GH GambleHub

بررسی های دوره ای و تجدید نظر

1) اهداف و اصول

بررسی های دوره ای (بررسی های دوره ای) یک چرخه تنظیم شده از بررسی است که ارتباط سیاست ها، صحت دسترسی، اثربخشی کنترل ها و آمادگی برای حسابرسی را تایید می کند.

اصول:
  • تقویم و پیش بینی: پنجره های ثابت و مهلت.
  • جهت گیری ریسک: بحرانی و اولویت های KRI.
  • اتوماسیون اول: حداکثر مجموعه های خودکار و چک های خودکار.
  • شواهد با طراحی: شواهد به طور خودکار و بدون تغییر (WORM) تولید می شود.
  • یک مالک: هر تجدید نظر دارای یک مالک، SLA و یک برنامه تشدید است.

2) انواع بررسی های دوره ای (نمونه کارها)

نوع بازبینیفرکانس (حداقل)هدف از طراحیمصنوعات خروجی
سیاست ها/رویه هاسالانه/در بزرگبه روز رسانی الزاماتchangelog, پروتکل ارتقاء
حسابرسی دسترسی (IAM/IGA)سه ماهه (انتقادی)اصل حداقل امتیاز، SoDگزارش مجدد cert، لیست لغو
ثبت ریسک (RBA-lite)سه ماههتنظیم نرخ ریسک/KRIبه روز رسانی ریسک ثبت نام
اثربخشی کنترل (CCM)ماهانهنرخ عبور، رانش، FPR/TPRگزارش تست کنترل
ارائه دهندگان/برون سپاری (VRM)سالانه/توسط عواملوضعیت گواهی/SLA/DDبررسی فروشنده و لیست شکاف
نگهداری و نگهداری قانونیسه ماههTTL، حذف/انجمادگزارش حذف/نگه دارید ورود به سیستم
تمرینات DR/BCPسه ماهه/سالانهبررسی RTO/RPO و فرآیندهاگزارش تمرین و CAPA
DSAR/حریم خصوصیماهانه/سه ماههSLA، کامل بودن، شکایاتگزارش DSAR SLA/کیفیت
حسابرسی آماده (خشک اجرا)سه ماهه«بسته حسابرسی توسط دکمه»بسته بندی مدارک + دریافت
مجوزها/گواهینامه هابا توجه به برنامه تنظیم کنندهمهلت ها و محدودهتقویم تعهد

3) نقش ها و RACI

حسابرسییک نفرتحقیق و توسعهسی شارپمن و تو
سیاست ها/رویه هارئیس انطباقصاحب سیاستحقوقی/DPO، SecOpsحسابرسی داخلی
دسترسی های IAMسرب CISO/IAMIGA/عملیاتتیم منجر می شودحسابرسی داخلی
ثبت ریسکرئیس ریسکدفتر ریسکانطباق، امور مالیمدیر اجرایی/هیئت مدیره
کنترل (CCM)مهندسی انطباقصاحبان کنترلSecOps، داده هاکمیته ها
ارائه دهندگان (VRM)فروشنده Mgmtتحلیلگر VRMحقوقی, امنیتحسابرسی داخلی
بازپرداخت/نگهداری قانونیدی پی اوپلت فرم دادهحقوقی، SecOpsکمیته ها
DR/BCPCTO/پلت فرمسرب انعطاف پذیریعملیات، فروشندگانمدیر اجرایی
DSAR/حریم خصوصیدی پی اوعملیات حفظ حریم خصوصیداده ها، محصولاتحسابرسی داخلی
حسابرسی خشک اجرارئیس انطباقجی آر سیصاحبان کسب و کارمدیر اجرایی

(R - مسئول ؛ الف - مسئولیت پذیری ؛ C - مشاوره ؛ من - مطلع)

4) تقویم سالانه (قالب نمونه)

ماهانه: کنترل CCM، DSAR SLA، گزارش رانش ابر/رمزگذاری، چشم پوشی بهداشت.
سه ماهه (Q1/Q2/Q3/Q4): IAM دوباره cert، ثبت ریسک، تمرینات DR، حسابرسی خشک اجرا، نگهداری/حذف.
سالانه: بازنگری کامل سیاست ها/روش ها، بررسی VRM از ارائه دهندگان بحرانی، BIA (تاثیر کسب و کار)، طرح حسابرسی/صدور گواهینامه.

5) فرآیند (SOP) هر تجدید نظر

1. شروع: کارت تجدید نظر (محدوده، اهداف، معیارها، مهلت، صاحبان).
2. جمع آوری داده ها: خودکار آپلود/داشبورد، ویترین شواهد، نمونه.
3. چک و آزمون: چک لیست، پاس/شکست، شدت انحرافات.
4. CAPA/اصلاح: لیست شکاف با صاحبان و مهلت، اقدامات جبرانی.
5. ارتقا و تثبیت: پروتکل راه حل، رسید هش، بایگانی WORM.

6. ارتباطات: وظایف یک پیجر + در ITSM/GRC ؛ توسعه توسط SLA

7. گذشته نگر: درس ها، به روز رسانی استانداردها/قالب ها.

6) قالب چک لیست

6. 1 سیاست ها/رویه ها

  • ارتباط مراجع نظارتی و شرایط
  • اظهارات کنترل اندازه گیری
  • پیوند به SOP/استانداردها و قوانین CCM
  • localizations/addendums هماهنگ شده است
  • تغییرات و نسخه، به روز رسانی کمیته

6. 2 IAM دوباره cert

  • لیست کامل حقوق فعال و صاحبان
  • درگیری های SoD، حساب های یتیم، استثنائات JIT
  • شواهد ابطال/تنزل مقام
  • دسترسی فروشندگان و فدراسیون SSO
  • پروتکل صلاحیت مجدد و معیارهای بزهکاری

6. 3 VRM

  • گزارش های فعلی SOC/ISO/PCI، دامنه و استثنائات
  • SLAs/حوادث/اعتبار برای دوره
  • زیر پردازنده ها و مکان های داده - بدون رانش
  • لیست شکاف و وضعیت اصلاح
  • طرح خروج و تایید نگهداری آینه

6. 4 بازپرداخت/نگهداری قانونی

  • نقض TTL = 0 بحرانی
  • گزارش حذف + خلاصه هش
  • فعال نگه حقوقی - دلایل, تاریخ, صاحبان
  • احتباس آینه در ارائه دهندگان
  • منطق DSAR دست نخورده

6. 5 DR/BCP

  • تست RTO/RPO و بازیابی نمونه
  • playbooks ارتباطات و بر روی تماس
  • ورزش و نتایج کاپا
  • فروشندگان شرکت کردند/آمادگی را تایید کردند
  • مستند پس از مرگ

7) معیارهای بازنگری نمونه کارها و SLO ها

نرخ بازبینی به موقع:٪ از حسابرسی ها به موقع انجام می شود (≥ هدف 95٪).
آمادگی شواهد:٪ تجدید نظر با مجموعه کامل مصنوعات (هدف 100٪).
CAPA در زمان:٪ از اصلاحات بسته شده توسط SLA (با شدت).
تکرار یافته ها: نسبت نظرات تکراری در 12 ماه (↓ روند).
بهداشت دسترسی: سهم حقوق منسوخ پس از تجدید نظر (≤ هدف 2٪).
تازگی گواهی فروشنده:٪ از گواهینامه های فعلی از ارائه دهندگان مهم (هدف 100٪).
زمان آماده سازی حسابرسی: زمان جمع آوری «بسته حسابرسی» پس از ممیزی (≤ 8 ساعت).

8) داشبورد (حداقل مجموعه)

نمایش تقویم: نقشه تجدید نظر در سه ماهه با SLA/بزهکاری.
بررسی خط لوله: статус (برنامه ریزی شده → در حال انجام → CAPA بسته).
یافته ها و CAPA: باز/منقضی شده، صاحبان، شدت.
IAM بهداشت: استثنا یتیم/SoD/JIT، روند.
VRM Heatmap: ارائه دهندگان نرخ ریسک، گواهینامه ها، حوادث.
نگهداری و نگهداری: نقض TTL، حجم حذف، نگه داشتن فعال.
آمادگی حسابرسی: کامل بودن «با دکمه»، لنگرهای بسته هش.

9) مصنوعات و ذخیره سازی

پروتکل تجدید نظر (دستور کار، نتیجه گیری، تصمیم گیری، مالک/به دلیل).
لیست چک ها/نمونه ها و نتایج آنها (پاس/شکست).
لیست شکاف و CAPA با تاریخ و معیارهای موفقیت.
رسید هش از آپلود و گزارش; کرم/قفل شی.

به روز رسانی سیاست/روش نسخه و نقشه برداری به کنترل

10) مدیریت استثنا (چشم پوشی)

صادر شده برای هر شکاف شناسایی اگر اصلاح در زمان امکان پذیر نیست.
شامل دلیل، اقدامات جبرانی، تاریخ انقضا، مالک/طرح.
قابل مشاهده در داشبورد ؛ افزایش خودکار 14/7/1 روز قبل از انقضا.

11) ادغام

CCM/Compliance-as-Code - قوانین تست کنترل به طور خودکار در تجدید نظر اجرا می شود.
GRC: حسابرسی ثبت نام، یافته ها، CAPA، چشم پوشی، SLA و گزارش.
ذخیره سازی شواهد: بایگانی خودکار تمام مواد با تثبیت هش.
ITSM: وظایف و افزایش به صاحبان سیستم.
VRM: کشیدن وضعیت ارائه دهندگان/گواهینامه ها.
LMS: دوره های تغییر عمده/گواهینامه ها بر اساس نتایج حسابرسی.

12) ضد گلوله

تجدید نظر «برای نشان دادن» بدون CAPA و صاحبان.
عدم وجود تقویم و پیش بینی → تاخیر و حالت آتش.

آپلود دستی بدون رسید هش و WORMs → شواهد بحث برانگیز

محدوده محدوده (سیاست ها تغییر الزامات، اما SOP ها/کنترل ها به روز نمی شوند).
چشم پوشی «ابدی» بدون تاریخ انقضا و بدون جبران.
هیچ ارتباطی با ریسک پذیری/کمیته وجود ندارد - تصمیمات مقیاس نمی شوند.

13) مدل بلوغ (M0-M4)

M0 Hell-hoc: چک های نامنظم، گزارش در اکسل، بدون صاحبان.
M1 برنامه ریزی شده: تقویم و چک لیست های اساسی، ذخیره سازی مصنوعات.
M2 مدیریت: رجیستری GRC، داشبورد، SLA/تشدید، آرشیو WORM.
M3 مجتمع: JMA/ascode، شواهد خودکار، حسابرسی دکمه خشک اجرا.
M4 تضمین مداوم: پیش بینی KRI ها، خودکار تنظیم مجدد، پایان به پایان خطرات CAPA → CAPA → تجدید نظر.

14) مقالات ویکی مرتبط

KPI ها و معیارهای انطباق

حسابرسی مبتنی بر ریسک (RBA)

نظارت بر انطباق مداوم (CCM)

ذخیره سازی شواهد و مستندات

پیگیری و حسابرسی

سیاست انطباق مدیریت تغییر

علت سعی و کوشش و خطرات برون سپاری

کمیته مدیریت ریسک و انطباق

مجموع

بررسی ها و بازنگری های دوره ای، انطباق را از «پاسخ مشکل» به یک خط لوله شفاف از پیشرفت ها تبدیل می کند: یک تقویم ثابت، بازرسی های خودکار، مصنوعات با کیفیت، CAPA های به موقع و آمادگی قابل پیش بینی برای هر ممیزی.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.