GH GambleHub

Мерзімді шолулар мен ревизиялар

1) Мақсаты мен қағидаттары

Мерзімді шолулар мен тексерулер (Periodic Reviews) - бұл саясаттың өзектілігін, қолжетімділіктің дұрыстығын, бақылаулардың тиімділігін және аудитке дайындығын растайтын тексерулердің регламенттелген циклі.

Принциптері:
  • Күнтізбе және болжамдылық: белгіленген терезелер мен мерзім.
  • Тәуекел-бағдарлану: сындылық және KRI бойынша басымдықтар.
  • Automation-first: автосборшылар мен автопроверкалардың максимумы.
  • Evidence by design: дәлелдемелер автоматты түрде және өзгеріссіз қалыптастырылады (WORM).
  • One owner: әрбір тексерудің иесі, SLA және эскалация жоспары бар.

2) Мерзімді шолулардың түрлері (портфель)

Тексеру түріЖиілік (минимум)МақсатыШығыс артефактілері
Саясат/рәсімдержыл сайын/Major кезіндеталаптарды өзектендіруchangelog, аправа хаттамасы
Қолжетімділікті тексеру (IAM/IGA)тоқсан сайын (сындарлы)ең аз артықшылықтар қағидаты, SoDre-cert есебі, ревоктар тізімі
Тәуекелдер тізілімі (RBA-lite)тоқсан сайынтәуекел-үшкірлерді/KRI түзетужаңартылған Risk Register
Бақылау тиімділігі (CCM)ай сайынpass rate, дрейф, FPR/TPRбақылау тестілерінің есебі
Провайдерлер/аутсорсинг (VRM)жыл сайын/триггерлер бойынша/ SLA/DD куәліктерінің мәртебесівендорлық шолу және гап-парақ
Ретенция және Legal Holdтоқсан сайынTTL, жою/мұздатужою бойынша есеп/hold-лог
DR/BCP жаттығуларытоқсан сайын/жыл сайынRTO/RPO және процестерді тексеруоқу-жаттығу актісі және CAPA
DSAR/Құпиялылықай сайын/тоқсан сайынSLA, толықтығы, шағымдарDSAR SLA/сапа есебі
Аудит-дайындық (dry-run)тоқсан сайын«түймешігі бойынша audit pack»evidence пакеті + түбіртек
Лицензиялар/сертификаттауреттегіштің кестесі бойыншамерзімдер мен scope сақтауміндеттемелер күнтізбесі

3) Рөлдер және RACI

ТексеруARCI
Саясат/рәсімдерHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
IAM қатынасыCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
Тәуекелдер тізіліміHead of RiskRisk OfficeCompliance, FinanceExec/Board
Бақылау (CCM)Compliance EngControl OwnersSecOps, DataCommittee
Провайдерлер (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Ретенция/Legal HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Жылдық күнтізбе (үлгі үлгісі)

Ай сайын: CCM-бақылау, DSAR SLA, бұлт дрейфі/шифрлау, waiver-гигиена бойынша есептер.
Тоқсан сайын (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DR-жаттығулар, Audit dry-run, ретенция/алып тастау.
Жыл сайын: саясаттарды/рәсімдерді толық қайта қарау, сыни провайдерлердің VRM-шолулары, BIA (бизнес әсері), аудиттер/сертификаттау жоспары.

5) Кез келген ревизия процесі (SOP)

1. Бастама: ревизия карточкасы (scope, мақсаттар, өлшемдер, мерзім, иелері).
2. Деректерді жинау: авто-түсіру/дашбордтар, evidence витринасы, іріктемелер.
3. Тексерулер мен тестілер: бақылау тізімі, pass/fail, severity ауытқулары.
4. САРА/ремедиация: иелері және мерзімі бар гап-парақ, өтеу шаралары.
5. Апрув және бекіту: шешім хаттамасы, хеш-түбіртектер, WORM-мұрағат.
6. Коммуникация: ITSM/GRC-дегі one-pager + тапсырмалар; SLA бойынша эскалация.
7. Ретроспектива: сабақтар, стандарттар/үлгілерді жаңарту.

6) Бақылау тізімдерінің үлгілері

6. 1 Саясат/рәсімдер

  • Нормативтік сілтемелер мен терминдердің өзектілігі
  • control statements
  • SOP/стандарттар және CCM ережелерімен байланыс
  • Локализациялар/аддендумдар үндестірілген
  • Changelog және нұсқа, апрув комитеті

6. 2 IAM re-cert

  • Белсенді құқықтар мен иеленушілердің толық тізімі
  • SoD-қақтығыстар, orphan-аккаунттар, JIT-ерекшеліктер
  • Құқықтарды кері қайтарып алу/төмендету дәлелдемелері
  • Вендорлық қатынас және SSO федерациялары
  • Қайта аттестаттау және мерзімі өткен өлшемдер хаттамасы

6. 3 VRM

  • SOC/ISO/PCI өзекті есептері, scope және ерекшеліктер
  • Кезең үшін SLA/инциденттер/кредиттер
  • Субпроцессорлар және деректердің орналасуы - дрейфсіз
  • Gap-парақ және ремедиация мәртебесі
  • Exit-жоспар және айна ретенциясын растау

6. 4 Ретенция/Legal Hold

  • TTL-бұзушылықтар = 0 сыни
  • Өшіру бойынша есептер + хеш-мәліметтер
  • Белсенді Legal Hold - себептер, күндер, иелері
  • Провайдерлердегі айна ретенциясы
  • DSAR логикасы бұзылмаған

6. 5 DR/BCP

  • RTO/RPO тесті және іріктемені қалпына келтіру
  • Коммуникациялық ойнатқыштар және on-call
  • Жаттығулар мен CAPA нәтижелері
  • Вендорлар қатысты/дайындығын растады
  • Құжатталған post-mortem

7) Тексеру портфелінің метрикасы мен SLO

On-time Review Rate: мерзімінде аяқталған тексерулер% (мақсаты ≥ 95%).
Evidence Readiness: артефактілердің толық жиынтығымен тексерулер% (мақсаты 100%).
CAPA On-time: SLA бойынша жабық ремедиация% (severity бойынша).
Repeat Findings: 12 ай ішінде қайталанған ескертулердің үлесі (тренд ↓).
Access Hygiene: re-cert кейін ескірген құқықтардың үлесі (нысаналы ≤ 2%).
Vendor Certificate Freshness: сыни провайдерлердегі өзекті сертификаттар% (мақсат 100%).
Audit-Ready Time: ревизиядан кейін «audit pack» жинау уақыты (8 сағаттан ≤).

8) Дашбордтар (ең аз жиынтық)

Calendar View: SLA/мерзімі өткен кварталдар бойынша тексеру картасы.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings & CAPA: ашық/мерзімі өткен, иелері, severity.
IAM Hygiene: orphan/SoD/JIT-ерекшеліктер, трендтер.
VRM Heatmap: провайдерлер тәуекелін, сертификаттар, инциденттер.
Retention & Hold: TTL-бұзушылықтар, жою көлемдері, белсенді hold.
Audit Readiness: completeness «түймешігі бойынша», хеш-пакеттердің зәкірлері.

9) Артефактілер және сақтау

Тексеру хаттамасы (agenda, қорытындылар, шешімдер, owner/due).
Тексерулер/іріктеулер тізімі және олардың нәтижелері (pass/fail).
Gap-парақ және CAPA сәттілік күндері мен өлшемдерімен.
Түсірулер мен есептердің хеш-түбіртектері; WORM/Object Lock.
Саясаттың/процедуралардың жаңартылған нұсқалары және бақылауға арналған мэппинг.

10) Ерекшеліктерді басқару (waivers)

Егер түзету мерзімінде мүмкін болмаса, әрбір анықталған gap-ке ресімделеді.
Өтем шараларының себебін, аяқталу күнін, иесі/жоспарын қамтиды.
Дашбордта көрінеді; авто-эскалация аяқталуына 14/7/1 күн қалғанда.

11) Интеграция

CCM/Compliance-as-Code: бақылау тестінің ережелері тексеру кезінде автоматты түрде іске қосылады.
GRC: ревизиялар тізілімі, findings, CAPA, waivers, SLA және есептілік.
Evidence Storage: хеш-фиксациясы бар барлық материалдарды автоматты түрде мұрағаттау.
ITSM: жүйе иелеріне тапсырмалар мен эскалациялар.
VRM: провайдерлер/сертификаттар мәртебесін тарту.
LMS: тексеру қорытындылары бойынша Major-өзгерістер кезіндегі курстар/аттестаттау.

12) Антипаттерндер

CAPA және иелері жоқ «белгі үшін» тексерулер.
Күнтізбе мен болжамдылықтың жоқтығы → кешіктіру және өрт режимі.
Хеш-түбіртектерсіз және WORM → дәлелдемелердің даулылығы.
Scope араластыру (саясаттар талаптарды өзгертеді, бірақ SOP/бақылаулар жаңартылмайды).
«Мәңгілік» waivers мерзімі өткен және өтемақысыз.
Тәуекел-тәбетпен/комитетпен байланысы жоқ - шешімдер масштабталмайды.

13) Жетілу моделі (M0-M4)

M0 Ad-hoc: тұрақты емес тексерулер, Excel-дегі есептер, owners.
M1 Жоспарлы: күнтізбе және базалық чек-парақтар, артефактілерді сақтау.
M2 Басқарылатын: GRC-тізілім, дашбордтар, SLA/эскалация, WORM-мұрағат.
M3 Интеграцияланған: ССМ/аскод, auto-evidence, dry-run түймешігі бойынша аудит.
M4 Continuous Assurance: болжамды KRI, авто-қайта жоспарлау, «тәуекелдер → тексерулер → CAPA».

14) Байланысты wiki баптары

KPI және комплаенс өлшемдері

Тәуекелге бағдарланған аудит (RBA)

Үздіксіз сәйкестік мониторингі (CCM)

Дәлелдемелер мен құжаттаманы сақтау

Журналдар мен Audit Trail жүргізу

Комплаенс саясатындағы өзгерістерді басқару

Due Diligence және аутсорсинг тәуекелдері

Тәуекелдерді басқару және комплаенс комитеті

Жиынтығы

Мерзімді шолулар мен ревизиялар комплаенсті «проблемаларға реакциядан» жақсартулардың мөлдір конвейеріне айналдырады: белгіленген күнтізбе, автоматтандырылған тексерулер, сапалы артефактілер, уақтылы CAPA және кез келген аудитке болжамды дайындық.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.