Επανεξέταση και παρακολούθηση

1) Σκοπός και ρόλος των επανεξετάσεων

• επιβεβαιώνει το κλείσιμο των παραβιάσεων και τη μείωση του υπολειμματικού κινδύνου στο επίπεδο της όρεξης·
• προστατεύει από την επανάληψη (επαναλαμβανόμενα ευρήματα) μέσω προληπτικών μέτρων·
• αποτελεί νομικά σημαντική βάση τεκμηρίωσης («έλεγχος με κουμπί»).

2) Πότε θα ανατεθεί ο εκ νέου έλεγχος (ενεργοποιήσεις)

Κλείσιμο CAPA κατά κρίσιμο/υψηλό (υποχρεωτικό), κατά μέσο - ανά δείγμα/κίνδυνο.
Περιστατικό υψηλής σοβαρότητας ή ρυθμιστική συνταγή.
μετατόπιση CCM/παρατηρησιμότητας.
Αλλαγές αρχιτεκτονικής/διαδικασίας (εκδόσεις, μεταναστεύσεις, πάροχοι).
Τριμηνιαία/εξαμηνιαία ημερολογιακά παράθυρα για τομείς υψηλού κινδύνου.

3) Πεδίο εφαρμογής και μέθοδοι

Δοκιμή σχεδιασμού: πολιτική/πρότυπο/SOP επικαιροποιημένο, επισημοποιημένο έλεγχο.
Δοκιμή λειτουργικής απόδοσης: ο μάρτυρας λειτουργεί σταθερά κατά την περίοδο (δείγμα για 30-90 ημέρες).
Δείγμα: με βάση τον κίνδυνο (αύξηση n για υψηλές/κρίσιμες περιπτώσεις), μείγμα τυχαίων και στοχευόμενων περιπτώσεων.
Αν είναι δυνατόν, επαναλαμβάνεται η διαδικασία/το αίτημα επιβεβαίωσης του αποτελέσματος.
Αποδεικτικά στοιχεία: αρχεία καταγραφής, ρυθμίσεις, uploads, screencasts, αναφορές εργαλείων - με αποδείξεις χασίς και WORM.

4) Ρόλοι και ΠΓΣ

(R - Υπεύθυνος, A - Υπόλογος· Γ - Ζητήθηκε η γνώμη I - Ενημερωμένο)

5) Επανελέγχος κύκλου ζωής (SOP)

1. Έναρξη: κάρτα επανελέγχου (ευρήματα, CAPA, κίνδυνος, περίοδος δειγματοληψίας, προθεσμία).
2. Προετοιμασία: κατάλογος δοκιμών, κριτήρια αποδοχής, κατάλογος αντικειμένων, πρόσβαση «κατά περίπτωση».
3. Συλλογή δεδομένων: αυτόματη αποστολή, δειγματοληψία, στερέωση χασίς, τοποθέτηση σε WORM.
4. Δοκιμές: σχεδιασμός (διαθεσιμότητα/ορθότητα) → απόδοση (δείγματα, αναδιαμόρφωση).
5. Εκτίμηση: υπολειπόμενος κίνδυνος, σταθερότητα, παρουσία μετατόπισης.
6. Απόφαση: Κλείσιμο/επέκταση του CAPA/Escalate (επιτροπή, ρυθμιστική αρχή).
7. Καθορισμός: πρωτόκολλο, επικαιροποιημένα ταμπλό, «πακέτο ελέγχου» επανελέγχου.
8. Εποπτεία: παρατήρηση 30-90 ημερών. όταν παρασύρεται - ανοίγει εκ νέου με νέο CAPA.

6) Ορισμός του αποτελέσματος

Εφαρμογή και επιβεβαίωση διορθωτικών μέτρων.
Τα προληπτικά μέτρα μειώνουν τον κίνδυνο επανάληψης (κατάρτιση, πύλες, ανιχνεύσεις).
Τα αποδεικτικά στοιχεία είναι πλήρη και συνεπή (WORM, αποδείξεις χασίς).
Οι κανόνες CCM έχουν επικαιροποιηθεί, οι προειδοποιήσεις είναι κανονικές, δεν υπάρχει μετατόπιση.
Οι πολιτικές/SOP/διαγράμματα συγχρονίζονται με πραγματικές αλλαγές.
Οι πωλητές πραγματοποίησαν κατοπτρικές ενέργειες (διατήρηση/διαγραφή/πιστοποιητικά).

7) Επανεξέταση ↔ δέσμης CAPA

Διατήρηση του σχεδίου επανεξέτασης (περίοδος, μέτρηση επιτυχίας, ιδιοκτήτης) στην κάρτα CAPA.
Η «μερική επιτυχία» → παράταση του CAPA με αντισταθμιστικούς ελέγχους και ημερομηνία λήξης.
Για συστημικά προβλήματα - έπη πρόληψης (αλλαγή αρχιτεκτονικής, αναθεώρηση διαδικασίας).

8) Μετρήσεις και KRI

Επανελέγχος Ώρα: το% ολοκληρώθηκε εγκαίρως (στόχος ≥ 95%).
First Pass Close:% των κλεισίματος χωρίς ανανέωση CAPA (υψηλότερο είναι καλύτερο).
Επαναλαμβανόμενα ευρήματα (12 μήνες): αναλογία επαναλήψεων ανά τομέα/ιδιοκτήτη (τάση ↓).
Υπολειμματικός κίνδυνος Δ: μείωση κινδύνου μετά από επανεξέταση.
Πληρότητα αποδεικτικών στοιχείων:% επανελέγχου με πλήρες σύνολο αντικειμένων (στόχος 100%).
Drift After Fix: κρούσματα παρασυρόμενου ελέγχου σε 30-90 ημέρες (στόχος 0 κρίσιμη).
Vendor Mirror SLA: επιβεβαιώσεις από αναδόχους (στόχος 100% για κρίσιμους).

9) Ταμπλό (ελάχιστο)

Αγωγός επανελέγχου: Προγραμματισμένη → εν εξελίξει → κλείσιμο/επέκταση → παρατήρησης.
Επαναλήψεις χάρτη θερμότητας: ανά τομέα (IAM, δεδομένα, DevSecOps, VRM, DR/BCP).
CAPA & Re-audit Link: καθεστώς δεσμών, καθυστερήσεις, ευάλωτες περιοχές.
Ετοιμότητα απόδειξης: παρουσία WORM/hashes, φρεσκάδα δειγμάτων.
Παρασυρόμενα & CCM: παραβάσεις μετά την τοποθέτηση, συχνότητα συναγερμού.
Vendor Assurance: κατοπτρική διατήρηση/αφαίρεση, πιστοποιητικά, SLA.

10) Δειγματοληψία και μέθοδοι δοκιμής

Διαστρωμάτωση των κινδύνων: περισσότερες περιπτώσεις κρίσιμων ελέγχων/δικαιοδοσιών.
Συνδυασμένες δοκιμές: έλεγχος εγγράφων + πραγματική αντίσταση (π.χ. Εξαγωγή DSAR, ανάκληση πρόσβασης, διαγραφή TTL).
Αρνητικά σενάρια: προσπάθεια παράκαμψης του ελέγχου (ABAC/SoD, όρια ταχύτητας, μυστική σάρωση).
Δοκιμή σταθερότητας: επαναλαμβάνεται μετά από 30 ημέρες σε υπο-δείγμα (έλεγχος λογικής).

11) Αυτοματοποίηση και διασφάλιση ως κωδικός

Περιπτώσεις δοκιμής για μάρτυρες ως κωδικός (Rego/SQL/YAML), προγραμματισμένο autorun.
Αυτοπαραγωγή «πακέτο ελέγχου» από την έκθεση αποδεικτικών στοιχείων με απόδειξη.
Αυτόματη κλιμάκωση από την SLA (CAPA/καθυστερήσεις επανελέγχου).
Ενσωμάτωση με CI/CD: απελευθέρωση μπλοκ υπό κόκκινους ελέγχους.

12) Πωλητές και αλυσίδα εφοδιασμού

Οι συμβάσεις περιλαμβάνουν το δικαίωμα επανεξέτασης και το χρονοδιάγραμμα της παροχής τεχνουργημάτων.
Κατακράτηση κατόπτρων και επιβεβαίωση καταστροφής/στερέωσης.
Σε περίπτωση παραβιάσεων - δάνεια/SLA, σχέδιο εκτός διαδρόμου και σχέδιο μετανάστευσης.
Εξωτερικά πιστοποιητικά (SOC/ISO/PCI) - σε νωπή κατάσταση· όταν η «ειδική γνώμη» - ο επανελέγχος ενισχύεται.

13) Μοτίβα τεχνουργημάτων

13. 1 Κάρτα επανελέγχου

Ευρήματα ταυτότητας/CAPA, κίνδυνος/δικαιοδοσίες, περίοδος δειγματοληψίας

Δοκιμές σχεδιασμού/επιδόσεων, κριτήρια αποδοχής

Κατάλογος αντικειμένων (πηγή, μορφή, hash)

Αποτελέσματα, υπολειπόμενος κίνδυνος, συστάσεις

Λύση (Κλείσιμο/επέκταση/κλιμάκωση), ιδιοκτήτης/οφειλόμενος, σύνδεσμοι αποδεικτικών στοιχείων

13. 2 Έκθεση επανεξέτασης (πίνακας περιεχομένων)

1. Σύνοψη και πλαίσιο

2. Μεθοδολογία και πεδίο εφαρμογής

3. Αποτελέσματα δοκιμών (πίνακες δειγμάτων)

4. Υπολειπόμενος κίνδυνος και συμπεράσματα

5. Λύσεις και προκλήσεις (CAPA/εξαιρέσεις)

6. Αιτήσεις: hash αποδείξεις, στιγμιότυπα οθόνης, uploads

13. 3 Κατάλογος ελέγχου αποδοχής

• Επικαιροποιημένες πολιτικές/SOP/έλεγχοι
• Συλλεγόμενα στοιχεία και επιβεβαιωμένα WORM/hash
• Κανόνες CCM, έγκυρες καταχωρίσεις
• Κατάρτιση/επικοινωνία που ολοκληρώθηκε (LMS, ανάγνωση-παραλαβή)
• Επιβεβαιώσεις πωλήσεων που ελήφθησαν
• Δεν υπάρχει νέο απαιτούμενο σχέδιο/σχέδιο επέκτασης

14) Διαχείριση εξαιρέσεων (εξαιρέσεις)

Επιτρέπεται μόνο υπό αντικειμενικούς περιορισμούς· η ημερομηνία λήξης και οι αντισταθμιστικοί έλεγχοι είναι υποχρεωτικοί.
Δημοσιότητα στο ταμπλό, υπενθυμίσεις 14/7/1 ημέρα, κλιμάκωση στην επιτροπή.

15) Αντιπατερίδια

«Κλείσιμο χαρτιού» χωρίς δοκιμή αποτελεσματικότητας.
Στοιχεία χωρίς WORM/hashes - αντιπαράθεση ελέγχου.
Δεν υπάρχει CAPA ↔ επανέλεγχος ↔ ζεύξη CCM - οι έλεγχοι δεν είναι παγιδευμένοι.
Περιορισμένο πεδίο εφαρμογής (δικαιοδοσίες/πωλητές/κρίσιμοι ρόλοι που δεν καλύπτονται).
Μία φορά μη τηρηθέντες έλεγχοι 30-90 ημερών → επαναλήψεις.
Επέκταση της CAPA χωρίς σχέδιο και προθεσμία αντισταθμιστικών μέτρων.

16) Υπόδειγμα ληκτότητας (M0-M4)

M0 Hell-hoc: σπάνιοι έλεγχοι «σημείου», χωρίς κριτήρια αποδοχής.
M1 Προγραμματισμένο: επανέλεγχος ημερολογίου, βασικών υποδειγμάτων και εκθέσεων.
M2 Διαχείριση: σύνδεση με CAPA, ταμπλό/μετρήσεις, στοιχεία WORM.
M3 Ολοκληρωμένο: διασφάλιση-as-code, reperform, αυτόματο «πακέτο ελέγχου».
M4 Συνεχής διασφάλιση: προβλέψιμες KRI, αυτόματος επαναπρογραμματισμός, παρακολούθηση σταθερότητας μετά τον καθορισμό.

17) Συναφή άρθρα wiki

Σχέδια αποκατάστασης (CAPA)

Έλεγχος βάσει κινδύνων (RBA)

Συνεχής παρακολούθηση της συμμόρφωσης (CCM)

Διαδρομή καταγραφής και ελέγχου

Αποθήκευση αποδεικτικών στοιχείων και τεκμηρίωση

Διαχείριση της πολιτικής συμμόρφωσης

Κίνδυνος δέουσας επιμέλειας και εξωτερικής ανάθεσης

Επιτροπή Διαχείρισης Κινδύνων και Συμμόρφωσης

Σύνολο

Οι επανελέγχοι είναι η επαλήθευση της ανθεκτικότητας, όχι της τυπικότητας: δοκιμή σχεδιασμού και αποδοτικότητας, στιβαρή βάση τεκμηρίωσης, διαφανείς λύσεις (Close/Extension/Escalate) και παρατήρηση της ολίσθησης. Με ένα τέτοιο σύστημα, ο κίνδυνος δεν «επιστρέφεται» και η συμμόρφωση παραμένει μετρήσιμη και προβλέψιμη.