Назорати дохилӣ ва аудит

1) Мақсад ва минтақа

Ҳадаф: таъмини бехатарӣ ва қонунии ноил шудан ба ҳадафҳои тиҷорат, коҳиш додани хатарҳои амалиётӣ, молиявӣ, мувофиқат ва обрӯ.

Фарогирӣ: назорати раванд ва IT дар ҳама соҳаҳо: пардохтҳо/кассутҳо, KYC/AML/таҳримҳо, зидди қаллобӣ, RG, содироти маркетинг/маълумот, Dev

2) Принсипҳо ва модели муҳофизат

Се хатти мудофиа: 1) соҳибони равандҳо (амалиёт/маҳсулот), 2) хавф/мувофиқат/амният (методология, мониторинг), 3) аудити мустақили дохилӣ.
Ба хавф асос ёфтааст: назорат мувофиқи афзалияти хатари боқимонда сохта мешавад.
Далелҳо асоснок: Ҳар як назорат дорои меъёрҳои ченшаванда, манбаъҳои маълумот ва артефактҳои тасдиқшаванда мебошад.
Худкор аввал: агар имкон бошад - ба ҷои дастур идоракунии автоматӣ ва доимӣ (CCM).

3) Харитаи хатар → ҳадафҳо → назорат

1. Феҳристи хавфҳо: муайян кардани сабабҳо/рӯйдодҳо/оқибатҳо (молия, бозингарон, литсензияҳо).
2. Ҳадафҳои назорат: чӣ бояд пешгирӣ/ошкор/ислоҳ карда шавад (масалан, "гирифтани ғайриқонунии маблағ", "дастрасии беиҷозат ба PII").
3. Фаъолиятҳои назоратӣ: интихоби сиёсатҳо/тартибот/автоматикаи мушаххас барои ноил шудан ба ҳадаф.

• Пешгирикунанда: RBAC/ABAC, So
• Детектив: SIEM/огоҳиҳо, мусолиҳа, панелҳои SLA/SLO, гузоришҳои аудит (WORM), назорати аномалия.
• Ислоҳ: қулфҳои худкор, релизҳо, гардиши калидҳо, таҳлили дастӣ ва бозгашт.
• Ҷуброн: агар назорати асосӣ ғайриимкон бошад - пурзӯр намудани тадбирҳо (мониторинги иловагӣ, тафтиши дугона).

4) Китобхонаи назоратӣ

• ID/Ном, объективӣ, хатар, намуд, басомад, соҳиби назорат, иҷрокунанда, усули иҷро (дастӣ/худкор/роҳнамо), манбаъҳои далелҳо, KPI/KRI, иртибот бо сиёсат/тартибот, системаҳои вобастагӣ.
• Давлатҳо: Лоиҳаи → Active → Назоратшаванда → Нафақа. Версия ва тағир додани журнал.

• 'CTRL-PAY-004' - 4 чашм пардохтҳоро тасдиқ мекунад> X (пешгирикунанда, ҳамарӯза, Соҳиби: Сардори пардохтҳо, Далелҳо: аризаҳо/гузоришҳо, KPI: 100% фарогирӣ).
• 'CTRL-DWH-012' - Маскани PII дар мағозаҳо (пешгирикунанда, доимӣ, Соҳиб: Сардори маълумот, Далелҳо: дархостҳои санҷиш, KPI: ≥ 95% ниқоб мехонад).
• 'CTRL-SEC-021' - ВКХ барои консолҳои маъмурӣ (пешгирикунанда); Далелҳо: Ҳисоботҳои IDP; KPI: қабули 100%).

5) RACI ва соҳибон

6) Банақшагирии санҷишҳо ва санҷишҳо

Нақшаи солона ба хавф нигаронида шудааст (хавфи боқимонда, талаботи танзим, ҳодисаҳо, системаҳои нав).

• Самаранокии тарроҳӣ (DE): оё назорат барои коҳиш додани хатар дуруст тарҳрезӣ шудааст.
• Самаранокии корӣ (OE) - Новобаста аз он ки он устувор ва дар басомади додашуда кор мекунад.
• Аудити мавзӯӣ/равандҳо: тасдиқи домени ниҳоӣ (масалан, KYC/AML ё Cassouts).
• Пайгирӣ/Санҷиш - тасдиқи бастани CAPA.

Равиш: Walkthrough (пайгирӣ), мусоҳиба, баррасии артефакт/журнал, таҳлил, иҷро (такрор).

7) Далелҳо ва намунаҳо

Намудҳои далелҳо: боркунии журнал (имзо/ҳаш), гузоришҳои IDP/SSO, гузоришҳои чиптаҳо ва тасдиқҳо, конфигуратсияҳо, скриншотҳо бо мӯҳлатҳо, xls/csv аз мағозаҳо, сабтҳои ҷаласаҳои PAM.
Беайбӣ: нусхаҳои WORM, занҷирҳои ҳаш/имзоҳо, ки 'ts _ utc' -ро нишон медиҳанд.
Интихоб: оморӣ/доварӣ; андоза аз басомади назорат ва сатҳи эътимод вобаста аст.
Меъёрҳо: гузариш/нокомӣ; ҳадди ниҳоии минималӣ барои амалиёти дастӣ иҷозат дода мешавад.

8) Арзёбӣ ва таснифи номутобиқатӣ

Баҳодиҳӣ: Критикӣ/Баланд/Миёна/Паст.
Меъёрҳо: таъсир (пул/PII/литсензияҳо), эҳтимолият, давомнокӣ, такрорӣ, назорати ҷуброн.
Ҳисобот: корт (хатар, тавсиф, мисолҳо, сабаби решавӣ, таъсир, амалҳои зарурӣ, вақт, соҳиб), ҳолати пайгирӣ.

9) Идоракунии CAPA ва тағирот

Амалҳои ислоҳӣ ва пешгирикунанда: бартараф кардани сабаби реша, на танҳо аломатҳо.
Андозагирии S.M.A.R.T.- ': мушаххас, ченшаванда, сана; масъулият ва марҳилаҳо.
Шӯрои машваратии тағирот: Тағироти дорои хавфи баланд CAB мегузаранд; таҷдиди сиёсат/тартибот/нақшҳо.
Тафтиши фаъолият: аудити такрорӣ пас аз N ҳафта/моҳ.

10) Мониторинги доимӣ (CCM) ва таҳлил

Номзадҳои CCM: назорати басомади баланд ва ба расмият даровардашуда - низоъҳои SO, масъалаҳои JIT, содироти ғайримуқаррарӣ, фарогирии ВКХ, маҳдудиятҳои пардохт, таҳримот.
Воситаҳо: қоидаҳои SIEM/UEBA, панелҳои маълумот/BI, валидаторҳои ноҳиявӣ/ниқоб, санҷишҳои дастрасӣ (policy-as-code).
Сигналҳо/огоҳиҳо: ҳадди/рафтор; Чиптаҳои SOAR; блокҳои худкор барои тамоюлҳои интиқодӣ.
Афзалиятҳо: суръати ошкоркунӣ, кам кардани сарбории дастӣ, исботи беҳтар.

11) Метрҳо (KPI/KRI)

• Фарогирӣ бо назорати равандҳои интиқодӣ ≥ 95%
• Иҷрои саривақтии назорати дастӣ ≥ 98%
• CAPA сари вақт баста шуд (High/Critical) ≥ 95%
• Ҳиссаи идоракунии автоматии ВМ

• Ихтилоли СО = 0
• Дастрасии PII бе 'мақсад' = 0
• Дар бораи ихроҷ/ҳодисаҳо ≤ 72 соат - 100% огоҳ карда шудааст
• Сатҳи нокомии назорати амалиётӣ <2% (тамоюл коҳиш меёбад)

12) Басомад ва тақвим

Ҳамарӯза/доимӣ: CCM, сигналҳои зидди қаллобӣ, маҳдудиятҳои пардохт, ниқоб.
Ҳафта: муқоисаи пардохтҳо/регистрҳо, назорати содирот, таҳлили ҳушдор.
Ҳармоҳа: Ҳисоботи ВКХ/SSO, феҳристи дастрасӣ, мониторинги фурӯшандагон, тамоюлҳои KRI.
Ҳар семоҳа: сертификатсияи ҳуқуқҳо, баррасиҳои мавзӯӣ, санҷишҳои стресс BCP/DR.
Солона: нақшаи пурраи аудит ва навсозии харитаи хатар.

13) Интегратсия бо сиёсати мавҷуда

RBAC/ABAC/Имтиёзи камтарин, Сиёсати дастрасӣ ва сегментатсия - манбаи назорати пешгирикунанда.
Сиёсати парол ва ВКХ талаботи ҳатмӣ барои маъмурон/амалиёти интиқодӣ мебошанд.
Сабтҳои аудиторӣ/сиёсати сабти ном - назорати детективӣ ва далелҳо.
Шартномаҳои TPRM ва тарафи сеюм - назорати беруна: SLA, DPA/SCC, ҳуқуқи аудит.

14) Рӯйхати санҷишҳо

14. 1 Тарҳи нави назорат

• Хатари объективӣ ва ба он алоқаманд тавсиф карда шудааст
• Намуди муайяншуда (пешгирикунанда/детективӣ/ислоҳӣ)
• Соҳиб/Иҷрокунанда ва басомади таъиншуда
• Манбаъҳои маълумот ва формати далелҳо нишон дода шудаанд
• Ченакҳои сохташуда (KPI/KRI) ва огоҳиҳо
• Истинодҳо ба сиёсат/тартибот
• Нақшаи санҷиши DE/OE муайян карда шуд

14. 2 Аудит

• Меъёрҳои миқёс ва DE/OE мувофиқа карда шуданд
• Рӯйхати артефактҳо ва дастрасии гирифташуда
• Интихоб розӣ шуд ва собит шуд
• Натиҷаҳо ва бозёфтҳо тасниф карда шуданд
• CAPA, мӯҳлатҳо ва соҳибон тасдиқ карда шуданд
• Ҳисобот нашр ва ба ҷонибҳои манфиатдор расонида шуд

14. 3 Мониторинг ва ҳисоботдиҳӣ (ҳармоҳа)

• KPI/KRI барои ҳама назорати интиқодӣ
• Нокомӣ/Тамоюлҳои мусбати бардурӯғ
• CAPA ва вазъи қонунвайронкунӣ
• Пешниҳодҳои автоматизатсия/JMA

15) Хатогиҳои маъмулӣ ва чӣ гуна аз онҳо канорагирӣ кардан

Назорат бидуни ҳадаф/ченак: ба расмият даровардани ҳадаф ва KPI/KRI.
Назорати дастӣ бидуни далел: стандартизатсияи шаклҳо/скриптҳо ва нигаҳдории артефактҳо дар WORM.
Хуруҷи истисноҳо: феҳристи истисноҳо бо мӯҳлати муқарраршуда ва чораҳои ҷубронӣ.
"Дар рӯи коғаз" кор мекунад - дар асл на: санҷишҳои мунтазами OE ва CCM.
Кушодани CAPA: шиддатёбии худкор ва мақоми кумитаи хавфҳои ҳармоҳа.

16) Харитаи роҳсозӣ

Ҳафтаҳои 1-2: харитаи хатарро навсозӣ кунед, феҳристи назоратро тартиб диҳед, соҳибонро таъин кунед, қолабҳои далелҳоро тасдиқ кунед.
Ҳафтаҳои 3-4: мониторинги KPI/KRI-ро оғоз кунед, 5-10 назоратро барои автоматизатсия (CCM) интихоб кунед, нақшаи солонаи аудитро тасдиқ кунед.
Моҳи 2: 1-2 аудити мавзӯӣ (хатари баланд) гузаронед, огоҳиҳои SOAR-ро иҷро кунед, ҳисоботи шӯроҳоро таъсис диҳед.
Моҳи 3 +: CCM-ро васеъ кунед, баррасиҳои семоҳаро гузаронед, назорати дастиро кам кунед, фарогирии DE/OE ва сатҳи пӯшидани CAPA-ро зиёд кунед.

TL; ДР

Назорати самарабахши дохилӣ = корти хавф → ҳадафҳо → фаъолиятҳои возеҳ бо соҳиб ва далелҳо, инчунин санҷишҳои мунтазами DE/OE, CAPA ва CCM. Ин имкон медиҳад, ки идоракунии хавфҳо андозагирӣ карда шавад, аудит пешгӯишаванда ва мувофиқат имконпазир бошад.