GH GambleHub

Periodik rəylər və yoxlamalar

1) Məqsəd və prinsiplər

Periodic Reviews (Periodic Reviews) - siyasətin aktuallığını, girişlərin düzgünlüyünü, nəzarətin effektivliyini və audit hazırlığını təsdiq edən tənzimlənmiş yoxlamalar dövrüdür.

Prinsiplər:
  • Təqvim və proqnozlaşdırılabilirlik: sabit pəncərələr və müddətlər.
  • Risk yönümlülüyü: kritik və KRI prioritetləri.
  • Automation-first: maksimum avtostoplayıcılar və avtoproverlər.
  • Evidence by design: sübut avtomatik və dəyişməz (WORM) formalaşdırılır.
  • One owner: Hər bir auditin sahibi, SLA və eskalasiya planı var.

2) Dövri rəy növləri (portfel)

Audit növüTezlik (minimum)MəqsədHəftə sonu artefaktları
Siyasət/prosedurlarhər il/ilə Majortələblərin yenilənməsichangelog, ərizə protokolu
Giriş təftişi (IAM/IGA)rüblük (kritik)ən kiçik imtiyazlar prinsipi, SoDre-cert hesabatı, revookların siyahısı
Risk reyestri (RBA-lite)rüblükrisk-skor/KRI düzəlişyenilənmiş Risk Register
Nəzarət effektivliyi (CCM)aylıqpass rate, drift, FPR/TPRTest hesabatı
Provayderlər/Autsorsing (VRM)hər il/triggerlər üzrəsertifikat statusu/SLA/DDvendor baxış və qapı siyahısı
Retence və Legal HoldrüblükTTL, çıxarılması/dondurmasilinmə hesabatı/hold-log
DR/BCP məşqrüblük/illikRTO/RPO və proseslərin yoxlanılmasıtəlim aktı və CAPA
DSAR/Gizlilikaylıq/rüblükSLA, dolğunluq, şikayətlərDSAR SLA hesabatı/keyfiyyət
Audit hazırlığı (dry-run)rüblük«düyməsi ilə audit paketi»paket evidence + qəbz
Lisenziyalar/sertifikatlartənzimləyicinin cədvəlinə görəvaxt və scope riayətöhdəliklər təqvimi

3) Rollar və RACI

TəftişARCI
Siyasət/prosedurlarHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
IAM girişləriCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
Risk reyestriHead of RiskRisk OfficeCompliance, FinanceExec/Board
Nəzarət (CCM)Compliance EngControl OwnersSecOps, DataCommittee
Provayderlər (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Retence/Legal HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) İllik təqvim (nümunə şablon)

Aylıq: CCM-nəzarət, DSAR SLA, bulud drift/şifrələmə, waiver-gigiyena hesabatları.
Rüblük (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DR-təlimlər, Audit dry-run, retensiya/silinmə.
Hər il: siyasətlərin/prosedurların tam nəzərdən keçirilməsi, kritik provayderlərin VRM icmalları, BIA (biznes təsiri), audit/sertifikatlaşdırma planı.

5) Hər hansı bir təftiş prosesi (SOP)

1. Başlanğıc: təftiş kartı (scope, məqsədlər, meyarlar, müddətlər, sahiblər).
2. Məlumatların toplanması: auto-boşaltma/dashboard, evidence vitrin, nümunələr.
3. Yoxlamalar və testlər: nəzarət siyahısı, pass/fail, severity sapmalar.
4. SARA/remediasiya: sahibləri və şərtləri ilə qapı siyahısı, kompensasiya tədbirləri.
5. Yeniləmə və fiksasiya: həll protokolu, heş qəbzləri, WORM arxivi.
6. Rabitə: ITSM/GRC-də one-pager + vəzifələr; SLA eskalasiyası.
7. Retrospektiv: dərslər, standartların/şablonların yenilənməsi.

6) Nəzarət siyahısı şablonları

6. 1 Siyasət/prosedurlar

  • Normativ linklərin və terminlərin aktuallığı
  • Ölçülürlük control statements
  • SOP/standartları və CCM qaydaları ilə əlaqə
  • Lokalizasiyalar/addendumlar sinxronlaşdırılmışdır
  • Changelog və versiyası, apruv Komitəsi

6. 2 IAM re-cert

  • Aktiv hüquqların və sahiblərin tam siyahısı
  • SoD münaqişələri, orphan hesabları, JIT istisnaları
  • Hüquqların ləğvi/azaldılması sübutları
  • Vendor Access və SSO Federasiyaları
  • Yenidən sertifikatlaşdırma və gecikmə metrikası protokolu

6. 3 VRM

  • Aktual SOC/ISO/PCI hesabatları, scope və istisnalar
  • SLA/hadisələr/dövr üçün kreditlər
  • Subprosessorlar və məlumat yerləri - driftsiz
  • Gap siyahısı və redediasiya statusu
  • Exit planı və güzgü retensiyasının təsdiqi

6. 4 Retence/Legal Hold

  • TTL pozuntuları = 0 kritik
  • Silinmə Hesabatları + Hash Hesabatı
  • Aktiv Legal Hold - səbəbləri, tarixləri, sahibləri
  • Provayderlərdə güzgü retensiyası
  • DSAR məntiqi pozulmayıb

6. 5 DR/BCP

  • RTO/RPO testi və nümunə bərpa
  • Rabitə pleybukları və on-call
  • Təlim və CAPA nəticələri
  • Satıcılar iştirak etdi/hazır olduqlarını təsdiqlədi
  • Sənədləşdirilmiş post-mortem

7) Təftiş portfelinin metrikası və SLO

On-time Review Rate: vaxtında tamamlanmış yoxlamalar% (hədəf ≥ 95%).
Evidence Readiness: artefaktların tam dəsti ilə% reviziya (hədəf 100%).
CAPA On-time: SLA (severity) ilə bağlı remediasiya%.
Repeat Findings: 12 ay ərzində təkrar şərhlərin payı (trend ↓).
Access Hygiene: re-cert sonra köhnəlmiş hüquqların payı (hədəf ≤ 2%).
Vendor Certificate Freshness: Kritik provayderlərin müvafiq sertifikatlarının% -i (hədəf 100%).
Audit-Ready Time: auditdən sonra «audit paketi» toplamaq üçün vaxt (≤ 8 saat).

8) Daşbordlar (minimum dəsti)

Calendar View: SLA/gecikmə ilə rüblər üzrə təftiş xəritəsi.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings & CAPA: açıq/vaxtı keçmiş, sahibləri, severity.
IAM Hygiene: orphan/SoD/JIT istisnaları, trendlər.
VRM Heatmap: risk-skor provayderləri, sertifikatlar, hadisələr.
Retention & Hold: TTL pozuntuları, silinmə həcmi, aktiv hold.
Audit Readiness: completeness «düyməsi», hash paketləri lövbər.

9) Artefaktlar və saxlama

Təftiş protokolu (agenda, nəticələr, həllər, owner/due).
Yoxlamalar/seçmələr siyahısı və onların nəticələri (pass/fail).
Gap siyahısı və CAPA uğur tarixləri və metrləri ilə.
Boşaltma və hesabatların heş-qəbzləri; WORM/Object Lock.
Siyasət/prosedurların yenilənmiş versiyaları və nəzarət üçün mapping.

10) Istisnaların idarə edilməsi (waivers)

Vaxtında düzəltmək mümkün olmadıqda hər bir aşkar edilmiş gap üçün rəsmiləşdirilir.
Kompensasiya tədbirlərinin səbəbini, son tarixini, sahibi/planını ehtiva edir.
Dashboard görünür; 14/7/1 gün əvvəl avto eskalasiya.

11) İnteqrasiya

CCM/Compliance-as-Code: nəzarət test qaydaları yoxlama zamanı avtomobil tərəfindən işə salınır.
GRC: təftiş reyestri, findings, CAPA, waivers, SLA və hesabat.
Evidence Storage: hash fiksasiya ilə bütün materialların avtomatik arxivləşdirilməsi.
ITSM: sistem sahiblərinə tapşırıqlar və eskalasiya.
VRM: Provayder/sertifikat statuslarının qaldırılması.
LMS: Major-reviziya dəyişiklikləri zamanı kurslar/attestasiyalar.

12) Antipattern

CAPA və sahibləri olmadan «qeyd üçün» reviziyaları.
Təqvim və proqnozlaşdırıla bilən → gecikmə və yanğın rejimi yoxdur.
Hash qəbzləri və WORM olmadan əl ilə boşaltma → mübahisəli sübut.
Qarışdırma scope (siyasətlər tələbləri dəyişir, lakin SOP/nəzarət yenilənmir).
Son tarix və kompensasiya olmadan «əbədi» waivers.
Risk-iştaha/komitə ilə heç bir əlaqə yoxdur - qərarlar miqyaslı deyil.

13) Yetkinlik modeli (M0-M4)

M0 Ad-hoc: qeyri-müntəzəm yoxlamalar, Excel hesabatları, owners olmadan.
M1 Planlı: təqvim və əsas yoxlama vərəqləri, artefaktların saxlanması.
M2 idarə: GRC-reyestr, dashboard, SLA/eskalasiya, WORM-arxiv.
M3 Inteqrasiya: SSM/ascode, auto-evidence, düyməsi ilə dry-run audit.
M4 Continuous Assurance: proqnozlaşdırılan KRI, avto-yenidən planlaşdırma, keçici kapability «risklər → reviziyalar → CAPA».

14) Əlaqəli wiki məqalələr

KPI və komplayens metrikası

Risk Yönümlü Audit (RBA)

Davamlı uyğunluq monitorinqi (CCM)

Dəlillərin və sənədlərin saxlanması

Jurnal və Audit Trail

Uyğunluq siyasətində dəyişikliklərin idarə edilməsi

Due Diligence və autsorsing riskləri

Risk İdarəetmə və Komplayens Komitəsi

Yekun

Periodik rəylər və təftişlər komplayensləri "problemlərə reaksiya 'dan şəffaf təkmilləşdirmə konveyerinə çevirir: sabit təqvim, avtomatlaşdırılmış yoxlamalar, keyfiyyətli artefaktlar, vaxtında CAPA və istənilən auditə gözlənilən hazırlıq.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.