GH GambleHub

KPI და კომპლექსის მეტრიკა

1) რატომ არის კომპლექსის მეტრიკა

მეტრიკა გადასცემს მოთხოვნებს და რისკებს კონტროლირებად მიზნებში. KPI/KRI კარგი სისტემა:
  • შესაბამისობის სტატუსი ხდება გამჭვირვალე და შედარებული დროში;
  • შესაბამისობის მუშაობას აკავშირებს ბიზნეს შედეგთან (ზარალის/ჯარიმების/განთავისუფლების შეფერხებების შემცირება);
  • საშუალებას გაძლევთ გააკონტროლოთ პრიორიტეტები და რესურსები ფაქტებზე, და არა გრძნობებზე;
  • ამარტივებს აუდიტს: არსებობს ტრასული ფორმულები, წყაროები და მუდმივი არტეფაქტები (evidence).
ტერმინები:
  • KPI - შესრულების ინდიკატორები (პროცესების ეფექტურობა).
  • KRI - რისკის ინდიკატორები (მოვლენების ალბათობა/გავლენა).
  • SLO/SLA არის მომსახურების/ვალდებულებების მიზნობრივი დონე.
  • Leading vs Lagging: lagging ინდიკატორები.

2) მეტრიული რუკა დომენებზე (საცნობარო მატრიცა)

დომენიKPI/KRIტიპიფორმულა (მოკლედ)მიზანი (მაგალითი)
პოლიტიკოსები/ტრენინგისასერთიფიკატო სერთიფიკატებიKPIგაიარა _ კურსი/უნდა გაიაროს _95 %/კვარტალი
MTTU პოლიტიკა (განახლების სიჩქარე)KPIt _ გამოცემა - t _ triger30 დღეზე მეტი ხნით ადრე
წვდომა/IAMAccess HygieneKPIმოძველებული _ უფლებები/ყველა _ კანონი≤ 2%
SoD ViolationsKRIტოქსიკური კომბინაციებში0 (კრიტიკულად)
მონაცემები/კონფიდენციალურობაDSAR SLA დროულადKPI_ გჟთფკჲ≥ 98%
TTL ViolationsKRIობიექტები _ TTLნულამდე მიყვანა
ინფრა/ღრუბელი/IaCDrift RateKPIდრეიფები/თვეჩემი ცხოვრების წესი
Encryption CoverageKPIრესურსები _ c _ დაშიფვრა/ყველა100%
DevSecOps/კოდიSecrets in ReposKRIსაიდუმლოების/თვის გაჟონვა0 კრიტიკული
License ComplianceKPIპაკეტები _ არა _ ლიცენზია0
AML/გარიგებებიSTR/SAR TimelinessKPI_ გჟთფკჲ≥ 99%
False Positive Rate AMLKPIყალბი/ყველა ალერტა10% -ზე მეტი (კონტექსტით)
ინციდენტები/აუდიტიTime-to-Remediate FindingsKPIმედიანა t _ დახურვა30 დღის განმავლობაში მაღალი
Repeat FindingsKRIგამეორების% 12 თვის განმავლობაში≤ 5%

3) ჩრდილოეთ ვარსკვლავი

1. Audit-ready N საათში (ყველა ღონისძიება ავტომატურად არის შეგროვებული).
2. Zero Critical Violations (ნულოვანი კრიტიკული შეუსაბამობები უსაფრთხოების/მარეგულირებლის შესახებ).
3. Coverage 90% ავტომატური კონტროლით (პოლიცია-as-code + CCM).

4) ტაქსონომია მეტრიკი

4. 1 კოვერაჟი (გაშუქება)

Control Coverage: კონტროლირებადი სისტემები/ყველა კრიტიკული სისტემა.
Evidence Coverage: ნივთები გროვდება/აუდიტის შემოწმების ჩამონათვალის მიხედვით.
Policy Adoption: პროცესები, სადაც დაინერგა მოთხოვნები ,/ყველა სამიზნე პროცესი.

4. 2 კონტროლის ეფექტურობა

Pass Rate კონტროლის ტესტები: გაიარა/მთელი პერიოდის ტესტები.
FPR/TPR (ყალბი ./ჭეშმარიტი.) დეტექტიური წესებისთვის.
Incidents Prevented: პრევენციული კონტროლის თავიდან აცილების შემთხვევები.

4. 3 Efficience (ხარჯები/სიჩქარე)

MTTD/MTTR დარღვევები: დრო დეტალურ/აღმოფხვრამდე.
Cost per Case (AML/DSAR): × კურსი + ინფრასტრუქტურული ხარჯები.
Automation Ratio: ავტო გადაწყვეტილებები/ყველა გადაწყვეტილება.

4. 4 დრო

SLA შესრულება (DSAR/STR/ტრენინგი): დროულად/მთლიანობაში.
Lead Time პოლიტიკოსი: გამომწვევიდან გამოქვეყნებამდე.
Change Lead Time (DevSecOps კარიბჭეები): PR- დან გამოშვებამდე შესაბამისობის შემოწმების დროს.

4. 5 Quality (მონაცემთა/პროცესების ხარისხი)

Evidence Integrity: WORM- ში არტეფაქტების% ჰაშის შეჯამებით.
Data Defects: შეცდომები reg ანგარიშგების/ანგარიშების შესახებ.
Training Score: საშუალო ტესტის ქულა,% პირველად.

4. 6 Risk Impact (რისკის გავლენა)

Risk Reduction Index: მთლიანი რისკის შემცველი რემედიციის შემდეგ.
Regulatory Exposure: ღია კრიტიკული ჰიპები ლიცენზიის/სერტიფიკაციის მოთხოვნით.
Avoided Losses (სავარაუდოდ): ჯარიმები/ზარალი, რომლებიც თავიდან აიცილეს ჰიპების დახურვით.

5) ფორმულები და გამოთვლების მაგალითები

5. 1 DSAR SLA

'DSAR _ SLA = (დახურული განაცხადების რაოდენობა 30 დღე )/( მთლიანი განაცხადების რაოდენობა) "

მიზანი: 98% ევრო; წითელი ზონა <95%, ყვითელი 95-97. 9.

5. 2 Access Hygiene

'AH = მოძველებული _ უფლებები (არ არსებობს მფლობელი/ვადა გადის )/ყველა _ კანონი'

ბარიერი: 2% ევრო (წითელი ზონა> 5%).

5. 3 Drift Rate (IaC/Cloud)

'DR = დრიფტები (შეუსაბამობები IaC (ფაქტი )/თვე'

ტენდენცია: სტაბილური ვარდნა ზედიზედ 3 თვის განმავლობაში.

5. 4 Time-to-Remediate (по severity)

მაღალი: საშუალო 30 დღე; კრიტიკული: 7 დღე. შეფერხება - მანქანის ესკალაცია.

5. 5 AML FPR

'FPR = ყალბი პოზიტიური _ ალერტები/ყველა _ ალერტა "

დაბალანსეთ TPR და დამუშავების დაკარგვა.

5. 6 Evidence Coverage (აუდიტი)

'EC = შეგროვებული _ არტეფაქტები/სავალდებულო _ ჩეკის ფურცელი'

მიზანი: აუდიტის D- თარიღის 100%; ოპერაციული მიზანი მუდმივად 95% -ს შეადგენს.

6) მონაცემთა და მტკიცებულებების წყაროები

Vitrina Compliance DWH: DSAR, Legal Hold, TTL, აუდიტის ლოგოები, ალერტები.
IAM/IGA: როლები, მფლობელები, სასერთიფიკატო კამპანიები.
CI/CD/DevSecOps: SAST/DAST/SCA, საიდუმლო სკანირება, ლიცენზიები, კარიბჭეები.
Cloud/IaC: კონფიგურაციის სნაიპერები, დრიფტის რეპორტები, KMS/HSM ფირები.
SIEM/SOAR/DLP/EDRM: კორელაციები, პლეიბუსები, ბლოკირება.
GRC: მოთხოვნების, მაკონტროლებელი, waivers და აუდიტის რეესტრი.
WORM/Object Lock: არტეფაქტების უცვლელი არქივი + ჰაშის მოხსენებები.

7) დაშბორდი (მინიმალური ნაკრები)

1. Compliance Heatmap - × სტანდარტული სისტემები × სტატუსი.
2. SLA ცენტრი - DSAR/STR/ტრენინგი: ვადები, შეფერხებები, პროგნოზი.
3. Access & SoD - ტოქსიკური როლები, orphan ანგარიშები, სერთიფიკატების პროგრესი.
4. Retention & Deletion - TTL დარღვევები, Legal Hold დაბლოკვა, ტენდენციები.
5. Infra/Cloud Drift - IaC შეუსაბამობები, დაშიფვრა, სეგმენტი.
6. Findings Pipeline - ღია/ვადაგადაცილებული/დახურული მფლობელებისა და საკუთრების მიხედვით.
7. Audit Readiness - evidence საფარი და დრო მზადყოფნამდე „ღილაკზე“.

ფერის ზონები (მაგალითი):
  • მწვანე - მიზანი მიღწეულია/სტაბილურად.
  • ყვითელი - გადახრის რისკი, საჭიროა გეგმა.
  • წითელი - კრიტიკული გადახრა, დაუყოვნებელი ესკალაცია.

8) OKR თაიგული (კვარტლის მაგალითი)

Objective: მარეგულირებელი და ოპერაციული რისკის შემცირება გამოშვების შენელების გარეშე.

KR1: ავტომატური კონტროლების გაზრდა 72% -დან 88% -მდე.
KR2: შეამცირეთ Access Hygiene 4-ით. 5% → ≤ 2%.
KR3: დროულად DSAR 99%; საშუალო პასუხი 10 დღეა.
KR4: დრიფტის ღრუბელი − 40% QoQ.
KR5: Time-to-Audit-Ready - 8 საათი (dry-run).

9) RACI მეტრიკებისთვის

როლიპასუხისმგებლობის არეალი
Head of Compliance / DPO (A)მიზნობრივი KPI/KRI შერჩევა, ბარიერები და აფროუტერები
Compliance Analytics (R)მოდელები, ფორმულები, მონაცემთა ფანჯრები, დაშბორდები
Data Platform (R)Piplines, მონაცემთა ხარისხი, evidence WORM არქივი
SecOps/Cloud Sec (C)დრიფტი, დაშიფვრა, SOAR playbooks
IAM/IGA (C)სერთიფიკატები, SoD, წვდომის მფლობელები
Product/DevSecOps (C)კარიბჭეები, დაუცველები, საიდუმლო სკანირება
GRC (R/C)მოთხოვნების/კონტროლის რეესტრი, waivers
Internal Audit (I)გამოთვლებისა და წყაროების გადამოწმება

10) გაზომვის სიხშირე და პროცედურები

ყოველდღიურად: CCM ალერტები, დრიფტი, საიდუმლოებები, კრიტიკული ინციდენტები.
ყოველკვირეულად: SLA DSAR/STR, DevSecOps კარიბჭეები, Access Hygiene.
ყოველთვიურად: pass rate მაკონტროლებლები, ხელახალი findings, Evidence Coverage.
კვარტალურად: OKR ანგარიში, Risk Reduction ინდექსი, აუდიტის რეპეტიცია (dry-run).

ბარიერების გადახედვის პროცედურა: ტენდენციების, ხარჯების და რისკის ანალიზი; ბარიერების შეცვლა - Board- ის მეშვეობით.

11) მეტრიკის ხარისხი: წესები

ერთი სემანტიკა: ტერმინების ლექსიკონი და SQL შაბლონები.
ფორმულების ვერსია: „მეტრიკა, როგორც კოდი“ (საცავი + შურისძიება).
რეპროდუქციის შემოწმება: აუდიტორებისთვის რეპროდუქციის სკრიპტები.
არტეფაქტების იმიტაცია: WORM + ჰაშის ჯაჭვები.
კონფიდენციალურობა: მინიმიზაცია, შენიღბვა, KPI ფანჯრებზე წვდომის კონტროლი.

12) მოთხოვნის მაგალითები (SQL/ფსევდო)

12. 1 DSAR SLA (30 დღე):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs ფაქტი):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) ბარიერი მნიშვნელობები (რეფერენდუმის მაგალითები, ადაპტირება)

მეტრიკამწვანეყვითელიწითელი
DSAR SLA≥ 98%95–97. 9%< 95%
Access Hygiene≤ 2%2. 01–5%> 5%
Drift Rate (high/crit)5/თვე6-15/თვე> 15/თვე
Evidence Coverage100%95–99. 9%< 95%
Pass Rate მაკონტროლებლები≥ 97%90–96. 9%< 90%
Time-to-Audit-Readyევრო 8 საათი8-24 საათი> 24 საათი

14) ანტიპატერები

მეტრიკა „მოხსენებისთვის“ მფლობელის გარეშე და სამოქმედო გეგმა.
ფორმულების ვერსიების ნაზავი არის ტენდენციების შეუსაბამობა.
გაშუქება ეფექტურობის გარეშე: მაღალი Coverage, მაგრამ მაღალი დრიფტი და განმეორებითი findings.
ყალბი მოქმედების ღირებულების უგულებელყოფა (FPR) AML/CCM- ში.
მრიცხველები რისკის კონტექსტის გარეშე (არ არსებობს კავშირი KRI- სთან და ლიცენზიებთან).

15) ჩეკის ფურცლები

KPI სისტემის გაშვება

  • მეტრიკის ლექსიკონი და ერთი საცავი „მეტრიკა, როგორც კოდი“.
  • დანიშნულია მფლობელები (RACI) და განახლების სიხშირე.
  • წყაროები და კომპლექსის ვიტრინა უკავშირდება.
  • დაშბორდები და ფერის ზონები, SLO/SLA და ესკალაცია განლაგებულია.
  • WORM არქივი და მოხსენებების ჰაშის ფიქსაცია.
  • Dry-run აუდიტისთვის რეპერფორმით.

კვარტალური მოხსენებამდე

  • ფორმულების გადამოწმება, ანომალიების კონტროლი.
  • ახლო სარეგულაციო რეიდების განახლება.
  • ანალიზი cost/benefit FPR vs TPR.
  • წითელი ზონების გაუმჯობესების გეგმა.

16) მეტრიკის სიმწიფის მოდელი (M0-M4)

M0 სახელმძღვანელო ჩანაწერი: Excel ცხრილი, არარეგულარული მოხსენებები.
M1 კატალოგი: ერთი ვიტრინა, ძირითადი SLA და ტენდენციები.
M2 ავტომატიზირებული: დაშბორდები რეალურ დროში, ესკალაცია.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, reperform.
M4 Continuous Assurance: „ღილაკზე audit ready“, პროგნოზირებული (ML) რისკის მეტრიკა.

17) ვიკის დაკავშირებული სტატიები

შესაბამისობის უწყვეტი მონიტორინგი (CCM)

შესაბამისობისა და ანგარიშგების ავტომატიზაცია

რისკზე ორიენტირებული აუდიტი

პოლიტიკის და პროცედურების სასიცოცხლო ციკლი

Legal Hold და გაყინვა

DSAR: მომხმარებლის მოთხოვნა მონაცემებზე

მონაცემთა შენახვისა და წაშლის გრაფიკები

შედეგი

ძლიერი KPI შესაბამისობა არის გასაგები ფორმულები, საიმედო წყაროები, მფლობელები და ბარიერები, ავტომატური ფანჯარა და გადახრები. ასე რომ, შესაბამისობა ხდება პროგნოზირებადი მომსახურება, გაზომილი გავლენით ბიზნესის რისკსა და სიჩქარეზე.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.