Введение

Курс плотный. На 10 модулей приходится ~45 часов контента, ~280 KnowledgeCheck-точек, 9 обязательных doc-практик, 9 opt-in tooling-практик и ~50 диаграмм. Если читать «как книгу» — большая часть прикладной ценности проходит мимо. Этот урок объясняет, как извлечь максимум.

Анатомия урока

Каждый урок собирается из шести зон. Не все шесть присутствуют всегда, но порядок стабильный:

1. Frontmatter — audience, topics, regulationVersions, estimatedTime. Сначала смотрим сюда — решает, читать ли вообще.
2. Хук через SwiftRide — один абзац конкретной болевой точки, в которой урок применяется. Не «у компании X была проблема», а «комитет по аудиту SwiftRide получил finding от Big 4 от 14 марта…».
3. Концептуальная часть — определения, маппинг на frameworks, decision trees. Здесь рождается общий язык урока.
4. Прикладная часть — как концепт применяется на SwiftRide именно сейчас (T0 → T+18M), какие артефакты генерируются.
5. Anti-patterns — типичные ошибки. Часто полезнее основного текста, потому что вам уже хочется их совершить.
6. KnowledgeCheck + резюме — 1-2 inline-вопроса для самопроверки, потом 4-вопросный quiz JSON (отображается после урока), потом следующий урок.

Маркеры аудитории

Каждый урок имеет audience во frontmatter:

• all — концептуальный уровень, нужен всем.
• engineers — глубина имплементации (dbt tests, OpenMetadata API, OpenLineage events). Risk/leadership могут пройти быстрее.
• risk-grc — маппинг на регуляции, audit procedures, evidence framework. Инженеры получат пользу от понимания, что от них ждёт аудит.
• leadership — стратегический фрейминг, артефакты для совета директоров, критерии оценки вендоров. Часто короткие, дают словарь для talking points.

Выборочное прохождение по маркеру допустимо, но M0-M2 обязательны всем — без них последующие модули теряют смысл.

Сквозной кейс: SwiftRide

Все сценарии, KnowledgeCheck-задания, данные практик и quiz-вопросы используют одну фиктивную компанию — SwiftRide N.V. (pre-IPO ride-hailing platform, HQ Amsterdam, готовится к US-листингу через 18 месяцев). Полный профиль — в уроке 4 этого модуля.

Один кейс выбран сознательно:

• К M9 (capstone) вы уже знаете бизнес-модель, регуляторный охват, инфраструктуру SwiftRide наизусть — и работаете с реальной сложностью, а не с тепличными синтетическими примерами.
• Авторы не тратят 30% слов на «компания X из отрасли Y» — сразу к делу.
• Один и тот же CDE — например, Driver Earnings ledger — проходит весь жизненный цикл: criticality scoring (M1) → registry entry (M4) → control set (M5) → BIA mapping (M6) → evidence pipeline (M7) → audit-ready артефакт (M9).

Драматургия

SwiftRide эволюционирует через курс. В M1 adoption OpenMetadata частичный (~30% датасетов с owner). В M4 появляется central registry с CDE-флагом. В M5 evidence pipeline пишется впервые. В M7 — первая quarterly attestation. В M9 SwiftRide проходит внешний аудит и листится.

Не показывайте состояние M7 в практике M2 — это разрушает педагогическую дугу. Если упражнение требует артефакта, который ещё не построен — это намёк, что вы ушли вперёд по timeline.

Глоссарий — навигационный артефакт

Файл data/glossary.json — единственный источник истины для терминологии. Перед использованием любого термина (CDE, materiality, ICFR, ITGC, RDARR, evidence, attestation, RTO, RPO, material weakness) — проверяйте определение здесь. Не интерпретируйте «по памяти».

Принцип именования:

• Русское название первым, английский в скобках при первом употреблении: Critical Data Element (критический элемент данных). Дальше — английский без перевода.
• Регуляторные аббревиатуры (SOX, BCBS 239, DORA, EU AI Act) — только английский, без транслитерации. «СОКС», «БКБС» — запрещено.
• USD — основная валюта; метрическая система — для всего остального (км, кг, °C).

Глоссарий расширяется по мере прохождения. На v0.1-seed он покрывает ~80 терминов; к v1.0 будет ~250-300.

Регуляторные ссылки: <RegulationRef>

Когда в тексте встречается конкретный параграф регуляции — мы используем inline-компонент. Например, PCAOB AS 2201 ¶.34-.38 описывает, как аудитор должен проводить walkthrough.

Что это даёт:

• Hover / click — popover с конкретной статьёй, заголовком, датой последней верификации.
• Можно grep’ом найти все упоминания регуляции в курсе.
• При обновлении (например, AS 2201 amended effective Dec 2026) — точечно обновляем ссылки.

Источники регуляций — docs/REGULATORY_SOURCES.md с верифицированными датами на май 2026. Если в уроке встречается регуляторный факт, который не покрыт source-документом, — это баг, отметьте через issue, не доверяйте «по памяти».

Tool versions: <ToolDeepDive>

Концепты (controls design, materiality, evidence chain) живут десятилетиями. Версии инструментов (OpenMetadata 1.5.x, GE 1.17.1) устаревают за квартал. Чтобы устаревание tooling не разрушало концептуальные уроки, мы изолируем tool-specific контент в специальные блоки:

Концептуальная часть («что такое CDE-тег, зачем он нужен») — вне ToolDeepDive. Это позволяет:

• Найти все привязки к инструментам grep’ом на <ToolDeepDive.
• Обновлять версии без переписывания концептов.
• Студенту фильтровать: «дай мне только концепт, без вендорской специфики».

Если ваш стек другой (Atlan, Collibra, Purview, DataHub), концептуальная часть применима без изменений; ToolDeepDive вы пропускаете или мапите на эквивалентные API.

Практики: doc-centric + opt-in tooling

В каждом модуле M1-M8 — одна обязательная doc-практика:

• Студент строит документ (registry entry, control matrix, BIA map, evidence catalog).
• Output — Markdown / YAML / JSON в формате, который реально использовался бы в работе.
• Проверка — структурная (template + checklist), не runtime.

Примеры doc-практик:

Параллельно — opt-in tooling-практики: docker-compose с реальным инструментом (OpenMetadata + DQ stack, GE + dbt + OpenLineage chain). Это для тех, кто хочет потрогать руками. Doc-практика — обязательная; tooling-практика — нет.

Что делать с устаревшими регуляциями

Курс фиксирует базовую линию на май 2026 (см. VERSIONS.md — living index). Регуляции 2025-2027 эволюционируют быстро:

• US Basel III Endgame re-proposed 19 March 2026, comments close 18 June 2026 — финальное правило ожидается Q4 2026 — Q1 2027.
• PCAOB AS 2201 amended — effective 15 Dec 2026 (postponed Aug 2025).
• EU AI Act Annex III — официально 2 Aug 2026, но Digital Omnibus consultation предлагает push до 2 Dec 2027 — статус меняется.
• PCAOB QC 1000 — effective 15 Dec 2026.

Правила пользования:

1. Если в уроке стоит дата с пометкой [verify] или [uncertain] — проверяйте текущее состояние перед применением в production.
2. VERSIONS.md пересматривается раз в квартал; следующий review 11 августа 2026.
3. Если регуляция упомянута без даты — обычно это стабильная норма (SOX statute 2002, COSO IC 2013, BCBS 239 Jan 2013). Если сомневаетесь — посмотрите docs/REGULATORY_SOURCES.md.
4. Если вы практик и обнаружили устаревший факт после квартального review — это возможность для контрибьюшна; не «у курса баг».

Как проходить

Рекомендуемый ритм — 3-4 урока в неделю, ~1.5 часа на урок (включая KnowledgeCheck и quiz). Для полной программы — 8-10 календарных недель.

Ускоренные траектории:

• Risk/GRC-специалист с DG-бэкграундом — M0 → M2 → M3 → M5 → M7 → M9 (фокус на frameworks, regulatory, evidence).
• Senior data engineer — M0 → M1 → M4 → M5 → M7 → M8 (фокус на имплементацию).
• CDO / Head of DG, готовящий программу — M0 → M1 (обзорно) → M3 (обзорно) → M8 → M9, плюс обзор остальных модулей по запросу команды.

Pass threshold для модульных экзаменов — 70%. Quiz — formative; exam — summative. Ни один не блокирует доступ к следующему модулю — это самообразование, не сертификация.

Итоги

• Урок = хук → концепт → применение → anti-patterns → check → quiz. Маркер audience во frontmatter говорит, на кого плотнее всего.
• SwiftRide — единственная сквозная кейс-компания. Не вводите фиктивных компаний сами; используйте <RegulationRef> для регуляторных ссылок, <ToolDeepDive> для tooling.
• Doc-практики обязательные, tooling-практики opt-in. Doc-output в формате, реально используемом в работе.
• VERSIONS.md — квартальный living index. Регуляции быстро эволюционировали в 2025-2027; следите за метками [verify]/[uncertain].
• Дальше — DG-refresher (что предполагается известным) и знакомство со SwiftRide.