외부 감사인의 외부 감사

1) 외부 감사 및 예상 결과 목적

• 식별 된 의견과 권장 사항이있는 감사인의 보고서 (의견/증명);
• 마감일이있는 일관되고 추적 가능한 CAPA 계획
• 재현 가능한 "감사 팩" 및 솔루션의 추적 성.

2) 이용 약관

약혼 편지 (EL): 서비스 계약, 범위, 기준, 기간 및 액세스 권한을 정의합니다.
클라이언트 별 준비-조직이 준비하는 자료, 날짜 및 형식 목록.
디자인 테스트 (ToD) -제어가 존재하는지 확인하고 올바르게 설명하십시오.
운영 효과 테스트 (ToE): 테스트 기간 동안 제어가 안정적으로 작동하는지 확인하십시오.
보행: 선택적 경우에 대한 프로세스의 단계별 분석.
개혁: 감사인에 의한 운영/선택의 독립적 인 반복.

3) 성공적인 외부 검증 원칙

독립성과 투명성: 이해 상충 없음, 공식적인 거부.
의도적으로 감사 준비: 아티팩트 및 로그는 불변화 (WORM) 되며 버전 및 해시 영수증은 자동으로 기록됩니다.

통합 된 입장: 합의 된 사실, 하나의 화자는 "기본적으로"

개인 정보 보호 및 최소: "최소 충분한 데이터" 규칙, 개인화.
일정 및 징계: 응답/업로드, 전투 리듬 업데이트를위한 SLA.

4) 역할 및 RACI

(R - 책임; A - 책임; C-컨설팅; I-정보)

5) 약혼 편지

• 범위 및 기준: 표준/프레임 워크 (예: SOC/ISO/PCI/규제 요구 사항), 관할 구역, 프로세스.
• 검토 기간: 보고 기간 및 "차단" 날짜.
• 액세스 및 기밀 유지: 액세스 수준, 데이터 룸 규칙, NDA.
• 결과: 보고 유형, 결과 형식, 초안 및 최종 날짜.
• 물류: 커뮤니케이션 채널, 답변을위한 SLA, 인터뷰 목록.

6) 준비: PBC 목록 및 "감사 팩"

PBC 목록 수정 사항: 문서/로그/샘플 목록, 형식 (게 아니라, 소유자 및 마감일).
감사 팩은 변하지 않는 증거 쇼케이스로 구성되며 정책/절차, 시스템 및 제어 맵, 기간 지표, 로그 및 구성 선택, 스캔 보고서, 제공 업체 자료, 이전 검사의 CAPA 상태를 포함합니다. 각 파일에는 해시 영수증과 액세스 로그가 동반됩니다.

7) 감사 방법론 및 샘플링 접근 방식

보행: 정치에서 실제 로그/티켓/시스템 트레일에 이르기까지 엔드 투 엔드 데모.
ToD: 제어의 가용성 및 정확성 (설명, 소유자, 빈도, 측정 가능성).
ToE: 기간 당 고정 샘플 (위험/관할/역할에 의해 계층화 된 위험 기반 n).
개혁: 감사인은 작업을 재현합니다 (예: DSAR 내보내기, 액세스 취소, TTL 삭제).
네거티브 테스트: 제어를 우회하려는 시도 (SoD, ABAC, 한계, 비밀 스캔).

8) 아티팩트 및 증거 관리

WORM/Object Lock-체크 기간 동안 덮어 쓰기/삭제를 방지합니다.
무결성: 해시 체인/머클 앵커, 검증 로그.
양육권 체인: 누가, 언제, 왜 파일을 작성/변경/읽었는지.
사례 기반 액세스: 임시 권리가있는 감사/사례 번호 별 액세스.
Depersonalization: 개인 필드의 마스킹/가명.

9) 검사 중 상호 작용

단일 창: 공식 채널 (받은 편지함/포털) 및 요청 번호 매기기.
답 형식: 번호가 매겨진 응용 프로그램, 아티팩트 링크, 데이터 생성 방법에 대한 간략한 요약.
인터뷰: 발표자 목록, 어려운 질문 스크립트, 확인되지 않은 진술 금지.
사이트/온라인 방문: 일정, 데이터 룸, 라이브 프로토콜 질문/소유자와의 약속 및 마감일.

10) 조사 결과, 보고서 및 CAPA

표준 발견 구조: 기준 → 실제 → 영향 → 권장 사항.
CAPA는 소유자, 교정/예방 조치, 마감일, 자원, 성공 지표, 필요한 경우 통제 보상과 같은 각 의견에 대해 발행됩니다. 모든 CAPA는 GRC, 상태 대시 보드에 속하며 완료시 재감사 대상이됩니다.

11) 공급자와 협력 (제 3 자)

요청 서류: 인증서 (SOC/ISO/PCI), 펜트 결과, SLA/사건, 서브 프로세서 목록 및 데이터 위치.
계약 근거: 감사/설문지에 대한 권리, 유물 제공시기, 거울 보존 및 제거/파괴 확인.
에스컬레이션: SLA 처벌/크레딧, 오프 램프 조건 및 중대한 위반에 대한 마이그레이션 계획.

12) 외부 감사 성과 지표

정시 PBC: PBC 위치의% 가 정시에 닫힙니다 (목표 98% 이상).
First-Pass 수락: 수정없이 허용되는 자료의%.
CAPA 온타리:% CAPA는 만기시 마감되었습니다.

결과를 반복하십시오 (12 개월): 도메인 별 반복 비율

감사 준비 시간: 전체 "감사 팩" 을 수집하는 데 걸리는 시간 (대상 PK8 시간).
증거 무결성: 100% 통과 해시 체인/앵커 검사.
공급 업체 인증서 신선도: 중요한 공급자의 현재 인증서 중% (100% 목표).

13) 대시 보드 (최소 세트)

약혼 추적기: 체크 단계 (Plan → Fieldwork → Draft → Final), SLA 요청.
PBC 번 다운: 소유자/기간 별 나머지 위치.
결과 및 CAPA: 중요 성, 소유자, 타이밍, 진행 상황.
증거 준비: WORM/해시의 존재, 패키지의 완전성.
공급 업체 보증: 공급자 자료 및 거울 보유 상태.
감사 일정: 향후 검증/인증 창 및 준비.

14) SOP (표준 절차)

SOP-1: 외부 감사 시작

EL → 수정 범위/기간 → 를 시작하면 역할을 할당하고 달력 → PBC → 개방 데이터 룸 → 응답 템플릿 및 1 호출기를 준비합니다.

SOP-2: 감사인의 요청에 대한 응답

요청 → 소유자 임명 → 데이터 수집 및 확인 → 법률/개인 정보 검토 → 해시 영수증이 포함 된 패킷을 생성합니다 → 공식 채널을 통해 전송 확인을 기록합니다.

SOP-3: 보행/레퍼폼

시나리오에 동의하십시오 → 데모 환경을 준비하고 마스크 된 데이터 → 연습을 수행합니다 → WORM의 결론과 아티팩트 캡처.

SOP-4: 보고서 및 CAPA 처리

조사 결과 → 발행 CAPA (SMART) → 위원회의 업데이트 → 작업/에스컬레이션 → 링크 재감사 및 마감일.

SOP-5: 감사에 대한 사후 부검

2-4 주 후: 프로세스 평가, SLA, 증거 품질, 템플릿/정책 업데이트, 개선 계획.

15) 점검표

시작하기 전에

• EL 서명, 범위/기준/기간 정의.
• PBC 출판 및 소유자/마감일 할당.
• 데이터 룸이 준비되었습니다. "사례별로" 액세스가 구성됩니다.
• 원페이저/차트/용어집이 준비되었습니다.
• 정책/절차/버전이 업데이트되었습니다.

현장 작업 중

• 모든 응답은 요청 ID와 함께 단일 채널을 통과합니다.
• 각 파일에는 해시 영수증과 액세스 로그 항목이 있습니다.
• 인터뷰/데모-목록, 프로토콜 및 작업 소유자.
• 논란의 여지가있는 해석-수정, 법적 검토를 가져옵니다.

보고서 후

• 결과는 분류되고 CAPA는 할당 및 승인됩니다.
• 마감일 및 지표는 GRC/대시 보드에 설정됩니다.
• 높은/중요도에 할당 된 재감사.
• SOP/정책/제어 규칙이 업데이트되었습니다.

16) 안티 패턴

조정되지 않은 스피커 및 상충되는 응답

로그 및 해시 확인이없는 "종이" 자료.
불변성 및 저장 체인없이 수동 언로드.
문서화 된 부록없이 검사 중 범위를 좁히십시오.
예방 조치 및 보상 통제 만료 날짜가없는 CAPA.
30-90 일 동안의 재감사 및 관찰 부재 → 반복 위반.

17) 성숙도 모델 (M0-M4)

M0 지옥: 반응 요금, 혼란스러운 반응, PBC 없음.
M1 계획: EL/PBC, 기본 템플릿, 단일 채널.
M2 관리: WORM 아카이브, 해시 영수증, 대시 보드, SLA.
M3 통합: 버튼 별 "감사 팩", 코드 보증, 준비 재배치.
M4 연속 보증: 예측 KRI, 패키지 자동 생성 및 시간별 자동 에스컬레이션, 육체 노동 최소화.

18) 관련 위키 기사

규제 기관 및 감사자와의 상호 작용

위험 기반 감사 (RBA)

연속 준수 모니터링 (CCM)

증거 및 문서 저장

벌목 및 감사 트레일

치료 계획 (CAPA)

재감사 및 후속 조치

준수 정책 변경 관리

근면 및 아웃소싱 위험

결과

증거를 변경할 수없고 프로세스가 표준화되고 역할과 일정이 명확하며 CAPA가 재감사 및 지표를 통해 루프를 닫을 때 외부 감사를 관리하고 예측할 수 있습니다. 이 접근 방식은 규정 준수 비용을 줄이고 검사 속도를 높이며 조직에 대한 신뢰를 구축합니다.