Кросс-департаменттік тексерулер

1) Кросс-департаменттік тексерулер дегеніміз не?

Кросс-департаменттік тексеру - бұл бірнеше функциялардан өтетін процестер мен бақылаулардың бірлескен верификациясы (мысалы, Product → Engineering → SecOps → Legal/DPO → Payments → Support → Marketing). Мақсаты - жалғаспалы сценарийдің дұрыс орындалатынын, саясат талаптарының сақталғанын, ал audit-ready дәлелдемелерінің сақталғанын растау.

• «түйіскен» тәуекелдерді және SoD-қақтығыстарды анықтау;
• жауапкершіліктің «сұр аймағы» талаптарын бірыңғай түсіндіру және жою;
• CAPA жеделдету және қайталауды болдырмау.

2) Қашан іске қосу (триггерлер)

Жаңа/өзгертілген реттеуші талаптар немесе юрисдикциялар.
Елеулі релиздер/көші-қон (сәулет, төлемдер, деректер).
Инциденттер (АҚ/құпиялылық/төлемдер) және пост-мортемалар.
Сыртқы аудитке/сертификаттауға дайындық.
high-risk домендері бойынша тұрақты күнтізбе (тоқсан/жартыжылдық).

3) Сценарийлер (end-to-end) - не тексеру керек

• Құпиялылық/DSAR: субъектінің сұрау → экспорт/жою → хабарлама → журналдау.
• Рұқсаттарды басқару: құқықты сұрау → апрув → провижининг → әкімшілік әрекеттер журналы → re-cert.
• Төлем қайтару/chargeback: триггер → дәлелдемелерді жинау → провайдерге жауап → CAPA фрод бойынша.
• Жарнамалық кампания: материалдарды келісу → таргетинг → бас тартулар/келісімдер трекингі → дәлелдемелер мұрағаты.
• Қауіпсіздік оқиғасы: детекция → оқшаулау → Legal Hold → хабарлама → пост-мортем → CAPA.
• Ретенция/деректерді жою: TTL іске қосу → субпроцессорлардың жойылғанын растау → есептілік.

4) Рөлдер және RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Әдіснама: қалай жүргізу керек

Walkthrough: «саясаттан логқа» дейінгі жалғаспалы кейсті көрсету.
ToD (Test of Design): бақылау бекітулерінің, рөлдерінің, рәсімдерінің, метрикаларының болуын және сапасын тексеру.
ToE (Test of Operating Effectiveness): кезеңдегі бақылаудың тұрақтылығын тексеру (30-90 күн ішінде іріктеу).
Reperform: операцияны тәуелсіз қайталау (мысалы, DSAR-экспорт, рұқсатты қайтарып алу, төлем аппараттары).
Negative testing: бақылауды айналып өту әрекеттері (SoD, лимиттер, құпия-скан).

6) Іріктемелер және стратификация

Risk-based: сындарлы юрисдикциялар/рөлдер/төлем әдістері үшін n артық.
Стратификация: өңірлер, клиенттердің түрлері, арналар (web/app), тәулік уақыты/жүктеме бойынша.
Комбинациялар: кездейсоқ + мақсатты (шектердің шектері, edge-кейстер).

• Critical: n ≥ 25 доменге + негізгі қадамдарды реформалау.
• High: n ≥ 15; Medium: n ≥ 8; Low: n ≥ 5.

7) Тәуелділіктерді басқару және SoD

Тәуелділік матрицасы: сервистер, вендорлар, кілттер, деректер, рөлдер.
Міндеттерді бөлу ережесі (SoD): аправды біріктіруге және бір тұлғада сындарлы әрекеттерді орындауға тыйым салу.
Сыни контурлар бойынша тестілеу кезінде Change freeze немесе анық нұсқалау.

8) Дәлелдемелер және өзгермейтіндігі

Барлық артефактілер (түсірулер, конфигалар, скринкастар, есептер) хеш-түбіртектері бар WORM/Object Lock-та сақталады.
Chain of Custody: кім/қашан/неге жинады/оқыды evidence.
Тайм-синхрондау және трассалау сәйкестендіргіштері (trace_id, request_id).
Әр қадамды Control Statement және метрикаға байланыстыру.

9) CAPA және re-audit интеграциясы

Әрбір finding үшін - CAPA (Corrective/Preventive, мерзімдер, owner, өтеу шаралары).
Сыни жағдайлар бойынша 30-90 күннен кейін міндетті re-audit.
policy-/assurance-as-code: CCM ережелері, CI/CD гейттері, метрика шектері.

10) Метрика және KRI

Coverage Rate: тоқсанда тексерілген негізгі аралық сценарийлер%.
First-Pass Close: сыни findings жоқ тексеру үлесі.
On-time CAPA: шаралардың мерзімінде орындалуы% (severity бойынша).
Repeat Findings (12 ай): домендер/юрисдикциялар бойынша қайталау тренді.
Controls Pass Rate: сценариймен байланысты «жасыл» CCM ережелерінің үлесі.
Evidence Completeness: пакеттердің толықтығы (Critical/High үшін 100% мақсаты).
SoD Violations: анықталған/жойылған міндеттердің қайшылықтары.
Vendor Mirror SLA: сыни провайдерлердегі айна шараларын растау.

11) Дашбордтар (минимум)

Scenario Pipeline: Planned → In Progress → Findings → CAPA → Re-audit.
Cross-Domain Heatmap: функциялары бойынша тәуекелдер/олжалар (IAM, Privacy, Payments, Marketing, Support).
Dependency Map: тораптар/вендорлар/бақылаулар, «қызыл» аймақтар.
Evidence Readiness: WORM/хештер/скринкастардың болуы.
CAPA & Drift: шаралар мәртебесі, 30-90 күн дрейфін бақылау.

12) SOP (стандартты рәсімдер)

SOP-1: Жоспарлау

high-risk тақырыбын анықтау → тоқсанға 2-4 тура сценарийді таңдау → иелерін тағайындау → күнтізбе мен freeze-терезелерді келісу.

SOP-2: Өткізу

Kick-off → walkthrough → ToD/ToE → reperform → negative testing → evidence жинау → күнделікті sync-апдейттер.

SOP-3: Есеп және шешімдер

Құрылымы «өлшемшарт → факт → әсер → ұсыным» → Комитет (Close/Extend/Escalate) → есепті және метриканы жариялау.

SOP-4: CAPA және орындалуын бақылау

CAPA-ны GRC → өтеу шараларына қосу (егер қажет болса) → мерзімдер және RACI → орындау дашборды.

SOP-5: Re-audit және бақылау

30-90 күннен кейін - қайта іріктеу және sanity-check → ССМ/саясат ережелерін жаңарту → циклді жабу.

13) Артефактілердің үлгілері

13. 1 Тексеру жоспары (one-pager)

Сценарий, мақсаттар, юрисдикциялар

Тексеру саласындағы бақылау/саясат

Іріктемелер мен әдістемелер

Тәуекелдер/тәуелділік/SoD

Таймлайн, рөлдер, коммуникация арналары

13. 2 finding карточкасы

Критерий (policy/control) → Факт → Әсер → Ұсыныс

Severity, қалдық тәуекел

Дәлелдер (сілтемелер/хэштер)

CAPA: шаралар, owner, due, KPI, компенсациялық бақылау

13. 3 Evidence pack (мазмұны)

1. Саясат/стандарттар/SOP (нұсқалар, диффиндер)

2. Логтардың/конфигурациялардың іріктемелері (CSV/JSON, хеш-түбіртектер)

3. Таймштамдары бар скринкастар/скриншоттар

4. ССМ/метриктер мен тестілердің есептері

5. Қорытынды есеп және Комитеттің шешімдері

14) Коммуникация және мәдениет

Сұраулар мен жауаптарға SLA нөмірленген бірыңғай арна (портал/GRC).
Сыртқы сессияларда/аудиттерде «One voice», күрделі сұрақтар скрипттері.
Айыптаусыз: процестерге және қайталауды болдырмауға назар аудару.
Үздік тәжірибелер мен паттерндердің шерингі, кейстердің ішкі кітапханасы.

15) Антипаттерндер

Трасса өтпей «департамент ішінде» тексеру.
Логсыз/хешсіз/WORM «қағаз» дәлелдемелер.
control statements/метриктер байланысы жоқ (өлшенбеушілік).
SoD және бір адамға тәуелділікті елемеу.
CAPA Preventive/өтемақы шараларынсыз, re-auditсіз.
Күнтiзбесiз және тәуекел бойынша басымдықсыз бiр жолғы тексерулер.

16) Жетілу моделі (M0-M4)

M0 Ad-hoc: дүркін-дүркін тексерулер, әдістеме/метриктер жоқ.
M1 Жоспарлы: тоқсандық күнтізбе, негізгі үлгілер мен рөлдер.
M2 Басқарылатын: risk-based іріктемелер, WORM-evidence, дашбордтар, CAPA-линковка.
M3 Біріктірілген: policy-/assurance-as-code, CI/CD-гейттер, автоматты есептер.
M4 Continuous Assurance: болжамды KRI, ұсынымдық сценарийлер, үздіксіз sanity-checks және дрейф мониторингі.

17) Байланысты wiki баптары

Қайталама аудиттер және орындалуын бақылау

Бұзушылықтарды жою жоспарлары (CAPA)

Үздіксіз сәйкестік мониторингі (CCM)

Саясат пен нормативтердің репозиторийі

Заңды жаңартуларды қадағалау/Реттеуші өзгерістердің тәуекелдері

Журналдар мен Audit Trail жүргізу

Сыртқы аудиторлардың сыртқы тексерулері

Серіктестер үшін комплаенс жөніндегі нұсқаулық

Жиынтығы

Кросс-департаменттік тексерулер функциялар арасындағы «түйіспелерді» тәуекел аймағынан бақылау аймағына айналдырады: өтпелі сценарийлер, өлшенетін бақылаулар, өзгермейтін дәлелдемелер және CAPA → re-audit тұйық циклі. Мұндай тәсіл сәйкестікті болжамды етеді, сыртқы аудитті жеделдетеді және қайталанған бұзушылықтар ықтималдығын төмендетеді.