GH GambleHub

Audit və yoxlama prosedurları

1) Niyə iGaming audit lazımdır

Audit - məhsul və əməliyyatların lisenziyaların, qanunun, standartların və daxili siyasətin tələblərinə uyğunluğunun sistemli yoxlanılmasıdır.
Məqsədlər: tənzimləmə və maliyyə risklərini azaltmaq, oyunların/ödənişlərin/məlumatların dürüstlüyünü sübut etmək, uyğunluq proseslərini və mədəniyyətini yaxşılaşdırmaq.

2) Yoxlamaların taksonomiyası (nə və kim)

TipKim aparırFokusDövrilik
Daxili auditIn-house Internal Audit/ComplianceSiyasət, Proseslər, SoD, Loging, Hesabatrüb/yarım il
Xarici müstəqilLaboratoriyalar/audit firmalarıRNG/RTP/dəyişkənlik, təhlükəsiz. və proseslərİllik/buraxılış zamanı
Tənzimləyici yoxlamaLisenziar/nəzarətTam kəsim: oyunlar, ödənişlər, RG/AML/Privacycədvəl/qəfil
Tematik auditDomenləKYC/AML, RG, Privacy/GDPR, PCI DSShər il/dəyişiklik
İT/TəhlükəsizlikSec/IT AuditAccess, change-management, DevOps, DR/BCPhər il/hadisədən sonra

3) Audit sahəsi (scope)

Oyunlar: RNG, RTP, versiya nəzarəti, dəyişməz qeydlər.
Ödənişlər: marşrutlaşdırma, geri qaytarmalar, chargeback, Net Loss, limitlər.
KYC/AML: prosedurlar, sanksiyalar siyahıları/RER, cases və SAR/STR.
Responsible Gaming: limitlər, zaman aşımları, özünü istisna, Reality Checks.
Privacy/GDPR/CCPA/LGPD: DPIA, emal əsasları, saxlama müddəti, subyektlərin hüquqları.
Təhlükəsizlik/İT: RBAC/ABAC, SoD, jurnallaşdırma, CI/CD, sirləri, DR/BCP.
Marketinq/CRM/Affiliates: suppression, razılıq, müqavilə qadağaları.

4) Standartlar və metodik baza

ISO 19011 - audit prinsipləri və aparılması (planlaşdırma → hesabat → follow-up).
ISO/IEC 27001/27701 - Təhlükəsizlik/Məxfiliyin idarə edilməsi (nəzarət tədbirləri).
PCI DSS - PAN/kartları emal edirsinizsə.
GLI-11/19, ISO/IEC 17025 - test laboratoriyaları ilə birlikdə.
«Üç müdafiə xətti» çərçivəsi - 1) proses sahibləri, 2) risk/komplayens, 3) müstəqil audit.

5) Audit həyat dövrü

1. Planlaşdırma: scope/meyarların müəyyən edilməsi, risk xəritəsi, artefaktların siyahısı, NDA və giriş.
2. Sahə işləri: müsahibələr, gəzinti, nəzarət testləri, nümunələr, log/sistemlərin yoxlanılması.
3. Konsolidasiya: faktların fiksasiyası, uyğunsuzluq reytinqi (High/Med/Low), hesabat layihəsi.
4. Hesabat: nəticələr, sübutlar, tövsiyələr, aradan qaldırma müddətləri.
5. CAPA (Corrective and Preventive Actions): Düzəlişlər və təkrar halların qarşısının alınması planı.
6. Follow-up: CAPA-nın icrasını yoxlamaq, nöqtələri bağlamaq.

6) Sübut və nümunələr

Dəlillər (evidence): siyasət/prosedurlar (son versiyalar), parametrlərin ekran görüntüləri, jurnalların boşaldılması (WORM), binaların hash məbləğləri, change management biletləri, təlim aktları, hadisə protokolları, DPIA, razılıq reyestrləri, AML/RG hesabatları.

Nümunə:
  • RNG/RTP - statistik nümunələr ≥ 10 ⁶ nəticə (və ya razılaşdırılmış həcm/dövr).
  • KYC/AML - 60-100 case/mənbələrə izləmə dövrü təsadüfi nümunə.
  • Privacy - 20-50 subyektlərin sorğuları (DSAR), SLA-nın yoxlanılması və cavabların tamlığı.
  • Payments - 100-200 ssenari əməliyyatları (depozit/çıxarış/chargeback/bonus).
  • RG - 50-100 limit/time-out/özünü istisna + suppression-jurnallar.

Saxlama zənciri (chain of custody): mənbə, vaxt, bütövlük nəzarəti (hash, imzalar).

7) Uyğunsuzluq və CAPA reytinqləri

SəviyyəMeyarBağlanış müddətiNümunə
HighQanunun/lisenziyanın pozulması, oyunçulara zərər riski15-30 günözünü istisna suppression yoxdur
MediumNəzarət/Proses uğursuzluğu45-60 günRBAC review keçid
LowSənəd dövriyyəsi/minor qüsurlar90 günKöhnəlmiş siyasət şablonu

CAPA şablon: problemin təsviri → kök səbəbi → hərəkətlər (korrekter/qarşısının alınması) → sahibi → müddət → KPI effekti → evidence bağlanması.

8) RACI (rollar və məsuliyyət)

RolMəsuliyyət
Audit Lead (Internal/External)Plan, scope, metodika, müstəqillik
Process OwnersArtefaktların verilməsi, düzəlişlər
Compliance/Legal/DPOMeyarlar, hüquqi çərçivə, DPIA, tənzimləyicilər
Security/IT/DevOpsAccess, jurnallar, CI/CD, DR, WORM
Data/ML/RiskRG/AML metriklər, modellər və reason-codes
Finance/PaymentsƏməliyyatlar, çarjbeklər, hesabatlar
Support/CRM/MarketingSkriptlər, suppression, razılıq

9) Auditə hazırlıq yoxlama siyahısı

Sənədlər və siyasətlər

  • Siyasət və prosedurların versiyalarının siyahısı (sahibləri/tarixləri ilə).
  • DPIA/Records of Processing/Retenshn-data matrisi.
  • RG/KYC/AML/Privacy/Incident/Change/Access/Logging siyasəti.

Texniki artefaktlar

  • WORM-log saxlama (oyunlar/ödənişlər/girişlər/dəyişikliklər).
  • CI/CD-artefaktlar: SBOM, hash binaları, imzalar, release notes.
  • RBAC/ABAC reyestr, SoD-nəzarət, giriş review nəticələri.
  • DR/BCP planları və təlimlərin nəticələri.

Əməliyyatlar

  • Kadr təlimləri və attestasiya reyestri (RG/AML/Privacy).
  • Hadisə və post-moremlər jurnalı.
  • SLA ilə məlumat subyektlərinin sorğu reyestri (DSAR).

10) Playbook: yerində yoxlama (onsite) və uzaqdan (remote)

Onsite:

1. Brifinq, çağırış və marşrutun razılaşdırılması.

2. Tur iş/server otağı (mümkünsə), fiziki yoxlama. ölçü.

3. Müsahibə + canlı demo nəzarət, prod/replika nümunələri.

4. Gündəlik wrap-up, əvvəlcədən rəy.

Remote:
  • Giriş read-only panel/dashboard, qorunan fayl mübadiləsi, sessiyaları qeyd, time-boxed slots.
  • Artefaktların əvvəlcədən yüklənməsi, oynatma skriptləri.
Rabitə:
  • Vahid əlaqə nöqtəsi, sorğuların izlənməsi (ticketing), sübut SLA (adətən T + 1/T + 2 iş günü).

11) Xüsusi ssenarilər: «dawn raid» və plandankənar yoxlamalar

Hazırlıq: hüquqi brif, əlaqə siyahısı (Legal/Compliance), auditor müşayiət qaydaları, məlumatların məhv edilməsi/dəyişdirilməsi qadağası (legal hold).
Prosedur: mandat/sertifikatların yoxlanılması, götürülən məlumatların surətlərinin qeydiyyatı, Legal-ın mövcudluğu, bütövlük jurnallarının surətləri.
Sonra: daxili araşdırma, rabitə bordu/tərəfdaşlar, CAPA.

12) Uyğunluq və müşahidə arxitekturası

Compliance Data Lake: hesabatların, qeydlərin, sertifikatların, DPIA, metriklərin mərkəzləşdirilmiş saxlanması.
GRC platforması: risk, nəzarət, audit və CAPA reyestri, resertifikasiya təqvimi.
Audit API/Tənzimləyici Portal: xarici auditorlar/tənzimləyicilər üçün idarə olunan giriş.
Immutability: WORM/obyekt anbarı, Merkle-hash zəncirləri.
Dashbord: RTP drift, Self-Exclusion suppression accuracy, Time-to-Enforce limitləri, KYC SLA.

13) Audit yetkinlik metrikası (SLO/KPI)

MetrikaHədəf dəyəri
On-time Evidence Delivery≥ 95% SLA sorğuları
High-Findings Closure100% vaxtında CAPA
Repeat Findings Rate<10% period-period
RTP Drift Alarms InvestigatedT + 5 gün 100%
Access Review Coverage100% rüblük
Training Completion≥ 98% kritik proqramlar üzrə
Audit Readiness Score≥ 90% (daxili. şkalası)

14) Auditor hesabatının şablonu (struktur)

1. CV rəhbəri (Executive Summary).
2. Sahə və meyarlar.
3. Metodologiya və nümunə.
4. Müşahidələr/uyğunsuzluqlar (dəlil istinadları ilə).
5. Risk qiymətləndirilməsi və prioritetlər.
6. Tövsiyələr və CAPA planı (razılaşdırılmış vaxt/sahibləri).
7. Proqramlar: artefaktlar, jurnallar, heşlər, ekran görüntüləri, müsahibə reyestri.

15) Tez-tez səhvlər və onlardan necə qaçmaq olar

Qeyri-aktual siyasətlər/versiyalar → mərkəzləşdirilmiş registr, xatırlatmalar.
No WORM/saxlama zənciri → faktları sübut etmək mümkün deyil; immutability tətbiq edin.
Zəif SoD/RBAC → giriş və jurnalların rüblük review.
Heç bir CAPA intizam → sahibləri/vaxt/bağlanma sübut.
Məlumatların uyğunsuzluğu (RTP/hesabatlar/kataloq) → avtomatik yoxlama və alertlər.
Audit → playbook və təlim ad-hoc reaksiya (table-top).

16) Yol xəritəsi (6 addım)

1. Siyasət və metodika: audit standartını, risk miqyasını, hesabat formatlarını qəbul etmək.
2. Nəzarət inventarı: proseslər və domen nəzarəti xəritəsi.
3. Sübut arxitekturası: WORM, Compliance Data Lake, Audit API.
4. GRC & təqvim: audit/resertifikasiya cədvəli, CAPA reyestri.
5. Təlim/məşq: rol təlimləri, «dawn raid» simulyasiya, table-top.
6. Davamlı təkmilləşdirmə: metrik monitorinq, retrospektivlər, təkrar axtarışların azaldılması.

Yekun

Audit və yoxlama prosedurları birdəfəlik hadisələr deyil, sübut edilə bilən uyğunluğun daimi konturudur: aydın sürüşmə, keyfiyyət sübutları, CAPA nizam-intizamı, immutable qeydlər, tənzimləyicinin səfərlərinə hazırlıq və şəffaf metriklər. Bu yanaşma riskləri azaldır, lisenziyaları gücləndirir və məhsul və markanın sabitliyini artırır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.