再監査とフォローアップ

1）再監査の目的と役割

• 違反の閉鎖と食欲レベルへの残留リスクの減少を確認します。
• 予防措置を通じて繰り返し（再発見）から保護します。
• 法的に重要な証拠ベースを形成します（「audit-ready by button」）。

2）再監査を割り当てるタイミング（トリガー）

Critical/HighによるCAPA閉鎖（必須）、Mediumによる-サンプル/リスクによる。
高い重症度のインシデントまたは規制処方。
CCM/観測ドリフト。
アーキテクチャ/プロセスの変更（リリース、移行、プロバイダ）。
ハイリスクドメインの四半期/半年間カレンダーウィンドウ。

3）スコープ&メソッド

設計テスト：方針/標準/SOPは、公式化される制御更新しました。
操作効率テスト：制御は期間（30-90日のサンプル）で安定して働きます。
サンプル：リスクベース（高/クリティカルの場合はnを増やす）、ランダムとターゲットケースの組み合わせ。
Reperform：可能であれば、プロシージャ/リクエストを繰り返して結果を確認します。
証拠：ログ、構成、アップロード、スクリーンキャスト、ツールレポート-ハッシュレシートとWORM。

4）役割とRACI

（R-責任がある；A-説明責任がある；C-コンサルティング；I-Informed）

5）再監査ライフサイクル（SOP）

1.開始：再監査カード（調査結果、CAPA、リスク、サンプリング期間、期限）。
2.準備：テストのチェックリスト、受け入れ基準、アーティファクトのリスト、アクセス「by case」。
3.データ収集：自動アップロード、サンプリング、ハッシュ固定、WORMでの配置。
4.テスト：設計（availability/correctness）→efficiency（サンプル、reperform）。
5.評価：残留リスク、安定性、ドリフトの存在。
6.決定：CAPA/エスカレート（委員会、規制当局）を終了/延長します。
7.固定：プロトコル、更新ダッシュボード、「監査パック」再監査。
8.監督：観察30-90日；漂流するとき-新しいCAPAで再オープンします。

6） Doneの定義

実施され、確認された是正措置。
予防措置は、繰り返し（トレーニング、ゲート、検出）のリスクを軽減します。
証拠は完全で一貫しています（WORM、ハッシュレシート）。
CCMルールが更新され、アラートは正常で、ドリフトはありません。
ポリシー/SOP/チャートは実際の変更と同期されます。
ベンダーはミラーアクション（保持/削除/証明書）を実行しました。

7） CAPAバンドル↔再監査

再監査計画（期間、成功指標、所有者）をCAPAカードに保管します。
「部分的成功」→CAPAの拡張で、コントロールと有効期限を補償します。
全身の問題-予防の叙事詩（アーキテクチャの変更、プロセスの改訂）。

8）メトリクスとKRI

再監査オンタイム：時間通りに完了した％（目標≥ 95％）。
First-Pass Close： CAPA更新なしのクロージャの％（高いほうが良い）。
Repeat Findings （12ヶ月）：ドメイン/所有者による反復の割合（トレンド）。
残留リスクΔ：再監査後のリスク低減。
証拠の完全性：完全なアーティファクト（100％ターゲット）で％の再監査。
修正後のドリフト：30-90日の制御ドリフトの場合（目標0クリティカル）。
ベンダーミラーSLA：請負業者からの確認（重要な100％のターゲット）。

9）ダッシュボード（最小）

再監査パイプライン：計画→進行中→閉じる/延長→観察。
ヒートマップの繰り返し：ドメイン別（IAM、データ、DevSecOps、 VRM、 DR/BCP）。
CAPA&再監査リンク：バンドルのステータス、遅延、脆弱な領域。
証拠準備：WORM/ハッシュの存在、サンプルの鮮度。
Drift&CCM：修正後の違反、アラート周波数。
ベンダー保証：ミラー保持/除去、証明書、SLA。

10）サンプリングおよびテスト方法

リスク層別化：重要な管理/管轄のためのより多くのケース。
複合テスト：ドキュメンタリーチェック+実際のレパフォーム（例：DSARエクスポート、アクセス取り消し、TTL削除）。
負のシナリオ：制御をバイパスしようとする試み（ABAC/SoD、レート制限、シークレットスキャン）。
安定性試験：サブサンプル（サニティチェック）で30日後に繰り返します。

11）自動化および保証コードとして

コードとしてのコントロールのテストケース（Rego/SQL/YAML）、スケジュールされたautorun。
レシート付きの証拠ショーケースから自動生成「監査パック再監査」。
SLAによる自動エスカレーション（CAPA/再監査遅延）。
CI/CDとの統合：赤いコントロール下でのゲートブロックリリース。

12）ベンダーとサプライチェーン

契約には、再監査の権利とアーティファクトの提供のタイミングが含まれます。
ミラー保持と破壊/修正の確認。
違反の場合-ローン/SLA、オフランプと移行計画。
外部証明書（SOC/ISO/PCI）-新鮮な状態で；「修飾された意見」-再監査が強化されたとき。

13）アーティファクトパターン

13.1再監査カード

ID調査結果/CAPA、リスク/管轄、サンプリング期間

設計/性能テスト、受け入れ基準

アーティファクトのリスト（ソース、フォーマット、ハッシュ）

結果、残留リスク、推奨事項

ソリューション（閉じる/拡張/エスカレート）、所有者/期限、証拠リンク

13.2再監査報告書（目次）

1.概要とコンテキスト

2.方法論と範囲

3.試験結果（サンプルテーブル）

4.残留リスクと結論

5.ソリューションと課題（CAPA/免除）

6.アプリケーション： ハッシュレシート、スクリーンショット、アップロード

13.3受理チェックリスト

• ポリシー/SOP/コントロールの更新
• 収集された証拠とWORM/ハッシュが確認された
• CCMルールが有効になっている、有効なアラート
• トレーニング/コミュニケーション完了（LMS、リードレシート）
• ベンダーが受信した確認
• 再オープンの必要はありません/拡張プラン

14）例外管理（免除）

客観的な制限の下でのみ許可されます。有効期限と補償のコントロールは必須です。
ダッシュボードでの宣伝、リマインダー14/7/1日、委員会へのエスカレーション。

15） Antipatterns

有効性テストなしの「紙の閉鎖」。
WORM/ハッシュのない証拠-監査論争。
CCMリンク↔再監査↔ CAPAはありません-コントロールはピン留めされていません。
狭い範囲（管轄/ベンダー/重要な役割はカバーされていません）。
1回限りの目立たないチェック30-90日→繰り返し。
補償措置の計画と期限なしのCAPA拡張。

16）成熟度モデル（M0-M4）

M0ヘルホック：まれな「ポイント」チェック、受け入れ基準はありません。
M1スケジュール：カレンダー、基本テンプレート、レポートの再監査。
M2 Managed： CAPAへのリンク、ダッシュボード/メトリクス、WORM-evidence。
M3統合：保証コードとして、レパフォーム、自動「監査パック」。
M4連続保証：予測KRI、自動再スケジューリング、修正後の安定性モニタリング。

17）関連するwiki記事

修復計画（CAPA）

リスクベース監査（RBA）

コンプライアンス継続監視（CCM）

ロギングと監査証跡

証拠と文書の保管

コンプライアンスポリシー変更管理

デューデリジェンスとアウトソーシングリスク

リスクマネジメント・コンプライアンス委員会

合計

再監査は堅牢性の検証であり、形式性ではありません。設計と効率のテスト、堅牢なエビデンス基盤、透明なソリューション（Close/Extend/Escalate）、およびドリフト観測です。このようなシステムでは、リスクは「返される」わけではなく、コンプライアンスは測定可能で予測可能なままです。