GH GambleHub

KPI və komplayens metrikası

1) Niyə uyğunluq metrikası

Metriklər tələbləri və riskləri idarə olunan hədəflərə köçürür. Yaxşı KPI/KRI sistemi:
  • uyğunluq statusunu şəffaf və zamanla müqayisə olunur;
  • komplayens işini biznes nəticəsi ilə əlaqələndirir (itkilərin/cərimələrin/buraxılışların gecikmələrinin azaldılması);
  • prioritetləri və resursları hisslərə görə deyil, faktlara görə idarə etməyə imkan verir;
  • auditi asanlaşdırır: izlənən düsturlar, mənbələr və dəyişməz artefaktlar (evidence) var.
Terminlər:
  • KPI - icra göstəriciləri (proseslərin səmərəliliyi).
  • KRI - risk göstəriciləri (ehtimal/hadisələrin təsiri).
  • SLO/SLA - xidmət/öhdəliklərin hədəf səviyyələri.
  • Leading vs Lagging: qabaqcadan (leading) və gecikmiş (lagging) göstəriciləri.

2) Domenlər üzrə metrik xəritə (istinad matrisi)

DomenKPI/KRITipFormula (qısa)Məqsəd (nümunə)
Siyasət/TəhsilAttestasiya CoverageKPI_ kursu keçdi/keçməlidir _≥ 95 %/rüb
MTTU Siyasəti (yeniləmə sürəti)KPIt_publikatsii − t_triggera≤ 30 gün
Accessories/IAMAccess HygieneKPIköhnəlmiş _ hüquqlar/bütün _ hüquqlar≤ 2%
SoD ViolationsKRIzəhərli birləşmələrin sayı0 (tənqidi)
Məlumat/GizlilikDSAR SLA vaxtındaKPI_ müddət/bütün≥ 98%
TTL ViolationsKRIobyektlər _ artıq _ TTL↓ sıfıra
İnfra/bulud/IaCDrift RateKPIdrift/ay↓ trend
Encryption CoverageKPI_ _ şifrəli resurslar/hamısı100%
DevSecOps/kodSecrets in ReposKRIsızma _ sirləri/ay0 kritik
License ComplianceKPI_ neok _ lisenziyalı paketlər0
AML/əməliyyatlarSTR/SAR TimelinessKPI_ müddət/bütün≥ 99%
False Positive Rate AMLKPIyalan/bütün alert≤ 10% (kontekstlə)
Hadisələr/auditTime-to-Remediate FindingsKPImedia t_zakrytiya≤ 30 gün Yüksək
Repeat FindingsKRI12 ay ərzində təkrar%≤ 5%

3) «Şimal Ulduzları» (North Star) komplayens

1. Audit-ready N saat (bütün evidence avtomatik toplanır).
2. Zero Critical Violations (təhlükəsizlik/tənzimləmə baxımından sıfır kritik uyğunsuzluq).
3. ≥ 90% Coverage avtomatlaşdırılmış nəzarət (policy-as-code + CCM).

4) Metrik taksonomiya

4. 1 Coverage (əhatə)

Control Coverage: nəzarət sistemləri/bütün kritik sistemlər.
Evidence Coverage: artefaktlar toplanmışdır/audit çek siyahısı.
Policy Adoption: tələblərin tətbiq olunduğu proseslər ,/bütün hədəf proseslər.

4. 2 Effektivlik (nəzarət effektivliyi)

Pass Rate Test Control: keçdi/bütün test dövrü.
FPR/TPR (yalan qoyur ./əsl qoyur.) detektiv qaydaları üçün.
Incidents Prevented: profilaktik nəzarət tərəfindən qarşısı alınan hallar.

4. 3 Efficiency (xərclər/sürət)

MTTD/MTTR pozuntuları: detektiv/aradan qaldırılması üçün vaxt.
Cost per Case (AML/DSAR): saat × bahis + infrastruktur xərcləri.
Automation Ratio: avto həllər/bütün həllər.

4. 4 Timeliness (vaxt)

SLA (DSAR/STR/təlim): vaxtında/ümumi.
Lead Time siyasətçi: triggerdən nəşrə qədər.
Change Lead Time (DevSecOps-geytlar): PR-dən komplayens yoxlamaları zamanı buraxılışa qədər.

4. 5 Quality (məlumat/proseslərin keyfiyyəti)

Evidence Integrity: WORM-də xeş-hesabat ilə artefaktların% -i.
Data Defects: req hesabat/hesabat səhvləri.
Training Score: test orta bal, ilk dəfə%.

4. 6 Risk Impact (risk təsiri)

Risk Reduction Index: Redmediasiyadan sonra ümumi risk-skor ∆.
Regulatory Exposure: lisenziya/sertifikatlaşdırma tələblərinə qarşı açıq kritik qapılar.
$ Avoided Losses (təxmini): qapıların bağlanması ilə qarşısı alınan cərimələr/itkilər.

5) Formullar və hesablamalar nümunələri

5. 1 DSAR SLA

'DSAR _ SLA = (qapalı müraciətlərin sayı ≤ 30 gün )/( müraciətlərin sayı)'

Məqsəd: ≥ 98%; qırmızı zona <95%, sarı 95-97. 9.

5. 2 Access Hygiene

'AH = köhnəlmiş _ hüquqlar (sahibi yoxdur/müddəti keçdi )/bütün _ hüquqlar'

Eşik: ≤ 2% (qırmızı zona> 5%).

5. 3 Drift Rate (IaC/Cloud)

'DR = dreyflər (IaC uyğunsuzluqları )/ay'

Trend: ardıcıl 3 ay davamlı azalma.

5. 4 Time-to-Remediate (по severity)

High: media ≤ 30 gün; Kritik: 7 gün ≤. Gecikmə → avtomatik eskalasiya.

5. 5 AML FPR

'FPR = yalançı müsbət _ alertlər/bütün _ alertlər'

TPR və emal itkiləri ilə balans.

5. 6 Evidence Coverage (audit)

'EC = toplanmış _ artefaktlar/məcburi _ _ çek siyahısı üzrə'

Məqsəd: Auditin D-tarixinə 100%; əməliyyat məqsədi - ≥ 95% daimi.

6) Məlumat və sübut mənbələri (evidence)

Compliance DWH vitrin: DSAR, Legal Hold, TTL, audit-loqlar, alertlər.
IAM/İGA: rollar, sahibləri, sertifikatlaşdırma kampaniyaları.
CI/CD/DevSecOps: SAST/DAST/SCA, gizli scan, lisenziyalar, geytalar.
Cloud/IaC: konfiqurasiya snapshot, sürüklənmə-reports, KMS/HSM-loqlar.
SIEM/SOAR/DLP/EDRM: korrelyasiya, playbook, bloklama.
GRC: tələblər, nəzarət, waivers və audit reyestri.
WORM/Object Lock: dəyişməz artefakt arxivi + hash hesabatları.

7) Daşbordlar (minimum dəsti)

1. Compliance Heatmap - sistemlər × standartlar × status.
2. SLA Center - DSAR/STR/təlim: son tarixlər, gecikmələr, proqnoz.
3. Access & SoD - zəhərli rollar, orphan hesabları, sertifikatlaşdırma tərəqqisi.
4. Retention & Deletion - TTL pozuntuları, Legal Hold kilidi, trendlər.
5. Infra/Cloud Drift - IaC uyğunsuzluqları, şifrələmə, seqmentləşdirmə.
6. Findings Pipeline - sahibləri və severity üzrə açıq/vaxtı keçmiş/qapalı.
7. Audit Readiness - evidence əhatə və hazır qədər vaxt «düyməsi».

Rəng zonaları (nümunə):
  • Yaşıl - məqsəd əldə/sabit.
  • Sarı - sapma riski, bir plan tələb olunur.
  • Qırmızı - kritik sapma, dərhal eskalasiya.

8) OKR-bağlama (rübün nümunəsi)

Objective: Relizləri yavaşlatmadan tənzimləmə və əməliyyat riskini azaltın.

KR1: Avtomatik nəzarət Coverage artırmaq 72% → 88%.
KR2: 4 ilə Hygiene Access aşağı. 5% → ≤ 2%.
KR3: 99% DSAR vaxtında; media cavab ≤ 10 gün.
KR4: Drift Rate buludları − 40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 saat (dry-run).

9) Metrlər üçün RACI

RolMəsuliyyət sahəsi
Head of Compliance / DPO (A)Hədəf KPI/KRI seçimi, hesabat həddi və həddi
Compliance Analytics (R)Modellər, formullar, məlumat vitrinləri, dashbordlar
Data Platform (R)Payplayns, məlumat keyfiyyəti, WORM-arxiv evidence
SecOps/Cloud Sec (C)Drift, şifrələmə, SOAR pleybukları
IAM/IGA (C)Sertifikatlar, SoD, giriş sahibləri
Product/DevSecOps (C)Geytlər, zəifliklər, gizli skan
GRC (R/C)Tələblər/nəzarət reyestri, waivers
Internal Audit (I)Hesablamalar və mənbələrin yoxlanılması

10) Tezlik və ölçmə prosedurları

Gündəlik: CCM, sürüklənmə, sirləri, kritik hadisələr.
Həftəlik: SLA DSAR/STR, DevSecOps geytalar, Access Hygiene.
Aylıq: pass rate controls, təkrar findings, Evidence Coverage.
Rüblük: OKR-xülasə, Risk Reduction Index, audit-məşq (dry-run).

Hədlərin yenidən baxılması proseduru: trendlərin, xərclərin və risklərin təhlili; eşiklərin dəyişdirilməsi - Board vasitəsilə.

11) Metrik keyfiyyət: qaydalar

Vahid semantika: terminlər və SQL şablonları lüğəti.
Formulların versiyası: «metrika kod kimi» (anbar + revyu).
Reproduktivliyin yoxlanılması: auditorlar üçün reperma skriptləri.
Artefaktların immutabilliyi: WORM + hash zəncirləri.
Gizlilik: minimallaşdırma, maskalanma, KPI vitrinlərinə giriş nəzarəti.

12) Sorğu nümunələri (SQL/psevdo)

12. 1 DSAR SLA (30 gün):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs fakt):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Eşik qiymətləri (istinad nümunələri, adaptasiya)

MetrikaYaşılSarıQırmızı
DSAR SLA≥ 98%95–97. 9%< 95%
Access Hygiene≤ 2%2. 01–5%> 5%
Drift Rate (high/crit)≤ 5/ay6-15/ay> 15/ay
Evidence Coverage100%95–99. 9%< 95%
Pass Rate Nəzarət≥ 97%90–96. 9%< 90%
Time-to-Audit-Ready≤ 8 saat8-24 saat> 24 saat

14) Antipattern

Sahibi və fəaliyyət planı olmadan «hesabat üçün» metriklər.
Düsturların qarışdırılması → trendlərin uyğunsuzluğu.
Effektiv olmayan əhatə: yüksək Coverage, lakin yüksək drift və təkrar findings.
AML/CCM-də saxta əməliyyatlar (FPR) dəyərinin iqnoru.
Risk konteksti olmayan metriklər (KRI və lisenziyalarla əlaqə yoxdur).

15) Çek vərəqləri

KPI sisteminin işə salınması

  • Metrik lüğət və vahid anbar «kodu kimi metrik».
  • Sahibləri təyin (RACI) və yeniləmə tezliyi.
  • Mənbələr və «Compliance» vitrini qoşuldu.
  • Dashboard və rəng zonaları, SLO/SLA və eskalasiya konfiqurasiya.
  • WORM arxivi və hesabatların hash fiksasiyası.
  • Dry-run reverform ilə audit üçün.

Rüblük hesabatdan əvvəl

  • Düsturların yoxlanılması, anomaliyalara nəzarət.
  • Aşağı tənzimləmə həddinin yenilənməsi.
  • cost/benefit FPR vs TPR analizi.
  • «Qırmızı» zonalar üzrə təkmilləşdirmə planı.

16) Metrik yetkinlik modeli (M0-M4)

M0 Əl uçotu: Excel cədvəlləri, nizamsız hesabatlar.
M1 Kataloq: vahid vitrin, əsas SLA və trendlər.
M2 Avtomatlaşdırılmış: real vaxt daşbordları, eskalasiya.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, islahatlar.
M4 Continuous Assurance: «düyməsi ilə audit-ready», proqnoz (ML) risk metrikləri.

17) Əlaqəli məqalələr wiki

Davamlı uyğunluq monitorinqi (CCM)

Komplayens və hesabatların avtomatlaşdırılması

Risk yönümlü audit

Siyasət və prosedurların həyat dövrü

Legal Hold və məlumatların dondurulması

DSAR: istifadəçi sorğuları

Məlumatların saxlanması və silinməsi qrafikləri

Yekun

Güclü KPI uyğunluğu başa düşülən formullar, etibarlı mənbələr, sahiblər və eşiklər, avtomatlaşdırılmış vitrin və sapma hərəkətləridir. Beləliklə, uyğunluq riskə və biznes sürətinə ölçülə bilən təsiri olan proqnozlaşdırıla bilən bir xidmətə çevrilir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.