OX Complance dashboards

1) Atribuição e princípios

• dá sinais e prioriza os riscos;
• fornece explicabilidade («por que funcionou»);
• acelera a reação (botões de ação, rotas de escalação);
• guarda as marcas da auditoria (quem e quando fez o quê).

• Signals over raw: primeiro estatais/anomalias, depois detalhes.
• Time-to-decision <60 segundos: pré-filtros, currículos curtos da mala, ações rápidas.
• Explain & Next: Ao lado do sinal, «o que é» e «o que é que vai acontecer».
• Uma única escala de criticidade: Info/Low/Medium/High/Critical com consistência de cores.
• Temporizão fixo e janela de análise, data clara para a geração do relatório.
• Vazamento zero de PDN: PII mínimo; por padrão, pseudônimos/hachês.

2) Papéis e cenários-chave

Head of Compliance: revisão de riscos, carga, investigação SLA, progresso remediation.
Analista de Complaens (L1/L2): triagem de alertas, gestão de mala, elaboração de base de provas.
AML Officer: transações suspeitas, treinamento SAR/TR, listas de sanções/RER.
RG: pattern comportamentais de risco, limites/auto-exclusão, intervenções.
Data Proteção Officer (DPO): DSAR, vazamentos, anonimato, acessibilidade.
Tech/QA: estabilidade de integração de provedores de screening, erros/retais, latência.
Legal: Dedline de reportes regulatórios, estatais de arquivos de auditoria.

1. «Alertas Críticos por Hoje» → distribuído pelos artistas.

2. «Malas vencidas» → escalar.

3. «RTP saiu do corredor» → bloquear o jogo/operador, iniciar uma investigação.

4. «Correspondência com a lista de sanções» → KYC hold, solicitação de documentos.

5. «Alto risco RG» → intervenção suave/severa, congelamento de depósitos.

3) Arquitetura de informação

1. Painel global: período, geo/jurisdição, marca/operador, produto, criticidade, status de mala, executor.
2. Principal («Hoje»): resumo KRI/KCI, alertas, burn-down SLA, «top movers».
3. Riscos (Risk Hub): Matriz de categorias (KYC/AML/RG/Private/Certificação/Payments).
4. Mala: fila, Kanban/tabela, modelos de decisão, histórico de ação.
5. Relatórios: relatórios regulatórios, deadline, status de arquivos e validações.
6. Integração: Saúde dos provedores (sanções, PEP, documento de verificação, verificação comportamental).
7. Política e Controle: versões de regras, chainjólogo, experimentos/cantigas.

4) Métricas: KRI, KCI e SLA

4. 1 KRI (Key Risk Indicators)

Sanções/PEP Hit Rate = hits/verificações.
Falso Positivo Rate = falsas coincidências/todas as coincidências.
Unverified Users% = KYC/todos os novos.
SAR/TR per 1k Users = número de SAR/TR/1000 usuários.
RG High-Risk% = flagrados de acordo com as regras comportamentais/jogadores ativos.

4. 2 KCI (Key Control Indicators)

KYC Turnaround (p50/p95) é uma mediana/quântil do tempo de verificação.
Alert → Case Conversion% - proporção de sinais que se tornaram uma mala.
Case Resolution Time (p50/p95).
Investation Reopen% - proporção de malas reabertas.
Data Access Violations - Tentativas de visualização não autorizada de PDN.

4. 3 SLA/SLO (operacionais)

Triage SLA: alert crítico acionado ≤ 15 min

Resolution SLA: por tipo (KYC - 24h, AML - 72h, RG - 24h, incidente de privacidade - 72h).
Provider Uptime/Latency: screening-endpoint p95.
ETL Freshness: Vitrines de base de dados ≤ X minutos.

5) Widgets e pattern

Casa («Hoje»)

Heatmap riscos: categorias x criticidade; Clicável para a lista de malas.
SLA Burn-down: Quantas malas na zona verde/amarela/vermelha para deadline.
Top Movers: métricas que mudaram> liminares (FPR, RG High-Risk%, RTP Dave).
Provider Health: farmácia, atrasos, erros de integração.

Risk Hub

Matriz «categoria x jurisdição» com dicas de políticas e requisitos locais.
Anataly Explorers: contribuições de mercados/jogos/provedores para desviar métricas.
Drill-through: de um dispositivo de → para uma lista de eventos → para um cartão de usuário (sem PII, apenas pseudo-ID).

Mala

Cartão da mala: status, criticidade, folha de cheque, última atividade, proprietário, relógio SLA, «Por que a regra funcionou».
Action bar: «Solicitar documento», «Colocar limite», «Hold/Unhold», «Escalar», «Fechar com resultado».
Check Trail: logs imutáveis, anexos, links de regras/eventos.
Modelos de solução (playbooks): etapas preenchidas e textos de notificação.

Relatórios

Calendário de deadline: relatórios regulatórios, assinaturas, confirmações.
Validador: estados de verificação de arquivos/diagramas, erros e correções.
Exportar: versões de arquivos de hashtag, assinaturas de tempo e responsáveis.

6) Regras, explicabilidade e versões

Rule Catalog: lista de regras (ID, versão, proprietário, jurisdição, descrição da lógica).
Explainability: Ao lado do desencadeador - «Quais foram os fatos que resultaram na activação» (por exemplo, «correspondência de alíase sancionada, fonte: folha de EU»).
Versioning: a regra especifica a versão exata do modelo/lista; A mala guarda a lógica.
Scenario Testing: «Experimentar na história» para uma versão recente antes de ser incluída.
Altere-se. Quem mudou, o que mudou, o porquê.

7) Dados e contratos

• `kyc_check` (user_pid, provider, result, reason_codes, ts).
• `sanctions_screen` (user_pid, list_name, match_score, match_fields, ts).
• `rg_signal` (user_pid, risk_level, features_snapshot, ts).
• `rtp_sample` (game_id, market, spins, rtp_observed, window, ts).
• `case_event` (case_id, action, actor, ts, payload_ref).
• `privacy_incident` (type, scope, status, ts).

• Daily _ Risk (categoria x dia x jurisdição).
• Case _ Flow (SLA/etapas/resultados).
• Provider _ Health (farmácia/latency/erros de integração).
• Rule _ Versões (ativas/retiradas).

• campos obrigatórios, faixas válidas, idempotidade de eventos, dedução, monitoramento de raias.

8) Privacidade, RBAC e PII Minimização

Modelo de rolo: Legal/Head vislumbram máquinas e malas; L1, cartões impessoais; e acesso ao PII, apenas através de um botão de registro jusify.
Modo PII padrão: FIO/endereços ocultos; apenas as máscaras pseudo-ID são exibidas.
Just-in-Time Access: acesso temporário ao PII por meio de uma mala; Uma crítica automática.
Data Lineage: caminho do campo de origem a vitrine; verificar rapidamente a legalidade do processamento.
Export Guard: Marcações de exportação (PII/No-PII) para alertar sobre violações de políticas.

9) Processos de investigação (Case Ops)

Этапы: Detect → Triage → Investigate → Decide → Remediate → Report → Learn.

• cheques por tipo de mala;
• O tempo de SLA e os «próximos passos previstos»;
• «malas e soluções semelhantes»;
• «justificativa de fechamento» e modelos de reporte.

• não é possível fechar a mala sem os campos de justificativa preenchidos;
• Aviso quando os passos playbook não forem cumpridos;
• follow-up automático (em N dias) para verificar a eficácia da medida.

10) Alertas e escalações

• Critical: sanction true match; desvio em massa pelo provedor KYC; RTP Dave> # em N costas; vazamento de PDN.
• High: RG High-Risk surge > Xσ; FPR screening de sanções ↑ acima do limite; Atraso da SLA.
• Medium: atraso do provedor> p95 SLO; crescimento do reopen%; uma anomalia no mercado.

• cartão compacto (tipo, origem, certeza, consequências), 2 botões: «Pegar», «Rejeitar com razão».
• acções de massa para os Batch Alerts.
• «Porque é que eu vejo isso» é o dono da política/regra.

• matriz «tipo de risco x nível» → legal, exec, suporte técnico;
• escalação automática em caso de violação do SLA.

11) Jogo responsável (RG) - especificidades UX

Marcadores iniciais: atividade noturna, aumento de depósitos, cancelamentos frequentes, comportamento chase.
Widgets: RG Risk Funnel (marcador → contato → limite/intervalo → outcome), mapa de intervenções e sua eficácia.
Intervenções: suaves (notificações, reality-check), rígidas (limites, tempo, auto-exclusão).
Justificativa: ao lado do mapa de medidas - «por que é que este nível de exposição foi escolhido».

12) Disponibilidade e localização

contraste e fontes por WCAG, foco previsível, teclas quentes;

localização de termos de complacência (glossário em UI);

formatos unificados de datas/números, moeda explícita e fuso horário;

«modo de apresentação» - telas sem PII para demonstrações de auditoria/conselho de administração.

13) Antipattern

«Parede de tabelas» sem sinais ou explicações.
Mistura de papéis: Dados legais disponíveis para L1 sem justificações.
Pop-up para cada clique (fadiga de interface).
Fórmulas diferentes para as mesmas métricas em diferentes widgets.
Alertas sem rosto, sem o efeito do «quê».
Exportar com PDN sem avisar ou logar.

14) Folha de cheque de implementação (por sprins)

Sprint 1: Vitrines básicas (Daily _ Risk, Case _ Flow), principal «Now», matriz de risco.
Sprint 2: cartão de mala + playbooks, temporizadores SLA, auditório trail.
Sprint 3: integração de provedores (sanções, KYC, RG), Provider Health, retrai.
Sprint 4: relatórios e validador, calendário de deadline, exportação com guardrails.
Sprint 5: explainers, «malas semelhantes», mudanças de regras, scenário testing.
Sprint 6: localização, disponibilidade, modo de apresentação, acesso ao PII JIT.

15) Glossário

KRI/KCI - indicadores de risco/controle.
SLA/SLO - tempos-alvo/contratual de resposta/decisão.
PEP/Sanções - Pessoas politicamente significativas/listas de sanções.
SAR/TR - relatórios de atividade suspeita.
RG é um jogo responsável.
O FPR/TPR é uma parte falsa/verdadeira.
PII - dados pessoais.
O Playbook é um modelo de ação da mala.

16) Resultado

1. sinais com explicabilidade,

2. ações rápidas e seguras,

3. controle de acesso rigoroso e vestígios de auditoria,

4. métricas consistentes em todas as telas,

5. suporte a processos de investigação e relatórios.

Comece com «Hoje» (sinais, SLA, saúde das integrações), adicione o Case Ops e o Explorabilidade e depois amplie para os relatórios e políticas de versionização - de modo que o dashboard se torne uma ferramenta real de redução de riscos, em vez de apenas uma vitrine de números.