Audit çeklistləri və revyu

1) Təyinat

• komandalar və dövrlər arasında yoxlamaların müqayisəsi;
• nəticələrin tamlığı və sübutu;
• düzəlişlərin şəffaf idarə edilməsi (CAPA) və təkrar yoxlamalar.

2) Rollar və RACI

Owner: Head of Compliance/Head of Internal Audit - metodologiya, çeklistlərin versiyaları. (A)

Process Owners (1-ci xətt): self-assessment, artefaktlar, CAPA. (R)

Compliance/InfoSec/AML/RG (2-ci xətt): peer-review, co-auditlər, normaların şərhi. (R/C)

Internal Audit (3-cü xətt): müstəqil revyu, reytinqlər, follow-up. (R)

Management (Exec Sponsor): CAPA-da nəticələrin və resursların təsdiqlənməsi. (A/C)

3) Review növləri

1. Self-Assessment (SA): aylıq/rüblük qısa siyahılar üzrə proseslərin sahibləri tərəfindən.
2. Peer-Review (PR): qonşu komanda (maraqlar toqquşması olmadan) çapraz yoxlama.
3. Management Review (MR): rübdə bir dəfə - KPI/KRI, trendlər və qapalı olmayan CAPA-ların icmalı.
4. Internal Audit Review (IA): IA planı üzrə müstəqil yoxlama.
5. External-Audit Readiness (EAR): sertifikatlaşdırma/yoxlamalara hazırlıq (ISO/SOC/PCI/tənzimləyici).

4) Çeklistin ümumi qaydaları

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
• Severity uyğunsuzluqlar: S1 kritik/S2 yüksək/S3 orta/S4 aşağı.
• Materialiti: pul effekti (GGR/NGR), müştərilərin əhatə dairəsi/PII, lisenziya/cərimələr riski, oyunların dürüstlüyünə təsir.

5) Çeklistlərin kataloqu (nəzarət məntəqələri olan skeletlər)

CL-KYC-01 — KYC/KYB

• Yoxlama siyasəti və səviyyələri təsdiq və aktualdır.
• KYC provayderlərinin mövcud müqavilələri/DPA var.
• SLA yoxlama (D-1 metrikası).
• Sənədlər retensiuma uyğun olaraq saxlanılır; giriş - RBAC.
• Uğursuzluqlar/eskalasiya sənədləşdirilmişdir; normal FP payı.
• Tərəfdaşlar üçün KYB: aktual çıxarışlar/benefisiarlar.

Sübut: KYC status boşaltma, DPA reyestri, giriş jurnalı, 25 iş sample.

CL-AML-02 — AML/CFT

• Yenilənmiş AML siyasəti və risklərin hesablanması metodologiyası.
• On-boarding və periodik RER/sanksiyalar yoxlamalar.
• SAR/STR vaxtında göndərilir; qəbul təsdiq var.
• Araşdırmaların keyfiyyəti: tamlıq, vaxt, bağlanış.
• Monitoring rules velocity/structuring/qatır əhatə edir.
• Test «no tipping-off»: SAR-da heç bir müştəri bildirişi yoxdur.

Sübut: SAR/STR halları, sanksiya yoxlamalarının qeydləri, işlərin bağlanması vaxtı ilə bağlı hesabatlar.

CL-RG-03 - Məsuliyyətli oyun

• Limitlərin/öz-özünə istisnaların reyestri sinxronlaşdırılmışdır (reyestr/nats. sistem).
• Boşluq tetikleyiciləri → SLA-da əlaqə; kommunikasiya şablonları.
• Müdaxilələrin effektivliyi ölçülür və təhlil edilir.
• Reklam/bonuslar bazar məhdudiyyətlərinə uyğundur.
• RG-insidentlər və tənzimləyiciyə bildirişlər - vaxtında.

Sübut: self-exclusion log, communic. şablonlar, outreach metrik.

CL-PCI-04 - Ödənişlər/PCI

• PCI seqmentasiyası və PAN/CHD inventarı aktual vəziyyətdədir.
• Tokenization/transit şifrələmə/at-rest; açarları fırlanır.
• Astanalarda PSP ilə Auth-rate/decline/latency; fallback marşrutları.
• Chargeback prosesi və mübahisələr üçün sübut bazası.
• ASV scan boşluqları vaxtında aradan qaldırılır.
• Ödəniş zonasına giriş jurnalları - tam və dəyişməz.

Sübut: şəbəkə diaqramları, ASV hesabatları, chargebacks, əsas KMS siyasəti.

CL-GAMES-05 - Oyun provayderləri/dürüstlük

• Müqavilələr və texniki. spesifikasiyalar aktualdır; RNG/bild versiyaları - reyestrdə.
• RTP-drift monitorinq və reaksiya həddi; freeze proseduru müəyyən edilmişdir.
• round/session/cüzdan balans sinxronizasiya.
• Provayder hadisələri: time line, fiksasiya, oyunçulara kompensasiya.
• Dürüstlük/RTP tənzimləyicisinə hesabatlar - təqdim edildi və təsdiqləndi.

Sübut: RTP boşaltma, provayderin API qeydləri, freeze-biletlərin nümunələri.

CL-REP-06 - Tənzimləyici hesabat

• Son tarix təqvimi: «hazır/göndərildi/qəbul edildi» statusları.
• Verilənlər sxemləri versiyalaşdırılır; fayllar imzalı/hashes ilə.
• Reconciliation: cüzdan, PSP, GL, uyğunsuzluqlar olmadan> X%.
• Qəbul təsdiqləri (ID/qəbzlər) saxlanılır və artefaktlarla əlaqələndirilir.
• Lokalizasiya/dil müşahidə olunur.

Sübut: Dashboard deadline, qəbzlər, SQL-yoxlama.

CL-INC-07 - Hadisələr/bildirişlər

• TTS (ilk mesaj) SLA S1/S2.
• DPA/tənzimləyicilərə/PSP/CERT bildirişləri - vaxtında, təsdiqlərlə.
• Artefaktların tamlığı: time line, qeydlər, mesajlar, toxunulan siyahılar.
• Retro ≤ 7 gün, CAPA qeydiyyatdan və hərəkət edir.
• Oyunçulara kompensasiya siyasətə uyğun olaraq hesablanır.

Sübut: hadisə jurnalı, status-səhifə, artefakt paketləri.

CL-GDPR-08 — GDPR/PII

• Emal reyestri (RoPA) aktualdır; hüquqi əsaslar doğrudur.
• DSAR 30 gün ≤ bağlanır; gecikmələr izah olunur.
• DPIA yüksək riskli proseslər üçün hazırlanmışdır.
• Boşaltma və hesabatlarda təxəllüs/maskalama.
• prosessorlar və SCC ilə müqavilələr qüvvədədir.

Sübut: RoPA, DSAR jurnalı, DPIA, hesabatlarda maska nümunələri.

CL-ITGC-09 - Ümumi İT nəzarəti

• Dəyişikliyin idarə edilməsi: PR prosesi, testlər, approvals, separation of duties.
• Accessories: RBAC/ABAC, dövri reviziya, off-boarding ≤ 24 saat.
• Ehtiyat/bərpa, dövri DR testləri.
• Audit qeydləri dəyişməz, retensiya müşahidə olunur.
• Müşahidə: SLO/səhv büdcələr, kritik metriklər üçün risklər.

Sübut: PR nümunələri, IAM qeydləri, DR test hesabatları, retensiya siyasəti.

6) Seçmə və sübut metodikası

Ölçü: əməliyyatların həcminə və riskə diqqət yetirin (məsələn, min 25, pps/böyük massivlər üçün stratifikasiya).
Metodlar: təsadüfi, sistemli, istiqamətləndirilmiş (anomaliyalar/regional hallar), zirvə dövrlərinə görə.
Yetərlilik: əsas nəticə üçün ən azı 2-3 müstəqil mənbə (qeydlər, ekran görüntüləri, boşaltmalar, biletlər).
İzlənilebilirlik: çek siyahısının hər bir nöqtəsi - reyestrdə ID və linki olan sübut.

7) Review reytinq rubrikatoru

Effective - nəzarət dizayn və sabit işləyir, heç bir uyğunsuzluq S1/S2.
Generally Effective (təkmilləşdirmələrlə) - S3/S4 var, lakin risklər nəzarət altındadır.
Partially Effective - sistemli S2; yüksək qalıq risk.
Ineffective - S1/S2 çoxluğu; dərhal bərpa planı tələb olunur.

8) CAPA и follow-up

Hər finding üçün: kök → hərəkət → sahibi → müddət → uğur metrikası.
SLA bağlama: S1 - ≤ 30 gün; S2 - ≤ 60 gün; S3 - ≤ 90 gün; S4 - razılaşma əsasında.
Doğrulama: Auditor tətbiqetmənin sübutlarını tətbiq edir (screen/log/siyasət), statusunu Verified-ə dəyişir.
Eskalasiya: S1/S2 gecikmələri - həftəlik MR, rüblük Audit Komitəsinə.

9) İş artefaktları (şablonlar)

9. 1 Çeklist (yoxlama vərəqi)

9. 2 Finding Card

Kod Başlıq Fakt Meyar Risk/təsir Səbəb (root cause) Tövsiyə S-səviyyə.

9. 3 CAPA Sheet

Finding → Addımlar → Sahibi → Son tarix → Metrika/Hədd → Sübut → Status → Yoxlama tarixi.

9. 4 PBC siyahısı (Provided By Client)

Sorğu → Format → Mənbə → Məsul → Son tarix → Qəbul (tarix) → Şərhlər.

10) Daşbord revyu

Coverage: Bir müddət ərzində ağlayan proseslərin% -i.
Findings by Severity: S1-S4 paylanması.
CAPA Progress: tamamlandı/işdə/vaxtı keçmiş; media bağlanış vaxtı.
Repeat Findings: 12 aylıq təkrarların payı.
Timeliness: SA/PR/MR/IA qrafikinə riayət.
Effectiveness Trend: sahələr üzrə reytinq dinamikası.

11) Təqvim və tezliklər

Monthly: SA KYC/Payments/GDPR DSAR, insidentlər/bildirişlər.
Quarterly: bütün istiqamətlər üçün AML/RG/Providers/Reporting, MR PR.
Semi-Annual/Annual: Yüksək risk zonaları üzrə IA; Sertifikatlaşdırma/yoxlamadan əvvəl EAR.

12) «Sürətli başlanğıc» çek-kartları (hər biri 7 bal)

KYC (7-point): Provayderlər/DPA SLA Növbə Siyasəti> SLA RBAC uğursuzluqlar/eskalasiya FP hesabatı.
AML (7-point): RER siyahıları/SAR sanksiyaları vaxt Keyfiyyət araşdırmaları Velocity/structuring No tipping-off Caseboard KPI təlimləri.
RG (7-point): Register/sinxronizasiya SLA-da Əlaqə Effektivliyi Məhdudlaşdırıcı Reklam Şikayətlər Insidentlər Tənzimləyiciyə Hesabatlar.
PCI (7-point): Seqmentasiya Key/Rotation ASV/Vuln Access Jurnals Tokenization Chargebacks Fallback PSP.
Games (7-point): RTP-drift Freeze proseduru Balans-sinxronları Provayder insidentləri RNG/Bild versiyası Dürüstlük Hesabatları SLA API.
Reporting (7-point): Təqvim Sxemlər/Versiyalar İmza/Hash Reconciliation Dil/Lokal DQ-metrik Qəbz.
Incidents (7-point): Retro CAPA Daşbord Kompensasiya Artefaktların Dolğunluğu vaxtında TTS Bildirişlər.

13) Tez-tez səhvlər və onlardan necə qaçmaq olar

Heç bir dəlil olmadan çeklistlər → bütün maddələr artefakt ID tələb edəcək.
Materiality → yoxlama kartındakı eşikləri qeyd edin.
SA/PR/IA → razılaşdırılmış təqvim və vahid sorğu reyestri (PBC).
Əməliyyat testləri olmadan «Sənəd Mərkəzçiliyi» → həmişə əməliyyatlar nümunə götürün.
Ölçü olmadan CAPA → ölçülebilir nəticələr (məsələn, DSAR ≤ 30 gün ≥ 98%).

14) Tətbiq planı (30 gün)

Həftə 1

1. Metodologiyanı və reytinq şkalasını təsdiq edin.
2. 8 əsas çeklist yaratmaq (CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR).
3. Artefaktların reyestrini və PBC/Finding/CAPA şablonlarını qurun.

Həftə 2

4. 2 prosesdə SA pilotu və 1 prosesdə PR keçirmək.
5. Dashboard review və CAPA jurnalını konfiqurasiya edin.
6. «Dəlillər və nümunələr» üzrə təlim vermək.

Həftə 3

7. Ən yaxın sertifikatlaşdırma/yoxlama üzrə EAR sessiyası.
8. Rüblük MR/IA qrafikini razılaşdırın.
9. Materialit eşiklərini və seçmə ölçülərini düzəldin.

Həftə 4

10. v1 buraxın. 0 çeklistlərin kataloqu və təqvim xəritələri.
11. Retro pilotu keçirmək, çeklistlərin versiyalarını yeniləmək (v1. 1).
12. Proses sahiblərinin KPI-sinə review daxil edin.

15) Əlaqəli bölmələr

Daxili audit və xarici audit

Tənzimləyici hesabatlar və məlumat formatları

Qanun pozuntuları və hesabat müddətləri barədə bildirişlər

Dashboard komplayens və monitorinq

Hadisə pleybukları və ssenarilər

Böhran idarəetmə və kommunikasiya