ביקורת מחדש ומעקב
1 מטרה ותפקיד של ביקורת מחודשת
ביקורת מחודשת היא אימות האפקטיביות והשוד של הצעדים שננקטו (CAPA) ובקרה מעודכנת לאחר הממצאים העיקריים. האם הוא:- מאשר את סגירת ההפרות והפחתת הסיכון השיורי לרמת אפטיט;
- מגן מפני חזרה (ממצאים חוזרים) באמצעות אמצעי מניעה;
- מהווה בסיס ראיות משמעותי מבחינה משפטית (”ביקורת מוכנה על כפתור”).
2) מתי להקצות ביקורת מחדש (טריגרים)
סגירת CAPA על ידי Critical/High (חובה), על ידי מדיום - על ידי מדגם/סיכון.
תקרית חמורה או מרשם פיקוח.
סחיפה של CCM/תצפית.
שינויים בארכיטקטורה/תהליך (שחרור, נדידה, ספקים).
חלונות רבעוניים/חצי שנתיים ללוח השנה לתחומים בסיכון גבוה.
3) היקף ושיטות
מבחן עיצוב: מדיניות/סטנדרט/SOP מעודכן, בקרה פורמלית.
מבחן יעילות תפעולית: בקרה פועלת באופן קבוע בתקופה (מדגם במשך 30-90 יום).
מדגם: מבוסס סיכון (עלייה n עבור גבוה/קריטי), שילוב של מקרי אקראי ומטרה.
חזרה: אם אפשר לחזור על ההליך/בקשה כדי לאשר את התוצאה.
ראיות: יומנים, תצורות, העלאות, צעקות, דיווחי כלים עם קבלות חשיש ותולעת.
4) תפקידים ו ־ RACI
(R - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)
5) ביקורת מחדש של אופן החיים (SOP)
1. קבלה: כרטיס ביקורת מחדש (ממצאים, CAPA, סיכון, תקופת דגימה, מועד אחרון).
2. הכנה: רשימת בדיקות, קריטריוני קבלה, רשימת חפצים, גישה ”לפי מקרה”.
3. איסוף נתונים: העלאה אוטומטית, דגימה, קיבעון חשיש, מיקום בתולעת.
4. בדיקות: עיצוב (זמינות/תקינות) = יעילות (דגימות, reperform).
5. הערכה: סיכון שיורי, יציבות, נוכחות של סחף.
6. החלטה: סגור/להאריך CAPA/Escalate (ועדה, רגולטור).
7. קיבעון: פרוטוקול, עדכון לוחות מחוונים, ”חבילת ביקורת” ביקורת מחדש.
8. השגחה: תצפית 30-90 ימים; כאשר נסחף - לפתוח מחדש עם CAPA חדש.
6) הגדרה לביצוע
אמצעים מתקנים מיושמים ומאושרים.
אמצעי מניעה מפחיתים את הסיכון לחזרה (אימונים, שערים, איתור).
הראיות מלאות ועקביות (תולעת, קבלות חשיש).
חוקי CCM עודכנו, התראות תקינות, אין סחיפה.
מדיניות/SOPs/תרשימים מסונכרנים עם שינויים בפועל.
ספקים ביצעו פעולות מראה (שימור/מחיקה/תעודות).
7) ביקורת מחדש ↔ צרור CAPA
שמור את תוכנית הביקורת מחדש (תקופה, הצלחה מטרית, בעלים) בכרטיס CAPA.
”הצלחה חלקית” = הרחבה של CAPA עם בקרות פיצוי ותאריך תפוגה.
לבעיות מערכתיות - אפיקה של מניעה (שינוי ארכיטקטורה, שינוי תהליכים).
8) מדדים ו ־ KRI
ביקורת מחדש בזמן:% הושלמה בזמן (יעד 95%).
First-Pass Close:% מהסגירות ללא CAPA (גבוה יותר עדיף).
ממצאים חוזרים (12 חודשים): פרופורציה של חזרות על ידי תחום/בעלים (מגמה).
שיורית סיכונים: הפחתת סיכונים לאחר ביקורת מחדש.
ראיות שלמות:% ביקורת מחדש עם סט מלא של חפצים (100% יעד).
סחיפה אחרי תיקון: מקרים של שליטה נסחפים בתוך 30-90 ימים (מטרה 0 קריטית).
ספק Mirror SLA: אישור מקבלנים (100% יעד עבור קריטי).
9) לוחות מחוונים (מינימום)
ביקורת מחדש צינור: מתוכנן # Progress # Close/Extreme # Observe.
Hatmap חוזרת על עצמה: על ידי Domain (IAM, Data, DevSecOps, VRM, DR/BCP).
CAPA & RE-ביקורת קישור: מצב של חבילות, עיכובים, אזורים פגיעים.
מוכנות ראיות: נוכחות של תולעת/חשיש, רעננות של דגימות.
הפרות לאחר תיקון, תדר התראה.
הבטחת הספק: שמירת מראה/הסרה, תעודות, SLA.
10) שיטות דגימה ובדיקה
סיכון בסטרטיפיקציה: יותר מקרים לבקרה קריטית/תחום שיפוט.
מבחנים משולבים: סימון תיעודי + reperform בפועל (למשל: יצוא DSAR, ביטול גישה, מחיקת TTL).
תרחישים שליליים: ניסיון לעקוף את השליטה (ABAC/SoD, מגבלות קצב, סריקה סודית).
מבחן יציבות: לחזור אחרי 30 יום על תת-אמפר (בדיקת שפיות).
11) אוטומציה והבטחה כקוד
מקרי בדיקה עבור בקרות כקוד (Rego/SQL/YAML).
דור אוטומטי ”חבילת ביקורת ביקורת” מתצוגת הראיות עם קבלה.
הסלמה אוטומטית על ידי SLA (CAPA/re-ביקורת עיכובים).
אינטגרציה עם CI/CD: שערים בלוק שחרור תחת בקרה אדומה.
12) ספקים ושרשרת אספקה
החוזים כוללים את הזכות לביקורת מחדש ואת העיתוי של מתן חפצים.
שמירת מראה ואישור של הרס/תיקונים.
במקרה של הפרות - הלוואות/SLAs, מחוץ לרמפה ותוכנית הגירה.
תעודות חיצוניות (SOC/ISO/PCI) - במצב רענן; כאשר ”דעה מוסמכת” - ביקורת מחדש היא משופרת.
13) תבניות חפץ
13. כרטיס ביקורת מחודשת 1
ממצאי זיהוי/CAPA, סיכון/תחום שיפוט, תקופת דגימה
בדיקות עיצוב/ביצועים, קריטריוני קבלה
רשימת חפצים (מקור, פורמט, חשיש)
תוצאות, סיכון שיורי, המלצות
פתרון (Close/Extreme/Escalate), בעלים/בשל, קישורי ראיות
13. 2 דו "ח ביקורת מחדש (טבלת התוכן)
1. סיכום והקשר
2. מתודולוגיה והיקף
3. תוצאות בדיקה (טבלאות מדגם)
4. סיכון שיורי ומסקנות
5. פתרונות ואתגרים (CAPA/ויתור)
6. יישומים: קבלות חשיש, צילומי מסך, העלאות
13. 3 רשימת קבלה
[ ] מדיניות/SOPs/בקרה מעודכנת[ ראיות ] שנאספו ותולעת/חשיש אישרו[ ] חוקי CCM אפשרו, התראות תקפות[ אימון/תקשורת ] הושלם (LMS, קריאה-קבלה)[ ] הוונדור התקבל[ ] אין צורך לפתוח מחדש את תכנית ההרחבה14) ניהול יוצא מן הכלל (ויתורים)
מותר רק תחת הגבלות אובייקטיביות; תאריך תפוגה ובקרה פיצוי הם חובה.
פרסום בלוח המחוונים, תזכורות 14/7/1 יום, הסלמה לוועדה.
15) תרופות אנטי ־ פטריות
”סגירת נייר” בלי מבחן יעילות.
ראיות ללא תולעת/האשים - ביקורת מחלוקת.
אין בקרת CAPA ↔ ביקורת מחדש ↔ CCM - בקרות לא תקועות.
היקף מצומצם (תחום שיפוט/ספקים/תפקידים קריטיים לא מכוסים).
בדיקות חד פעמיות ללא השגחה 30-90 ימים.
הארכות CAPA ללא תוכנית ואמצעי פיצוי.
16) מודל בגרות (M0-M4)
בדיקת ”נקודה” נדירה, אין קריטריונים לקבלה.
M1 מתוכנן: לוח שנה לביקורת מחדש, תבניות ודוחות בסיסיים.
M2 מנוהל: קישור ל-CAPA, לוחות מחוונים/מדטים, ראיית תולעת.
M3 Integrated: Securance-as-code, reperform, אוטומטי ”חבילת ביקורת”.
M4 הבטחה רציפה: חיזוי KRIS, תזמון אוטומטי מחדש, ניטור יציבות לאחר תיקון.
17) מאמרים הקשורים לוויקי
תוכניות תיקון (CAPAs)
ביקורת חשבונות מבוססת סיכון (RBA)
ניטור ציות רציף (CCM)
רישום וביקורת שביל
אחסון ראיות ותיעוד
ניהול שינוי מדיניות ציות
בדיקת נאותות וסיכוני מיקור חוץ
ועדת ניהול סיכונים וציות
סך הכל
ביקורות חוזרות הן אימות של תקלות, לא פורמליות: מבחן של עיצוב ויעילות, בסיס ראיות חזק, פתרונות שקופים (Close/Extreme/Escalate) ותצפית על סחף. במערכת כזו, הסיכון אינו ”מוחזר”, והציות נותר מדיד וצפוי.