GH GambleHub

مؤشرات الأداء الرئيسية ومقاييس الامتثال

1) لماذا مقاييس الامتثال

تترجم المقاييس المتطلبات والمخاطر إلى أهداف يمكن التحكم فيها. نظام KPI/KRI الجيد:
  • جعل حالة الامتثال شفافة وقابلة للمقارنة مع مرور الوقت ؛
  • ويربط الامتثال بنتائج الأعمال التجارية (تخفيض الخسائر/الغرامات/التأخير في الإفراج) ؛
  • يسمح لك بإدارة الأولويات والموارد على أساس الحقائق وليس المشاعر ؛
  • يبسط مراجعة الحسابات: هناك صيغ يمكن تتبعها ومصادر وقطع أثرية ثابتة (أدلة).
المصطلحات:
  • مؤشر الأداء الكوري - مؤشرات الأداء (كفاءة العمليات).
  • KRI - مؤشرات المخاطر (احتمالية/تأثير الأحداث).
  • SLO/SLA - مستويات الخدمة المستهدفة/الالتزامات لأجل.
  • الرائد مقابل التخلف: المؤشرات الرائدة والمتخلفة.

2) خريطة المقاييس حسب المجال (مصفوفة مرجعية)

المجالKPI/KRIنوعالصيغة (موجز)الغرض (مثال)
السياسات/التدريبتغطية التقييماتKPIأكملت _ دورة/يجب _≥ 95 ٪/ربع سنة
سياسة MTTUKPIt_publikatsii − t_triggera≤ 30 يومًا
الوصول/IAMالوصول إلى النظافةKPIمتقادمة _ حقوق/جميع _ حقوق≤ 2%
انتهاكات SoDKRIعدد التركيبات السامة0 (حرج)
البيانات/الخصوصيةDSAR SLA في الوقت المحددKPIبالمدة/المجموع≥ 98%
انتهاكات TTLKRI_ على _ كائنات TTL↓ إلى الصفر
Infra/Cloud/IaCمعدل الانجرافKPIالانجرافات/الشهر↓ الاتجاه
تغطية التشفيرKPI_ مشفر _ الموارد/كل100%
DevSecOps/codeأسرار في ريبوسKRIتسريبات _ من الأسرار/الشهر0 حرج
امتثال الترخيصKPIحزم _ مع _ غير ترخيص0
مكافحة غسل الأموال/المعاملاتSTR/SAR التوقيتKPIبالمدة/المجموع≥ 99%
معدل إيجابي كاذب AMLKPIخطأ/جميع التنبيهات≤ 10 في المائة (مع السياق)
الحوادث/عمليات مراجعة الحساباتنتائج وقت الإصلاحKPIمتوسط t_zakrytiya≤ 30 يوماً
كرر النتائجKRIالنسبة المئوية للتكرار في 12 شهرا≤ 5%

3) الامتثال لنجم الشمال

1. جاهزة لمراجعة الحسابات في غضون ساعات (جميع الأدلة التي يتم جمعها تلقائيًا).
2. لا انتهاكات حرجة.
3. ≥ 90٪ التغطية بالضوابط الآلية (السياسة كرمز + CCM).

4) تصنيف المقاييس

4. 1 التغطية

تغطية التحكم: النظم الخاضعة للرقابة/جميع النظم الحرجة.
تغطية الأدلة: القطع الأثرية التي تم جمعها/بواسطة قائمة مراجعة الحسابات.
اعتماد السياسات: العمليات التي تنفذ فيها المتطلبات ،/جميع العمليات المستهدفة.

4. 2 الفعالية (فعالية الضوابط)

معدل اختبارات التحكم: اجتياز/مجموع اختبارات الفترة.
FPR/TPR (خاطئ/صحيح) للقواعد البوليسية.
الحوادث الممنوعة: الحالات التي تمنعها الضوابط الوقائية.

4. كفاءة 3 (التكلفة/السرعة)

انتهاكات MTTD/MTTR: وقت الكشف/القضاء.
التكلفة لكل حالة (AML/DSAR): معدل الساعات × + تكاليف البنية التحتية.
نسبة الأتمتة: حلول تلقائية/جميع الحلول.

4. 4 التوقيت

تنفيذ جيش تحرير السودان (DSAR/STR/التدريب): في الوقت المحدد/المجموع.
سياسات المهلة: من الزناد إلى النشر.
Change Lead Time (بوابات DevSecOps): من العلاقات العامة إلى الإصدار لفحص الامتثال.

4. 5 الجودة (جودة البيانات/العمليات)

نزاهة الأدلة:٪ من القطع الأثرية في WORM مع ملخص التجزئة.
عيوب البيانات: أخطاء في التقارير/التقارير.
درجة التدريب: متوسط درجة الاختبار،٪ من المرة الأولى.

4. 6 تأثير المخاطر

مؤشر الحد من المخاطر: ∆ المعدل الإجمالي للمخاطر بعد المعالجة.
التعرض التنظيمي: فتح الفجوات الحرجة مقابل متطلبات الترخيص/الشهادة.
دولار الخسائر التي تم تجنبها (المقدرة): الغرامات/الخسائر التي يتم تجنبها بسد الفجوات.

5) صيغ وأمثلة للحسابات

5. 1 DSAR SLA

'DSAR _ SLA = (عدد الطلبات المغلقة ≤ 30 يوما )/( مجموع عدد الطلبات)'

الهدف: ≥ 98 في المائة ؛ الأحمر <95٪، الأصفر 95-97. 9.

5. 2 الوصول إلى النظافة

«AH = حقوق قديمة _ (لا مالك/مستحق سابق )/جميع الحقوق»

العتبة: ≤ 2٪ (المنطقة الحمراء> 5٪).

5. 3 معدل الانجراف (IaC/Cloud)

'DR = الانجرافات (IaC↔fakt عدم تطابق )/شهر'

الاتجاه: انخفاض مطرد لمدة 3 أشهر متتالية.

5. 4 وقت الإصلاح (شدة по)

المرتفع: متوسط ≤ 30 يوما ؛ حرج: ≤ 7 أيام. تأخير → التصعيد التلقائي

5. 5 AML FPR

'FPR = تنبيهات موجبة كاذبة/جميع _ الخلافات'

التوازن مع TPR ومعالجة الخسائر.

5. 6 تغطية الأدلة (مراجعة الحسابات)

'EC = تم جمعها _ القطع الأثرية/الإلزامية _ بواسطة _ قائمة التحقق'

الهدف: 100 في المائة بحلول تاريخ مد مراجعة الحسابات ؛ الهدف التشغيلي - ≥ 95 في المائة باستمرار.

6) مصادر البيانات والأدلة (أدلة)

عرض الامتثال DWH: DSAR، Legal Hold، TTL، سجلات التدقيق، التنبيهات.
IAM/IGA: الأدوار والمالكين وحملات التصديق.
CI/CD/DevSecOps: SAST/DAST/SCA، مسح سري، تراخيص، بوابات.
Cloud/IaC: لقطات من التكوينات، تقارير الانجراف، سجلات KMS/HSM.
SIEM/SOAR/DLP/EDRM: الارتباطات، وكتب اللعب، والأقفال.
GRC: سجل المتطلبات والضوابط والإعفاءات ومراجعة الحسابات.
WORM/Object Lock: أرشيف غير قابل للتغيير من القطع الأثرية + ملخص التجزئة.

7) لوحات القيادة (المجموعة الدنيا)

1. Heatmap - Systems × regulations × status.
2. مركز SLA - DSAR/STR/التدريب: المواعيد النهائية، الانحرافات، التوقعات.
3. الوصول و SoD - الأدوار السامة، الحسابات اليتيمة، تقدم الشهادة.
4. الاحتفاظ والحذف - انتهاكات TTL، الأقفال القانونية، الاتجاهات.
5. Infra/Cloud Drift - تناقضات IaC والتشفير والتجزئة.
6. خط الأنابيب - مفتوح/منتهي الصلاحية/مغلق من قبل المالكين والشدة.
7. الاستعداد للتدقيق - تغطية الأدلة ووقت الاستعداد «على الزر».

مناطق الألوان (مثال):
  • الأخضر - تحقيق الهدف/استقراره.
  • الأصفر - خطر الانحراف، الخطة المطلوبة.
  • انحراف أحمر - حرج، تصعيد فوري.

8) رابط OKR (ربع مثال)

الهدف: الحد من المخاطر التنظيمية والتشغيلية دون إبطاء الإطلاقات.

KR1: زيادة تغطية الضوابط الآلية من 72٪ → 88٪.
KR2: الحد من الوصول إلى النظافة من 4. 5% → ≤ 2%.
KR3: 99٪ DSAR في الوقت المحدد ؛ متوسط الاستجابة ≤ 10 أيام.
KR4: سحب معدل الانجراف − 40٪ QoQ.
KR5: Time-to-Audit-Ready ≤ 8 ساعات (تشغيل جاف).

9) RACI للمقاييس

دورمجال المسؤولية
رئيس قسم الامتثال/إدارة شؤون الموظفين (ألف)اختيار العتبات المستهدفة لمؤسسة KPI/KRI وتحديثات الإبلاغ
تحليلات الامتثال (R)النماذج والصيغ وماركات البيانات ولوحات القيادة
منصة البيانات (R)خطوط الأنابيب وجودة البيانات وأدلة أرشيف WORM
SecOps/Cloud Sec (C)انجراف وتشفير وكتب لعب SOAR
IAM/IGA (C)التقييمات، SoDs، حاملي الوصول
المنتج/DevSecOps (C)بوابات، نقاط ضعف، مسح سري
GRC (R/C)سجل المتطلبات/الضوابط والإعفاءات
المراجعة الداخلية للحسابات (أولا)التحقق من الحسابات والمصادر

10) تواتر القياس وإجراءاته

يوميًا: تنبيهات CCM، الانجراف، الأسرار، الحوادث الخطيرة.
أسبوعيا: SLA DSAR/STR، بوابات DevSecOps، Access Hygiene.
شهريًا: ضوابط معدل النجاح، النتائج المتكررة، تغطية الأدلة.
كل ثلاثة أشهر: ملخص OKR، مؤشر الحد من المخاطر، بروفة مراجعة الحسابات (تشغيل جاف).

إجراء استعراض العتبة: تحليل الاتجاهات والتكاليف والمخاطر ؛ تغيير العتبات - عبر المجلس.

11) جودة المقاييس: القواعد

الدلالات الموحدة: قاموس المصطلحات وقوالب SQL.
Formula versioning: «metric as code» (مستودع + مراجعة).
فحص القابلية للتكرار: نصوص مجددة لمراجعي الحسابات.
ثبات القطع الأثرية: سلاسل تجزئة WORM +.
الخصوصية: التقليل والإخفاء والتحكم في الوصول إلى عروض KPI.

12) أمثلة الاستفسار (SQL/pseudo)

12. 1 DSAR SLA (30 يومًا):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 الوصول إلى النظافة:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 الانجراف (Terraform مقابل الحقيقة):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) العتبات (أمثلة مرجعية، تكيف)

المقاييسأخضرأصفرأحمر
DSAR SLA≥ 98%95–97. 9%< 95%
الوصول إلى النظافة≤ 2%2. 01–5%> 5%
معدل الانجراف (مرتفع/صرير)≤ 5/الشهر6-15/الشهر> 15/الشهر
تغطية الأدلة100%95–99. 9%< 95%
ضوابط معدل النجاح≥ 97%90–96. 9%< 90%
وقت التدقيق جاهز≤ 8 ح8-24 ساعة> 24 ساعة

14) أنتيباترن

مقاييس «للإبلاغ» بدون مالك وخطة عمل.
خلط إصدارات الصيغة → اتجاهات متباينة.
التغطية بدون كفاءة: التغطية العالية، ولكن الانجراف العالي والنتائج المتكررة.
يتجاهل تكلفة الإيجابيات الكاذبة (FPR) في AML/CCM.
المقاييس بدون سياق المخاطر (لا ارتباط مع KRI والتراخيص).

15) القوائم المرجعية

بدء تشغيل نظام KPI

  • قاموس المقاييس ومستودع واحد «المقاييس كرمز».
  • المالكون المعينون (RACI) ومعدلات التحديث.
  • المصادر وعرض الامتثال متصلان.
  • تم تشكيل لوحات القيادة ومناطق الألوان و SLO/SLAs والتصعيد.
  • أرشيف WORM والإبلاغ عن التجزئة.
  • التشغيل الجاف لمراجعة الحسابات مع إعادة التشغيل.

قبل التقرير الفصلي

  • التحقق من الصيغ، ومكافحة الشذوذ.
  • تحديث العتبات شبه التنظيمية.
  • تحليل التكلفة/الفوائد FPR مقابل TPR.
  • خطة تحسين المنطقة الحمراء.

16) نموذج نضج المقاييس (M0-M4)

M0 المحاسبة اليدوية: جداول Excel-tables، تقارير غير منتظمة.
فهرس M1: عرض واحد، واتجاهات واتجاهات أساسية.
M2 آلي: لوحات القيادة في الوقت الفعلي، التصعيد.
M3 منظمة: السياسة كرمز، CCM، الأدلة التلقائية، إعادة الشكل.
ضمان M4 المستمر: «جاهز للتدقيق بالزر»، مقاييس مخاطر تنبؤية (ML).

17) مقالات ويكي ذات الصلة

الرصد المستمر للامتثال

التشغيل الآلي للامتثال والإبلاغ

مراجعة الحسابات على أساس المخاطر

دورة حياة السياسات والإجراءات

الحجز القانوني وتجميد البيانات

DSAR: طلبات المستخدمين للحصول على البيانات

جداول الاحتفاظ بالبيانات وحذفها

المجموع

مؤشرات الأداء الرئيسية القوية هي صيغ واضحة ومصادر موثوقة ومالكون وعتبات وعرض آلي وإجراءات انحراف. وهذا يجعل الامتثال خدمة يمكن التنبؤ بها مع تأثير قابل للقياس على مخاطر الأعمال وسرعتها.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.