Access Control & Audit Trail

ภาพรวมความรับผิดชอบ & เอกสาร (Roles & Documents Overview)

flowchart LR
    DM["Department Manager
🏷️ Owner — เจ้าของสิทธิ์ของแผนก
อนุมัติคำขอสิทธิ์ + ทบทวน User ทุก 180 วัน"]
    ITMS["ระบบ IT Management System
🖥️ ศูนย์กลางการจัดการคำขอ
รับคำขอ → แจ้ง Manager → ส่งต่อ Supplier
บันทึก Username ↔ ตัวบุคคล + แจ้งเตือนรอบทบทวน"]
    IT["IT
🔒 Reviewer / Gatekeeper
ดูแลระบบ IT Management System
Review + Accept/Decline การตั้งค่าสิทธิ์จาก Supplier"]
    QA["QA
📋 ผู้จัดเก็บ Matrix สิทธิ์ส่วนกลาง (Document Controller)
รับแจ้งจากแผนกเพื่ออัปเดตเวอร์ชัน"]
    SUP["Supplier (IMEX 3S)
⚙️ Implementer
สร้าง/แก้ไข/ปิดบัญชี/ตั้งค่าสิทธิ์ ในระบบ ERP"]
    DM -->|"ยื่นคำขอ / ทบทวนสิทธิ์"| ITMS
    ITMS -->|"IT Review"| IT
    IT -->|"Accept → ส่งต่อ"| ITMS
    ITMS -->|"Email + รับตอบกลับผ่าน Webhook"| SUP
    QA -->|"แจ้งเปลี่ยนแปลง Matrix"| SUP
    MX["Group_User_Access_ERP.xlsx
Custodian: QA"]
    ATR["Form Audit Trail Review Record ของแต่ละโรงงาน
เจ้าของ: Department Manager"]
    QA --- MX
    QA --- ATR
    

📋 เอกสารที่เกี่ยวข้องทั้งหมด (Master Document List)

รายการเอกสารทั้งหมดในระบบควบคุมสิทธิ์ & Audit Trail — ใช้อ้างอิงร่วมกันในที่ประชุม

การ์ดที่เลขเป็น สีส้ม = ยังไม่มีรหัสเอกสารควบคุม — เป็นวาระที่ต้องเคาะในที่ประชุม Change Control

Flow 1 — การขอสิทธิ์เข้าถึงระบบ (Access Request Process)

อ้างอิง §4.2

flowchart TD
    A["1.1 ผู้ขอยื่นคำขอสิทธิ์ผ่าน ระบบ IT Management System
ระบุ Group LV อ้างอิง Group_User_Access_ERP.xlsx"] --> B["1.2 ระบบ IT Management System แจ้ง Department Manager
ให้อนุมัติผ่านระบบ"]
    B --> C{"1.3 Department Manager
อนุมัติหรือไม่?"}
    C -->|ไม่อนุมัติ| CX["แจ้งผู้ขอให้ปรับแก้คำขอ"]
    CX --> A
    C -->|อนุมัติ| D["1.4 ระบบ IT Management System ส่งคำขอไปยัง Supplier อัตโนมัติ
(Zendesk Ticket)"]
    D --> E["1.5 Supplier สร้าง/ปรับสิทธิ์ในระบบ ERP
+ ตอบกลับผลการปรับสิทธิ์มายัง ระบบ IT Management System"]
    E --> F{"1.6 IT Review สิทธิ์
ที่ Supplier ปรับ — ถูกต้อง?"}
    F -->|ไม่ผ่าน| FX["แจ้ง Supplier แก้ไขผ่าน ระบบ IT Management System"]
    FX --> E
    F -->|IT Accept| G["1.7 ระบบ IT Management System แจ้ง Supplier อัตโนมัติ
ว่า IT Accept แล้ว"]
    G --> H["1.8 Supplier ส่ง Username + Password
ถึงผู้ขอโดยตรง (ไม่ CC)"]
    H --> I["1.9 ผู้ขอ login ครั้งแรก + เปลี่ยน Password ทันที"]
    I --> J["1.10 ระบบ IT Management System บันทึก Username ↔ ตัวบุคคล
อัตโนมัติ"]
    

Flow 2 — การยกเลิกบัญชี (Account Retire)

อ้างอิง §4.4.2–4.4.3

flowchart TD
    A{"2.1 ผู้ยื่นคำขอยกเลิกบัญชี"}
    A -->|"Department Manager
ยื่นตรง"| C["2.3 ระบบ IT Management System
รับคำขอและส่ง Email ไปยัง Supplier"]
    A -->|"User
ยื่นแทน"| B["2.2 ระบบ IT Management System
แจ้ง Department Manager อนุมัติก่อน"]
    B --> B2{"2.2.1 Department Manager
อนุมัติหรือไม่?"}
    B2 -->|"ไม่อนุมัติ"| BX["แจ้งผู้ขอ — ยกเลิกคำขอ"]
    B2 -->|"อนุมัติ"| C

    C --> E["2.4 Supplier ปิดบัญชีในระบบ ERP
+ ตอบกลับยืนยันผ่าน Email"]
    E --> G["2.5 ระบบ IT Management System รับ Email ผ่าน Webhook
แจ้ง IT ให้ตรวจสอบผลจาก Supplier"]
    G --> H{"2.6 IT ตรวจสอบผลจาก Supplier"}
    H -->|"Supplier ยืนยันปิดเรียบร้อย"| I["2.7 IT Accept
ระบบบันทึกสถานะ User = Retired"]
    H -->|"Supplier ติดปัญหา / มีข้อสงสัย"| HX["IT ตอบกลับ Supplier ผ่านระบบ
เพื่อแก้ไขหรือขอข้อมูลเพิ่มเติม"]
    HX --> G
    I --> J["2.8 ระบบ IT Management System
แจ้ง Department Manager อัตโนมัติ"]
    

โอนย้าย: ไม่ปิดบัญชี — Department Manager ใหม่ขอแก้สิทธิ์ให้พนักงานผ่านระบบ IT Management System (ไป Flow 1) คง username เดิม

Flow 3 — การทบทวนและทวนสอบรายชื่อผู้ใช้ (ทุก 180 วัน)

อ้างอิง §4.4.4

flowchart TD
    A["3.1 ครบรอบ 180 วัน
ระบบ IT Management System ส่งแจ้งเตือนไปยัง Department Manager"] --> B["3.2 ระบบ IT Management System สร้างรายการ User ของแผนก
ให้ Manager เข้ามา Review"]
    B --> C["3.3 Manager ทบทวนรายชื่อ User ของแผนกตัวเอง
และลงนาม Review ผ่าน ระบบ IT Management System"]
    C --> D{"3.4 ผล Review ของแต่ละ User
ผ่าน หรือ ไม่ผ่าน?"}
    D -->|ผ่านทุกคน| E["3.5 ระบบ IT Management System บันทึกผลการทบทวน
อัปเดตวันหมดอายุสิทธิ์ +180 วัน"]
    D -->|ไม่ผ่าน บางคน| F["3.6 ?"]
    

Flow 4 — การตรวจสอบ Audit Trail (Audit Trail Review · ทุก 180 วัน)

อ้างอิง §4.5–4.6

flowchart TD
    A["4.1 ครบรอบ 180 วัน"] --> B["4.2 Department Manager ประจำโรงงาน login
Account Read-Only Audit Trail"]
    B --> C["4.3 กรอง Audit Trail ช่วง 180 วัน
เฉพาะ User ในแผนกของตนเอง"]
    C --> D["4.4 ตรวจตาม Checklist Form Audit Trail Review Record ของแต่ละโรงงาน
Export หลักฐานแนบ"]
    D --> E{"4.5 พบความผิดปกติ?"}
    E -->|ไม่พบ| F["4.6 สรุปผล ผ่าน ใน Form Audit Trail Review Record ของแต่ละโรงงาน
Department Manager อนุมัติ"]
    E -->|พบ| G["4.7 เปิด Deviation ของแต่ละโรงงาน
บันทึกลงฟอร์ม Deviation"]
    G --> I{"4.8 System Problem / Non-System Problem?"}
    I -->|System Problem| J["4.9 IT + Supplier สอบสวน
Windows Auth + ตรวจสอบ Technical"]
    I -->|Non-System Problem| K["4.10 บันทึกมาตรการแก้ไขใน Deviation"]
    

Flow 5 — การเปลี่ยนแปลง Matrix (Matrix Change Management) · ผ่าน Change Control ของโรงงานนั้นๆ

ตัวอย่างที่เสนอ (Proposed) — รอเคาะในที่ประชุม

flowchart TD
    A["5.1 เกิดความต้องการเปลี่ยน Matrix
(เพิ่ม Group Code / แก้สิทธิ์กลุ่ม / แก้ error / เพิ่มเมนู-แผนก)"] --> B["5.2 เปิด Change Control ของแต่ละโรงงาน
ระบุ: เปลี่ยนอะไร / ทำไม / กระทบกลุ่มไหน"]
    B --> C["5.3 ประเมินผลกระทบ GxP (SOP-QA-0017)
+ ทบทวน FRA (SD-QA-4012) ถ้าจำเป็น"]
    C --> D["5.4 QA Manager อนุมัติ Change Request"]
    D --> E["5.5 QA อัปเดตไฟล์ Matrix
เวอร์ชันใหม่ + change log + effective date"]
    E --> F["5.6 IT แจ้ง Supplier ผ่าน Zendesk
ให้ตั้งค่าตาม Matrix ใหม่"]
    F --> G["5.7 Supplier implement + ส่งหลักฐานสิทธิ์ใหม่"]
    G --> H{"5.8 เปลี่ยนสิทธิ์จริง (V/C/E/D)?"}
    H -->|Major| I["5.9 UAT/Test: ทดสอบสิทธิ์ใหม่
ทำได้/ทำไม่ได้ ถูกต้อง"]
    H -->|Minor| J["5.10 ตรวจเอกสารเทียบ Matrix ใหม่"]
    I --> K["5.11 Verify: ระบบจริง = Matrix ใหม่
+ ตรวจผู้ใช้เดิมในกลุ่มได้สิทธิ์ใหม่ถูกต้อง"]
    J --> K
    K --> L["5.12 QA ปิด Change Control ของโรงงานนั้นๆ + แจกจ่าย Matrix ใหม่
+ แจ้งแผนกที่กระทบ"]
    

การเชื่อมโยงเอกสาร (Document Linkage)