الاستعراضات والتنقيحات الدورية
1) الغرض والمبادئ
الاستعراضات الدورية (الاستعراضات الدورية) هي دورة منظمة من الاستعراضات التي تؤكد أهمية السياسات، وصحة الوصول، وفعالية الضوابط، والاستعداد لمراجعة الحسابات.
المبادئ:- الجدول الزمني وإمكانية التنبؤ: النوافذ الثابتة والمواعيد النهائية.
- التوجه نحو المخاطر: الأهمية الحرجة وأولويات مبادرة KRI.
- الأتمتة أولاً: الحد الأقصى للتجميع التلقائي والفحص التلقائي.
- الأدلة حسب التصميم: يتم إنشاء الأدلة تلقائيًا ودائمًا (WORM).
- مالك واحد: لكل مراجعة مالك و SLA وخطة تصعيد.
2) أنواع الاستعراضات الدورية (الحافظة)
3) الأدوار و RACI
(ص - مسؤول ؛ ألف - المساءلة ؛ جيم - استشاري ؛ أولاً - معلومات)
4) التقويم السنوي (نموذج مثال)
شهريًا: ضوابط CCM، DSAR SLA، تقارير الانجراف/التشفير السحابي، نظافة التنازل.
ربع سنوي (الربع الأول/الربع الثاني/الربع الثالث/الربع الرابع): إعادة اعتماد IAM، سجل المخاطر، تمارين DR، التدقيق الجاف، الاحتفاظ/الحذف.
سنوياً: التنقيح الكامل للسياسات/الإجراءات، واستعراضات إدارة الموارد البشرية لمقدمي الخدمات الأساسيين، وأثر الأعمال التجارية، وخطة مراجعة الحسابات/التصديق.
5) عملية أي تنقيح
1. البدء: بطاقة مراجعة (النطاق، الأهداف، المعايير، المواعيد النهائية، المالكون).
2. جمع البيانات: التحميلات التلقائية/لوحات القيادة، عرض الأدلة، العينات.
3. الفحوصات والاختبارات: قائمة مرجعية، نجاح/فشل، شدة الانحرافات.
4. CAPA/الإصلاح: قائمة الثغرات مع المالكين والمواعيد النهائية، التدابير التعويضية.
5. الترقية والتثبيت: بروتوكول الحل، إيصالات التجزئة، أرشيف WORM.
6. '1' الاتصال: مهام جهاز النداء الواحد + في قسم خدمات تكنولوجيا المعلومات/المركز ؛ من جانب جيش تحرير السودان.
7. بأثر رجعي: الدروس، وتحديث المعايير/القوالب.
6) قوالب القائمة المرجعية
6. 1 السياسات/الإجراءات
- أهمية المراجع والمصطلحات التنظيمية
- بيانات مراقبة القابلية للقياس
- الربط بالإجراءات التشغيلية الموحدة/المعايير وقواعد اتفاقية الذخائر العنقودية
- تزامن المحليات/الإضافات
- Changelog والنسخة، تحديث اللجنة
6. 2 إعادة شهادة IAM
- القائمة الكاملة بالحقوق النشطة والمالكين
- نزاعات SoD، حسابات يتيمة، استثناءات JIT
- دليل على الإلغاء/خفض الرتبة
- اتحادات البائعين واتحادات SSO
- بروتوكول إعادة التأهيل ومقاييس الانحراف
6. 3 VRM
- التقارير والنطاق والاستثناءات الحالية للجنة الأوقيانوغرافية الخاصة/المنظمة الدولية لتوحيد المقاييس/لجنة التنسيق الدولية
- تحالفات/حوادث/ائتمانات للفترة
- المعالجات الفرعية ومواقع البيانات - بدون انجراف
- قائمة الثغرات وحالة الإصلاح
- خطة الخروج وتأكيد الاحتفاظ بالمرآة
6. 4 الاستبعاد/التعليق القانوني
- انتهاكات TTL = 0 خطيرة
- تقارير الحذف + ملخص الهاش
- عقد قانوني نشط - أسباب وتواريخ ومالكين
- الاحتفاظ بالمرآة في مقدمي الخدمة
- منطق DSAR سليم
6. 5 DR/BCP
- اختبار RTO/RPO واستعادة العينات
- كتب اللعب وأثناء الطلب
- التمرين ونتائج CAPA
- شارك البائعون/أكدوا استعدادهم
- تشريح موثق بعد الوفاة
7) مقاييس محفظة التنقيح والمكاتب الإقليمية
معدل المراجعة في الوقت المحدد: نسبة مئوية من عمليات المراجعة التي أنجزت في الوقت المحدد (الهدف ≥ 95 في المائة).
جاهزية الأدلة: مراجعة% مع مجموعة كاملة من القطع الأثرية (هدف 100%).
CAPA في الوقت المناسب: النسبة المئوية للإصلاحات التي أغلقها جيش تحرير السودان (حسب الشدة).
تكرار النتائج: نسبة التعليقات المتكررة في 12 شهرًا (الاتجاه ↓).
الوصول إلى النظافة الصحية: حصة الحقوق المتقادمة بعد إعادة الشهادة (الهدف ≤ 2٪).
نضارة شهادة البائع:٪ من الشهادات الحالية من مقدمي الخدمات الأساسيين (هدف 100٪).
الوقت الجاهز لمراجعة الحسابات: حان الوقت لجمع «حزمة مراجعة الحسابات» بعد المراجعة (≤ 8 ساعات).
8) لوحات القيادة (المجموعة الدنيا)
العرض التقويمي: خريطة التنقيحات حسب الربع مع اتفاقيات SLA/الانحراف.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
النتائج و CAPA: مفتوح/منتهي الصلاحية، المالكون، الشدة.
نظافة IAM: استثناءات اليتيم/SoD/JIT، الاتجاهات.
VRM Heatmap: مقدمو معدلات المخاطر، الشهادات، الحوادث.
الاحتفاظ والانتظار: انتهاكات TTL، أحجام الإزالة، عقد نشط.
الاستعداد للتدقيق: الاكتمال «بالزر»، مثبتات حزمة التجزئة.
9) القطع الأثرية والتخزين
بروتوكول التنقيح (جدول الأعمال، الاستنتاجات، المقررات، المالك/الواجب).
قائمة الفحوصات/العينات ونتائجها (النجاح/الفشل).
قائمة Gap و CAPA مع التواريخ ومقاييس النجاح.
إيصالات التحميلات والتقارير بالتجزئة ؛ WORM/Object Lock.
صيغ مستكملة للسياسات/الإجراءات ورسم خرائط للمراقبة
10) إدارة الاستثناء (الإعفاءات)
تصدر لكل ثغرة يتم تحديدها إذا تعذر التصويب في الوقت المحدد.
يحتوي على العقل، والتدابير التعويضية، وتاريخ انتهاء الصلاحية، والمالك/الخطة.
مرئية في لوحة القيادة ؛ التصعيد التلقائي 14/7/1 قبل يوم واحد من انتهاء الصلاحية.
11) التكامل
CCM/الامتثال كرمز - يتم تشغيل قواعد اختبار التحكم تلقائيًا عند المراجعة.
GRC: سجل مراجعة الحسابات، النتائج، CAPA، الإعفاءات، SLA والإبلاغ.
تخزين الأدلة: أرشفة تلقائية لجميع المواد مع تثبيت التجزئة.
ITSM: المهام والتصعيد لمالكي الأنظمة.
VRM: سحب أوضاع مقدمي/الشهادات.
LMS: دورات/شهادات التغيير الرئيسية بناءً على نتائج مراجعة الحسابات.
12) أنتيباترن
التنقيحات «للعرض» بدون CAPA والمالكين.
الافتقار إلى التقويم وإمكانية التنبؤ → والتأخير ووضع الحريق.
التحميلات اليدوية بدون إيصالات التجزئة و WORMs → أدلة مثيرة للجدل.
مزيج النطاق (تغيير متطلبات السياسات، ولكن لا يتم تحديث إجراءات التشغيل الموحدة/الضوابط).
تنازلات «أبدية» بدون تاريخ انتهاء ولا تعويض.
لا يوجد رابط للرغبة في المخاطرة/اللجنة - القرارات لا تتسع.
13) نموذج النضج (M0-M4)
M0 Hell-hoc: فحوصات غير منتظمة، تقارير في Excel، بدون مالكين.
M1 الجدول الزمني والقوائم المرجعية الأساسية، وتخزين القطع الأثرية.
M2 المدارة: سجل GRC، لوحات القيادة، SLA/التصعيد، أرشيف WORM.
M3 متكامل: JMA/ascode، دليل تلقائي، تدقيق زر التشغيل الجاف.
ضمان M4 المستمر: توقع KRIs، وإعادة الجدولة التلقائية، ومخاطر CAPA من البداية إلى النهاية → ومراجعات CAPA →.
14) مقالات ويكي ذات الصلة
مؤشرات الأداء الرئيسية ومقاييس الامتثال
مراجعة الحسابات على أساس المخاطر (RBA)
الرصد المستمر للامتثال
تخزين الأدلة والوثائق
مسار قطع الأشجار ومراجعة الحسابات
إدارة تغيير سياسة الامتثال
مخاطر الحرص الواجب والاستعانة بمصادر خارجية
لجنة إدارة المخاطر والامتثال
المجموع
وتحول الاستعراضات والتنقيحات الدورية الامتثال من «استجابة للمشاكل» إلى مجموعة شفافة من التحسينات: جدول زمني ثابت، وعمليات تفتيش آلية، وقطع أثرية ذات جودة عالية، ووثائق تقييم الأداء في الوقت المناسب، واستعداد يمكن التنبؤ به لأي عمليات تدقيق.