GH GambleHub

المراجعة الداخلية للحسابات والمراجعة الخارجية للحسابات

1) الغرض والمنطقة

ضمان الرقابة المنهجية والمستقلة والقابلة للتكرار لعمليات العمليات والامتثال: الامتثال للتراخيص/القوانين، وموثوقية الإبلاغ المالي والتشغيلي، وفعالية مراقبة المخاطر (KYC/AML/RG، و GDPR/PII، والمدفوعات/PCI، وأمانة الألعاب، وأمن المعلومات، والتسويق/الشركات التابعة، ومقدمين). ويحدد هذا الفرع المبادئ والأدوار والمنهجية والبرمجة التدقيقية وشكل التقارير وإجراءات إغلاق حالات عدم المطابقة.

2) المبادئ و «ثلاثة خطوط دفاع»

الخط الأول: مالكو العمليات (العمليات، المدفوعات، مزودي الألعاب، التسويق/الشركات التابعة، خدمة الدعم) - إدارة المخاطر اليومية.
السطر الثاني: الامتثال/المخاطر/الأمن/مدير السياسات - السياسات، والرصد، والاستشارة، والإنفاذ.
السطر الثالث: المراجعة الداخلية للحسابات - تقييم مستقل لمدى كفاية وفعالية الرقابة ؛ إلى مجلس الإشراف/لجنة مراجعة الحسابات.
المراجعة الخارجية للحسابات: أطراف ثالثة مستقلة - الإبلاغ المالي، التصديق (ISO/SOC/PCI)، عمليات التفتيش التنظيمية.

المبادئ: الاستقلالية والموضوعية والأدلة والسرية والتركيز على المخاطر والقيم والشفافية وإمكانية التتبع.

3) استحقاق IA مقابل EA

المعيارالمراجعة الداخلية للحساباتالمراجعة الخارجية للحسابات
المساءلةلجنة/مجلس مراجعي الحساباتالمساهمون/المنظمون/الشهادة. الهيئات
الغرضتحسين العمليات والضوابطالرأي/شهادة المطابقة
الحجممرنة قائمة على المخاطرثابت بالمعيار/العقد
الترددالخطة السنوية + المخصصةحسب الجدول الزمني للإبلاغ/التصديق
النتيجةتقرير مع التصنيف و CAPAالاستنتاج/الشهادة/الرسالة الموجهة إلى الإدارة

4) الأدوار و RACI

رئيس المراجعة الداخلية للحسابات - الاستراتيجية والاستقلالية والخطة/الإبلاغ. (أ)

مراجعو الحسابات الداخليون - الفحوص الميدانية، وثائق العمل، الاستنتاجات. (ص)

أصحاب العمليات (الخط الأول) - توفير البيانات/القطع الأثرية، CAPA. (ص)

الامتثال/InfoSec/AML/RG (السطر الثاني) - مراجعة حسابات مشتركة، منهجيات. (C/R)

المدير المالي/المراقب المالي - الدائرة المالية، GL، التسويات. (جيم)

Legal/DPO - تفسير القواعد، PII والإبقاء. (جيم)

لجنة مراجعة الحسابات - توافق على خطة IA، وتقبل التقارير، وتسيطر على الاستقلال. (أ)

مراجعو الحسابات الخارجيون/المستشارون الخارجيون - إجراء التقييم ؛ الوصول إلى القطع الأثرية من قبل NDA. (العقد الأول/صاد)

5) خطة التدقيق السنوية

1. سجل المخاطر: احتمال × تأثير (التمويل/GGR، التراخيص، السمعة، سلامة اللاعب).
2. خريطة العملية: المدفوعات/PSP، المحفظة، KYC/AML/KYB، RG، مزودي الألعاب/RTP، التسويق/الشركات التابعة، أمن المعلومات/اللائحة العامة لحماية البيانات، الحوادث/الإخطارات، التقارير التنظيمية.
3. مصفوفة الأولوية: التردد العالي/المتوسط/المنخفض → (ربع/نصف سنة/سنة).
4. النطاق: الأهداف، والمعايير، والإجراءات، والعينات، والموارد، والجدول الزمني، والتبعيات.
5. الموافقة: توافق لجنة مراجعة الحسابات على الخطة السنوية ؛ لحوادث S1/S2.

6) المنهجية: مراحل مراجعة الحسابات

ألف - التخطيط: طلب الوثائق، فهم العمليات، تقييم تصميم الرقابة، تقييم المخاطر، برنامج الاختبار.
باء - العمل الميداني: المقابلات، والتجول، واختبارات التصميم/الاستجابة، والإجراءات التحليلية، وفحص القطع الأثرية، وأخذ العينات.
جيم - الاستنتاجات والتقدير: مقارنة الحقائق بالمعايير ؛ تصنيف النتائج.
دال - التقرير: مشروع الموافقة → على الوقائع → عرض → النهائي على الإدارة/اللجنة.
هاء - خطة العمل الشاملة والمتابعة: خطة العمل التصحيحية/الوقائية، والمتابعة، والتحقق.

7) الأدلة والعينات

أنواع الأدلة: مستندات (سياسات، سجلات، تذاكر)، مادية (لقطات شاشة، تكوينات)، شفوية (مقابلات)، تحليلية (مطابقات، اتجاهات).
الجودة: الكفاية (الحجم)، والأهمية، والصلاحية (المصدر).
العينات: عشوائية، منهجية، موجهة (قائمة على المخاطر)، حسب الحالات الشاذة ؛ ويتحدد الحجم حسب المخاطر وحجم السكان عموما.
إمكانية التتبع: يرتبط كل ناتج باختبار، والاختبار بالأدلة (بطاقة هوية فريدة) ؛ «الترقيم المستمر».

8) تصنيف عدم المطابقة والتصنيفات

حرج (S1): خطر الترخيص/القانون/الضرر المالي الكبير/خرق PII. الإجراء الفوري المطلوب، تقرير إلى اللجنة/المجلس.
ارتفاع (S2): عيب كبير في السيطرة ؛ SLA قصير لإصلاحه.
متوسطة (S3): عيب محدود ؛ خطة التعديل.
منخفض (S4): تحسينات/ملاحظات (التحسين الأمثل).

تصنيف العمليات المراجعة: فعال/فعال بشكل عام مع التحسينات/فعال جزئيًا/غير فعال.

9) وثائق العمل والاحتفاظ بها

أوراق العمل: البرنامج، والقوائم المرجعية، والعينات، وبروتوكولات المقابلات، والأدلة، والحسابات، والاستنتاجات.
معايير الصياغة: الفهرس، النسخة، المالك، التاريخ، الروابط التشعبية للقطع الأثرية، التحكم في التغيير.
الخصوصية و PII: الوصول إلى RBAC، التخزين المشفر، الإخفاء الميداني الحساس.
فترات الاحتفاظ: حسب السياسة (عادة 5-7 سنوات) أو أكثر إذا كانت التراخيص/الجهات التنظيمية تتطلب ذلك.

10) التحقق من الموضوعات (كتالوج IA)

1. المدفوعات/PSP/PCI: auth/dission/chargeback، التسمية المستعارة لشبكة PAN، سجلات الوصول، سجل البائعين.
2. KYC/AML/KYB: اكتمال ودقة KYC، PEP/الجزاءات، توقيت SAR/STR، جودة التحقيقات، إدارة القضايا.
3. اللعب المسؤول (RG): الحدود/الاستبعاد الذاتي، وإجراءات الاتصال، وفعالية التدخلات، والقيود الإعلانية.
4. GDPR/PII/DPO: سجل المعالجة، DSAR، حوادث الخصوصية، عقود المعالج.
5. مزودو اللعبة/الصدق: انجراف RTP، الحوادث المستديرة، تزامن التوازن، RNG/إصدار البناء.
6. التسويق/الشركات التابعة: الامتثال للقيود الإبداعية/المستهدفة، والإسناد، والعقود، والمدفوعات.
7. عمليات الحوادث: وقت التقديم (TTS)، وتوقيت الإخطارات إلى المنظمين، واكتمال القطع الأثرية.
8. الإبلاغ التنظيمي: المخططات، المواعيد النهائية، DQ، التسوية مع GL/PSP.
9. ضوابط تكنولوجيا المعلومات/أمن المعلومات: عمليات الوصول، SOD، التغييرات/الإصدارات، سجلات التدقيق، النسخ الاحتياطية، تمارين DR/BCP.

11) تنسيق تقرير IA (نموذج)

الملخص التنفيذي: النطاق والأهداف والتصنيف والنتائج الرئيسية والمخاطر.
السياق: العملية/النظام/الولايات القضائية، الفترة، المتطلبات المنطبقة.
المنهجية والقيود (إن وجدت).
استنتاجات مفصلة بشأن الأولوية: معيار → الوقائع → المخاطر → الأثر → التوصيات.

طاولة CAPA - المالك، الخطوات، الجداول الزمنية، مقاييس النجاح

التذييلات: العينات، الرسوم البيانية، سجل الأدلة، مسرد المصطلحات.

12) التفاعل مع المراجع الخارجي (EA)

التقارير المالية: إعداد GL، والتسوية، والتأكيدات من PSP/البنوك/مقدمي الخدمات، ورسائل الإدارة.
الشهادات/تقييمات الامتثال: ISO 27001/9001، SOC 2، PCI DSS، عمليات التفتيش التنظيمية الصناعية.
أدوار الإنجاز المتوقع: التقييم المسبق (تحليل الثغرات)، ودعم الاستفسارات، وتسريع تنفيذ برنامج التكيف الهيكلي، وتجنب الازدواجية.
الشفافية: عرض واحد للقطع الأثرية، تقويم الزيارات، قواعد الوصول، اتفاقية عدم الإفشاء.
الاتصالات: عمليات تأهب منتظمة «لاستعداد التكيف الهيكلي»، نقطة دخول - منسق مراجعة الحسابات.

13) CAPA والمتابعة

خطة CAPA: خطوات محددة، مقياس، مالك، مصطلح، أنظمة/فرق تابعة.
التحقق: أدلة التنفيذ (الشاشات، السجلات، السياسات، نتائج الاختبارات)، التاريخ، مراجع الحسابات المسؤول.
التصعيد: S1/S2 - استكمال إلزامي للجنة ؛ تأخيرات - «المنطقة الحمراء» للوحة القيادة.
التغيير في تقييم المخاطر: بعد نجاح برنامج العمل القطري - استعراض المخاطر المتبقية وتواتر عمليات التفتيش.

14) لوحة متابعة مراجعة الحسابات (الرقابة الإدارية)

حالة الخطة: نسبة الانتهاء حسب الربع والاتجاه.
حافظة النتائج: حسب الشدة والانحراف.
تقدم CAPA: مكتمل/جار/منتهي الصلاحية، متوسط وقت الإغلاق.
خريطة حرارة العملية: مخاطر/فعالية الضوابط قبل/بعد CAPA.
الاكتشافات القابلة للتكرار: مؤشر مشاكل النظام.

15) المتطلبات الأخلاقية والاستقلال

تضارب المصالح: لا يراجع مراجعو الحسابات عملياتهم السابقة ≤ 12 شهرا ؛ إعلان النزاع.
الوصول إلى البيانات: فقط على أساس مبدأ «الحد الأدنى الضروري» ؛ حظر نسخ PII الشخصية.
الاتصالات: لغة محايدة، لا نبرة «اتهامية» ؛ قبل التفسيرات.

16) القوائم المرجعية

بدء مراجعة الحسابات

  • أهداف/معايير/حدود محددة.
  • القطع الأثرية المطلوبة والمستلمة، والنماذج/الجداول الزمنية المتفق عليها.
  • تأكيد الاستقلال، لا نزاعات.
  • برنامج الاختبار وأخذ العينات المعتمد.

المرحلة الميدانية

  • أجريت مقابلات مع الأدوار الرئيسية.
  • اختبارات التصميم والكفاءة التشغيلية.
  • يتم تشكيل سجل الأدلة مع الهوية/الوصلات.
  • موجز وسيط لمالكي المعالجة (لا مفاجآت في النهائي).

تقرير و CAPA

  • تم الاتفاق على الحقائق وحلت نقاط النزاع.
  • الاستنتاجات المصنفة (S1-S4)، تقييم المخاطر/الآثار.
  • خطة CAPA مع المالكين والمواعيد المعتمدة.
  • ترد تواريخ المتابعة في الجدول الزمني.

17) أنماط القطع الأثرية (إدخالات سريعة)

قائمة الطلبات: قائمة الوثائق/التحميلات/عمليات الوصول مع المواعيد النهائية.
ورقة الاختبار: إجراء → التحكم → عينة → نتيجة → إثبات → استنتاج.
العثور على البطاقة: الرمز، العنوان، الوصف، المخاطرة، التأثير، السبب الجذري، التوصية، المستوى S، المالك، المصطلح.
ورقة CAPA: خطوة، مقياس، تحف تأكيد، تاريخ، فحص.

18) الأخطاء المتكررة وكيفية تجنبها

أدوار IA والخط الثاني مجتمعة → ضعف الاستقلال. مقرر: تقرير الوكالة الدولية للطاقة الذرية إلى اللجنة مباشرة.
عدم كفاية إمكانية تتبع الأدلة → ضعف حماية الاستنتاجات. الحل: سجل فردي وترقيم.
«الصيد غير المطابق» بدلاً من تقييم المخاطر والقيمة. الحل: التركيز على المخاطر وتحديد الأولويات.
التحميل الزائد للوكالة بدون موارد → تأخير. الحل: أهداف SMART وحد WIP.
تجاهل بيانات الجودة/النضارة عند التحقق من الإبلاغ. الحل: قائمة DQ المرجعية.

19) البداية السريعة (التنفيذ لمدة 30 يومًا)

الأسبوع 1: الموافقة على ميثاق الوكالة الدولية للطاقة (الولاية/المساءلة)، وتقييم المخاطر، ومشروع الخطة السنوية.
الأسبوع 2: إنشاء قوالب (PBC، أوراق الاختبار/البحث/CAPA)، وإعداد سجل للأدلة ولوحة تحكم الحالة.
الأسبوع 3: إجراء 2 مراجعة حسابات تجريبية «قصيرة» (على سبيل المثال PSP/PCI and RG/DSAR), issue reports, registration CAPAs.
الأسبوع 4: متابعة المشاريع التجريبية، وتعديل المنهجية، وتقديم الخطة السنوية إلى اللجنة للموافقة عليها، والاتفاق على جدول زمني لعمليات مراجعة الحسابات/الشهادات الخارجية.

الأبواب ذات الصلة:
  • التقارير التنظيمية وأشكال البيانات
  • الإخطارات بالانتهاكات والمواعيد النهائية للإبلاغ
  • لوحة متابعة الامتثال والرصد
  • كتب اللعب والنصوص الخاصة بالحوادث
  • إدارة الأزمات والاتصالات
  • خطة استمرارية تصريف الأعمال
  • سجلات مراجعة المعاملات
Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.