GH GambleHub

KPIs und Compliance-Kennzahlen

1) Warum Compliance-Metriken

Metriken übersetzen Anforderungen und Risiken in überschaubare Ziele. Gutes KPI/KRI-System:
  • macht den Konformitätsstatus transparent und zeitlich vergleichbar;
  • Verknüpfung der Compliance-Arbeit mit dem Geschäftsergebnis (Reduzierung von Verlusten/Strafen/Verzögerungen bei Freigaben);
  • ermöglicht es Ihnen, Prioritäten und Ressourcen nach Fakten und nicht nach Gefühl zu verwalten;
  • vereinfacht die Prüfung: Es gibt rückverfolgbare Formeln, Quellen und unveränderliche Artefakte (evidence).
Begriffe:
  • KPI - Leistungsindikatoren (Prozesseffizienz).
  • KRI - Risikoindikatoren (Wahrscheinlichkeit/Auswirkung von Ereignissen).
  • SLO/SLA - Service Level Objectives/Terminverpflichtungen.
  • Leading vs Lagging: Vorausschauende (Leading) und verzögerte (Lagging) Indikatoren.

2) Metrikkarte nach Domäne (Referenzmatrix)

DomäneKPI/KRIDer TypFormel (kurz)Zweck (Beispiel)
Politik/AusbildungCoverage von ZertifizierungenKPIbestanden _ Kurs/muss _ bestanden haben≥ 95 %/Quartal
MTTU-Richtlinie (Aktualisierungsrate)KPIt_publikatsii − t_triggera≤ 30 Tage
Zugriffe/IAMAccess HygieneKPIveraltete _ Rechte/alle _ Rechte≤ 2%
SoD ViolationsKRIAnzahl toxischer Kombinationen0 (kritisch)
Daten/DatenschutzDSAR SLA pünktlichKPIin _ deadline/gesamt≥ 98%
TTL ViolationsKRIObjekte _ über _ TTL↓ gegen Null
Infra/Cloud/IaCDrift RateKPIDrifts/Monate↓ Trend
Encryption CoverageKPIRessourcen _ mit _ Verschlüsselung/alle100%
DevSecOps/CodeSecrets in ReposKRILeaks _ secrets/mes0 kritisch
License ComplianceKPIPakete _ mit _ neok _ Lizenz0
AML/TransaktionenSTR/SAR TimelinessKPIin _ deadline/gesamt≥ 99%
False Positive Rate AMLKPIfalsch/alle Alerts≤ 10% (mit Kontext)
Vorfälle/AuditTime-to-Remediate FindingsKPIMedian der t_zakrytiya≤ 30 Tage High
Repeat FindingsKRI% Wiederholungen in 12 Monaten≤ 5%

3) „Nordsterne“ (North Star) Compliance

1. Audit-ready für N Stunden (alle evidence werden automatisch gesammelt).
2. Zero Critical Violations (null kritische Inkonsistenzen in Bezug auf Sicherheit/Regulierung).
3. ≥ 90% Coverage durch automatisierte Kontrollen (Policy-as-Code + CCM).

4) Taxonomie der Metriken

4. 1 Deckung (Reichweite)

Control Coverage: überwachte Systeme/alle kritischen Systeme.
Evidence Coverage: Artefakte gesammelt/durch Audit-Checkliste.
Policy Adoption: Prozesse, bei denen Anforderungen umgesetzt werden ,/alle Zielprozesse.

4. 2 Wirksamkeit (Wirksamkeit der Kontrollen)

Pass Rate Tests Kontrollen: bestanden/alle Tests Zeitraum.
FPR/TPR (falsch positiv ./wahr positiv.) für Detektivregeln.
Incidents Prevented: Fälle, die durch präventive Kontrollen verhindert wurden.

4. 3 Effizienz (Kosten/Geschwindigkeit)

MTTD/MTTR Störungen: Zeit bis zur Detektion/Beseitigung.
Kosten pro Fall (AML/DSAR): Stunden × Rate + Infrastrukturkosten.
Automatisierungsverhältnis: Auto-Lösungen/alle Lösungen.

4. 4 Timeliness (Fristen)

SLA Ausführung (DSAR/STR/Training): pünktlich/gesamt.
Lead Time Policy: Vom Auslöser bis zur Veröffentlichung.
Change Lead Time (DevSecOps-Gates): von PR bis Release bei Compliance-Prüfungen.

4. 5 Qualität (Daten-/Prozessqualität)

Evidence Integrity:% der Artefakte in WORM mit Hash-Zusammenfassung.
Datenfehler: Fehler im Reg-Reporting/Reporting.
Trainingsscore: durchschnittliche Testnote,% beim ersten Mal.

4. 6 Risikowirkung (Auswirkungen auf das Risiko)

Risk Reduction Index: ∆ des Gesamtrisikos nach der Remediation.
Regulatory Exposure: offene kritische Lücken gegen Lizenz-/Zertifizierungsanforderungen.
$ Avoided Losses (geschätzt): Strafen/Verluste, die durch das Schließen von Lücken verhindert wurden.

5) Formeln und Berechnungsbeispiele

5. 1 DSAR SLA

„DSAR _ SLA = (Anzahl der geschlossenen Anträge ≤ 30 Tage )/( Anzahl der Anträge insgesamt)“

Ziel: ≥ 98%; rote Zone <95%, gelb 95-97. 9.

5. 2 Access Hygiene

„AH = veraltete _ Rechte (kein Eigentümer/abgelaufen )/alle _ Rechte“

Schwelle: ≤ 2% (rote Zone> 5%).

5. 3 Drift Rate (IaC/Cloud)

„DR = Drifts (Inkonsistenzen IaC↔fakt )/Monate“

Trend: stetiger Rückgang 3 Monate in Folge.

5. 4 Time-to-Remediate (по severity)

Hoch: Median ≤ 30 Tage Critical: ≤ 7 Tage. Verzögerung → Auto-Eskalation.

5. 5 AML FPR

„FPR = false positive _ alerts/all _ alerts“

Balancieren Sie mit TPR und Verarbeitungsverlusten.

5. 6 Evidence Coverage (Prüfung)

„EC = collected _ artefakte/required _ by _ checklist“

Ziel: 100% zum D-Datum des Audits; Ziel ist es, 95% dauerhaft zu ≥.

6) Daten- und Beweisquellen (evidence)

DWH Compliance Showcase: DSAR, Legal Hold, TTL, Audit-Logs, Alerts.
IAM/IGA: Rollen, Inhaber, Zertifizierungs-Kampagnen.
CI/CD/DevSecOps: SAST/DAST/SCA, Secret-Scan, Lizenzen, Gates.
Cloud/IaC: Config-Snapshots, Drift-Berichte, KMS/HSM-Protokolle.
SIEM/SOAR/DLP/EDRM: Korrelationen, Playbooks, Sperren.
GRC: Register der Anforderungen, Kontrollen, Waiver und Audits.
WORM/Object Lock: Unveränderliches Archiv von Artefakten + Hash-Zusammenfassungen.

7) Dashboards (Mindestsatz)

1. Compliance Heatmap - Systeme × Normen × Status.
2. SLA Center - DSAR/STR/Training: Termine, Verspätungen, Prognose.
3. Zugang & SoD - toxische Rollen, Orphan-Accounts, Fortschritt der Zertifizierungen.
4. Retention & Deletion - TTL-Verstöße, Legal Hold Sperren, Trends.
5. Infra/Cloud Drift - IaC-Inkonsistenzen, Verschlüsselung, Segmentierung.
6. Findings Pipeline - offen/überfällig/geschlossen durch Eigentümer und severity.
7. Audit Readiness - Abdeckung von evidence und Zeit bis zur Bereitschaft „on the button“.

Farbzonen (Beispiel):
  • Grün - Ziel erreicht/stabil.
  • Gelb - das Risiko einer Abweichung, ein Plan ist erforderlich.
  • Rot ist eine kritische Abweichung, eine sofortige Eskalation.

8) OKR-Bündel (Beispiel Quartal)

Ziel: Reduzieren Sie das regulatorische und operative Risiko, ohne die Veröffentlichungen zu verlangsamen.

KR1: Erhöhen Sie die Coverage von automatisierten Kontrollen von 72% → 88%.
KR2: Reduzieren Sie Access Hygiene von 4. 5% → ≤ 2%.
KR3: 99% DSAR auf Zeit; Das mediane Ansprechen ≤ 10 Tage.
KR4: Die Drift Rate der Cloud − 40% QoQ.

KR5: Time-to-Audit-Ready ≤ 8 Stunden (Dry-Run)

9) RACI für Metriken

RolleZuständigkeitsbereich
Head of Compliance / DPO (A)Auswahl von Ziel-KPIs/KRIs, Schwellenwerten und Berichtsplänen
Compliance Analytics (R)Modelle, Formeln, Datenvitrinen, Dashboards
Data Platform (R)Piplines, Datenqualität, WORM-Archiv evidence
SecOps/Cloud Sec (C)Drift, Verschlüsselung, SOAR-Playbooks
IAM/IGA (C)Bescheinigungen, SoD, Zugangsberechtigte
Product/DevSecOps (C)Tore, Schwachstellen, Geheimscan
GRC (R/C)Anforderungs-/Kontrollregister, waivers
Internal Audit (I)Verifizierung von Berechnungen und Quellen

10) Häufigkeit und Messverfahren

Täglich: CCM-Warnungen, Drift, Geheimnisse, kritische Vorfälle.
Wöchentlich: SLA DSAR/STR, DevSecOps Gates, Access Hygiene.
Monatlich: Pass Rate Kontrollen, wiederholte Entdeckungen, Evidence Coverage.
Vierteljährlich: OKR-Zusammenfassung, Risikoreduktionsindex, Audit-Probe (Dry-Run).

Verfahren zur Überprüfung der Schwellenwerte: Trend-, Kosten- und Risikoanalyse; Schwellen ändern - durch Board.

11) Qualität der Metriken: Regeln

Einheitliche Semantik: Wörterbuch der Begriffe und SQL-Vorlagen.
Versionierung von Formeln: „Metrik als Code“ (Repository + Revue).
Reproduzierbarkeitsprüfung: Reperformanceskripte für Auditoren.
Immutabilität von Artefakten: WORM + Hash-Ketten.
Privatsphäre: Minimierung, Maskierung, Zugangskontrolle zu KPI-Schaufenstern.

12) Beispielabfragen (SQL/Pseudo)

12. 1 DSAR SLA (30 Tage):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs Tatsache):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Schwellenwerte (Referenzbeispiele, anpassen)

MetrikDie GrüneDie GelbeDie Rote
DSAR SLA≥ 98%95–97. 9%< 95%
Access Hygiene≤ 2%2. 01–5%> 5%
Drift Rate (high/crit)≤ 5/Monat6-15/Monat> 15/Monat
Evidence Coverage100%95–99. 9%< 95%
Passrate der Kontrollen≥ 97%90–96. 9%< 90%
Time-to-Audit-Ready≤ 8 h8-24 h> 24 h

14) Antipatterns

Metriken „für den Bericht“ ohne Eigentümer und Aktionsplan.
Das Mischen von Formelversionen → die Inkompatibilität von Trends.
Reichweite ohne Effizienz: hohe Coverage, aber hohe Drift und Re-Findings.
Ignorieren Sie die Kosten von False Positives (FPR) in AML/CCM.
Metriken ohne Risikokontext (keine Verknüpfung mit KRIs und Lizenzen).

15) Checklisten

Start des KPI-Systems

  • Metrikwörterbuch und einheitliches Repository „Metriken als Code“.
  • Besitzer (RACI) und Aktualisierungsraten zugewiesen.
  • Quellen und Schaufenster „Compliance“ sind angebunden.
  • Dashboards und Farbzonen, SLO/SLA und Eskalationen sind eingerichtet.
  • WORM-Archiv und Hash-Fixierung von Berichten.
  • Dry-run für Audit mit Reperform.

Vor dem Quartalsbericht

  • Verifizierung von Formeln, Kontrolle von Anomalien.
  • Aktualisierung der perioregulatorischen Schwellenwerte.
  • Kosten/Nutzen-Analyse FPR vs TPR.
  • Verbesserungsplan für „rote“ Zonen.

16) Modell der Reife von Metriken (M0-M4)

M0 Manuelle Buchhaltung: Excel-Tabellen, unregelmäßige Berichte.
M1 Katalog: einheitliches Schaufenster, grundlegende SLAs und Trends.
M2 Automatisiert: Dashboards in Echtzeit, Eskalationen.
M3 Orchestriert: policy-as-code, CCM, auto-evidence, reperforms.
M4 Continuous Assurance: „audit-ready by button“, vorausschauende (ML) Risikometriken.

17) Verwandte Artikel wiki

Kontinuierliche Compliance-Überwachung (CCM)

Automatisierung von Compliance und Reporting

Risikobasiertes Audit

Lebenszyklus von Richtlinien und Verfahren

Legal Hold und Dateneinfrieren

DSAR: Benutzeranfragen nach Daten

Zeitpläne für die Speicherung und Löschung von Daten

Summe

Starke Compliance-KPIs sind klare Formeln, zuverlässige Quellen, Eigentümer und Schwellenwerte, automatisiertes Schaufenster und Abweichungsaktivitäten. So wird Compliance zu einem vorhersehbaren Service mit messbaren Auswirkungen auf das Risiko und die Geschwindigkeit des Geschäfts.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.