Takroriy auditlar va bajarilishini nazorat qilish

1) Takroriy auditlarning maqsadi va roli

• buzilishlar yopilganligini va qoldiq xavf Appetite darajasigacha kamayganligini tasdiqlaydi;
• profilaktika choralari orqali takrorlashlardan (repeat findings) himoya qiladi;
• yuridik ahamiyatga ega dalillar bazasini («tugma bo’yicha audit-ready») shakllantiradi.

2) Re-audit (trigger) ni qachon tayinlash

CAPAni Critical/High bo’yicha (majburiy), Medium bo’yicha - tanlov/tavakkalchilik bo’yicha yopish.
O’ta jiddiy hodisa yoki tartibga solish ko’rsatmasi.
CCM/observability ma’lumotlari bo’yicha nazorat drifti.
Arxitektura/jarayonning o’zgarishi (relizlar, migratsiyalar, provayderlar).
High-risk domenlari uchun har choraklik/yarim yillik kalendar oynalar.

3) Hajmi va usullari (scope & methods)

Dizayn testi: siyosat/standart/SOP yangilandi, nazorat rasmiylashtirildi.
Operatsion samaradorlik testi: nazorat davrida barqaror ishlaydi (30-90 kun ichida tanlash).
Tanlash: risk-based (high/critical uchun n kattalashtiramiz), tasodifiy va maqsadli keyslarning mix.
Islohotlar: natijani tasdiqlash uchun imkon qadar protsedura/so’rovni takrorlash.
Dalillar: loglar, konfiglar, tushirishlar, skrinkastlar, asboblar hisobotlari - xesh-kvitansiyalar va WORM bilan.

4) Rollar va RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Re-audit hayot sikli (SOP)

1. Tashabbus: re-audit kartochkasi (findings, CAPA, tavakkalchilik, tanlash davri, muddat).
2. Tayyorlash: test chek-varaqasi, qabul qilish mezonlari, artefaktlar ro’yxati, «keys bo’yicha» foydalanish imkoniyatlari.
3. Ma’lumotlarni yig’ish: avto-tushirish, tanlash, xesh-fiksatsiya, WORMga joylashtirish.
4. Testlar: dizayn (mavjudligi/to’g "riligi) → samaradorlik (tanlov, islohotlar).
5. Baholash: qoldiq xavf, barqarorlik, dreyfning mavjudligi.
6. Yechim: Close/Extend CAPA/Escalate (qo’mita, regulyator).
7. Tuzatish: protokol, dashbordlarni yangilash, «audit pack» re-audit.
8. Nazorat: 30-90 kun kuzatish; driftda - yangi CAPA bilan re-open.

6) Qabul qilish mezonlari (Definition of Done)

Corrective chora-tadbirlari joriy etildi va tasdiqlandi.
Preventiv chora-tadbirlar takrorlanish xavfini kamaytiradi (o’qitish, geyta, deteksiya).
Evidence to’liq va o’zgarishsiz (WORM, xesh-kvitansiyalar).
CCM qoidalari yangilandi, alertlar normal, dreyf yo’q.
/ SOP/diagrammalari haqiqiy oʻzgarishlar bilan sinxronlashtirilgan.
Vendorlar koʻzgu harakatlarini bajardilar (retensiya/olib tashlash/sertifikatlar).

7) Re-audit CAPA bog’lamasi

CAPA kartochkasida Re-audit Planni saqlash (davr, muvaffaqiyat metrikasi, owner).
«Qisman muvaffaqiyatga erishilganda» → Kompensatsiya nazorati va muddati tugaydigan CAPAni uzaytirish.
Tizimli muammolar uchun - oldini olish dostonlari (arxitekturani o’zgartirish, jarayonlarni qayta ko’rib chiqish).

8) Metrika va KRI

Re-audit On-time: o’z vaqtida o’tkazilgan (maqsad ≥ 95%).
First-Pass Close: CAPA uzaytirilmagan yopilishlar% (qanchalik yuqori boʻlsa, shuncha yaxshi).
Repeat Findings (12 oy): domen/egalari bo’yicha takrorlash ulushi (trend ↓).
Residual Risk Δ: re-auditdan keyin tavakkalchilikni kamaytirish.
Evidence Completeness:% re-audit (maqsad 100%).
Drift After Fix: 30-90 kunlik nazorat dreyfi holatlari (0 muhim maqsad).
Vendor Mirror SLA: pudratchilarning tasdig’i (maqsad tanqidiy uchun 100%).

9) Dashbordlar (minimal)

Re-audit Pipeline: Planned → In Progress → Close/Extend → Observe.
Heatmap takrorlash: domenlar boʻyicha (IAM, maʼlumotlar, DevSecOps, VRM, DR/BCP).
CAPA & Re-audit Link: bogʻlamalarning holati, kechikishlar, zaif zonalar.
Evidence Readiness: WORM/xesh mavjudligi, tanlov yangiligi.
Drift & CCM: post-fiksning buzilishi, alertlarning chastotasi.
Vendor Assurance: koʻzgu retensiyasi/oʻchirish, sertifikatlar, SLA.

10) Tanlash va test metodikalari

Tavakkalchilik bo’yicha tabaqalanish: tanqidiy nazorat/yurisdiksiyalar uchun ko’proq seyslar.
Kombinatsiyalangan testlar: hujjatli tekshirish + haqiqiy islohotlar (masalan, DSAR-eksport, kirishni chaqirib olish, TTL orqali olib tashlash).
Salbiy stsenariylar: nazoratni chetlab o’tishga urinish (ABAC/SoD, rate limits, secret-skan).
Barqarorlik testi: 30 kundan so’ng kichik tanlovda takrorlash (sanity check).

11) Avtomatlashtirish va «assurance-as-code»

Nazorat qilish uchun test-keyslar kod sifatida (Rego/SQL/YAML), jadval boʻyicha avtomatik ishga tushirish.
Evidence vitrinasidan kvitansiya bilan «audit pack re-audit» avtogeneratsiyasi.
SLA bo’yicha avto-eskalatsiyalar (kechiktirilgan CAPA/re-audit).
CI/CD bilan integratsiya: geytlar «qizil» nazorat paytida chiqarishni bloklaydi.

12) Vendorlar va yetkazib berish zanjiri

Shartnomalarda - re-audit huquqi va artefaktlarni taqdim etish muddatlari.
Ko’zgu retensiyasi va yo’q qilish/tuzatishlarni tasdiqlash.
Qoidabuzarliklarda - kreditlar/SLA-shtraflar, off-ramp va migratsiya rejasi.
Tashqi sertifikatlar (SOC/ISO/PCI) - fresh-maqomida; «qualified opinion» - re-audit kuchayadi.

13) Artefaktlar shablonlari

13. 1 Re-audit kartochkasi

ID findings/CAPA, tavakkalchilik/yurisdiksiya, tanlash davri

Dizayn/samaradorlik testlari, qabul qilish mezonlari

Artefaktlar ro’yxati (manba, format, xesh)

Natijalar, qoldiq tavsiyalar

Yechim (Close/Extend/Escalate), owner/due, evidence havolalari

13. 2 Re-audit hisoboti (mundarija)

1. Rezyume va kontekst

2. Metodologiya va hajm

3. Test natijalari (tanlov jadvallari)

4. Qoldiq tavakkalchilik va xulosalar

5. Yechimlar va vazifalar (CAPA/waivers)

6. Ilovalar: xesh-kvitansiyalar, skrinshotlar, tushirishlar

13. 3 Qabul qilish chek-varaqasi

• Siyosat/SOP/nazorat yangilandi
• Evidence to’plangan va WORM/xesh tasdiqlangan
• CCM qoidalari kiritilgan, alertlar haqiqiy
• O’quv/aloqa tugallandi (LMS, read-receipt)
• Vendor tasdiqnomalari olindi
• Qayta ochish talab qilinmaydi/kengaytirish rejasi mavjud

14) Istisnolarni boshqarish (waivers)

Faqat obyektiv cheklovlarda ruxsat etiladi; tugash sanasi va kompensatsiya nazorati majburiydir.
Dashbordda oshkoralik, 14/7/1 kunlik eslatmalar, Qo’mitaga eskalatsiya.

15) Antipatternlar

Samaradorlik testisiz «qog’oz yopish».
WORM/xeshsiz Evidence - auditda bahsli.
CAPA, re-audit, CCM aloqasi yoʻq - nazorat oʻrnatilmaydi.
Toraygan skope (yurisdiksiyalar/vendorlar/tanqidiy rollar bilan qoplanmagan).
Kuzatuvsiz bir martalik tekshiruvlar 30-90 kun → takrorlash.
Kompensatsiya choralari rejasi va muddatsiz CAPAni uzaytirish.

16) Etuklik modeli (M0-M4)

M0 Ad-hoc: noyob «nuqtaviy» tekshiruvlar, qabul qilish mezonlari mavjud emas.
M1 Rejali: re-audit taqvimi, bazaviy shablonlar va hisobotlar.
M2 Boshqariladigan: CAPA bilan bog’lanish, dashbordlar/metriklar, WORM-evidence.
M3 Integratsiyalashgan: assurance-as-code, islohotlar, avtomatik «audit pack».
M4 Continuous Assurance: prognoz KRI, avto-rejalashtirish, post-fiks barqarorligi monitoringi.

17) wiki bilan bog’liq moddalar

Qoidabuzarliklarni bartaraf etish rejalari (CAPA)

Tavakkalchilikka yo’naltirilgan audit (RBA)

Muvofiqlikning uzluksiz monitoringi (CCM)

Jurnallar va Audit Trail

Dalillar va hujjatlarni saqlash

Komplayens siyosatidagi oʻzgarishlarni boshqarish

Due Diligence va autsorsing xavfi

Tavakkalchiliklarni boshqarish va komplayens qo’mitasi

Jami

Takroriy auditlar - bu rasmiyatchilik emas, balki barqarorlikni tekshirishdir: dizayn va samaradorlik testi, ishonchli dalillar bazasi, shaffof echimlar (Close/Extend/Escalate) va driftni kuzatish. Bunday tizimda xavf «qaytarilmaydi», komplayens esa o’lchanadigan va oldindan aytib bo’ladigan bo’lib qoladi.