Крос-департаментні перевірки

1) Що таке крос-департаментні перевірки

Крос-департаментна перевірка - це спільна верифікація процесів і контролів, що проходять через кілька функцій (наприклад, Product → Engineering → SecOps → Legal/DPO → Payments → Support → Marketing). Мета - підтвердити, що наскрізний сценарій виконується коректно, вимоги політик дотримані, а докази audit-ready.

• виявлення «стикових» ризиків і SoD-конфліктів;
• єдине трактування вимог та усунення «сірих зон» відповідальності;
• прискорення CAPA і запобігання повторів.

2) Коли запускати (тригери)

Нові/змінені регуляторні вимоги або юрисдикції.
Суттєві релізи/міграції (архітектура, платежі, дані).
Інциденти (ІБ/приватність/платежі) і пост-мортеми.
Підготовка до зовнішнього аудиту/сертифікації.
Регулярний календар (квартал/півріччя) по high-risk доменам.

3) Сценарії (end-to-end) - що перевіряти

• Приватність/DSAR: запит суб'єкта → експорт/видалення → повідомлення → журналювання.
• Управління доступами: запит права → апрув → провіжінінг → журнал адмін-дій → re-cert.
• Платіжне повернення/chargeback: тригер → збір доказів → відповідь провайдеру → CAPA по фроду.
• Рекламна кампанія: узгодження матеріалів → таргетинг → трекінг відмов/згоди → архів доказів.
• Інцидент безпеки: детекція → ізоляція → Legal Hold → повідомлення → пост-мортем → CAPA.
• Ретенція/видалення даних: запуск TTL → підтвердження знищення у субпроцесорів → звітність.

4) Ролі та RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Методологія: Як проводити

Walkthrough: демонстрація наскрізного кейса «від політики до логів».
ToD (Test of Design): перевірка наявності та якості контрольних тверджень, ролей, процедур, метрик.
ToE (Test of Operating Effectiveness): перевірка стабільності контролю в періоді (вибірка за 30-90 днів).
Reperform: незалежне повторення операції (наприклад, DSAR-експорт, відкликання доступу, апов платежу).
Negative testing: спроби обійти контроль (SoD, ліміти, секрет-скан).

6) Вибірки та стратифікація

Risk-based: більше n для критичних юрисдикцій/ролей/платіжних методів.
Стратифікація: по регіонах, типах клієнтів, каналах (web/app), часу доби/навантаженні.
Комбінації: випадкові + цільові (межі порогів, edge-кейси).

• Critical: n ≥ 25 на домен + реперформ ключових кроків.
• High: n ≥ 15; Medium: n ≥ 8; Low: n ≥ 5.

7) Управління залежностями і SoD

Матриця залежностей: сервіси, вендори, ключі, дані, ролі.
Правило поділу обов'язків (SoD): заборона поєднання апрува і виконання критичних дій в одній особі.
Change freeze на час тестів з критичних контурах або чітке версіонування.

8) Докази і незмінюваність

Всі артефакти (вивантаження, конфіги, скрінкасти, звіти) зберігаються в WORM/Object Lock з хеш-квитанціями.
Chain of Custody: хто/коли/навіщо зібрав/прочитав evidence.
Тайм-синхронізація та ідентифікатори трасування (trace_id, request_id).
Прив'язка кожного кроку до Control Statement і метриці.

9) Інтеграція з CAPA і re-audit

Для кожного finding - CAPA (Corrective/Preventive, терміни, owner, компенсуючі заходи).
Обов'язковий re-audit через 30-90 днів за критичними кейсами.
Оновлення policy-/assurance-as-code: правила CCM, гейти CI/CD, пороги метрик.

10) Метрики і KRI

Coverage Rate: % ключових наскрізних сценаріїв, перевірених в квартал.
First-Pass Close: частка перевірок без критичних findings.
On-time CAPA: % виконання заходів в термін (по severity).
Repeat Findings (12 міс): тренд повторів по доменах/юрисдикціях.
Controls Pass Rate: частка «зелених» правил CCM, пов'язаних зі сценарієм.
Evidence Completeness: повнота пакетів (ціль 100% для Critical/High).
SoD Violations: виявлені/усунені конфлікти обов'язків.
Vendor Mirror SLA: підтвердження дзеркальних заходів у критичних провайдерів.

11) Дашборди (мінімум)

Scenario Pipeline: Planned → In Progress → Findings → CAPA → Re-audit.
Cross-Domain Heatmap: ризики/знахідки за функціями (IAM, Privacy, Payments, Marketing, Support).
Dependency Map: вузли/вендори/контролі, «червоні» зони.
Evidence Readiness: наявність WORM/хешів/скрінкастів за кейсами.
CAPA & Drift: статуси заходів, спостереження за дрейфом 30-90 днів.

12) SOP (стандартні процедури)

SOP-1: Планування

Визначити high-risk теми → вибрати 2-4 наскрізних сценарію на квартал → призначити власників → узгодити календар і freeze-вікна.

SOP-2: Проведення

Kick-off → walkthrough → ToD/ToE → reperform → negative testing → збір evidence → щоденні sync-апдейти.

SOP-3: Звіт та рішення

Структура «критерій → факт → вплив → рекомендація» → Комітет (Close/Extend/Escalate) → публікація звіту і метрик.

SOP-4: CAPA і контроль виконання

Завести CAPA в GRC → компенсуючі заходи (якщо потрібно) → терміни і RACI → дашборд виконання.

SOP-5: Re-audit і спостереження

Через 30-90 днів - повторна вибірка і sanity-check → оновлення правил ССМ/політик → закриття циклу.

13) Шаблони артефактів

13. 1 План перевірки (one-pager)

Сценарій, цілі, юрисдикції

Контролі/політики в області перевірки

Вибірки та методики

Ризики/залежності/SoD

Таймлайн, ролі, канали комунікації

13. 2 Картка finding

Критерій (policy/control) → Факт → Вплив → Рекомендація

Severity, залишковий ризик

Докази (посилання/хеші)

CAPA: заходи, owner, due, KPI, компенсуючі контролі

13. 3 Evidence pack (зміст)

1. Політики/стандарти/SOP (версії, диффи)

2. Вибірки логів/конфігів (CSV/JSON, хеш-квитанції)

3. Скрінкасти/скріншоти з таймштампами

4. Звіти ССМ/метрик і тестів

5. Підсумковий звіт та рішення Комітету

14) Комунікації та культура

Єдиний канал (портал/GRC) з нумерацією запитів і SLA на відповіді.
«One voice» на зовнішніх сесіях/аудитах, скрипти складних питань.
Без звинувачень: фокус на процесах і запобіганні повторів.
Шерінг кращих практик і патернів, внутрішня бібліотека кейсів.

15) Антипатерни

Перевірка «всередині департаменту» без наскрізного трасування.
«Паперові» докази без логів/хешів/WORM.
Немає прив'язки до control statements/метриків (незмірність).
Ігнорування SoD і залежності від однієї людини.
CAPA без Preventive/компенсуючих заходів, без re-audit.
Разові перевірки без календаря і пріоритизації по ризику.

16) Модель зрілості (M0-M4)

M0 Ad-hoc: епізодичні перевірки, немає методики/метрик.
M1 Плановий: квартальний календар, базові шаблони і ролі.
M2 Керований: risk-based вибірки, WORM-evidence, дашборди, CAPA-лінковка.
M3 Інтегрований: policy-/assurance-as-code, CI/CD-гейти, автоматичні звіти.
M4 Continuous Assurance: предиктивні KRI, рекомендаційні сценарії, безперервні sanity-checks і моніторинг дрейфу.

17) Пов'язані статті wiki

Повторні аудити та контроль виконання

Плани усунення порушень (CAPA)

Безперервний моніторинг відповідності (CCM)

Репозиторій політик і нормативів

Відстеження юридичних оновлень/Алерти регуляторних змін

Ведення журналів і Audit Trail

Зовнішні перевірки сторонніми аудиторами

Посібник з комплаєнсу для партнерів

Підсумок

Крос-департаментні перевірки перетворюють «стики» між функціями із зони ризику в зону контролю: наскрізні сценарії, вимірювані контролі, незмінні докази і замкнутий цикл CAPA → re-audit. Такий підхід робить відповідність передбачуваним, прискорює зовнішні аудити і знижує ймовірність повторних порушень.