KPI e métricas de complaens
1) Porquê as métricas da complacência
As métricas traduzem os requisitos e os riscos em alvos controlados. Bom sistema KPI/KRI:- torna o status de conformidade transparente e comparável no tempo;
- vincula o desempenho da complacência ao resultado do negócio (redução de perdas/multas/atrasos de lançamento);
- permite gerenciar prioridades e recursos por factos e não por sensações;
- simplifica a auditoria: existem fórmulas traçáveis, fontes e artefatos imutáveis (evidence).
- KPI - Indicadores de execução (eficiência de processos).
- KRI - indicadores de risco (probabilidade/impacto de eventos).
- SLO/SLA - metas de serviço/obrigação de prazos.
- Liding vs Lagging: Indicadores de antecipação e atraso (lagging).
2) Mapa de métricas por domínios (matriz arbitral)
3) «Estrelas do Norte» (North Star) da complacência
1. Audit-ready por N relógio (todos os evidence são recolhidos automaticamente).
2. Zero Critical Violations (zero discrepâncias críticas de segurança/regulação).
3. ≥ 90% da Coverage por controladores automatizados (policy-as-código + CCM).
4) Taxonomia métricas
4. 1 Coverage (abrangência)
Controlar Coverage: sistemas controlados/todos os sistemas críticos.
Evidence Coverage: artefatos coletados/por folha de cheque de auditoria.
Policy Adition: processos onde os requisitos foram implementados/todos os processos-alvo.
4. 2 Efetiveness (eficiência de controle)
Os testes de controle Pass Rate foram concluídos/todos os testes do período.
FPR/TPR (falso/real) para as regras de detetive.
Invidents Prevented: Malas evitadas por controladores preventivos.
4. 3 Efficiency (custos/velocidade)
MTTD/MTTR violações: tempo até detecção/reparação.
Costa por Case (AML/DSAR): relógio x taxa + custos de infraestrutura.
Automation Ratio: soluções automáticas/todas as soluções.
4. 4 Timeliness (prazo)
SLA de execução (DSAR/TR/Treinamento): dentro do prazo/total.
Política Lead Time: desde o desencadeador até a publicação.
Mudança Lead Time (DevSecOps-gates): de PR a lançamento em verificações de complicações.
4. 5 Quality (qualidade de dados/processos)
Evidence Integrity:% dos artefatos em WORM com resumo hesh.
Data Defins: erros nos relatórios/relatórios.
Training Score: média de pontuação,% desde a primeira vez.
4. 6 Risk Impact (efeitos sobre o risco)
Risk Reducção Index: ∆ de risco total após a remunção.
Regulatory Exposure: Gaps críticos vs abertos exigências de licenças/certificações.
$ Avoided Losses (avaliado): multas/perdas evitadas pelo fechamento de gaps.
5) Fórmulas e exemplos de cálculo
5. 1 DSAR SLA
'DSAR _ SLA =
Meta: 98%; zona vermelha <95%, amarela 95-97. 9.
5. 2 Access Hygiene
'AH = direitos obsoletos _ (sem dono/vencido )/todos _ direitos'
Limite: ≤ 2% (zona vermelha> 5%).
5. 3 Drift Rate (IaC/Cloud)
'Dr. = deriva (inconsistências de IaC↔fakt )/mes'
A tendência é um declínio sustentado de 3 meses consecutivos.
5. 4 Time-to-Remediate (по severity)
High: Mediana ≤ 30 dias; Critical, ≤ 7 dias. Atraso → escalação automática.
5. 5 AML FPR
'FPR = falsificações _ alertas/todas _ alertas'
Balanceie com TPR e perdas de processamento.
5. 6 Evidence Coverage (auditoria)
'EC = artefatos _ coletados/obrigatórios _ por _ folha de cheque'
Objetivo: 100% para a data D da auditoria; o alvo operacional é ≥ 95% constante.
6) Fontes de dados e provas (evidence)
Vitrine de Compliance DWH: DSAR, Legal Hold, TTL, auditoria de logs, alertas.
IAM/IGA: papéis, proprietários, campanhas de avaliação.
CI/CD/DevSecOps: SAST/DAST/SCA, segredo-scan, licenças, gates.
Cloud/IaC: configs, repostos à deriva, KMS/HSM-logs.
SIEM/SOAR/DLP/EDRM: correlações, playbooks, bloqueios.
GRC: registro de exigências, controles, waivers e auditorias.
WORM/Object Lock: arquivo imutável de artefatos + resumos hash.
7) Dashboards (conjunto mínimo)
1. Compliance Heatmap - sistemas x regulamentação x status.
2. SLA Center - DSAR/TR/Treinamento: deadline, atrasos, previsão.
3. Access & SoD - papéis tóxicos, contas orphan, progressos de avaliação.
4. Retenção & Delation - violações TTL, bloqueios legais, tendências.
5. Infra/Cloud Drift - inconsistências de IaC, criptografia, segmentação.
6. Findings Pipeline - aberto/atrasado/fechado por proprietário e severidade.
7. Check Readiness - revestimento de evidence e tempo até «por botão».
- Verde - meta alcançada/estável.
- Amarelo - risco de desvio, preciso de um plano.
- Vermelho - desvio crítico, escalação imediata.
8) Alinhamento OKR (exemplo de quadra)
Objectiva: Reduzir os riscos regulatórios e operacionais sem abrandar os lançamentos.
KR1: Aumentar a Coverage de Controladores Automatizados de 72% → 88%.
KR2: Reduzir o Access Hygiene de 4. 5% → ≤ 2%.
KR3: 99% DSAR dentro do prazo; A mediana da resposta ≤ 10 dias.
KR4: Draft Rate nuvem - 40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 horas (dry-run).
9) RACI por métricas
10) Frequência e procedimentos de medição
Todos os dias, alertas da CCM, à deriva, segredos, incidentes críticos.
Semanalmente: SLA DSAR/TR, DevSecOps gates, Access Hygiene.
Mensalmente: pass rate controladores, findings repetidos, Evidence Coverage.
Trimestralmente: Resumo OKR, Risk Reductions Index, auditoria de ensaio (dry-run).
Processo de revisão de liminares: análise de tendências, custos e risco; alteração de liminares - através do Board.
11) Qualidade das métricas: regras
Uma semântica: dicionário de termos e modelos SQL.
Versionagem de fórmulas: «métrica como código» (repositório + revezamento).
Verificação de reprodutividade: arquivos de reperforme para auditores.
Imutabilidade de artefatos: cadeias WORM + hesh.
Privacidade: minimização, disfarce, controle de acesso às vitrines do KPI.
12) Exemplos de solicitação (SQL/pseudo)
12. 1 DSAR SLA (30 dias):
sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;12. 2 Access Hygiene:
sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;12. 3 Drivt (Terraform vs facto):
sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');13) Liminares (exemplos de arbitragem, adapte)
14) Antipattern
Métricas de relatório sem dono ou plano de ação.
Misturar versões de fórmulas → comparar tendências.
Cobertura sem eficácia: alta Coverage, mas alta drive e findings repetidos.
Desconsiderar o valor das falsas operações (FPR) na AML/CCM.
Métricas sem contexto de risco (nenhuma ligação com KRI ou licenças).
15) Folhas de cheque
Iniciar sistema KPI
- Dicionário de métricas e um único repositório de métricas como código.
- Os proprietários (RACI) e as frequências de atualização foram designados.
- As fontes e a vitrine «Compliance» estão conectadas.
- São configurados dashboards e áreas de cor, SLO/SLA e escalação.
- Arquivo WORM e gravação hash de relatórios.
- Dry-run para a auditoria com reperforme.
Antes do relatório trimestral
- Verificação de fórmulas, controle de anomalias.
- Atualizar liminares de regulação.
- Análise de custo/benfeitor FPR vs TPR.
- Plano de melhorias para zonas «vermelhas».
16) Modelo de maturidade de métricas (M0-M4)
M0 Contabilidade manual: tabelas Excel, relatórios irregulares.
M1 Catálogo: uma única vitrine, SLA básico e tendências.
M2 Automatizado: dashboards em tempo real, escaladas.
M3 Organizated: policy-as-código, CCM, auto-evidence, reperforte.
M4 Contínuo Assunção: «audit-ready por botão», métricas de risco (ML).
17) Artigos wiki relacionados
Monitoramento Contínuo de Conformidade (CCM)
Automação da compilação e relatórios
Auditoria orientada ao risco
Ciclo de vida de políticas e procedimentos
Legal Hold e congelamento de dados
DSAR: solicitações de dados dos usuários
Gráficos de armazenamento e remoção de dados
Resultado
Os fortes KPI da complacência são fórmulas compreensíveis, fontes confiáveis, proprietários e liminares, vitrine automatizada e ações de desvio. Assim, a complacência torna-se um serviço previsível, com efeitos mensuráveis sobre o risco e a velocidade do negócio.