重复审计和执行情况监测

1）重复审核的目的和作用

• 确认关闭违规行为，并将残留风险降至Appetite水平；
• 通过预防措施防止重复（反复发现）；
• 形成具有法律意义的证据基础（"按按钮进行审核"）。

2）何时分配re-audit（触发器）

根据Critical/High（必修）关闭CAPA,根据Medium按样本/风险关闭。
严重事件或监管规定。
根据CCM/observability数据漂移控制。
体系结构/流程更改（版本，迁移，提供程序）。
高风险域的季度/半年度日历窗口。

3）范围与方法（scope&methods）

设计测试：策略/标准/SOP更新,控制正式化。
操作效率测试：控制在周期内稳定运行（30-90天采样）。
样本：基于风险的（高度/临界值增加n），混合随机和目标案例。
Reperform：尽可能重复过程/查询以确认结果。
证据：标志，认罪，卸载，屏幕截图，工具报告-带有哈希收据和WORM。

4）角色和RACI

(R — Responsible;A — Accountable;C — Consulted;I — Informed)

5）重新审核生命周期（SOP）

1.启动：重新审核卡（findings，CAPA，风险，采样期，截止日期）。
2.准备：测试支票清单，验收标准，工件清单，"按案例"访问。
3.数据收集：自动卸载、抽样、散列、放置WORM。
4.测试：设计（可用性/正确性）→效率（样本，表格）。
5.评估：残余风险，弹性，漂移的存在。
6.决定：Close/Extend CAPA/Escalate（委员会，监管机构）。
7.提交：协议,dashbords更新,"audit pack" re-audit。
8.监督：监视30至90天；漂移-使用新CAPA重新打开。

6）验收标准（Done的定义）

已实施并确认了纠正措施。
预防措施降低重复的风险（培训、门、检测）。
Evidence是完整且始终如一的（WORM，哈希收据）。
CCM规则更新，异常正常，没有漂移。
策略/SOP/图表与实际更改同步。
供应商执行镜像操作（转发/删除/证书）。

7）再审计韧带↔ CAPA

在CAPA卡中存储重新审核计划（时期，成功指标，所有者）。
随着"部分成功"，CAPA的扩展→具有补偿控制和到期日。
对于系统问题-预防史诗（更改体系结构，修改过程）。

8）度量标准和KRI

重新计票：按时计费的百分比（目标≥ 95％）。
First-Pass Close：不延长CAPA的关闭百分比（越高-越好）。
Repeat Findings （12个月）：跨域/所有者重播比例（趋势↓）。
Residual Risk Δ：在重新审核后降低风险。
Evidence Completeness：具有全套工件的re-audit%（目标100%）。
漂移后修复：30-90天控制漂移的情况（目标0关键）。
Vendor Mirror SLA：来自承包商的确认（关键目标为100%）。

9）Dashbords（最低）

Re-audit Pipeline: Planned → In Progress → Close/Extend → Observe.

重复热图：按域（IAM，数据，DevSecOps，VRM，DR/BCP）。
CAPA&Re-audit Link：韧带状态、延迟、脆弱区域。
Evidence Readiness： WORM/哈希的可用性,样本的新鲜度。
Drift＆CCM：后虚构违规行为，警报频率。
Vendor Assurance：镜像撤回/删除，证书，SLA。

10）样本和测试技术

风险分层：针对关键控制/司法管辖区的更多桉例。
组合测试：文档验证+实际转发（例如,DSAR导出、访问撤销、通过TTL删除）。
负面情景：试图绕过控制（ABAC/SoD, rate limits, secret-scan）。
稳定性测试：30天后在选拔赛上重播（sanity check）。

11）自动化和"保证代码"

控制作为代码（Rego/SQL/YAML）的测试桉例,自动定时。
带收据的evidence店面中的"audit pack re-audit"自动发生。
SLA自动升级（CAPA/重新审核延迟）。
与CI/CD集成：网关在红色控制下阻止发布。

12）供应商和供应链

在合同中-重新审核权利和提供人工制品的时间表。
镜像撤消并确认销毁/修复。
违规行为-贷款/SLA-strafs、越野计划和迁移。
外部证书（SOC/ISO/PCI）-处于新鲜状态；使用"qualified opinion"-重新审核。

13）工件模板

13.1张重新审核卡

ID findings/CAPA,风险/司法管辖区,采样期

设计/性能测试,验收标准

工件列表（源、格式、哈希）

结果，剩余风险，建议

解决方桉（Close/Extend/Escalate）, owner/due,引用evidence

13.2 re-audit报告（目录）

1.二.摘要和背景

2.方法和范围

3.测试结果（样本表）

4.残余风险和调查结果

5.解决方案和任务（CAPA/Waivers）

6.应用： 哈希收据、截图、卸载

13.3个验收清单

• 政策/SOP/控制更新
• Evidence收集并确认WORM/哈希
• CCM规则包括在内，Alertes validnes
• 培训/沟通已完成（LMS, read-receipt）
• 已收到Wendor确认
• Re-open不需要/有扩展计划

14）例外管理（waivers）

仅在客观限制下才允许；强制性到期日和补偿性控制。
在dashboard中宣传，提醒14/7/1天，升级为委员会。

15）反模式

没有性能测试的"纸张关闭"。
没有WORM/哈希的事件是审计中的争议。
没有CAPA ↔ re-audit ↔ CCM链接-控制不固定。
缩小规模（没有管辖权/供应商/关键角色）。
一次性无观察检查30-90天→重复。
没有补偿措施和截止日期计划的CAPA扩展。

16）成熟度模型（M0-M4）

M0地狱：罕见的"点"检查,没有验收标准。
M1计划：重新审核日历、基本模板和报告。
M2可控：与CAPA的捆绑,dashbords/度量标准, WORM-evidence。
M3集成：保证代码、复制形式、自动"审核包"。
M4连续保证：预测KRI，自动重建，后期伪造稳定性监测。

17）相关文章wiki

补救计划（CAPA）

以风险为导向的审计（RBA）

连续合规性监控（CCM）

日记和审计步道

保管证据和文件

法规遵从性政策变更管理

尽职调查与外包风险

风险管理和合规委员会

底线

重复审核是可持续性验证而不是形式：设计和效率测试，可靠的证据基础，透明解决方案（Close/Extend/Escalate）和漂移监视。有了这样的系统，风险不会"恢复"，合规性仍然可以衡量和可预测。