (الأعمدة المرئية، ترتيب الفرز، حالة الشريط الجانبي). يفتح زر شريط الأدوات + New risk نافذة الإنشاء اليدوي. ويكتب زر شريط الأدوات Export ملف .xlsx من ورقتين يحمل شبكة المخاطر المُرشَّحة في الورقة 1 وصفًا لكل دورة مهمة تخفيف في الورقة 2 — انظر مهام التخفيف ← التصدير لمعرفة شكل الأعمدة.

انتشار المخاطرة ↔ النتيجة

إذا كانت المخاطرة قد رُقّيت من نتيجة TurboLens، فإن تغييرات الحالة تتدفق في الاتجاهين:

  • تحمل النتيجة رابطًا خلفيًا Open risk R-000123 منذ لحظة ترقيتها (الإجراء عديم الأثر الجانبي — والنقر عليه مجددًا ينتقل إلى المخاطرة الموجودة بدلًا من إنشاء نسخة مكررة).
  • عندما تبلغ المخاطرة mitigated / monitoring / closed / accepted (أو تُحذف)، ينقل محرّك الانتشار الخلفي تلقائيًا كل نتيجة امتثال مرتبطة لتطابق (mitigated / verified / accepted / in_review). ويُعكَس مبرر القبول الذي تلتقطه على المخاطرة في ملاحظة مراجعة النتيجة كي يبقى مسار التدقيق متسقًا.

يبقي هذا سجل المخاطر (عرض الحوكمة) وشبكة الامتثال (العرض التشغيلي) متوائمين دون صيانة يدوية.

سير عمل الحالة

تُظهر صفحة التفاصيل دائمًا زرًا Next step أساسيًا واحدًا إضافةً إلى صف أصغر من الإجراءات الجانبية، فيكون المسار التسلسلي واضحًا مع بقاء منافذ خروج الحوكمة على بُعد نقرة واحدة:

الحالة الراهنة الخطوة التالية (الزر الأساسي) الإجراءات الجانبية
identified Start analysis Accept risk
analysed Plan mitigation Accept risk
mitigation_planned Start mitigation Accept risk
in_progress Mark mitigated Accept risk
mitigated Start monitoring Resume mitigation · Close without monitoring
monitoring Close Resume mitigation · Accept risk
accepted Reopen · Close
closed Reopen

مخطط الانتقال الكامل (مُطبَّق على جانب الخادم):

identified → analysed → mitigation_planned → in_progress → mitigated → monitoring → closed
       │           │             │                │            ▲           ▲
       └───────────┴─────────────┴────────────────┴──── accepted (rationale required)
                                                              │
                              reopen → in_progress ◄──────────┘
  • قبول المخاطرة يتطلب مبرر قبول. يُلتقط المستخدم والطابع الزمني والمبرر على السجل.
  • إعادة فتح مخاطرة accepted / closed تعود إلى in_progress. كما تسمح mitigated بـ«Resume mitigation» يدويًا دون الحاجة إلى إعادة فتح كاملة.

الأذونات

الإذن مَن يحصل عليه افتراضيًا
risks.view admin، bpm_admin، member، viewer
risks.manage admin، bpm_admin، member

يستطيع المُشاهِدون رؤية السجل والمخاطر على البطاقات لكن لا يمكنهم الإنشاء أو التحرير أو الحذف.