ممیزی مجدد و پیگیری
1) هدف و نقش ممیزی مجدد
حسابرسی مجدد تأیید اثربخشی و استحکام اقدامات انجام شده (CAPA) و کنترل های به روز شده پس از یافته های اولیه است. آیا او:- بسته شدن نقض و کاهش خطر باقی مانده به سطح اشتها را تایید می کند ؛
- محافظت در برابر تکرار (تکرار یافته ها) از طریق اقدامات پیشگیرانه ؛
- یک پایگاه شواهد قانونی قابل توجه («حسابرسی آماده با دکمه») را تشکیل می دهد.
2) هنگامی که مجددا حسابرسی (راه اندازی)
بسته شدن CAPA توسط بحرانی/بالا (اجباری)، متوسط - توسط نمونه/خطر.
حادثه شدید یا نسخه قانونی.
رانش CCM/مشاهده پذیری.
تغییرات معماری/فرآیند (انتشار، مهاجرت، ارائه دهندگان).
پنجره های تقویم سه ماهه/نیمه سالانه برای دامنه های پرخطر.
3) دامنه و روش ها
تست طراحی: سیاست/استاندارد/SOP به روز شده، کنترل رسمی.
آزمون بهره وری عملیاتی: کنترل در دوره پایدار (نمونه برای 30-90 روز) کار می کند.
نمونه: مبتنی بر ریسک (افزایش n برای بالا/بحرانی)، ترکیبی از موارد تصادفی و هدف.
تجدید نظر: در صورت امکان تکرار روش/درخواست برای تایید نتیجه.
شواهد: سیاهههای مربوط، پیکربندی، آپلود، screencasts، گزارش ابزار - با رسید هش و WORM.
4) نقش ها و RACI
(R - مسئول ؛ الف - مسئولیت پذیری ؛ C - مشاوره ؛ من - مطلع)
5) چرخه عمر حسابرسی مجدد (SOP)
1. شروع: کارت حسابرسی مجدد (یافته ها، CAPA، خطر، دوره نمونه گیری، مهلت).
2. آماده سازی: چک لیست تست ها، معیارهای پذیرش، لیست مصنوعات، دسترسی «به صورت مورد».
3. جمع آوری داده ها: آپلود خودکار، نمونه برداری، تثبیت هش، قرار دادن در WORM.
4. تست ها: طراحی (در دسترس بودن/صحت) → کارایی (نمونه ها، رپرفرم).
5. ارزیابی: خطر باقی مانده، ثبات، حضور رانش.
6. تصمیم گیری: بستن/گسترش CAPA/تشدید (کمیته، تنظیم کننده).
7. تثبیت: پروتکل، داشبورد به روز رسانی، «بسته حسابرسی» دوباره حسابرسی.
8. نظارت: مشاهده 30-90 روز ؛ هنگامی که دست خوش پیشامد میشه - دوباره باز با یک CAPA جدید.
6) تعریف انجام شده
اقدامات اصلاحی انجام شده و تأیید شده است.
اقدامات پیشگیرانه خطر تکرار (آموزش، دروازه، تشخیص) را کاهش می دهد.
شواهد کامل و سازگار است (WORM، رسید هش).
قوانین CCM به روز شده اند، هشدارها طبیعی هستند، هیچ رانش وجود ندارد.
سیاست ها/SOP ها/نمودارها با تغییرات واقعی هماهنگ می شوند.
فروشندگان انجام اقدامات آینه (حفظ/حذف/گواهی).
7) دوباره حسابرسی ↔ بسته نرم افزاری CAPA
برنامه بازبینی (دوره، متریک موفقیت، مالک) را در کارت CAPA نگه دارید.
«موفقیت جزئی» → تمدید CAPA با کنترل جبران کننده و تاریخ انقضا.
برای مشکلات سیستمیک - حماسه پیشگیری (تغییر معماری، تجدید نظر فرآیند).
8) معیارها و KRI
حسابرسی مجدد در زمان:٪ به موقع تکمیل شده (≥ هدف 95٪).
First-Pass Close:٪ از بسته شدن بدون تجدید CAPA (بالاتر بهتر است).
تکرار یافته ها (12 ماه): نسبت تکرار دامنه/مالک (روند ↓).
Δ ریسک باقیمانده: کاهش ریسک پس از ممیزی مجدد.
شواهد کامل:٪ دوباره حسابرسی با مجموعه ای کامل از مصنوعات (100٪ هدف).
رانش پس از ثابت: موارد رانش کنترل در 30-90 روز (هدف 0 بحرانی).
فروشنده آینه SLA: تایید از پیمانکاران (100٪ هدف برای بحرانی).
9) داشبورد (حداقل)
خط لوله دوباره حسابرسی: برنامه ریزی شده → در حال انجام → بستن/تمدید → مشاهده.
Heatmap تکرار می شود: توسط دامنه (IAM، داده ها، DevSecOps، VRM، DR/BCP).
CAPA & دوباره حسابرسی لینک: وضعیت بسته نرم افزاری, تاخیر, مناطق آسیب پذیر.
آمادگی شواهد: وجود WORM/هش، طراوت نمونه ها.
Drift & CCM: نقض پس از رفع، فرکانس هشدار.
تضمین فروشنده: حفظ/حذف آینه، گواهینامه ها، SLA.
10) نمونه برداری و روش های آزمون
طبقه بندی ریسک: موارد بیشتر برای کنترل های بحرانی/حوزه های قضایی.
تست های ترکیبی: بررسی مستند + نسخه واقعی (به عنوان مثال صادرات DSAR، لغو دسترسی، حذف TTL).
سناریوهای منفی: تلاش برای دور زدن کنترل (ABAC/SoD، محدودیت نرخ، اسکن مخفی).
تست پایداری: پس از 30 روز در یک نمونه فرعی (بررسی سلامت) تکرار شود.
11) اتوماسیون و تضمین به عنوان کد
موارد تست برای کنترل به عنوان کد (Rego/SQL/YAML)، autorun برنامه ریزی شده.
نسل خودکار «حسابرسی مجدد بسته» از نمایشگاه شواهد با رسید.
تشدید خودکار توسط SLA (CAPA/دوباره حسابرسی تاخیر).
ادغام با CI/CD: انتشار بلوک گیت تحت کنترل قرمز.
12) فروشندگان و زنجیره تامین
این قراردادها شامل حق ممیزی مجدد و زمان بندی تهیه مصنوعات است.
نگهداری آینه و تایید تخریب/رفع.
در صورت نقض - وام/SLAs، خارج از رمپ و برنامه مهاجرت.
گواهینامه های خارجی (SOC/ISO/PCI) - در وضعیت تازه ؛ هنگامی که «نظر واجد شرایط» - حسابرسی مجدد افزایش یافته است.
13) الگوهای مصنوعی
13. 1 کارت مجدد حسابرسی
یافته های ID/CAPA، ریسک/حوزه های قضایی، دوره نمونه گیری
تست های طراحی/عملکرد، معیارهای پذیرش
فهرست مصنوعات (منبع، فرمت، هش)
نتایج, خطر باقی مانده, توصیه
راه حل (بستن/گسترش/تشدید)، مالک/به دلیل، لینک شواهد
13. 2 گزارش حسابرسی مجدد (فهرست مطالب)
1. خلاصه و زمینه
2. روش و دامنه
3. نتایج آزمون (جداول نمونه)
4. ریسک باقی مانده و نتیجه گیری
5. راه حل ها و چالش ها (CAPA/waivers)
6. برنامه های کاربردی: رسید هش، تصاویر، آپلود
13. 3 چک لیست پذیرش
- سیاست ها/SOP ها/کنترل ها به روز شده است
- شواهد جمع آوری شده و WORM/هش تایید شده است
- قوانین CCM را فعال کنید، هشدار معتبر
- آموزش/ارتباطات تکمیل شده (LMS، خواندن دریافت)
- تأییدیه های فروشنده دریافت شد
- بدون باز کردن مورد نیاز/طرح گسترش در محل
14) مدیریت استثنا (چشم پوشی)
فقط تحت محدودیت های عینی مجاز است ؛ تاریخ انقضا و کنترل های جبرانی اجباری است.
تبلیغات در داشبورد، یادآوری 14/7/1 روز، تشدید به کمیته.
15) ضد گلوله
«بسته شدن کاغذ» بدون آزمون اثربخشی.
شواهد بدون WORM/هش - بحث حسابرسی
بدون CAPA ↔ دوباره حسابرسی ↔ لینک CCM - کنترل ها پین نمی شوند.
دامنه محدود (حوزه های قضایی/فروشندگان/نقش های حیاتی پوشش داده نمی شود).
چک های یک بار مشاهده نشده 30-90 روز
برنامه های افزودنی CAPA بدون برنامه اقدامات جبرانی و مهلت.
16) مدل بلوغ (M0-M4)
M0 Hell-hoc: چک های نادر «نقطه»، هیچ معیار پذیرش.
M1 برنامه ریزی شده: تقویم مجدد حسابرسی، قالب های اساسی و گزارش ها.
M2 مدیریت شده: پیوند به CAPA، داشبورد/معیارها، شواهد WORM.
M3 مجتمع: تضمین به عنوان کد، رپرتاژ، خودکار «بسته حسابرسی».
M4 تضمین مداوم: KRI های پیش بینی شده، برنامه ریزی خودکار، نظارت بر ثبات پس از تعمیر.
17) مقالات ویکی مرتبط
برنامه های بازسازی (CAPAs)
حسابرسی مبتنی بر ریسک (RBA)
نظارت بر انطباق مداوم (CCM)
پیگیری و حسابرسی
ذخیره سازی شواهد و مستندات
سیاست انطباق مدیریت تغییر
علت سعی و کوشش و خطرات برون سپاری
کمیته مدیریت ریسک و انطباق
مجموع
ممیزی مجدد، تأیید استحکام است، نه رسمیت: تست طراحی و کارایی، یک پایگاه شواهد قوی، راه حل های شفاف (نزدیک/گسترش/تشدید) و مشاهده رانش. با چنین سیستمی، خطر «بازگشت» نیست و انطباق قابل اندازه گیری و قابل پیش بینی است.