Ішкі бақылау және олардың аудиті

1) Мақсаты және саласы

Мақсаты: операциялық, қаржылық, комплаенс және бедел тәуекелдерін төмендете отырып, бизнес-мақсаттарға қауіпсіз және заңды қол жеткізуді қамтамасыз ету.
Қамту: барлық домендердегі процестік және АТ-бақылау: төлемдер/кассауттар, KYC/AML/санкциялар, антифрод, RG, маркетинг/деректер экспорты, DevOps/SRE, DWH/BI, құпиялылық/GDPR, TPRM.

2) Қорғау принциптері мен моделі

Қорғаудың үш желісі: 1) процестердің иелері (операциялар/өнім); 2) тәуекел/комплаенс/қауіпсіздік (әдіснама, мониторинг); 3) тәуелсіз ішкі аудит.
Risk-based: бақылаулар қалдық тәуекелдің басымдығы бойынша құрылады.
Evidence-driven: әрбір бақылаудың өлшенетін өлшемдері, деректер көздері және дәлелдеу артефактілері бар.
Automate-first: мүмкіндігінше - қол орнына автоматты және үздіксіз бақылау (CCM).

3) Тәуекелдер картасы → мақсаттар → бақылау

1. Тәуекел-тізілім: себептерін/оқиғаларын/салдарын (қаржы, ойыншылар, лицензиялар) сәйкестендіру.
2. Бақылау мақсаттары: не болдырмау/табу/түзету қажет (мысалы, «қаражатты заңсыз шығару», «PII-ге рұқсатсыз қол жеткізу»).
3. Бақылау белсенділігі: мақсатқа жету үшін нақты саясатты/рәсімдерді/автоматтарды таңдау.

• Алдын алу: RBAC/ABAC, SoD (4-eyes), лимиттер және скоринг, деректер валидациясы, WebAuthn, mTLS.
• Детективтік: SIEM/алерттар, reconciliations, SLA/SLO дашбордтары, аудит-логи (WORM), аномалияларды бақылау.
• Түзетуші: авто-бұғаттау, релиздерді қайтару, кілттерді ротациялау, қолмен талдау және қайтару.
• Өтемдік: егер негізгі бақылау мүмкін болмаса - күшейту шаралары (қосымша мониторинг, қосарланған салыстыру).

4) Бақылау каталогы (Control Library)

• ID/Атауы, мақсаты (objective), тәуекел, түрі, жиілігі, иесі (control owner), орындаушы, орындау әдісі (қол/авто/гуид), дәлелдеу көздері, KPI/KRI, саясаттармен/рәсімдермен байланыс, тәуелді жүйелер.
• Күйі: Draft → Active → Monitored → Retired. Нұсқалау және өзгерістер журналы.

• 'CTRL-PAY-004' - төлемдерге 4-eyes approve> X (алдын ала, күнделікті, Owner: Head of Payments, Evidence: өтінімдер/логтар, KPI: 100% жабу).
• 'CTRL-DWH-012' - витриналарда PII бүркемелеу (превентивті, тұрақты, Owner: Head of Data, Evidence: тест-сұраулар, KPI: ≥ 95% masked reads).
• 'CTRL-SEC-021' - әкімшілік-консольдерге арналған MFA (превентивті; Evidence: IdP есептері; KPI: 100% adoption).

5) RACI және иелері

6) Аудиттер мен тестілерді жоспарлау

Жыл сайынғы жоспар тәуекелге бағдарланған түрде қалыптастырылады (жоғары қалдық тәуекел, реттеушілік талаптар, инциденттер, жаңа жүйелер).

• Design Effectiveness (DE): тәуекелді төмендету үшін бақылау дұрыс жобаланған ба.
• Operating Effectiveness (OE): тұрақты және берілген жиілікте жұмыс істей ме.
• Thematic/Process Audit: доменді толассыз тексеру (мысалы, KYC/AML немесе кассауттар).
• Follow-up/Verification: CAPA жабылғанын растау.

Тәсіл: Walkthrough (трассалау), сұхбат, артефакттарды/логтарды жаңарту, талдау, реперформанс (қайталау).

7) Дәлелдемелер мен іріктемелер

evidence түрлері: логтарды түсіру (қолы/хэш), IdP/SSO есептері, тикеттер мен мақұлдау журналдары, конфигалар, таймштамдары бар скриншоттар, витриналардан xls/csv, PAM сессияларының жазбалары.
Тұтастығы: WORM көшірмелері, хэш тізбектері/қолтаңбалары, 'ts _ utc' нұсқауы.
Іріктеме: статистикалық/ойластырылған; өлшем бақылау жиілігіне және сенімділік деңгейіне байланысты.
Өлшемдер: pass/fail; қол операциялары үшін de minimis табалдырықтары рұқсат етіледі.

8) Сәйкессіздіктерді бағалау және жіктеу

Градациялары: Critical/High/Medium/Low.
Өлшемдер: әсері (ақша/PII/лицензия), ықтималдығы, ұзақтығы, қайталануы, орнын толтыратын бақылаулар.
Есептілік: табылған зат карточкасы (тәуекел, сипаттама, мысалдар, бастапқы себеп, әсер, талап етілетін іс-әрекеттер, мерзімдер, иесі), трекинг мәртебесі.

9) CAPA және өзгерістерді басқару

Corrective and Preventive Actions: тек симптомдарды ғана емес, негізгі себептерді (root cause) жою.
S.M.A.R.T. - шаралар: нақты, өлшенетін, күні көрсетілген; жауапкершілік және бақылау нүктелері.
Change Advisory Board: жоғары тәуекел өзгерістері CAB-дан өтеді; саясаттарды/рәсімдерді/рөлдерді жаңарту.
Тиімділікті верификациялау: N апта/айдан кейін қайта аудит.

10) Үздіксіз мониторинг (CCM) және талдау

CCM кандидаттары: жоғары жиілікті және формальды бақылаулар - SoD-қақтығыстар, JIT-шығарылымдар, аномалды экспорттар, MFA-coverage, төлем лимиттері, санкциялар.
Құралдар: SIEM/UEBA ережелері, Data/BI дашбордтары, схемалар/бүркемелеу валидаторлары, қолжетімділік тестілері (policy-as-code).
Сигналдар/алерталар: шекті/мінез-құлық; SOAR тикеттері; күрделі ауытқулар кезіндегі авто-блоктар.
Артықшылықтары: анықтау жылдамдығы, қол жүктемесін азайту, ең жақсы дәлелдеу.

11) Өлшемдер (KPI/KRI)

• Күрделі процестерді бақылаумен Coverage ≥ 95%
• On-time execution қолмен бақылау ≥ 98%
• CAPA closed мерзімінде (High/Critical) ≥ 95%
• Автоматтандырылған бақылаулардың үлесі ↑ MoM

• SoD = 0 бұзушылықтары
• 'purpose' = 0
• Жылыстау/тосын оқиғалар 72 сағат - 100% ≤ хабарланды
• Операциялық бақылаулардың Fail-rate <2% (тренд төмендейді)

12) Жиілік және күнтізбе

Күн сайын/үздіксіз: CCM, антифрод-сигналдар, төлем лимиттері, бүркемелеу.
Апта сайын: төлемдерді/тізілімдерді салыстыру, экспортты бақылау, тәуекелдерді талдау.
Ай сайын: MFA/SSO есептері, кіру тізілімі, вендор-мониторинг, KRI трендтері.
Тоқсан сайын: құқықтарды қайта сертификаттау, тақырыптық шолулар, BCP/DR стресс-тестілері.
Жыл сайын: аудиттердің толық жоспары және тәуекелдер картасын жаңарту.

13) Қолданыстағы саясатпен интеграциялау

RBAC/ABAC/Least Privilege Қол жеткізу саясаты және сегменттеу - алдын ала бақылау көзі.
Парольдік саясат және MFA - әкімшілік/сындарлы операциялар үшін міндетті талаптар.
Аудиторлық журналдар/логтар саясаты - детективтік және дәлелдемелік бақылаулар.
TPRM және үшінші тараптардың келісімшарттары - сыртқы бақылаулар: SLA, DPA/SCCs, аудит құқықтары.

14) Чек парақтары

14. 1 Жаңа бақылау дизайны

• Мақсат және байланысты тәуекел сипатталған
• Анықталған түрі (алдын алу/детективтік/түзету)
• Иесі/орындаушысы және жиілігі тағайындалды
• Деректер көздері және evidence пішімі берілген
• Кіріктірілген метриктер (KPI/KRI) және алаңдар
• Саясаттармен/рәсімдермен байланыстар жазылған
• DE/OE тестілеу жоспары анықталды

14. 2 Аудит жүргізу

• Scope және DE/OE критерийлері келісілген
• Артефактілер мен қол жетімділіктер тізімі алынды
• Таңдау келісілген және тіркелген
• Нәтижелері мен табыстары жіктелген
• CAPA, мерзімдері мен иелері бекітілген
• Есеп шығарылды және стейкхолдерлерге жеткізілді

14. 3 Мониторинг және есептілік (ай сайын)

• KPI/KRI барлық сыни бақылаулар бойынша
• Істен шығу/жалған іске қосылу трендтері
• CAPA және кешіктіру мәртебесі
• Автоматтандыру/ССМ бойынша ұсыныстар

15) Типтік қателер және олардан қашу

Мақсатсыз/метрикасыз бақылау: objective және KPI/KRI формалдандыру.
Дәлелсіз қолмен бақылау: пішіндерді/сценарийлерді стандарттау және артефактілерді WORM-де сақтау.
Ерекшеліктердің өсуі: мерзімі өткен және өтемдік шаралары бар ерекшеліктер тізілімі.
«Қағазда» жұмыс істейді - шындығында жоқ: тұрақты OE-тесттер мен CCM.
Жабылмаған CAPA: автоматты эскалация және ай сайынғы тәуекелдер жөніндегі комитетте мәртебе.

16) Енгізу жол картасы

1-2 апта: тәуекелдер картасын жаңарту, бақылау каталогын жасау, иелерін тағайындау, evidence үлгілерін бекіту.
3-4 апта: KPI/KRI мониторингін іске қосу, автоматтандыру үшін 5-10 бақылау (CCM) таңдау, жылдық аудит жоспарын бекіту.
2-ай: 1-2 тақырыптық аудит (жоғары тәуекел) жүргізу, SOAR-алерттерді енгізу, борд есептілігін жолға қою.
3 + айы: CCM кеңейту, тоқсандық шолулар жүргізу, қолмен бақылауды қысқарту, DE/OE жабындысының үлесін және CAPA жабу жылдамдығын арттыру.

TL; DR

Тиімді ішкі бақылау = тәуекел картасы → мақсаттар → иесі мен дәлелдемелері бар нақты белсенділік, оған қоса тұрақты DE/OE тестілері, CAPA және CCM-автоматтандыру. Бұл тәуекелдерді басқаруды өлшеуге, аудитті болжауға, ал сәйкестікті дәлелдеуге мүмкіндік береді.