Access Control & Audit Trail

ภาพรวมความรับผิดชอบ & เอกสาร (Roles & Documents Overview)

flowchart LR
    DM["Department Manager + MD
อนุมัติ Memo ขอสิทธิ์"]
    DEPT["หัวหน้าแผนก
ดูแล Log Book + ทวนสอบสิทธิ์ทุก 180 วัน"]
    IT["IT
ขอรายงานสิทธิ์จาก Supplier มาเก็บไว้ส่วนกลาง
(ไม่มีสิทธิ์เข้าระบบ / ไม่เก็บ log / ไม่ verify / ไม่ทวนสอบ)"]
    QA["QA
Custodian ของ Matrix + อนุมัติเปลี่ยนแปลง
+ review Audit Trail"]
    SUP["Supplier (IMEX 3S)
สร้าง/แก้ไข/ปิดบัญชีจริง
+ ตั้งค่า Audit Trail / Permission"]
    DM --> SUP
    DEPT --> QA
    IT --> SUP
    QA --> SUP
    MX["Group_User_Access_ERP.xlsx
Custodian: QA"]
    LB["Department Log Book
F-QA-00xx — เจ้าของ: แต่ละแผนก"]
    ATR["Audit Trail Review Record
F-QA-0089 — เจ้าของ: QA"]
    QA --- MX
    DEPT --- LB
    QA --- ATR
    

📋 เอกสารที่เกี่ยวข้องทั้งหมด (Master Document List)

รายการเอกสารทั้งหมดในระบบควบคุมสิทธิ์ & Audit Trail — ใช้อ้างอิงร่วมกันในที่ประชุม

การ์ดที่เลขเป็น สีส้ม = ยังไม่มีรหัสเอกสารควบคุม — เป็นวาระที่ต้องเคาะในที่ประชุม Change Control

Flow 1 — การขอสิทธิ์เข้าถึงระบบ (Access Request Process)

อ้างอิง §4.2

flowchart TD
    A["1.1 ผู้ขอจัดทำ Memo
ระบุ Group Code อ้างอิง Group_User_Access_ERP.xlsx"] --> B["1.2 Department Manager + MD
อนุมัติ Memo"]
    B --> C["1.3 ผู้ขอส่งอีเมลแนบ Memo ไปยัง Supplier
(support@imserp.zendesk.com)
CC: Department Manager"]
    C --> D["1.4 Supplier สร้าง/ปรับสิทธิ์ในระบบ ERP"]
    D --> E["1.5 Supplier ส่งเอกสารกำหนดสิทธิ์ (Review สิทธิ์)
→ Department Manager
(ยังไม่ปล่อยบัญชี)"]
    E --> F{"1.6 Department Manager เทียบสิทธิ์กับ Memo
ตรงไหม?"}
    F -->|ไม่ตรง| X["แจ้ง Supplier แก้สิทธิ์ผ่าน Zendesk"]
    X --> D
    F -->|ตรง| G["1.7 Manager ลงนามยืนยัน + แจ้ง Supplier ว่า ผ่าน
เก็บเอกสารสิทธิ์ + Memo หลัง Log Book"]
    G --> H["1.8 Supplier ปล่อยบัญชี → ส่ง Account + Password
ถึงผู้ขอเท่านั้น (ไม่ CC)"]
    H --> I["1.9 ผู้ใช้ login ครั้งแรก + เปลี่ยน Password ทันที
เซ็นใบรับทราบการใช้บัญชี"]
    I --> J["1.10 หัวหน้าแผนกบันทึก Username ↔ ตัวบุคคล
ลงใน Log Book + อ้างอิงเลข Ticket"]
    

Flow 2 — การยกเลิกบัญชี (Account Retire)

อ้างอิง §4.4.2–4.4.3

flowchart TD
    S{"2.1 ประเภทเหตุการณ์"}
    S -->|"ลาออก / หมดสัญญา
(รู้ล่วงหน้า ≥30 วัน)"| P1["2.2 หัวหน้าแผนก/ผู้ขอ ยื่นคำขอปิดบัญชี
ผ่าน Zendesk ล่วงหน้า
ระบุวันปิด = วันสุดท้ายที่ทำงาน"]
    S -->|"ออกฉับพลัน
(ไล่ออก/กะทันหัน)"| U1["2.3 หัวหน้าแผนกแจ้ง Supplier ช่องทางเร่งด่วน
ภายในวันนั้น ก่อน/ขณะพนักงานออก"]
    U1 --> U2["2.4 Supplier block บัญชีทันที
+ แจ้งยืนยันผลกลับหัวหน้าแผนกทันที (โทร/อีเมล)"]
    U2 --> U3["2.5 หัวหน้าแผนกเปิด Zendesk ticket ตามหลัง
เพื่อเก็บเป็นหลักฐาน"]
    P1 --> C["2.6 Supplier ปิดบัญชีตามกำหนด"]
    U3 --> C
    C --> D["2.7 Supplier ยืนยันผลทางอีเมล
เก็บอีเมล + เลข Zendesk เป็นหลักฐาน"]
    D --> E["2.8 หัวหน้าแผนกเปลี่ยนสถานะใน Log Book = Retired
แนบหลักฐาน + วันที่ Retired
ห้ามลบรายการ / ห้าม reuse username"]
    

โอนย้าย: ไม่ปิดบัญชี — หัวหน้าแผนกใหม่ขอแก้สิทธิ์ให้พนักงานผ่าน Zendesk (ไป Flow 1) คง username เดิม

Flow 3 — การทบทวนและทวนสอบรายชื่อผู้ใช้ (ทุก 180 วัน)

อ้างอิง §4.4.4

flowchart TD
    A["3.1 ครบรอบ 180 วัน"] --> B["3.2 IT ขอ User Access List ฉบับจริงจาก Supplier
+ จัดเก็บไว้ส่วนกลาง (Single Source of Truth)"]
    B --> C["3.3 แผนกขอรายงานสิทธิ์ของแผนกจาก IT"]
    C --> D{"3.4 แผนกทวนสอบ
Log Book เทียบ รายงานจาก Supplier"}
    D -->|ตรงกัน| E["3.5 บันทึกผลใน Log Book (บันทึกการทวนสอบ)
QA Manager อนุมัติ"]
    D -->|มีในระบบ ไม่มีใน Log Book| F["3.6 สืบหาเจ้าของ / เพิ่มรายการ
หรือแจ้งปิดถ้าไม่มีเจ้าของ"]
    D -->|Log Book Retired แต่ยัง Active| G["3.7 แจ้ง Supplier ปิดทันที ผ่าน Zendesk"]
    D -->|inactive มากกว่า 3 เดือน| H["3.8 เปิด Memo ยกเลิกสิทธิ์ (§4.2)"]
    F --> E
    G --> E
    H --> E
    

Flow 4 — การตรวจสอบ Audit Trail (Audit Trail Review · ทุก 180 วัน)

อ้างอิง §4.5–4.6

flowchart TD
    A["4.1 ครบรอบ 180 วัน"] --> B["4.2 QA Officer/Manager ประจำโรงงาน login
Account Read-Only Audit Trail"]
    B --> C["4.3 กรอง Audit Trail ช่วง 180 วัน
ทุกโมดูล: QC / Production / Logistics / Purchasing / QA"]
    C --> D["4.4 ตรวจตาม Checklist 10 ข้อ (F-QA-0089)
Export หลักฐานแนบ"]
    D --> E{"4.5 พบความผิดปกติ?"}
    E -->|ไม่พบ| F["4.6 สรุปผล ผ่าน ใน F-QA-0089
QA Manager อนุมัติ"]
    E -->|พบ| G["4.7 เปิด Deviation ของแต่ละโรงงาน
บันทึกลงฟอร์ม Deviation"]
    G --> H["4.8 QA Manager ประเมินผลกระทบ
GMP / Data Integrity"]
    H --> I{"4.9 Critical / Major?"}
    I -->|ใช่| J["4.10 เปิด CAPA + แจ้ง QA Manager
IT สอบสวน Windows Auth + Supplier ตรวจ Technical"]
    I -->|ไม่| K["4.11 บันทึกมาตรการแก้ไขใน Deviation"]
    J --> F
    K --> F
    

Flow 5 — การเปลี่ยนแปลง Matrix (Matrix Change Management) · ผ่าน Change Control ของโรงงานนั้นๆ

ตัวอย่างที่เสนอ (Proposed) — รอเคาะในที่ประชุม

flowchart TD
    A["5.1 เกิดความต้องการเปลี่ยน Matrix
(เพิ่ม Group Code / แก้สิทธิ์กลุ่ม / แก้ error / เพิ่มเมนู-แผนก)"] --> B["5.2 เปิด Change Control ของแต่ละโรงงาน
ระบุ: เปลี่ยนอะไร / ทำไม / กระทบกลุ่มไหน"]
    B --> C["5.3 ประเมินผลกระทบ GxP (SOP-QA-0017)
+ ทบทวน FRA (SD-QA-4012) ถ้าจำเป็น"]
    C --> D["5.4 QA Manager อนุมัติ Change Request"]
    D --> E["5.5 QA อัปเดตไฟล์ Matrix
เวอร์ชันใหม่ + change log + effective date"]
    E --> F["5.6 IT แจ้ง Supplier ผ่าน Zendesk
ให้ตั้งค่าตาม Matrix ใหม่"]
    F --> G["5.7 Supplier implement + ส่งหลักฐานสิทธิ์ใหม่"]
    G --> H{"5.8 เปลี่ยนสิทธิ์จริง (V/C/E/D)?"}
    H -->|Major| I["5.9 UAT/Test: ทดสอบสิทธิ์ใหม่
ทำได้/ทำไม่ได้ ถูกต้อง"]
    H -->|Minor| J["5.10 ตรวจเอกสารเทียบ Matrix ใหม่"]
    I --> K["5.11 Verify: ระบบจริง = Matrix ใหม่
+ ตรวจผู้ใช้เดิมในกลุ่มได้สิทธิ์ใหม่ถูกต้อง"]
    J --> K
    K --> L["5.12 QA ปิด Change Control ของโรงงานนั้นๆ + แจกจ่าย Matrix ใหม่
+ แจ้งแผนกที่กระทบ"]
    

การเชื่อมโยงเอกสาร (Document Linkage)