आवधिक समीक्षा और संशोधन
1) उद्देश्य और सिद्धांत
आवधिक समीक्षा (आवधिक समीक्षा) समीक्षाओं का एक विनियमित चक्र है जो नीतियों की प्रासंगिकता, पहुंच की शुद्धता, नियंत्रण की प्रभावशीलता और ऑडिट के लिए तत्परता की पुष्टि करता है।
सिद्धांत:- पंचांग और पूर्वानुमेयता: निश्चित खिड़कियां और समय सीमा।
- जोखिम अभिविन्यास: आलोचना और केआरआई प्राथमिकताएं।
- स्वचालन-पहला: अधिकतम ऑटो-संग्रह और ऑटो-चेक।
- डिजाइन द्वारा साक्ष्य: सबूत स्वचालित और हमेशा (WORM) उत्पन्न होते हैं।
- एक मालिक: प्रत्येक संशोधन में एक मालिक, एक एसएलए और एक वृद्धि योजना है।
2) आवधिक समीक्षाओं के प्रकार (पोर्टफोलियो)
3) भूमिकाएँ और आरएसीआई
(R - जिम्मेदार; ए - जवाबदेह; सी - परामर्श; I - सूचित)
4) वार्षिक कैलेंडर (उदाहरण टेम्पलेट)
मासिक: CCM नियंत्रण, DSAR SLA, क्लाउड ड्रिफ्ट/एन्क्रिप्शन रिपोर्ट, छूट स्वच्छता।
त्रैमासिक (Q1/Q2/Q3/Q4): IAM री-सर्टिफिकेट, रिस्क रजिस्टर, DR एक्सरसाइज, ऑडिट ड्राई-रन, रिटेंशन/डिलेशन।
वार्षिक: नीतियों/प्रक्रियाओं का पूर्ण संशोधन, महत्वपूर्ण प्रदाताओं की वीआरएम समीक्षा, बीआईए (व्यवसाय प्रभाव), ऑडिट/प्रमाणन योजना।
5) किसी भी संशोधन की प्रक्रिया (एसओपी)
1. दीक्षा: संशोधन कार्ड (गुंजाइश, लक्ष्य, मानदंड, समय सीमा, मालिक)।
2. डेटा संग्रह: ऑटो-अपलोड/डैशबोर्ड, सबूत शोकेस, नमूने।
3. जाँच और परीक्षण: चेकलिस्ट, पास/विफल, विचलन की गंभीरता।
4. CAPA/उपचारात्मक: मालिकों और समय सीमा के साथ अंतर सूची, प्रतिपूरक उपाय।
5. उन्नयन और निर्धारण: समाधान प्रोटोकॉल, हैश रसीदें, WORM संग्रह।
6. संचार: ITSM/GRC में एक-पेजर + कार्य; एसएलए द्वारा वृद्धि।
7. पूर्वव्यापी: पाठ, अद्यतन मानक/टेम्पलेट।
6) चेकलिस्ट टेम्पलेट्स
6. 1 नीतियां/प्रक्रियाएं
- नियामक संदर्भों और शर्तों की प्रासंगिकता
- मापन नियंत्रण कथन
- SOP/मानकों और CCM नियमों से लिंकिंग
- स्थानीयकरण/परिशिष्ट तुल्यकालित
- चेंजेलॉग और संस्करण, समिति अद्यतन
6. 2 आईएएम फिर से प्रमाणित
- सक्रिय अधिकारों और मालिकों की पूरी सूची
- SoD संघर्ष, अनाथ खाते, JIT अपवाद
- निरसन/डिमोशन का साक्ष्य
- वेंडर एक्सेस और एसएसओ फेडरेशन
- री-क्वालिफिकेशन प्रोटोकॉल और डेलिनक्वेंसी मेट्रिक्स
6. 3 वीआरएम
- वर्तमान एसओसी/आईएसओ/पीसीआई रिपोर्ट, गुंजाइश और अपवाद
- इस अवधि के लिए SLAs/घटनाएँ/क्रेडिट
- उप-प्रोसेसर और डेटा स्थान - कोई बहाव नहीं
- गैप सूची और सुधारात्मक स्थिति
- निकास योजना और दर्पण प्रतिधारण की पुष्टि
6. 4 रिटेंशन/लीगल होल्ड
- टीटीएल उल्लंघन = 0 महत्वपूर्ण
- हटाने की रिपोर्ट + हैश सारांश
- सक्रिय कानूनी पकड़ - कारण, दिनांक, मालिक
- प्रदाताओं में दर्पण प्रतिधारण
- DSAR तर्क बरकरार
6. 5 DR/BCP
- आरटीओ/आरपीओ टेस्ट और सैंपल रिकवरी
- संचार प्लेबुक और ऑन-कॉल
- व्यायाम और CAPA परिणाम
- विक्रेताओं ने भाग लिया/तत्परता की पुष्टि की
- प्रलेखित पोस्टमार्टम
7) संशोधन पोर्टफोलियो मेट्रिक्स और एसएलओ
ऑन-टाइम रिव्यू रेट: % ऑडिट समय पर पूरा हुआ (लक्ष्य ≥ 95%)।
साक्ष्य तत्परता: कलाकृतियों के पूर्ण सेट के साथ% संशोधन (100% लक्ष्य)।
CAPA ऑन-टाइम: SLA (गंभीरता से) द्वारा बंद किए गए उपचारों का%।
दोहराएं निष्कर्ष: 12 महीनों में बार-बार टिप्पणियों का अनुपात (प्रवृत्ति ↓)।
एक्सेस हाइजीन: री-सर्टिफिकेट (लक्ष्य ≤ 2%) के बाद अप्रचलित अधिकारों का हिस्सा।
विक्रेता प्रमाणपत्र ताजगी: महत्वपूर्ण प्रदाताओं (100% लक्ष्य) से वर्तमान प्रमाणपत्रों का%।
ऑडिट-रेडी टाइम: ऑडिट (≤ 8 घंटे) के बाद "ऑडिट पैक" इकट्ठा करने का समय।
8) डैशबोर्ड (न्यूनतम सेट)
पंचांग दृश्य: SLAs/delinquences के साथ तिमाही द्वारा संशोधन का नक्शा।
पाइपलाइन की समीक्षा करें: статус (नियोजित → प्रगति में → CAPA → बंद)।
निष्कर्ष और CAPA: खुला/समाप्त, मालिक, गंभीरता।
IAM स्वच्छता: अनाथ/SoD/JIT अपवाद, रुझान।
वीआरएम हीटमैप: जोखिम दर प्रदाता, प्रमाण पत्र, घटनाएं।
प्रतिधारण और पकड़: टीटीएल उल्लंघन, हटाने की मात्रा, सक्रिय पकड़।
ऑडिट रेडीनेस: पूर्णता "बटन द्वारा", हैश पैकेज एंकर।
9) कलाकृतियाँ और भंडारण
संशोधन प्रोटोकॉल (एजेंडा, निष्कर्ष, निर्णय, मालिक/देय)।
चेक/नमूनों और उनके परिणामों की सूची (पास/विफल)।
गैप सूची और तारीखों और सफलता मेट्रिक्स के साथ CAPA।
अपलोड और रिपोर्ट की हैश रसीदें; WORM/ऑब्जेक्ट लॉक।
नियंत्रण के लिए अद्यतन नीति/प्रक्रिया संस्करण और मानचित्रण
10) अपवाद प्रबंधन (छूट)
यदि समय पर सुधार संभव नहीं है तो पहचाने गए प्रत्येक अंतराल के लिए जारी किया
इसमें कारण, प्रतिपूरक उपाय, समाप्ति तिथि, मालिक/योजना शामिल हैं।
डैशबोर्ड में दृश्यमान; समाप्ति से पहले ऑटो-एस्केलेशन 14/7/1 दिन।
11) एकीकरण
CCM/अनुपालन-as-Code - नियंत्रण परीक्षण नियम संशोधन पर स्वचालित रूप से चलाए जाते हैं।
जीआरसी: ऑडिट रजिस्टर, निष्कर्ष, सीएपीए, वेवर्स, एसएलए और रिपोर्टिंग।
साक्ष्य भंडारण: हैश फिक्सेशन के साथ सभी सामग्रियों का स्वचालित संग्रह।
ITSM: सिस्टम मालिकों के लिए कार्य और वृद्धि।
वीआरएम: प्रदाताओं/प्रमाणपत्रों की स्थिति को खींचना।
एलएमएस: लेखा परीक्षा परिणामों के आधार पर प्रमुख परिवर्तन पाठ्यक्रम/प्रमाणपत्र।
12) एंटीपैटर्न
CAPA और मालिकों के बिना "शो के लिए" संशोधन।
कैलेंडर और पूर्वानुमेयता की कमी - देरी और आग मोड।
हैश रसीदों और WORMs के बिना मैनुअल अपलोड - विवादास्पद सबूत।
स्कोप मिश्रण (नीतियां आवश्यकताओं को बदलती हैं, लेकिन एसओपी/नियंत्रण अद्यतन नहीं होते हैं)।
"अनन्त" बिना किसी समाप्ति तिथि और कोई मुआवजा के साथ छूट देता है।
जोखिम भूख/समिति के लिए कोई लिंक नहीं - निर्णय पैमाने पर नहीं है।
13) परिपक्वता मॉडल (M0-M4)
M0 हेल-तदर्थ: अनियमित जांच, मालिकों के बिना एक्सेल में रिपोर्ट।
एम 1 अनुसूचित: कैलेंडर और बुनियादी चेकलिस्ट, कलाकृतियों का भंडारण।
एम 2 प्रबंधित: जीआरसी रजिस्ट्री, डैशबोर्ड, एसएलए/एस्केलेशन, वर्म संग्रह।
एम 3 एकीकृत: जेएमए/एस्कोड, ऑटो-साक्ष्य, ड्राई-रन बटन ऑडिट।
M4 निरंतर आश्वासन: पूर्वानुमान KRI, ऑटो-पुनर्निर्धारण, एंड-टू-एंड CAPA जोखिम → CAPA → संशोधन।
14) संबंधित विकी लेख
केपीआई और अनुपालन मैट्रिक्स
जोखिम-आधारित लेखा परीक्षा (आरबीए)
सतत अनुपालन निगरानी (सीसीएम)
साक्ष्य और प्रलेखन का भंडारण
लॉगिंग और ऑडिट ट्रेल
अनुपालन नीति परिवर्तन प्रबंधन
परिश्रम और आउटसोर्सिंग जोखिम के कारण
जोखिम प्रबंधन और अनुपालन समिति
कुल
आवधिक समीक्षा और संशोधन एक "समस्या प्रतिक्रिया" से सुधारों की एक पारदर्शी पाइपलाइन के अनुपालन को बदल देते हैं: एक निश्चित कैलेंडर, स्वचालित निरीक्षण, गुणवत्ता कलाकृतियां, समय पर सीएपीए और किसी भी ऑडिट के लिए पूर्वाजिब तत्य।