Uyumluluk Yol Haritası

1) Amaç ve prensipler

Uyum Yol Haritası, risklere, lisanslara, ürün stratejisine ve yetki alanı gereksinimlerine bağlı olarak 12-24 aylık bir ufukta birleşik bir çalışma planıdır.

• Riskten önce: Lisanslar, PII/finans, yaptırımlar ve düzenleyici süreler üzerindeki etkiye öncelik.
• Tasarıma göre kanıt: Eserler ve metrikler başlangıçta plana yerleştirilir.
• Poliçe/Assurance-as-code: gereksinimler ve kontrollerin testleri - kod olarak.
• Her girişimin bir sahibi, SLA'sı, bütçesi ve başarı kriterleri vardır.
• Şeffaflık: genel birikim, gösterge tabloları, düzenli komiteler, yükselmeler.

2) Ufuklar ve plan yapısı

Stratejik (12-24 ay): hedefler, lisanslar/sertifikalar (ISO/SOC/PCI, vb.), düzenleyici son tarihler, hedef vade modeli.
Taktik (çeyrek, 3-6 ay): destanlar ve sürümler: politikalar, kontrol, VRM, gizlilik, eğitim, denetime hazırlık.
Operasyonel (aylar/haftalar): ITSM/Jira'daki görevler, CCM kuralları, entegrasyon, veri taşıma, eğitim.

Artifact: harita "Temalar, Epikler, Fichi, Görevler" riskler, kontroller ve metrikler referans alınarak.

3) Girişim portföyü (referans iskelet)

1. Yönetişim ve Politikalar: depo, taksonomi, yaşam döngüsü, yerelleştirmeler.
2. Kontroller ve CCM: kontrol ifadeleri dizini, kod olarak testler, günlükler/metriklerle entegrasyon.
3. Gizlilik (DSAR/retention/Legal Hold): süreçler, araçlar, raporlama.
4. VRM/İş Ortakları: durum tespiti, ayna tutma, denetim hakkı, onaylar.
5. Lisanslar/sertifikalar: denetim planı, PBC listeleri, "denetim paketi".
6. AML/KYC/Ödemeler: kurallar, izleme, ters ibraz işlemleri, raporlama.
7. Eğitim ve Sertifikasyon (LMS): Rol/Ülkeye Göre Zerdeçal, Yeniden Sertifikalandırma.
8. Olaylar/BCP/DR: playbooks, RTO/RPO testleri, post-mortem.
9. Yasal değişikliklerin ve uyarıların izlenmesi: radar, önceliklendirme, uygulama.
10. Analitik ve gösterge tabloları: KPI/KRI, risk ısı haritası, hazır olma.

4) Önceliklendirme ve değerlendirme

Yöntemler: RICE + Risk, risk ayarlaması ile WSJF, matris "Etki × Aciliyet × Düzenleyici son tarih × Bağımlılıklar".

• Kritik/Yüksek/Orta/Düşük.
• Etkilenen yargı bölgeleri ve müşteri tabanının ölçeği.
• Hızlı telafi edici önlemlerin mevcudiyeti.
• Maliyet/kaynaklar ve kritik yol.

Çıktı: Düzenleyicilerin son teslim tarihleri ve zorunlu denetimlerle işaretlenmiş sıralı birikim.

5) RACI ve yönetim

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

6) Bağımlılıklar ve kritik yol

Düzenleyici son tarihler ve denetim/sertifikasyon pencereleri.
Entegrasyonlar (SSO/logging/data) ve geçişler.
Sözleşme güncellemeleri (DPA/SLA/addendums).
Ürün sürümleri ve teknik borç (CI/CD kapılarını engelleme).
Araçlar: Gantt chart/PERT, what-if senaryoları, yüksek riskli tamponlar.

7) Bütçe ve kaynaklar

FTE/satıcı saatlerinin/lisanslarının planlanması; Bölünmüş Yapı/Satın Alma/Ortak.
Denetim/pentest/hukuk hizmetlerine ilişkin hükümler.
ROI/TCV: Azaltılmış para cezaları/ters ibraz, daha hızlı denetimler, manuel işlemlerde tasarruf.

8) Poliçe-/Assurance-as-code

Kontrol tabloları ve eşikler - YAML/JSON'da (id, metrik, eşik, kaynaklar).
Sürümleri ve PR süreci ile depoda CCM kuralları (Rego/SQL).
CI/CD kapıları ve otomatik doğrulama programları; Kanıt için WORM deposu.

9) Kilometre taşları ve kabul kriterleri (DoD)

• Sürümler ve changelog ile güncellenmiş politikalar/standartlar/SOP.
• Uygulanan CCM, geçiş hızı ≥ hedef kontrolleri/kuralları.
• Hash makbuzlu provalar (günlükler/yüklemeler/screencastlar).
• Eğitim (LMS) ve etkilenen roller hakkında okuma ve onaylama.
• Onaylanmış satıcı aynası (varsa).
• Yeniden denetim planı ve 30-90 gün boyunca izleme (drift kontrolü).

10) Yol Haritası Metrikleri ve KPI/KRI

Zamanında Kilometre Taşları (çeyreğe göre), hedef ≥ %90-95.
Risk Azaltma Endeksi (kümülatif risk oranı ∆).
Kontrol Geçiş Oranı ve Kanıt Tamlığı (zorunlu için %100 hedef).
Denetime Hazır Zaman ("denetim paketi" toplama saatleri).
Satıcı Sertifikası Tazeliği (kritik ortaklar - %100).
Eğitim Tamamlama и Tazeleme Gecikmesi.
CAPA и Bulguları Zamanında Tekrarlayın.
Düzenleyici Zamanında Uyumluluk (düzenleyici son tarihinden önce).

11) Gösterge Panoları (minimum set)

Roadmap View: Planlanmış - Devam Ediyor - Doğrula - Bitti.
Risk Isı Haritası: Girişimlerden önce/sonra, artık risk.
Kontroller ve Kanıtlar: geçiş hızı, kırmızı kurallar, bütünlük.
Düzenleyici Saat: normların son tarihleri, gecikme olasılığı.
VRM Mirror: sağlayıcı ve alt işlemci onayları.
Eğitim ve Katılımlar: rol/ülkeye göre kapsam ve suçluluklar.

12) İletişim ve satın alma

Tek çağrı cihazı epik:'ne/neden/ne zaman/başarı kriterleri ".
Haftalık savaş ritmi: Durumların/risklerin/engelleyicilerin güncellenmesi.
Ekipler ve bölgeler için soru-cevap kanalı ve çalışma saatleri.
Kamu Denetimi/Son Tarih Takvimi.

13) Yol Haritası Risk Yönetimi

Girişimlerin risk kaydı: olasılık/etki/tetikleyiciler/sahipler.
Telafi edici önlemler ve son kullanma tarihi olan feragatlar.
Lisans/para cezası tehdidi durumunda "stop-the-line" kuralları: Komitenin hızlı kararları.
Önemli yasal değişikliklerle düzenli yeniden temel.

14) SOP (standart prosedürler)

SOP-1: Yol haritası geliştirme

Gereksinimlerin toplanması (riskler/düzenlemeler/post-mortemler/denetimler) - puanlama - RICE/WSJF - Komite onayı - Yol Haritası yayını.

SOP-2: Üç aylık planlama

Destanların ayrışması - çeyrek hedefler - bağımlılıklar/kritik yol - serbest bırakma ve eğitim yuvaları - bütçe uyumu.

SOP-3: Yol Haritası Değişim Yönetimi

Değişiklik isteği (sebep/etki) - risk/kaynak analizi - Komite kararı - güncelleme planları/gösterge tabloları.

SOP-4: Girişimin kapatılması

DoD checking - kanıt paketi toplama - ders kaydı - policy/control repository - re-audit planının güncellenmesi.

15) Eser desenleri

15. 1 Epik kart (örnek)

Kimlik/Ad/Yetki Alanları/Son Tarihler

İş Amacı ve Risk Mantığı

Politikalar/Kontroller/SOPs to Change

Başarı metrikleri ve hedef eşikleri

Bağımlılıklar/kritik yol

Bütçe/Kaynaklar/Satıcılar

Eğitim ve İletişim Planı

DoD ve kanıt listesi

15. 2 Üç Aylık Yol Haritası (ızgara)

15. 3 Kanıt Paketi

1. Policy/Control Diff - 2) CCM Reports - 3) Logs/Screencasts - 4) LMS/attestations - 5) Vendor Confirmations - 6) Committee Minutes.

16) Üç aylık plan örneği (parça)

S1: politika deposu (M2), IAM/retentions için CCM lansmanı, DSAR-SLA panosu, onboarding VRM, temel etik kursları.
S2: EEA/UK, Legal Hold ve WORM arşivi için yerelleştirmeler, audit-dry-run, Payment chargeback süreçleri.
S3: ISO/SOC sertifikasyon saha çalışması aşaması, DR egzersizleri, dolandırıcılıkla mücadele kuralları ve izleme, ortak offboarding.
S4: Dış İnceleme/Rapor, CAPA Kapat, yeniden denetim, zerdeçal yenileme, plan 2026.

17) Antipatterns

Risk hızı ve son tarihler olmadan "İstek Listesi".
Ölçülebilir kontrol ve metrikleri olmayan politikalar.
Kanıt ve WORM olmadan manuel kontroller.
Satın alma iş ve bölgelerin eksikliği.
Eğitim/iletişim yok - düşük kabul.
Sonsuz feragat, risk analizi olmayan transferler.
Yeniden denetim yok - tekrarlanan ihlaller.

18) Olgunluk modeli (M0-M4)

M0 Hell-hoc: reaktif düzeltmeler, genel plan yok, "yangınlar".
M1 Kataloğu: girişimlerin listesi, temel teslim tarihleri ve sahipler.
M2 Yönetilebilir: risk puanlama, üç aylık planlar, gösterge tabloları ve kanıtlar.
M3 Integrated: policy-/assurance-as-code, CI/CD kapıları, butonla "denetim paketi", satıcı aynası.
M4 Sürekli Güvence: tahmini KRI'lar, otomatik planlama, öneri öncelikleri, sürekli kontroller.

19) İlgili wiki makaleleri

Politika ve uyumluluk deposu

Sürekli Uyumluluk İzleme (CCM)

Yasal Güncelleme Takibi/Düzenleyici Değişiklik Uyarıları

KPI'lar ve uyumluluk metrikleri

İyileştirme Planları (CAPAs) ve Yeniden Denetimler

Dış denetçilerin dış denetimleri

İş Ortağı Uyum Kılavuzu

Kanıt ve belgelerin depolanması

Toplam

Uyumluluk yol haritası, risklerin ve düzenleyici son tarihlerin belirli destanlara, kontrollere ve kanıtlara dönüştüğü yönetilen bir değişim programıdır. Bu yaklaşımla uyumluluk öngörülebilir, ölçülebilir ve ölçeklenebilir hale gelir ve her an denetime hazır hale gelir.