DI sistemos, atlaikančios auditą
2026 m. didžioji DI sistemų skirtis nebėra tarp tų, kurios veikia, ir tų, kurios neveikia, bet tarp tų, kurios išlaiko priežiūros auditą, ir tų, kurios neišlaiko. VDAI patikrinimas dėl BDAR, Lietuvos banko priežiūra dėl DORA, AVNT auditas dėl audituojamų subjektų vidaus kontrolių - visi prašo to paties dalyko: dokumentacijos, kuri parodo, kaip sistema veikia, ir audito pėdsako, kuris leidžia atstatyti kiekvieną sprendimą iki priežasties. Šiame straipsnyje aprašome, ką tai reiškia praktiškai.
Audito pėdsako struktūra
Tik papildomas (append-only) žurnalas su kriptografine maišos grandine, kuriame fiksuojama: užklausos turinys (su BDAR poslepiu, jei reikia), pamatinio modelio versija, užklausos šablono versija, paieškos srauto rezultatai (kurie dokumentai pateikti kontekste), modelio atsakymas, žmogaus peržiūros žingsnis (jei taikoma), galutinis sprendimas. Žurnalas saugomas atskiroje sistemoje su atskirais prieigos teisėmis.
Dokumentacijos paketas
ES DI akto IV priedo techninė dokumentacija pagal aktą yra privaloma aukšto rizikos sistemoms. Be to, ISO 42001 valdymo sistemos dokumentai padengia: politiką, vaidmenis, rizikos vertinimą, kontrolinių priemonių aprašymą, vidaus audito planą, vadovybės peržiūros protokolus, neatitikimų ir korekcinių veiksmų registrą. Pakete taip pat: PDAA (BDAR 35 str.), DPA (BDAR 28 str.), pamatinių teisių poveikio vertinimas (ES DI akto 27 str.).
Žmogaus paskutinio žodžio architektūra
BDAR 22 straipsnis ir ESTT SCHUFA byla reikalauja prasmingo žmogaus įsikišimo, ne formalaus 'patvirtinimo mygtuko'. Architektūroje tai reiškia: peržiūros forma su DI rezultato pagrindimu (kuris šaltinis, kuri eilutė), atmetimo ir koregavimo galimybė, pakankamas peržiūros laikas, periodinė kontrolė dėl 'guminio antspaudo' efekto. Žurnale fiksuojame ne tik patvirtinimo veiksmą, bet ir laiką, kurį žmogus praleido peržiūrėdamas.
Vertinimo stendas kaip įrodymas
Be vertinimo stendo sistema veikia pasitikėjimu - su juo veikia įrodymu. Auditorius prašo: kaip matuojate kokybę? Atsakymas privalo būti konkretus: 'Vertinimo stendą paleidžiame kas savaitę su 800 realių pavyzdžių, tikslumo riba 92 %, atsekimo iki šaltinio pateikimo lygis 100 %.' Vertinimo stendo rezultatus archyvuojame kartu su modelio versija, kad būtų galima atstatyti istorinį veiklos lygį.
Tiekėjų grandinės dokumentavimas
Aukščiausio rizikos atveju auditorius patikrina ne tik jūsų sistemą, bet ir jūsų tiekėjų grandinę. Pamatinio modelio tiekėjas, hostingo platforma, vektorių duomenų bazė, įrankių API. Kiekvienam tiekėjui surenkame: SOC 2 II tipas arba ISO 27001 ataskaita, BDAR atitikties įrodymas, subprocesorių sąrašas, NIS2 pasirengimo statusas. Pakete taip pat: pasitraukimo planas, atliktas testas.
Kaip pradėti
Pirmas žingsnis yra ne kodavimas, o spragų analizė. Kokie audito karkasai jus liečia? VDAI? Lietuvos bankas? AVNT? NKSC? Kiekvienam karkasui sudarome reikalavimų sąrašą ir paskui mapuojame į esamą architektūrą. Spragų sąrašas tampa pirmojo įgyvendinimo etapo apimties karkasu. Impetora pažinties etapas šį darbą atlieka per 1-2 savaites su rašytine diagnoze pabaigoje.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.