Кросс-департаментные проверки

1) Что такое кросс-департаментные проверки

Кросс-департаментная проверка — это совместная верификация процессов и контролей, проходящих через несколько функций (например, Product → Engineering → SecOps → Legal/DPO → Payments → Support → Marketing). Цель — подтвердить, что сквозной сценарий выполняется корректно, требования политик соблюдены, а доказательства audit-ready.

• обнаружение «стыковых» рисков и SoD-конфликтов;
• единая трактовка требований и устранение «серых зон» ответственности;
• ускорение CAPA и предотвращение повторов.

2) Когда запускать (триггеры)

Новые/измененные регуляторные требования или юрисдикции.
Существенные релизы/миграции (архитектура, платежи, данные).
Инциденты (ИБ/приватность/платежи) и пост-мортемы.
Подготовка к внешнему аудиту/сертификации.
Регулярный календарь (квартал/полугодие) по high-risk доменам.

3) Сценарии (end-to-end) — что проверять

• Приватность/DSAR: запрос субъекта → экспорт/удаление → уведомление → журналирование.
• Управление доступами: запрос права → апрув → провижининг → журнал админ-действий → re-cert.
• Платежный возврат/chargeback: триггер → сбор доказательств → ответ провайдеру → CAPA по фроду.
• Рекламная кампания: согласование материалов → таргетинг → трекинг отказов/согласий → архив доказательств.
• Инцидент безопасности: детекция → изоляция → Legal Hold → уведомления → пост-мортем → CAPA.
• Ретенция/удаление данных: запуск TTL → подтверждение уничтожения у субпроцессоров → отчетность.

4) Роли и RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Методология: как проводить

Walkthrough: демонстрация сквозного кейса «от политики до логов».
ToD (Test of Design): проверка наличия и качества контрольных утверждений, ролей, процедур, метрик.
ToE (Test of Operating Effectiveness): проверка стабильности контроля в периоде (выборка за 30–90 дней).
Reperform: независимое повторение операции (например, DSAR-экспорт, отзыв доступа, аппов платежа).
Negative testing: попытки обойти контроль (SoD, лимиты, секрет-скан).

6) Выборки и стратификация

Risk-based: больше n для критичных юрисдикций/ролей/платежных методов.
Стратификация: по регионам, типам клиентов, каналам (web/app), времени суток/нагрузке.
Комбинации: случайные + целевые (границы порогов, edge-кейсы).

• Critical: n ≥ 25 на домен + реперформ ключевых шагов.
• High: n ≥ 15; Medium: n ≥ 8; Low: n ≥ 5.

7) Управление зависимостями и SoD

Матрица зависимостей: сервисы, вендоры, ключи, данные, роли.
Правило разделения обязанностей (SoD): запрет совмещения апрува и исполнения критичных действий в одном лице.
Change freeze на время тестов по критичным контурам либо четкое версионирование.

8) Доказательства и неизменяемость

Все артефакты (выгрузки, конфиги, скринкасты, отчеты) сохраняются в WORM/Object Lock с хеш-квитанциями.
Chain of Custody: кто/когда/зачем собрал/прочитал evidence.
Тайм-синхронизация и идентификаторы трассировки (trace_id, request_id).
Привязка каждого шага к Control Statement и метрике.

9) Интеграция с CAPA и re-audit

Для каждого finding — CAPA (Corrective/Preventive, сроки, owner, компенсирующие меры).
Обязательный re-audit через 30–90 дней по критичным кейсам.
Обновление policy-/assurance-as-code: правила CCM, гейты CI/CD, пороги метрик.

10) Метрики и KRI

Coverage Rate: % ключевых сквозных сценариев, проверенных в квартал.
First-Pass Close: доля проверок без критичных findings.
On-time CAPA: % выполнения мер в срок (по severity).
Repeat Findings (12 мес): тренд повторов по доменам/юрисдикциям.
Controls Pass Rate: доля «зеленых» правил CCM, связанных со сценарием.
Evidence Completeness: полнота пакетов (цель 100% для Critical/High).
SoD Violations: выявленные/устраненные конфликты обязанностей.
Vendor Mirror SLA: подтверждения зеркальных мер у критичных провайдеров.

11) Дашборды (минимум)

Scenario Pipeline: Planned → In Progress → Findings → CAPA → Re-audit.
Cross-Domain Heatmap: риски/находки по функциям (IAM, Privacy, Payments, Marketing, Support).
Dependency Map: узлы/вендоры/контролы, «красные» зоны.
Evidence Readiness: наличие WORM/хешей/скринкастов по кейсам.
CAPA & Drift: статусы мер, наблюдение за дрейфом 30–90 дней.

12) SOP (стандартные процедуры)

SOP-1: Планирование

Определить high-risk темы → выбрать 2–4 сквозных сценария на квартал → назначить владельцев → согласовать календарь и freeze-окна.

SOP-2: Проведение

Kick-off → walkthrough → ToD/ToE → reperform → negative testing → сбор evidence → ежедневные sync-апдейты.

SOP-3: Отчет и решения

Структура «критерий → факт → влияние → рекомендация» → Комитет (Close/Extend/Escalate) → публикация отчета и метрик.

SOP-4: CAPA и контроль исполнения

Завести CAPA в GRC → компенсирующие меры (если нужно) → сроки и RACI → дашборд исполнения.

SOP-5: Re-audit и наблюдение

Через 30–90 дней — повторная выборка и sanity-check → обновление правил CCM/политик → закрытие цикла.

13) Шаблоны артефактов

13.1 План проверки (one-pager)

Сценарий, цели, юрисдикции

Контроли/политики в области проверки

Выборки и методики

Риски/зависимости/SoD

Таймлайн, роли, каналы коммуникации

13.2 Карточка finding

Критерий (policy/control) → Факт → Влияние → Рекомендация

Severity, остаточный риск

Доказательства (ссылки/хеши)

CAPA: меры, owner, due, KPI, компенсирующие контроли

13.3 Evidence pack (оглавление)

1. Политики/стандарты/SOP (версии, диффы)

2. Выборки логов/конфигов (CSV/JSON, хеш-квитанции)

3. Скринкасты/скриншоты с таймштампами

4. Отчеты CCM/метрик и тестов

5. Итоговый отчет и решения Комитета

14) Коммуникации и культура

Единый канал (портал/GRC) с нумерацией запросов и SLA на ответы.
«One voice» на внешних сессиях/аудитах, скрипты сложных вопросов.
Без обвинений: фокус на процессах и предотвращении повторов.
Шеринг лучших практик и паттернов, внутренняя библиотека кейсов.

15) Антипаттерны

Проверка «внутри департамента» без сквозной трассировки.
«Бумажные» доказательства без логов/хешей/WORM.
Нет привязки к control statements/метрикам (неизмеримость).
Игнорирование SoD и зависимости от одного человека.
CAPA без Preventive/компенсирующих мер, без re-audit.
Разовые проверки без календаря и приоритизации по риску.

16) Модель зрелости (M0–M4)

M0 Ad-hoc: эпизодические проверки, нет методики/метрик.
M1 Плановый: квартальный календарь, базовые шаблоны и роли.
M2 Управляемый: risk-based выборки, WORM-evidence, дашборды, CAPA-линковка.
M3 Интегрированный: policy-/assurance-as-code, CI/CD-гейты, автоматические отчеты.
M4 Continuous Assurance: предиктивные KRI, рекомендационные сценарии, непрерывные sanity-checks и мониторинг дрейфа.

17) Связанные статьи wiki

Повторные аудиты и контроль исполнения

Планы устранения нарушений (CAPA)

Непрерывный мониторинг соответствия (CCM)

Репозиторий политик и нормативов

Отслеживание юридических обновлений / Алерты регуляторных изменений

Ведение журналов и Audit Trail

Внешние проверки сторонними аудиторами

Руководство по комплаенсу для партнеров

Итог

Кросс-департаментные проверки превращают «стыки» между функциями из зоны риска в зону контроля: сквозные сценарии, измеримые контроли, неизменяемые доказательства и замкнутый цикл CAPA → re-audit. Такой подход делает соответствие предсказуемым, ускоряет внешние аудиты и снижает вероятность повторных нарушений.