GH GambleHub

Davriy sharhlar va taftishlar

1) Maqsad va prinsiplar

Davriy sharhlar va taftishlar (Periodic Reviews) - bu siyosatning dolzarbligini, kirishning toʻgʻriligini, nazoratlarning samaradorligini va auditga tayyorligini tasdiqlovchi tartibga solingan tekshiruvlar sikli.

Prinsiplar:
  • Kalendarlik va oldindan aytish mumkin: belgilangan oynalar va muddatlar.
  • Tavakkalchilikka yo’naltirilganlik: tanqidiylik va KRI bo’yicha ustuvorliklar.
  • Automation-first: Avtosborlar va avtoproverkalar.
  • Evidence by design: dalillar avtomatik ravishda shakllantiriladi va oʻzgarmaydi (WORM).
  • One owner: har bir taftishda egasi, SLA va eskalatsiya rejasi mavjud.

2) Davriy sharhlar turlari (portfel)

Taftish turiChastota (minimal)MaqsadDam olish artefaktlari
Siyosat/tartib-taomillarhar yili/Majortalablarni dolzarblashtirishchangelog, apruv protokoli
Kirish taftishi (IAM/IGA)har chorakda (tanqidiy)eng kam imtiyozlar prinsipi, SoDre-cert hisoboti, revoklar ro’yxati
Xatarlar reyestri (RBA-lite)har chorakdatavakkalchilikka tuzatish kiritish/KRIyangilangan Risk Register
Nazorat samaradorligi (CCM)har oydapass rate, dreyf, FPR/TPRnazorat testlari hisoboti
Provayderlar/autsorsing (VRM)har yili/triggerlar bo’yichaSertifikat/SLA/DD maqomivendor sharhi va gap-list
Retensiya va Legal Holdhar chorakdaTTL, olib tashlash/muzlatisholib tashlash bo’yicha hisobot/hold-log
DR/BCP mashqlarihar chorakda/har yiliRTO/RPO va jarayonlarni tekshirishmashqlar va CAPA dalolatnomasi
DSAR/maxfiylikhar oyda/chorakdaSLA, to’liqlik, shikoyatlarDSAR SLA hisoboti/sifat
Audit tayyorligi (dry-run)har chorakda«tugmasi boʻyicha audit pack»evidence paketi + kvitansiya
Litsenziyalar/sertifikatlashtirishregulyator jadvali bo’yichamuddatlar va scopemajburiyatlar kalendari

3) Rollar va RACI

TaftishARCI
Siyosat/tartib-taomillarHead of CompliancePolicy OwnerLegal/DPO, SecOpsInternal Audit
IAM kirishCISO / IAM LeadIGA/OpsTeam LeadsInternal Audit
Tavakkalchiliklar reyestriHead of RiskRisk OfficeCompliance, FinanceExec/Board
Nazorat (CCM)Compliance EngControl OwnersSecOps, DataCommittee
Provayderlar (VRM)Vendor MgmtVRM AnalystLegal, SecurityInternal Audit
Retensiya/Legal HoldDPOData PlatformLegal, SecOpsCommittee
DR/BCPCTO/PlatformResilience LeadOps, VendorsExecutive
DSAR/PrivacyDPOPrivacy OpsData, ProductInternal Audit
Audit dry-runHead of ComplianceGRCOwnersExecutive

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Yillik kalendar (namunasi)

Har oyda: CCM nazorati, DSAR SLA, bulutning dreyfi/shifrlash, waiver-gigiyena bo’yicha hisobotlar.
Har chorakda (Q1/Q2/Q3/Q4): IAM re-cert, Risk Register, DR-mashqlar, Audit dry-run, retensiya/olib tashlash.
Har yili: siyosat/tartib-taomillarni to’liq qayta ko’rib chiqish, tanqidiy provayderlarning VRM-sharhlari, BIA (biznes ta’siri), audit/sertifikatlashtirish rejasi.

5) Har qanday taftish jarayoni (SOP)

1. Tashabbus: taftish kartochkasi (scope, maqsadlar, mezonlar, muddatlar, egalar).
2. Ma’lumotlarni to’plash: avto-tushirish/dashbordlar, evidence vitrini, namunalar.
3. Tekshirish va testlar: nazorat roʻyxati, pass/fail, severity ogʻishlar.
4. SARA/remediatsiya: egalari va muddatlari bo’lgan gap-varaq, kompensatsiya choralari.
5. Apruv va fiksatsiya: qaror protokoli, xesh-kvitansiyalar, WORM-arxiv.
6. Kommunikatsiya: ITSM/GRCdagi one-pager + vazifalar; SLA bo’yicha eskalatsiyalar.
7. Retrospektiv: darslar, standartlar/shablonlarni yangilash.

6) Nazorat ro’yxatlari shablonlari

6. 1 Siyosat/tartib-taomillar

  • Normativ havolalar va atamalarning dolzarbligi
  • Oʻlchanishi control statements
  • SOP/standartlar va CCM qoidalari bilan bog’lanish
  • Lokalizatsiyalar/addendumlar sinxronlashtirilgan
  • Changelog va versiya, Qo’mita approvi

6. 2 IAM re-cert

  • Aktiv huquqlar va egalarining to’liq ro’yxati
  • SoD mojarolari, orphan akkauntlari, JIT istisnolari
  • Huquqlarni chaqirib olish/kamaytirish dalillari
  • Vendor kirishlari va SSO federatsiyalari
  • Qayta attestatsiya va kechikishlar metrikasi bayonnomasi

6. 3 VRM

  • Dolzarb SOC/ISO/PCI hisobotlari, scope va istisnolar
  • Davr uchun SLA/hodisalar/kreditlar
  • Subproessorlar va ma’lumotlar joylashuvi - driftsiz
  • Gap-ro’yxat va remediatsiya maqomi
  • Exit-reja va ko’zgu retensiyasini tasdiqlash

6. 4 Retensiya/Legal Hold

  • TTL buzilishlari = 0 tanqidiy
  • Oʻchirish boʻyicha hisobotlar + xesh-maʼlumot
  • Aktiv Legal Hold - sabablari, sanalari, egalari
  • Provayderlarda ko’zgu retensiyasi
  • DSAR mantig’i buzilmagan

6. 5 DR/BCP

  • RTO/RPO testi va namunani tiklash
  • Kommunikatsiya pleybuklari va on-call
  • Mashqlar va CAPA natijalari
  • Vendorlar ishtirok etdi/tayyorligini tasdiqladi
  • Hujjatlashtirilgan post-mortem

7) Taftishlar metrikasi va SLO portfeli

On-time Review Rate: muddatida tugallangan taftishlar% (maqsad ≥ 95%).
Evidence Readiness: artefaktlarning to’liq to’plami bilan tekshiruvlar% (maqsad 100%).
CAPA On-time: SLA bo’yicha yopiq remediatsiyalar% (severity bo’yicha).
Repeat Findings: 12 oy davomida takrorlangan izohlar ulushi (trend ↓).
Access Hygiene: re-cert dan keyin eskirgan huquqlar ulushi (maqsadli ≤ 2%).
Vendor Certificate Freshness: tanqidiy provayderlarning dolzarb sertifikatlari% (maqsad 100%).
Audit-Ready Time: taftishdan keyin «audit pack» to’plash vaqti (8 soatdan ≤).

8) Dashbordlar (minimal to’plam)

Calendar View: SLA/kechiktirilgan choraklar bo’yicha taftish xaritasi.
Review Pipeline: статус (Planned → In Progress → CAPA → Closed).
Findings & CAPA: ochiq/muddati oʻtgan, egalari, severity.
IAM Hygiene: orphan/SoD/JIT-istisnolar, trendlar.
VRM Heatmap: provayderlar, sertifikatlar, hodisalar.
Retention & Hold: TTL buzilishlari, olib tashlash hajmi, aktiv hold.
Audit Readiness: completeness «tugmasi bo’yicha», xesh-paketlar langarlari.

9) Artefaktlar va saqlash

Taftish bayonnomasi (agenda, xulosalar, qarorlar, owner/due).
Tekshirish/tanlash roʻyxati va ularning natijalari (pass/fail).
Gap-list va muvaffaqiyat sanalari va ko’rsatkichlari bilan CAPA.
yuklamalar va hisobotlarning xesh-kvitansiyalari; WORM/Object Lock.
Siyosat/tartib-taomillarning yangilangan versiyalari va nazorat uchun mepping.

10) Istisnolarni boshqarish (waivers)

Agar o’z vaqtida tuzatish mumkin bo’lmasa, aniqlangan har bir gap uchun rasmiylashtiriladi.
Kompensatsiya choralari sababini, muddati tugagan sanani, egasi/rejani o’z ichiga oladi.
Dashbordda koʻrinadi; avto-eskalatsiya tugashidan 14/7/1 kun oldin.

11) Integratsiya

CCM/Compliance-as-Code: Nazorat testlari qoidalari avto tekshirishda ishga tushiriladi.
GRC: taftishlar reyestri, findings, CAPA, waivers, SLA va hisobot.
Evidence Storage: xesh-fiksatsiya bilan barcha materiallarni avtomatik arxivlash.
ITSM: tizim egalari uchun vazifalar va eskalatsiyalar.
VRM: provayder/sertifikat maqomini oshirish.
LMS: taftish yakunlari bo’yicha Major-o’zgarishlardagi kurslar/attestatsiyalar.

12) Antipatternlar

CAPA va egalarisiz «ko’rsatkich uchun» taftish.
Taqvim va prognoz yo’qligi → kechikish va yong’in rejimi.
Xesh-kvitansiyalarsiz va WORM → dalillarning bahsliligi.
Scope aralashmasi (siyosat talablarni oʻzgartiradi, lekin SOP/nazorat yangilanmaydi).
Muddati tugagan va kompensatsiyasiz «abadiy» waivers.
Tavakkalchilik ishtahasi/qo’mita bilan bog’liq emas - qarorlar ko’paytirilmaydi.

13) Etuklik modeli (M0-M4)

M0 Ad-hoc: nomuvofiq tekshiruvlar, Excel’dagi hisobotlar, ownerssiz.
M1 Rejali: kalendar va bazaviy chek varaqalari, artefaktlarni saqlash.
M2 Boshqariladigan: GRC-reyestr, dashbordlar, SLA/eskalatsiya, WORM-arxiv.
M3 Integratsiyalashgan: SSM/askod, auto-evidence, dry-run audit tugmasi bo’yicha.
M4 Continuous Assurance: prognoz KRI, avto-qayta rejalashtirish, «xavflar → taftishlar → CAPA» kapabiliti.

14) wiki bilan bog’liq moddalar

KPI va komplayens metrikasi

Tavakkalchilikka yo’naltirilgan audit (RBA)

Muvofiqlikning uzluksiz monitoringi (CCM)

Dalillar va hujjatlarni saqlash

Jurnallar va Audit Trail

Komplayens siyosatidagi oʻzgarishlarni boshqarish

Due Diligence va autsorsing xavfi

Tavakkalchiliklarni boshqarish va komplayens qo’mitasi

Jami

Davriy sharhlar va taftishlar komplayensni «muammolarga munosabatdan» yaxshilashlarning shaffof konveyeriga aylantiradi: belgilangan taqvim, avtomatlashtirilgan tekshiruvlar, sifatli artefaktlar, o’z vaqtida CAPA va har qanday auditga oldindan aytib bo’ladigan tayyorlik.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.