GH GambleHub

Xaç-departament yoxlamaları

1) cross-department yoxlamalar nədir

Xaç-departament yoxlaması bir neçə funksiyadan keçən proseslərin və nəzarətlərin birgə yoxlanılmasıdır (məsələn, Product → Engineering → SecOps → Legal/DPO → Payments → Support → Marketing). Məqsəd təsdiq etməkdir ki, keçici ssenari düzgün yerinə yetirilir, siyasətçilərin tələbləri yerinə yetirilir və sübut audit-ready.

Əsas dəyərlər:
  • «dişli» risklərin və SoD münaqişələrinin aşkarlanması;
  • tələblərin vahid şərhi və məsuliyyətin «boz zonalarının» aradan qaldırılması;
  • CAPA sürətləndirilməsi və təkrarların qarşısının alınması.

2) Nə zaman işə salmaq (tetikləyicilər)

Yeni/dəyişdirilmiş tənzimləyici tələblər və ya yurisdiksiyalar.
Əhəmiyyətli relizlər/miqrasiyalar (memarlıq, ödənişlər, məlumatlar).
Hadisələr (IB/gizlilik/ödənişlər) və post-mortemlər.
Xarici audit/sertifikatlaşdırma üçün hazırlıq.
Yüksək riskli domenlər üzrə müntəzəm təqvim (rüb/yarım il).

3) Ssenarilər (end-to-end) - nəyi yoxlamaq lazımdır

Maksimum funksionallığın olduğu keçidli halları seçin:
  • Gizlilik/DSAR: subyektin sorğusu → ixrac/silmə → bildiriş → jurnallaşdırma.
  • Access Management: hüquq sorğusu → aprov → provijining → inzibati fəaliyyət jurnalı → re-cert.
  • Ödəniş qaytarılması/chargeback: trigger → dəlillərin toplanması → provayderə cavab → CAPA.
  • Reklam kampaniyası: materialların uyğunlaşdırılması → hədəfləmə → uğursuzluqların/razılığın izlənməsi → sübut arxivi.
  • Təhlükəsizlik hadisəsi: deteksiya → təcrid → Legal Hold → bildirişlər → post-mortem → CAPA.
  • Retence/data silinməsi: TTL → subprosessorlarda məhv təsdiqi → hesabat.

4) Rollar və RACI

AktivlikRACI
Yoxlamanın planlaşdırılması və ssenari seçimiCompliance OpsHead of ComplianceLegal/DPO, CISO, ProductInternal Audit
Jur ./tənzimləyici şərhLegal/DPOGeneral CounselPolicy OwnersTeams
Dizayn testi (ToD)Compliance / Control OwnersHead of ComplianceSecOps/PlatformInternal Audit
Əməliyyat effektivliyi testi (ToE)Compliance / Process OwnersHead of OpsData Platform, PaymentsCommittee
Yığım/idarə evidenceCompliance Ops / Data PlatformHead of ComplianceSecOps, VRMInternal Audit
Həllər və CAPARisk & Compliance CommitteeExecutive SponsorAll StakeholdersBoard
Müşahidə və re-auditCompliance AnalyticsHead of RiskInternal AuditExec

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Metodologiya: necə aparmaq

Walkthrough: «Siyasətdən yuvalara» keçidinin nümayişi.
ToD (Test of Design): nəzarət iddialarının, rolların, prosedurların, metriklərin mövcudluğunu və keyfiyyətini yoxlamaq.
ToE (Test of Operating Effectiveness): periodda nəzarət sabitliyinin yoxlanılması (30-90 gün ərzində nümunə).
Reperform: əməliyyatın müstəqil təkrarlanması (məsələn, DSAR-ixrac, giriş geri çağırılması, ödəniş appları).
Negative testing: nəzarətdən yan keçmək cəhdləri (SoD, limitlər, gizli skan).

6) Nümunələr və təbəqələşmə

Risk-based: kritik yurisdiksiyalar/rollar/ödəniş üsulları üçün n-dən çox.
Stratifikasiya: regionlar, müştəri növləri, kanallar (web/app), günün/yükün vaxtı.
Kombinasiyalar: təsadüfi + hədəf (eşik sərhədləri, edge-cases).

Kritikliyə görə minimumlar:
  • Kritik: n ≥ 25 domen + əsas addımların islahatları.
  • High: n ≥ 15; Medium: n ≥ 8; Low: n ≥ 5.

7) Asılılığın idarə edilməsi və SoD

Asılılıq matrisi: xidmətlər, satıcılar, açarlar, məlumatlar, rollar.
Vəzifə Bölgüsü Qaydası (SoD): Bir şəxsdə kritik hərəkətləri yerinə yetirmək və qarışdırmaq qadağasıdır.
Kritik konturlar və ya aydın versiyası test zamanı Change freeze.

8) Sübut və dəyişməzlik

Bütün artefaktlar (boşaltmalar, konfiqlər, ekran görüntüləri, hesabatlar) hash qəbzləri ilə WORM/Object Lock-da saxlanılır.
Chain of Custody: kim/nə vaxt/nə üçün evidence yığdı/oxudu.
Zaman sinxronizasiyası və izləmə identifikatorları (trace_id, request_id).
Hər addımı Control Statement və metrikaya bağlayın.

9) CAPA və re-audit ilə inteqrasiya

Hər bir findinq üçün - CAPA (Corrective/Preventive, şərtlər, owner, kompensasiya tədbirləri).
Kritik hallar üçün 30-90 gün ərzində məcburi yenidən audit.
Yeniləmə policy-/assurance-as-code: CCM qaydaları, CI/CD geytaları, metrik hədlər.

10) Metrika və KRI

Coverage Rate: Rübdə sınaqdan keçirilən açar uçucu ssenarilərin% -i.
First-Pass Close: kritik findings olmadan yoxlamalar payı.
On-time CAPA: tədbirlərin vaxtında yerinə yetirilməsi% (severity üzrə).
Repeat Findings (12 ay): domen/yurisdiksiya təkrarlama trendi.
Controls Pass Rate: ssenari ilə əlaqəli «yaşıl» CCM qaydaları payı.
Evidence Completeness: paketlərin tamlığı (Critical/High üçün 100% hədəf).
SoD Violations: müəyyən/aradan qaldırılmış vəzifə münaqişələri.
Vendor Mirror SLA: kritik provayderlərdə güzgü tədbirlərinin təsdiqlənməsi.

11) Daşbordlar (minimum)

Scenario Pipeline: Planned → In Progress → Findings → CAPA → Re-audit.
Cross-Domain Heatmap: funksiyalara görə risklər/tapıntılar (IAM, Privacy, Payments, Marketing, Support).
Dependency Map: düyünlər/satıcılar/nəzarətlər, «qırmızı» zonalar.
Evidence Readiness: WORM/Hashes/Screencast Cases.
CAPA & Drift: tədbirlər statusu, 30-90 gün sürüklənmə müşahidə.

12) SOP (standart prosedurlar)

SOP-1: Planlaşdırma

High-risk mövzu müəyyən → kvartal üçün 2-4 keçidli ssenari seçin → sahibləri təyin → təqvim və freeze-pəncərələri razılaşdırın.

SOP-2: Aparma

Kick-off → walkthrough → ToD/ToE → reperform → negative testing → evidence toplama → gündəlik sync-update.

SOP-3: Hesabat və həllər

strukturu «meyar → fakt → təsir → tövsiyə» → Komitə (Close/Extend/Escalate) → hesabat və metrik nəşr.

SOP-4: CAPA və icrasına nəzarət

CAPA GRC → kompensasiya tədbirləri (lazım olduqda) → vaxt və RACI → dashboard icra.

SOP-5: Re-audit və müşahidə

30-90 gün sonra - təkrar nümunə və sanity-check → SSM/siyasət qaydalarının yenilənməsi → dövrünün bağlanması.

13) Artefakt şablonları

13. 1 Yoxlama planı (one-pager)

Ssenari, məqsədlər, yurisdiksiyalar

Nəzarət/yoxlama siyasəti

Nümunələr və metodologiyalar

Risklər/asılılıqlar/SoD

Time Line, rollar, kommunikasiya kanalları

13. 2 Kart finding

Meyar (policy/control) → Fakt → Təsir → Tövsiyə

Severity, qalıq risk

Dəlillər (linklər/heşlər)

CAPA: tədbirlər, owner, due, KPI, kompensasiya nəzarət

13. 3 Evidence paketi

1. Siyasət/standartlar/SOP (versiyalar, difflar)

2. Log/konfiqurasiya nümunələri (CSV/JSON, hash qəbzləri)

3. Ekran görüntüləri/zaman damğaları ilə ekran görüntüləri

4. SSM/metrik və test hesabatları

5. Komitənin yekun hesabatı və qərarları

14) Rabitə və mədəniyyət

Sorğuların nömrələnməsi və cavabların SLA-sı ilə vahid kanal (portal/GRC).
«One voice» xarici sessiyalarda/auditlərdə, mürəkkəb sualların skriptləri.
Ittihamsız: proseslərə və təkrarların qarşısının alınmasına diqqət yetirin.
Ən yaxşı təcrübələrin və nümunələrin paylaşılması, daxili cases kitabxanası.

15) Antipattern

Keçid izi olmadan «departament daxilində» yoxlama.
log/hashes/WORM olmadan «kağız» sübut.
control statements/metriklərə heç bir bağlantı (ölçülməzlik).
SoD-ni və bir nəfərdən asılılığı nəzərə almamaq.
CAPA Preventive/kompensasiya tədbirləri olmadan, re-audit olmadan.
Təqvim və risk prioritetləri olmadan birdəfəlik yoxlamalar.

16) Yetkinlik modeli (M0-M4)

M0 Ad-hoc: epizodik yoxlamalar, heç bir texnika/metrik.
M1 Planlı: rüblük təqvim, əsas şablonlar və rollar.
M2 Managed: risk-based nümunələri, WORM-evidence, dashboard, CAPA-link.
M3 inteqrasiya: policy-/assurance-as-code, CI/CD-geytlar, avtomatik hesabatlar.
M4 Continuous Assurance: proqnozlaşdırılan KRI, tövsiyə ssenariləri, davamlı sanity-checks və drift monitorinqi.

17) Əlaqəli məqalələr wiki

Təkrar auditlər və icraya nəzarət

Pozuntuların aradan qaldırılması planları (CAPA)

Davamlı uyğunluq monitorinqi (CCM)

Siyasət və normativlər anbarı

Hüquqi yeniləmələrin izlənməsi/Tənzimləmə dəyişiklikləri

Jurnal və Audit Trail

Üçüncü auditorlar tərəfindən xarici yoxlamalar

Tərəfdaşlar üçün komplayens təlimatı

Yekun

Xaç-departament yoxlamaları funksiyalar arasındakı «birləşmələri» risk zonasından nəzarət zonasına çevirir: keçici ssenarilər, ölçülə bilən nəzarətlər, dəyişməz sübutlar və qapalı CAPA → re-audit dövrü. Bu yanaşma uyğunluğu proqnozlaşdırıla bilən edir, xarici auditləri sürətləndirir və təkrar pozuntular ehtimalını azaldır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.