Дорожня карта комплаєнсу

1) Призначення та принципи

Дорожня карта комплаєнсу (Compliance Roadmap) - це єдиний план робіт на горизонті 12-24 місяців, пов'язаний з ризиками, ліцензіями, продуктовою стратегією і вимогами юрисдикцій.

• Risk-first: пріоритет щодо впливу на ліцензії, PII/фінанси, санкції та терміни регуляторів.
• Evidence by design: артефакти і метрики закладаються в план спочатку.
• Policy-/Assurance-as-code: вимоги і тести контролів - як код.
• One owner: у кожної ініціативи є власник, SLA, бюджет і критерії успіху.
• Прозорість: загальний беклог, дашборди, регулярні комітети, ескалації.

2) Горизонти і структура плану

Стратегічний (12-24 міс): цілі, ліцензії/сертифікації (ISO/SOC/PCI тощо), регуляторні дедлайни, цільова модель зрілості.
Тактичний (квартали, 3-6 міс): епіки та релізи: політики, контролінг, VRM, приватність, навчання, аудит-готовність.
Операційний (місяці/тижні): завдання в ITSM/Jira, CCM-правила, інтеграції, міграції даних, навчання.

Артефакт: карта «Теми → Епіки → Фічі → Задачі» з прив'язкою до ризиків, контролів і метриків.

3) Портфель ініціатив (референс-скелет)

1. Governance & Політики: репозиторій, таксономія, lifecycle, локалізації.
2. Контролі та CCM: каталог контрольних тверджень, тести як код, інтеграція з логами/метриками.
3. Приватність (DSAR/ретенція/Legal Hold): процеси, інструменти, звітність.
4. VRM/Партнери: due diligence, дзеркальна ретенція, право аудиту, підтвердження.
5. Ліцензії/сертифікації: план аудитів, PBC-листи, «audit pack».
6. AML/KYC/Payments: правила, моніторинг, chargeback-операції, звітність.
7. Навчання та сертифікація (LMS): куррикулуми за ролями/країнами, переатестації.
8. Інциденти/BCP/DR: плейбуки, тести RTO/RPO, post-mortem → CAPA.
9. Відстеження правових змін та алерти: радар, пріоритизація, імплементація.
10. Аналітика та дашборди: KPI/KRI, risk heatmap, readiness.

4) Пріоритизація та оцінка

Методи: RICE + Risk, WSJF c risk adjustment, матриця «Вплив × Терміновість × Регуляторний дедлайн × Залежності».

• Загроза ліцензії/штрафи/санкції (Critical/High/Medium/Low).
• Порушені юрисдикції і масштаб клієнтської бази.
• Наявність швидких компенсуючих заходів.
• Вартість/ресурси і критичний шлях.

Вихід: ранжирований беклог, позначений дедлайнами регуляторів і обов'язковими аудитами.

5) RACI і управління

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

6) Залежності та критичний шлях

Регуляторні дедлайни та вікна аудитів/сертифікацій.
Інтеграції (SSO/логування/дані) та міграції.
Контрактні апдейти (DPA/SLA/аддендуми).
Релізи продукту і техдолг (блокуючі гейти CI/CD).
Інструменти: діаграма Ганта/PERT, «what-if» сценарії, буфери за високими ризиками.

7) Бюджет і ресурси

Планування FTE/вендор-годин/ліцензій; спліт Build/Buy/Partner.
Резерви на аудит/пентест/юридичні послуги.
ROI/TCV: зниження штрафів/chargeback, прискорення аудитів, економія на ручних операціях.

8) Policy-/Assurance-as-code

Контрольні твердження і пороги - в YAML/JSON (id, метрика, threshold, джерела).
Правила CCM (Rego/SQL) в репозиторії з версіями і PR-процесом.
Гейти CI/CD і розклади автоперевірок; WORM-сховище для evidence.

9) Мільстоуни і критерії приймання (DoD)

• Оновлені політики/стандарти/SOP з версіями і changelog.
• Впроваджені контролі/правила CCM, pass-rate ≥ цільового.
• Докази (логи/вивантаження/скрінкасти) з хеш-квитанціями.
• Навчання (LMS) і read- & -attest за порушеними ролями.
• Підтверджене вендорське дзеркало (за наявності третіх сторін).
• План re-audit і спостереження 30-90 днів (drift check).

10) Метрики і KPI/KRI дорожньої карти

On-time Milestones (по кварталах), мета ≥ 90-95%.
Risk Reduction Index (∆ сукупного ризик-скора).
Controls Pass Rate і Evidence Completeness (мета 100% для обов'язкових).
Time-to-Audit-Ready (годинник на збір «audit pack»).
Vendor Certificate Freshness (критичні партнери - 100%).
Training Completion и Refresher Lag.
Repeat Findings и CAPA On-time.
Regulatory On-time Compliance (до дедлайну регулятора).

11) Дашборди (мінімальний набір)

Roadmap View: епіки/квартали, статуси (Planned → In Progress → Verify → Done).
Risk Heatmap: до/після ініціатив, залишковий ризик.
Controls & Evidence: pass-rate, «червоні» правила, completeness.
Regulatory Clock: дедлайни норм, ймовірність прострочень.
VRM Mirror: підтвердження провайдерів і субпроцесорів.
Training & Attestations: охоплення і прострочення за ролями/країнами.

12) Комунікації та buy-in

One-pager на епік: «що/чому/коли/критерії успіху».
Щотижневий battle-rhythm: апдейти статусів/ризиків/блокерів.
Канал Q&A і офіс-годинник для команд і регіонів.
Публічний календар аудитів/дедлайнів.

13) Управління ризиками дорожньої карти

Реєстр ризиків ініціатив: ймовірність/вплив/тригери/власники.
Компенсуючі заходи і waivers з датою закінчення.
«Stop-the-line» правила при загрозі ліцензії/штрафів: швидкі рішення Комітету.
Регулярні re-baseline при істотних правових змінах.

14) SOP (стандартні процедури)

SOP-1: Формування дорожньої карти

Збір вимог (ризики/регуляторика/пост-мортеми/аудити) → скоринг → RICE/WSJF → затвердження Комітетом → публікація Roadmap.

SOP-2: Квартальне планування (PI Planning)

Декомпозиція епіків → цілі кварталу → залежності/критичний шлях → слоти релізів і навчань → узгодження бюджетів.

SOP-3: Керування змінами Roadmap

Запит на зміну (reason/impact) → аналіз ризиків/ресурсів → рішення Комітету → оновлення планів/дашбордів.

SOP-4: Закриття ініціативи

Перевірка DoD → збір evidence pack → запис уроків → оновлення репозиторію політик/контролів → план re-audit.

15) Шаблони артефактів

15. 1 Картка епіка (приклад)

ID/Назва/Юрисдикції/Дедлайни

Бізнес-мета і ризик-раціонал

Політики/контролі/SOP до зміни

Метрики успіху та цільові пороги

Залежності/критичний шлях

Бюджет/ресурси/вендори

План навчання та комунікацій

DoD і список evidence

15. 2 Quarterly Roadmap (сітка)

15. 3 Evidence Pack (зміст)

1. Діфф політик/контролів → 2) CCM-звіти → 3) Логи/скрінкасти → 4) LMS/attestations → 5) Вендорські підтвердження → 6) Протокол Комітету.

16) Приклад квартального плану (фрагмент)

Q1: репозиторій політик (M2), запуск CCM для IAM/ретенції, DSAR-SLA дашборд, onboarding VRM, базові курси етики.
Q2: локалізації для EEA/UK, Legal Hold і WORM-архів, аудит-dry-run, Payment chargeback-процеси.
Q3: сертифікація ISO/SOC фаза fieldwork, DR-навчання, антифрод-правила і моніторинг, партнерські офбординги.
Q4: зовнішня перевірка/репорт, закриття CAPA, re-audit, refresh куррикулумів, план 2026.

17) Антипатерни

«Список хотілок» без ризик-скора і дедлайнів.
Політики без вимірних контролів і метрик.
Ручні перевірки без evidence і WORM.
Відсутність buy-in бізнесу і регіонів.
Немає навчання/комунікацій → низьке прийняття.
Вічні waivers, переноси без аналізу ризику.
Немає re-audit → повторні порушення.

18) Модель зрілості (M0-M4)

M0 Ад-hoc: реактивні фікси, немає загального плану, «пожежі».
M1 Каталог: список ініціатив, базові дедлайни і власники.
M2 Керований: ризик-скоринг, квартальні плани, дашборди та evidence.
M3 Інтегрований: policy-/assurance-as-code, CI/CD гейти, «audit pack» по кнопці, вендорське дзеркало.
M4 Continuous Assurance: прогнозні KRI, авто-планування, рекомендаційні пріоритети, безперервні перевірки.

19) Пов'язані статті wiki

Репозиторій політик і нормативів

Безперервний моніторинг відповідності (CCM)

Відстеження юридичних оновлень/Алерти регуляторних змін

KPI та метрики комплаєнсу

Плани усунення порушень (CAPA) і Повторні аудити

Зовнішні перевірки сторонніми аудиторами

Посібник з комплаєнсу для партнерів

Зберігання доказів та документації

Підсумок

Дорожня карта комплаєнсу - це керована програма змін, де ризики і регуляторні дедлайни переводяться в конкретні епіки, контролі і докази. При такому підході відповідність стає передбачуваним, вимірним і масштабованим - а компанія «audit-ready» в будь-який момент.