GH GambleHub

Revisioni e revisioni periodiche

1) Scopo e principi

Revisioni e revisioni periodiche sono un ciclo regolamentato di verifiche che conferma la validità delle regole, la correttezza delle disponibilità, l'efficienza dei controlli e la disponibilità ai controlli.

Principi:
  • Calendarizzazione e prevedibilità: finestre e deadline fisse.
  • Orientamento al rischio: priorità di criticità e KRI.
  • Automation-first - Massimo assemblaggio automatico e automazione.
  • Evidence by design - Le prove vengono generate automaticamente e invariatamente (WORM).
  • One owner: ogni revisione ha un proprietario, una SLA e un piano di escalation.

2) Tipi di recensioni periodiche (portafoglio)

Tipo di revisioneFrequenza (minima)ObiettivoManufatti di uscita
Criteri/procedureogni anno/in Majoraggiornamento dei requisitichangelog, protocollo di apruv
Revisione delle disponibilità (IAM/IGA)trimestrale (critico)il principio dei privilegi minimi, SoDreport re-cert, elenco dei rewok
Registro rischi (RBA-lite)trimestraleregolazione dei rischi/KRIRisk Registrer aggiornato
Efficienza dei controlli (CCM)mensilepass rate, deriva, FPR/TPRreport dei test di controllo
Provider/outsourcing (VRM)ogni anno/per triggerstato dei certificati/SLA/DDpanoramica di Wendor e foglio di lavoro
Retenza e Legale HoldtrimestraleTTL, rimozione/congelamentoreport di rimozione/hold-logg
Esercizi DR/BCPtrimestrale/annualeconvalida RTO/RPO e processiatto esercitazione e CAPA
DSAR/privacymensile/trimestraleSLA, completezza, lamentelereport DSAR SLA/qualità
Controllo pronto (dry-run)trimestraleauditpack su pulsantepacchetto evidence + ricevuta
Licenze/certificaticome pianificato dal regolatorerispetto dei tempi e scopecalendario degli obblighi

3) Ruoli e RACI

RevisioneARCI
Criteri/procedureHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
Disponibilità IAMCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
Registro rischiHead of RiskRisk OfficeCompliance, FinanceExec/Board
Controlli (CCM)Compliance EngControl OwnersSecOps, DataCommittee
Provider (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Retenza/Legale HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Calendario annuale (esempio di modello)

Ogni mese: controlli CCM, DSAR SLA, rapporti sulla deriva cloud/crittografia, igiene waiver.
Trimestrale (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DOTTOR, Auditel dry-run, retenza/rimozione.
Ogni anno: revisione completa delle regole/procedure, revisioni VRM dei provider critici, BIA (Business Influencer), piano di revisione/certificazione.

5) Processo (SOP) di tutte le revisioni

1. Iniziazione: scheda di revisione (scope, obiettivi, criteri, deadline, proprietari).
2. Raccolta dati: download auto/dashboard, vetrina evidence, campionamento.
3. Controlli e test: elenco di controllo, pass/fail, deviazioni severity.
4. SAR/Remediazione: foglio di lavoro con proprietari e tempi di compensazione.
5. Aprove e fissa: protocollo di soluzione, ricevute hash, archivio WORM.
6. Comunicazione: one-pager + attività in ITSM/GRC; escalation SLA.
7. Retrospettiva: lezioni, aggiornamenti standard/modelli.

6) Modelli di elenco di controllo

6. 1 Criteri/procedure

  • Rilevanza dei riferimenti normativi e dei termini
  • Misurazione control statents
  • Connettività con le regole SOP e CCM
  • Localizzazioni/Addendum sincronizzate
  • Changelog e la versione del Comitato

6. 2 IAM re-cert

  • Elenco completo dei diritti attivi e dei proprietari
  • conflitti SoD, account orphan, eccezioni JIT
  • Prove di revoca/declassamento
  • Accessibilità Vendor e federazioni SSO
  • Protocollo di certificazione e metriche di ritardo

6. 3 VRM

  • Report aggiornati SOC/ISO/PCI, scope e eccezioni
  • SLA/incidenti/prestiti nel periodo
  • Sottoprocessori e posizioni dati - nessuna deriva
  • Foglio gap e stato delle remediazioni
  • Piano exit e conferma mirroring

6. 4 Retenza/Legale Hold

  • disturbi TTL = 0 critici
  • Report di eliminazione + riepilogo hash
  • Legali Hold attivi - ragioni, date, proprietari
  • Mirroring dei provider
  • La logica DSAR non è compromessa

6. 5 DR/BCP

  • Test RTO/RPO e ripristino del campione
  • Playbook di comunicazione e on-call
  • Risultati delle esercitazioni e CAPE
  • I venditori hanno partecipato/confermato la loro disponibilità
  • Documentato post-mortem

7) Metriche e SLO portafoglio di revisioni

On-time Review Rate:% di revisioni completate entro il termine (obiettivo 95%).
Evidence Readover:% di revisioni con un insieme completo di manufatti (obiettivo 100%).
CAPA On-time:% di rimediazioni chiuse per SLA (severity).
Repeat Findings: percentuale di osservazioni ripetute per 12 mes (trend).
Access Hygiene - Percentuale di diritti obsoleti dopo re-cert (target 2%).
Vendor Certificate Freshness:% certificati aggiornati in provider critici (obiettivo 100%).
Audit-Ready Time - Tempo di raccolta «auditpack» dopo la revisione (8 ore).

8) Dashboard (set minimo)

Calendar View: mappa delle revisioni dei quartieri con SLA/ritardo.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings & CAPA: aperti/scaduti, proprietari, severity.
IAM Hygiene: orphan/SoD/eccezioni JIT, trend.
VRM Heatmap: provider a rischio-scoop, certificati, incidenti.
Restituzione & Hold: violazioni TTL, volumi di rimozione, hold attivi.
Verifiche: completeness, ancoraggio dei pacchetti hash.

9) Manufatti e memorizzazione

Protocollo di revisione (agenda, conclusioni, soluzioni, owner/due).
Elenco dei controlli/campionamenti e dei loro risultati (pass/fail).
Foglio GAP e CAPE con date e metriche di successo.
Ricevute hash di scarico e report WORM/Object Lock.
Versioni aggiornate di regole/procedure e macping per il controlling.

10) Gestione delle eccezioni (waivers)

Ogni gap identificato viene compilato se la correzione non è possibile entro il termine.
Contiene motivi, misure compensative, data di scadenza, proprietario/piano.
Visibile nel dashbord; escalation automatica 14/7/1 giorno prima della scadenza.

11) Integrazioni

CCM/Compliance-as-Code: le regole per i test di controllo vengono eseguite automaticamente durante la revisione.
GRC: registro delle revisioni, findings, CAPA, waivers, SLA e report.
Evidence Storage consente l'archiviazione automatica di tutti i materiali hash.
ITSM: attività e scalate ai proprietari dei sistemi.
VRM - Allungamento dello stato dei provider/certificati.
LMS - Corso/convalida con Maggiore-modifiche alla revisione.

12) Antipattern

Revisioni per casella di spunta senza CAPE e proprietari.
La mancanza di calendario e la prevedibilità del ritardo e il regime antincendio.
Scaricamenti manuali senza ricevute hash e WORM consentono di verificare le prove.
Combinazione scope (i criteri cambiano i requisiti, ma non vengono aggiornati i controlli o i controlli SOP).
«Eterni» waivers senza data di scadenza e rimborso.
Nessun legame con il rischio-appetito/comitato - le soluzioni non sono scalabili.

13) Modello di maturità (M0-M4)

M0 Ad-hoc - Controlli irregolari, report in Excel, senza owners.
M1 Pianificato: calendario e fogli di assegno di base, archiviazione dei manufatti.
M2 Gestito: registro GRC, dashboard, SLA/escalation, archivio WORM.
M3 Integrato: SSM/ascode, auto-evidence, controllo dry-run su pulsante.
M4 Continuous Assurance: KRI di previsione, ristrutturazione automatica, Capability complete «Rischi di revisione del CAPA».

14) Articoli wiki collegati

KPI e metriche della compilazione

Controllo a rischio (RBA)

Monitoraggio continuo della conformità (CCM)

Archiviazione di prove e documentazione

Registrazione e AuditTrail

Gestione delle modifiche al criterio di compilazione

Due Diligence e rischi di outsourcing

Comitato per la gestione del rischio e della compliance

Totale

Le revisioni e le revisioni periodiche trasformano la compliance da «risposta ai problemi» in una catena di montaggio trasparente per i miglioramenti: calendario fisso, controlli automatizzati, manufatti di qualità, CAPE tempestivi e disponibilità prevedibile a qualsiasi controllo.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.