GH GambleHub

KPI та метрики комплаєнсу

1) Навіщо метрики комплаєнсу

Метрики переводять вимоги і ризики в керовані цілі. Хороша система KPI/KRI:
  • робить статус відповідності прозорим і порівнянним у часі;
  • пов'язує роботу комплаєнсу з бізнес-результатом (зниження втрат/штрафів/затримок релізів);
  • дозволяє управляти пріоритетами і ресурсами за фактами, а не за відчуттями;
  • спрощує аудит: є трасовані формули, джерела і незмінні артефакти (evidence).
Терміни:
  • KPI - показники виконання (ефективність процесів).
  • KRI - показники ризику (ймовірність/вплив подій).
  • SLO/SLA - цільові рівні сервісу/зобов'язання за термінами.
  • Leading vs Lagging: передбачаючі (leading) і запізнюючі (lagging) індикатори.

2) Карта метрик по доменах (референс-матриця)

ДоменKPI/KRIТипФормула (коротко)Мета (приклад)
Політики/навчанняCoverage атестаційKPIпройшли _ курс/повинні _ пройти≥ 95 %/квартал
MTTU Policy (швидкість оновлення)KPIt_публикации − t_триггера≤ 30 днів
Доступи/IAMAccess HygieneKPIзастарілі _ права/всі _ права≤ 2%
SoD ViolationsKRIкількість токсичних комбінацій0 (критично)
Дані/приватністьDSAR SLA вчасноKPIв _ термін/всього≥ 98%
TTL ViolationsKRIоб'єкти _ понад _ TTL↓ до нуля
Інфра/хмара/IaCDrift RateKPIдрейфів/міс↓ тренд
Encryption CoverageKPIресурси _ з _ шифруванням/всі100%
DevSecOps/кодSecrets in ReposKRIвитоку _ секретів/міс0 критичних
License ComplianceKPIпакети _ з _ неок _ ліцензією0
AML/транзакціїSTR/SAR TimelinessKPIв _ термін/всього≥ 99%
False Positive Rate AMLKPIпомилкових/всі алерти≤ 10% (з контекстом)
Інциденти/аудитTime-to-Remediate FindingsKPIмедіана t_закрытия≤ 30 днів High
Repeat FindingsKRI% повторів за 12 міс≤ 5%

3) «Північні зірки» (North Star) комплаєнсу

1. Audit-ready за N годин (всі evidence зібрані автоматично).
2. Zero Critical Violations (нульові критичні невідповідності щодо безпеки/регуляторики).
3. ≥ 90% Coverage автоматизованими контролями (policy-as-code + CCM).

4) Таксономія метрик

4. 1 Coverage (охоплення)

Control Coverage: контрольовані системи/всі критичні системи.
Evidence Coverage: артефакти зібрані/за чек-листом аудиту.
Policy Adoption: процеси, де вимоги впроваджені ,/всі цільові процеси.

4. 2 Effectiveness (ефективність контролів)

Pass Rate тестів контролів: пройдено/всього тестів періоду.
FPR/TPR (хибнопокладає ./істинноположить.) для детективних правил.
Incidents Prevented: кейси, відвернені превентивними контролями.

4. 3 Efficiency (витрати/швидкість)

MTTD/MTTR порушень: час до детекту/усунення.
Cost per Case (AML/DSAR): годинник × ставка + інфраструктурні витрати.
Automation Ratio: авто-рішень/всі рішення.

4. 4 Timeliness (терміни)

SLA виконання (DSAR/STR/навчання): в термін/всього.
Lead Time політик: від тригера до публікації.
Change Lead Time (DevSecOps-гейти): від PR до релізу при комплаєнс-перевірках.

4. 5 Quality (якість даних/процесів)

Evidence Integrity: % артефактів в WORM з хеш-зведенням.
Data Defects: помилки в рег-звітності/звітів.
Training Score: середній бал тесту,% з першого разу.

4. 6 Risk Impact (вплив на ризик)

Risk Reduction Index: ∆ сумарного ризику після ремедіації.
Regulatory Exposure: відкриті критичні гепи vs вимоги ліцензій/сертифікацій.
$ Avoided Losses (оціночно): штрафи/втрати, відвернені закриттям гепів.

5) Формули і приклади розрахунків

5. 1 DSAR SLA

'DSAR _ SLA = (кількість заявок закритих ≤ 30 днів )/( кількість заявок всього)'

Мета: ≥ 98%; червона зона <95%, жовта 95-97. 9.

5. 2 Access Hygiene

'AH = застарілі _ права (немає власника/пройшов термін )/всі _ права'

Поріг: ≤ 2% (червона зона> 5%).

5. 3 Drift Rate (IaC/Cloud)

'DR = дрейфи (невідповідності IaC↔fakt )/міс'

Тренд: стійке зниження 3 місяці поспіль.

5. 4 Time-to-Remediate (по severity)

High: медіана ≤ 30 днів; Critical: ≤ 7 днів. Прострочення → авто-ескалація.

5. 5 AML FPR

'FPR = хибнопозитивні _ алерти/всі _ алерти'

Балансуйте з TPR і втратами на обробку.

5. 6 Evidence Coverage (аудит)

'EC = зібрані _ артефакти/обов'язкові _ по _ чек-листу'

Мета: 100% до D-дати аудиту; операційна мета - ≥ 95% постійно.

6) Джерела даних і доказів (evidence)

Вітрина Compliance DWH: DSAR, Legal Hold, TTL, аудит-логи, алерти.
IAM/IGA: ролі, власники, кампанії атестацій.
CI/CD/DevSecOps: SAST/DAST/SCA, секрет-скан, ліцензії, гейти.
Cloud/IaC: снапшоти конфігів, дрейф-репорти, KMS/HSM-логи.
SIEM/SOAR/DLP/EDRM: кореляції, плейбуки, блокування.
GRC: реєстр вимог, контролів, waivers та аудитів.
WORM/Object Lock: незмінний архів артефактів + хеш-зведення.

7) Дашборди (мінімальний набір)

1. Compliance Heatmap - системи × нормативи × статус.
2. SLA Center - DSAR/STR/навчання: дедлайни, прострочення, прогноз.
3. Access & SoD - токсичні ролі, orphan-акаунти, прогрес атестацій.
4. Retention & Deletion - TTL-порушення, Legal Hold блокування, тренди.
5. Infra/Cloud Drift - невідповідності IaC, шифрування, сегментація.
6. Findings Pipeline - відкриті/прострочені/закриті за власниками і severity.
7. Audit Readiness - покриття evidence і час до готовності «по кнопці».

Колірні зони (приклад):
  • Зелена - мета досягнута/стабільно.
  • Жовта - ризик відхилення, потрібен план.
  • Червона - критичне відхилення, негайна ескалація.

8) OKR-зв'язка (приклад кварталу)

Objective: Знизити регуляторний і операційний ризик без уповільнення релізів.

KR1: Збільшити Coverage автоматизованих контролів з 72% → 88%.
KR2: Знизити Access Hygiene з 4. 5% → ≤ 2%.
KR3: 99% DSAR в термін; медіана відповіді ≤ 10 днів.
KR4: Drift Rate хмари −40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 годин (dry-run).

9) RACI за метрики

РольЗона відповідальності
Head of Compliance / DPO (A)Вибір цільових KPI/KRI, пороги та апрув звітності
Compliance Analytics (R)Моделі, формули, вітрини даних, дашборди
Data Platform (R)Пайплайни, якість даних, WORM-архів evidence
SecOps/Cloud Sec (C)Дрейф, шифрування, SOAR-плейбуки
IAM/IGA (C)Атестації, SoD, власники доступів
Product/DevSecOps (C)Гейти, уразливості, секрет-скан
GRC (R/C)Реєстр вимог/контролів, waivers
Internal Audit (I)Верифікація розрахунків і джерел

10) Частота і процедури вимірювань

Щодня: альберти CCM, дрейф, секрети, критичні інциденти.
Щотижня: SLA DSAR/STR, DevSecOps гейты, Access Hygiene.
Щомісяця: pass rate контролів, повторні findings, Evidence Coverage.
Щоквартально: OKR-зведення, Risk Reduction Index, аудит-репетиція (dry-run).

Процедура перегляду порогів: аналіз трендів, витрат і ризику; зміна порогів - через Board.

11) Якість метрик: правила

Єдина семантика: словник термінів і SQL-шаблонів.
Версіонування формул: «метрика як код» (репозиторій + рев'ю).
Перевірка відтворюваності: скрипти реперформу для аудиторів.
Іммутабельність артефактів: WORM + хеш-ланцюжки.
Приватність: мінімізація, маскування, контроль доступу до вітрин KPI.

12) Приклади запитів (SQL/псевдо)

12. 1 DSAR SLA (30 днів):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs факт):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Порогові значення (референс-приклади, адаптуйте)

МетрикаЗеленаЖовтаЧервона
DSAR SLA≥ 98%95–97. 9%< 95%
Access Hygiene≤ 2%2. 01–5%> 5%
Drift Rate (high/crit)≤ 5/міс6-15/міс> 15/міс
Evidence Coverage100%95–99. 9%< 95%
Pass Rate контролів≥ 97%90–96. 9%< 90%
Time-to-Audit-Ready≤ 8 год8-24 год> 24 год

14) Антипатерни

Метрики «для звіту» без власника та плану дій.
Змішання версій формул → непорівнянність трендів.
Охоплення без ефективності: високий Coverage, але високий drift і повторні findings.
Ігнор вартості помилкових спрацьовувань (FPR) в AML/CCM.
Метрики без контексту ризику (немає зв'язку з KRI і ліцензіями).

15) Чек-листи

Запуск системи KPI

  • Словник метрик і єдиний репозиторій «метрики як код».
  • Призначені власники (RACI) і частоти оновлення.
  • Підключені джерела і вітрина «Compliance».
  • Налаштовані дашборди і колірні зони, SLO/SLA і ескалації.
  • WORM-архів і хеш-фіксація звітів.
  • Dry-run для аудиту з реперформою.

Перед квартальним звітом

  • Верифікація формул, контроль аномалій.
  • Оновлення навколорегуляторних порогів.
  • Аналіз cost/benefit FPR vs TPR.
  • План поліпшень по «червоних» зонах.

16) Модель зрілості метрик (M0-M4)

M0 Ручний облік: Excel-таблиці, нерегулярні звіти.
M1 Каталог: єдина вітрина, базові SLA і тренди.
M2 Автоматизовано: дашборди в реальному часі, ескалації.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, реперформ.
M4 Continuous Assurance: «audit-ready по кнопці», прогнозні (ML) метрики ризику.

17) Пов'язані статті wiki

Безперервний моніторинг відповідності (CCM)

Автоматизація комплаєнсу та звітності

Ризик-орієнтований аудит

Життєвий цикл політик і процедур

Legal Hold і заморожування даних

DSAR: запити користувачів на дані

Графіки зберігання та видалення даних

Підсумок

Сильні KPI комплаєнсу - це зрозумілі формули, надійні джерела, власники і пороги, автоматизована вітрина і дії по відхиленнях. Так комплаєнс стає передбачуваним сервісом з вимірним впливом на ризик і швидкість бізнесу.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.