Введение

SwiftRide T+18M, последний квартал pre-IPO. Партнёр аудита Big 4 Daria — обход Q1 2027: «Покажите мне KPI программы. Выборка 3-4 случайных; верифицируйте воспроизводимость; верифицируйте, что они отражают фактическое состояние программы vs aspirational-цели». CDO Anna представляет дашборд:

Daria: «Числа выглядят правильно. Но — покажите мне разрез Q3 2026 на coverage 80%; кто из 30 CDE зарегистрирован с полной цепочкой доказательств vs частичной? Дайте кликнуть в operating effectiveness доказательств — что насчёт CDE-SWR-018 — он зарегистрирован, но я вижу 65% effectiveness rate; что это означает? Было ли влияние инцидента?».

Если дашборд поверхностный — Daria неудовлетворена. Если KPI drill-downable к индивидуальному CDE + инциденту + доказательству контроля — уверенность Big 4 растёт. М8.8 — о том, как KPI строятся правильно: с формулами + порогами + антипаттернами + drill-down + ответственностью.

4 категории KPI

Каждая категория — 3-5 метрик; на метрику — формула + цель + drill-down + accountable + антипаттерны.

Категория 1: Coverage-метрики

KPI 1.1: CDE coverage %

Формула: CDE зарегистрированных с полной цепочкой доказательств / общее число CDE-кандидатов × 100%

Числитель: записи CDE в реестре со status=‘approved’ AND связанные контроли (M5) AND связанная BIA (M6) AND пайплайн доказательств работает (M7).

Знаменатель: CDE-кандидаты, идентифицированные по скорингу (M1.4), включая отложенные номинации.

Цель T+18M: ≥ 90%.

Accountable: CDO.

Drill-down: разбивка по BU; SwiftPay 95% / SwiftCapital 88% / Rides 92% / Delivery 90% / SwiftAds 85% / Marketplace 90%.

KPI 1.2: Tier-1 CDE coverage %

Формула: Tier-1 CDE с полными доказательствами / общее число Tier-1 CDE × 100%.

Цель T+18M: 100% — tier-1 должны быть полными.

Почему отдельно: tier-1 = материальные; от них зависит ICFR opinion.

KPI 1.3: Control coverage %

Формула: Контроли реализованные + протестированные / контроли, определённые в RCM × 100%.

Числитель: контроли, развёрнутые в production AND тест исполнен в квартал AND доказательство эмитировано.

Цель T+18M: ≥ 95%.

KPI 1.4: Lineage coverage %

Формула: CDE с эмитированным column-level lineage / общее число CDE × 100%.

Цель T+18M: ≥ 90% column-level (по M7.3); 100% dataset-level.

KPI 1.5: Vendor coverage %

Формула: CDE-поддерживающие вендоры с проревьюенным SOC 2 + обновлённым DPA + записью в RoI / общее число CDE-поддерживающих вендоров × 100%.

Цель T+18M: 100%.

Категория 2: метрики control effectiveness

KPI 2.1: Control effectiveness %

Формула: контроли, проходящие все квартальные тест-прогоны / контроли, исполненные × 100%.

Числитель: прогоны контролей с результатом result=‘pass’ за период.

Знаменатель: общее число прогонов контролей за период (включает провалившиеся И прошедшие).

Цель T+18M: ≥ 95% (по программе); контроли tier-1 ≥ 98%.

Drill-down: разбивка по контролю; провалившиеся прогоны расследуются.

KPI 2.2: SEV-1 control failure rate

Формула: контроли, проваливающиеся SEV-1 за квартал / общее число контролей × 100%.

Цель T+18M: ≤ 2%.

Зачем мониторится: SEV-1 = материальный провал; сигнал тренда.

KPI 2.3: Attestation completion %

Формула: подписанные CDE (Business Owner + 2L-ревью) / одобренные CDE × 100%.

Цель T+18M: 100% в 28-дневный цикл.

Зачем мониторится: запоздалая аттестация = операционный дефицит программы.

KPI 2.4: Drift detection coverage % (AI/ML)

Формула: high-risk модели с развёрнутым drift monitoring / общее число high-risk моделей × 100%.

Цель T+18M: 100% (по EU AI Act Art. 10 + Annex IV).

Категория 3: Operational-метрики

KPI 3.1: MTTR (Mean Time To Resolution) для инцидентов SEV-1

Формула: Σ (timestamp resolution - timestamp detection) для SEV-1 / количество SEV-1 инцидентов.

Цель T+18M: ≤ 4 часа (по SLA M7.4).

Траектория SwiftRide: T0 не измерялось → T+9M 5.5ч → T+15M 4.2ч → T+18M 3.6ч.

Антипаттерн: оптимизация MTTR без RCA — преждевременное закрытие для попадания в SLA; паттерн обнаружен M7.4.

KPI 3.2: Время до первого уведомления регулятора

Формула: Среднее (timestamp первой подачи регулятору - timestamp detection) для применимых regulator clocks.

Цель T+18M: ≤ 3.5ч (в пределах наиболее строгого 4ч DORA / PSD2).

KPI 3.3: Полнота пайплайна доказательств

Формула: эмитированные артефакты доказательств / ожидаемые эмиссии × 100%.

Цель T+18M: ≥ 99.5%.

Антипаттерн: пропущенные эмиссии не обнаружены; ссылка M7.2.

KPI 3.4: Change emergency rate

Формула: Emergency-изменения / общее число изменений × 100%.

Цель T+18M: ≤ 5%.

SwiftRide: Q3 2026 5/250 = 2%; Q4 2026 4/240 = 1.7%; в пределах порога.

KPI 3.5: Drift incident rate

Формула: нарушения drift, триггерящие SEV-2/1 за квартал.

Цель T+18M: ≤ 3 за квартал для всего портфеля.

Категория 4: метрики audit outcomes

KPI 4.1: Rate audit findings (critical)

Формула: количество критических / общее число findings × 100%.

Critical = кандидат на material weakness по AS 1305.

Цель T+18M: ≤ 5% критических от общего; ≤ 2 абсолютных критических.

Траектория: T0 — 11 критических / 25 всего = 44% → T+18M — 1 / 18 = 5.6%.

KPI 4.2: Timeline закрытия findings

Формула: Среднее (timestamp закрытия - дата finding) для закрытых findings.

Цель T+18M: ≤ 90 дней для критических; ≤ 180 дней для medium.

KPI 4.3: Rate прохождения тестов восстановления

Формула: успешные DR-тесты / общее число запланированных тестов × 100%.

Цель T+18M: 100% запланированных; ≥ 95% pass.

Ссылка: тестирование DRP M6.6.

KPI 4.4: Класс opinion external auditor

Возможные значения: unqualified / qualified / adverse / disclaimer.

Цель T+18M: unqualified.

Зачем мониторится: ICFR opinion — прямой блокер IPO, если не unqualified.

Дашборд траектории SwiftRide T0 → T+18M

Антипаттерны в дизайне KPI

Gaming metrics

Паттерн: инженер маркирует SEV-1 как SEV-2, чтобы избежать влияния на метрику SLA SEV-1; метрика улучшается; реальность не меняется.

Почему плохо: паттерн management override PCAOB по M7.4; надзор обнаружит через sample audit.

Исправление: severity автоматизирована (tier CDE × тип правила); ручной override требует совместного подписания CDO + Data Risk Manager + явного обоснования + периодической sample-проверки Internal Audit.

Vanity metrics

Паттерн: “12 контролей развёрнуто в Q3” — звучит впечатляюще; не отражает effectiveness или coverage.

Почему плохо: выглядит занято; не измеряет результат.

Исправление: outcome-based метрики — effectiveness %, coverage %, MTTR; метрики активности только supplemental.

Single-number dashboard

Паттерн: дашборд Audit Committee показывает composite “92% programme score”; никто не может drill down.

Почему плохо: composite скрывает концентрацию риска; аудитор не может реконструировать; ожидание прозрачности AS 2201 не выполнено.

Исправление: дашборд слоистый — composite + drill-down по категориям + drill-down по CDE + доступ к сырым доказательствам. Ссылка на дизайн дашбордов M7.6.

Паттерн Green-everywhere

Паттерн: каждая метрика green каждый квартал; программа < 12 месяцев; статистически маловероятно.

Почему плохо: по M7.6 — red flag PCAOB inspection; паттерн “слишком хорошо, чтобы быть правдой”; аудитор скептичен.

Исправление: ревью порогов; обеспечить yellow / red, где реалистично; Internal Audit верифицирует выборку ежеквартально.

Только lagging-метрики

Паттерн: KPI все backward-looking (audit findings, attestation completion); нет forward-индикаторов.

Почему плохо: инциденты срабатывают без предупреждения; нет управления программой.

Исправление: leading-индикаторы — счётчики drift detection, объём апрувов CAB, свежесть реестра, vendor scorecards; баланс leading + lagging.

Дизайн дашборда — ссылка на M7.6

По M7.6 — 3 audience-специфичных вью:

• Офис CDO (Looker daily operational) — гранулярные метрики 15+ плиток; drill-down к сырым доказательствам; используют инженерные команды.
• Audit Committee (Hex quarterly strategic) — 7-10 метрик на 1 странице + 5-7 страниц backup; presentation-quality.
• External Auditor (read-only доступ к сырому) — без агрегации; Snowflake-вью + доказательства S3 + lineage Marquez; IPE по AS 1105 ¶.10.

Единый источник истины — материализованное представление Snowflake metrics.cde_programme_kpis; обновляется ежедневно; dimensional-модель (date × bu × tier × metric); audit-traceable.

Резюме

• 4 категории KPI: Coverage (scope программы) / Control Effectiveness (качество) / Operational (daily-running) / Audit Outcomes (внешняя валидация).
• На категорию 3-5 метрик с формулами + целями + accountable + drill-down: CDE coverage %, tier-1 coverage %, control coverage %, lineage coverage %, vendor coverage %; control effectiveness %, rate SEV-1 failure, attestation completion %, drift detection coverage %; MTTR, время первого уведомления регулятора, полнота пайплайна доказательств, rate change emergency, rate drift incident; rate audit findings, timeline закрытия findings, rate прохождения тестов восстановления, класс opinion external auditor.
• Траектория SwiftRide T0 (Q4 2025) → T+18M (Q2 2027): CDE coverage 8% → 92%, control effectiveness 62% → 94%, MTTR не измерялось → 3.6ч, критические audit findings 11 → 1.
• Антипаттерны: gaming (манипуляция severity), vanity (активность, не результат), single-number dashboard (нет drill-down), green-everywhere (статистическая маловероятность), только lagging (нет forward-индикаторов).
• Дизайн дашборда — 3 audience-вью по M7.6; единый источник истины — материализованное представление Snowflake; audit-traceable.
• Возможности улучшения всплывают через ежеквартальное ревью порогов Internal Audit; magnitude-weighted метрики; панели leading-индикаторов.

М8 завершён. В М9 (capstone) — все 8 модулей применяются к comprehensive-сценарию запуска CDE-программы SwiftRide.