GH GambleHub

Daxili audit və xarici audit

1) Məqsəd və sahə

Əməliyyat və Komplayens proseslərinin sistemli, müstəqil və təkrarlanabilir nəzarətini təmin etmək: lisenziyalara/qanunlara uyğunluq, maliyyə və əməliyyat hesabatlarının etibarlılığı, risklərə nəzarət effektivliyi (KYC/AML/RG, GDPR/PII, ödənişlər/PCI, oyunların dürüstlüyü, IB, marketinq/affiliates, provayderlər). Bölmə prinsipləri, rolları, metodologiyasını, yoxlamaların proqramlaşdırılmasını, hesabatların formatını və uyğunsuzluqların bağlanması qaydasını müəyyən edir.

2) Prinsipləri və «üç müdafiə xətti»

1-ci xətt: Proses sahibləri (Əməliyyatlar, Ödənişlər, Oyun Provayderləri, Marketinq/Affiliates, Dəstək) - day-to-day risklərini idarə edirlər.
2-ci xətt: Komplayens/Risk/Təhlükəsizlik/DPO - siyasət, monitorinq, məsləhət, icraya nəzarət.
3-cü xətt: Daxili audit (IA) - nəzarətin adekvatlığı və səmərəliliyinin müstəqil qiymətləndirilməsi; Müşahidə Şurasına/Audit Komitəsinə hesabat verir.
Xarici audit (EA): müstəqil üçüncü tərəflər - maliyyə hesabatları, sertifikatlaşdırma (ISO/SOC/PCI), tənzimləyici yoxlamalar.

Prinsiplər: müstəqillik, obyektivlik, sübut, məxfilik, risk və dəyərlərə diqqət, şəffaflıq və izlənilebilirlik.

3) IA vs EA ayırma

MeyarDaxili audit (IA)Xarici audit (EA)
HesabatlılıqAudit Komitəsi/ŞuraSəhmdarlar/Tənzimləyicilər/Sertifikat. orqanlar
MəqsədProseslərin və nəzarətin yaxşılaşdırılmasıRəy/uyğunluq sertifikatı
HəcmRisk yönümlü, çevikStandart/kontrakt üzrə sabit
Tezlikİllik plana görə + ad-hocHesabat/sertifikatlaşdırma təqvimi üzrə
NəticəReytinqli hesabat və CAPANəticə/sertifikat/menecmentə məktub

4) Rollar və RACI

Head of Internal Audit (IA Lead) - strategiya, müstəqillik, plan/reportinq. (A)

Internal Auditors - sahə yoxlamaları, iş sənədləri, nəticələr. (R)

Process Owners (1-ci xətt) - məlumatların/artefaktların verilməsi, CAPA. (R)

Compliance/InfoSec/AML/RG (2-ci xətt) - co-auditlər, metodoloqlar. (C/R)

CFO/Controller - maliyyə müqaviləsi, GL, yoxlama. (C)

Legal/DPO - normaların şərhi, PII və retensiya. (C)

Audit Committee - IA planını təsdiqləyir, hesabatları qəbul edir, müstəqilliyə nəzarət edir. (A)

External Auditors/Assessors - EA keçirir; NDA artefaktlarına giriş. (I/R müqavilə üzrə)

5) Risk yönümlü planlaşdırma (Annual Audit Plan)

1. Risk reyestri: ehtimal × təsir (maliyyə/GGR, lisenziyalar, reputasiya, oyunçuların təhlükəsizliyi).
2. Proses xəritəsi: ödənişlər/PSP, cüzdan, KYC/AML/KYB, RG, oyun provayderləri/RTP, marketinq/affiliates, IB/GDPR, insidentlər/bildirişlər, tənzimləyici hesabatlar.
3. Prioritet matrisi: High/Medium/Low → periodikliyi (kv. il/yarım il).
4. Skope: məqsədlər, meyarlar, prosedurlar, nümunələr, resurslar, vaxt, asılılıq.
5. Təsdiq: Audit Komitəsi illik planı təsdiq edir; S1/S2 hadisələrdə ad-hoc icazə verilir.

6) Metodologiya: audit mərhələləri

A. Planning: sənəd sorğusu, prosesi başa düşmək, nəzarət dizaynının qiymətləndirilməsi, risk qiymətləndirilməsi, test proqramı.
B. Sahə mərhələsi (Fieldwork): müsahibə, gəzinti, dizayn/operativlik testləri, analitik prosedurlar, artefaktların yoxlanılması, nümunələr.
C. Nəticələr və reytinq: faktların meyarlarla müqayisəsi; findings təsnifatı.
D. hesabat: layihə → faktların əlaqələndirilməsi → final → menecmentə/komitəyə təqdimat.
E. CAPA və Follow-up: düzəliş/xəbərdarlıq tədbirləri planı, icraya nəzarət, yoxlama.

7) Sübut və nümunələr

Sübut növləri: sənədli (siyasət, log, biletlər), fiziki (ekran görüntüləri, konfiqurasiyalar), şifahi (müsahibələr), analitik (müqayisələr, trendlər).
Keyfiyyət: yetərlilik (həcm), uyğunluq (müvafiq), etibarlılıq (mənbə).
Nümunələr: təsadüfi, sistemli, yönlü (risk-based), anomaliyalar üzrə; ölçüsü ümumi məcmunun riski və həcmi ilə müəyyən edilir.
İzlənilebilirlik: hər nəticə testlə bağlıdır, test - sübut ilə (unikal ID); «sonlu nömrələmə».

8) Uyğunsuzluqların təsnifatı və reytinqlər

Kritik (S1): lisenziya/qanun riski/əhəmiyyətli maliyyə zərər/PII-breach. Dərhal hərəkət, Komitə/Şuraya hesabat tələb olunur.
High (S2): əhəmiyyətli nəzarət qüsuru; düzəliş üçün qısa SLA.
Orta (S3): məhdud qüsur; düzəlişlər planı.
Low (S4): təkmilləşdirmə/müşahidə (optimallaşdırma).

Audit prosesinin reytinqi: Effective/Generally Effective with Improvements/Partially Effective/Ineffective.

9) İş sənədləri və retensiya

Working Papers: proqram, nəzarət vərəqələri, nümunələr, müsahibə protokolları, sübutlar, hesablamalar, nəticələr.
Dizayn standartları: indeks, versiya, sahibi, tarix, artefaktlara hiperlinklər, dəyişikliklərə nəzarət.
Gizlilik və PII: RBAC girişi, gizli saxlama, həssas sahələrin maskalanması.
Saxlama müddəti: lisenziya/tənzimləyicilər tələb edirsə, siyasət (adətən 5-7 il) və ya daha uzun.

10) Yoxlama mövzuları (IA kataloqu)

1. Ödənişlər/PSP/PCI: auth/decline/chargebacks, PAN təxəllüsləri, giriş jurnalları, təchizatçı reyestri.
2. KYC/AML/KYB: tam və dəqiqlik KYC, RER/sanksiyalar, SAR/STR vaxt, keyfiyyətli araşdırmalar, cases.
3. Məsuliyyətli oyun (RG): limitlər/özünü istisna etmələr, əlaqə prosedurları, müdaxilələrin effektivliyi, reklam məhdudiyyətləri.
4. GDPR/PII/DPO: emal reyestri, DSAR, məxfilik hadisələri, prosessorlarla müqavilələr.
5. Oyun provayderləri/dürüstlük: RTP drift, raund hadisələri, balans sinxronizasiyası, RNG/binaların versiyalaşdırılması.
6. Marketinq/Affiliates: yaradıcı/məqsədli məhdudiyyətlərə riayət etmək, atributlar, müqavilələr, ödənişlər.
7. Hadisə prosesləri: Bəyanatdan əvvəl vaxt (TTS), tənzimləyicilərə vaxtında bildiriş, artefaktların tamlığı.
8. Tənzimləmə hesabatı: sxemlər, müddətlər, DQ, GL/PSP ilə müqayisə.
9. İT nəzarət/IB: Access, SOD, dəyişikliklər/buraxılışlar, audit jurnalları, backup, DR/BCP təlimləri.

11) IA hesabat formatı (şablon)

İcra xülasəsi: həcm, məqsədlər, reytinq, əsas nəticələr və risk.
Kontekst: proses/sistem/yurisdiksiya, dövr, tətbiq olunan tələblər.
Metodologiya və məhdudiyyətlər (əgər varsa).
Prioritet haqqında ətraflı nəticələr: fakt → meyar → risk → təsir → tövsiyələr.
Cədvəl CAPA: sahibi, addımlar, şərtlər, uğur metrik.
Tətbiqlər: nümunələr, diaqramlar, sübut reyestri, sözlük.

12) Xarici audit ilə qarşılıqlı əlaqə (EA)

Maliyyə hesabatı: GL hazırlığı, yoxlama, PSP/banklardan/provayderlərdən təsdiqlər, idarəetmə məktubları.
Sertifikatlaşdırma/uyğunluq qiymətləndirmələri: ISO 27001/9001, SOC 2, PCI DSS, sənaye tənzimləyici yoxlamalar.
IA rolları: pre-assessment (gap-analiz), sorğuların müşayiəti, CAPA sürətləndirilməsi, təkrarlanmamaq.
Şəffaflıq: artefaktların vahid vitrini, ziyarət təqvimi, giriş qaydaları, NDA.
Rabitə: «EA readiness» müntəzəm stendləri, giriş nöqtəsi - Audit Coordinator.

13) CAPA və icrasına nəzarət

CAPA planı: konkret addımlar, metrika, sahibi, müddət, asılı sistemlər/komandalar.
Doğrulama: tətbiq sübutları (skrinşotlar, qeydlər, siyasətlər, test nəticələri), tarix, məsul auditor.
Eskalasiya: S1/S2 - Komitəyə məcburi yeniləmə; gecikmələr - daşbordun «qırmızı zonası».
Risk qiymətləndirməsinin dəyişdirilməsi: uğurlu CAPA-dan sonra - qalıq risk və yoxlama tezliyinin yenidən nəzərdən keçirilməsi.

14) Daşbord auditi (idarəetmə nəzarəti)

Plan statusu: kvartallar və istiqamətlər üzrə tamamlanma%.
Findings portfeli: ciddiliyə və gecikmələrə görə.
CAPA progress: tamamlandı/işdə/gecikmiş, media bağlanış vaxtı.
Proseslərin istilik xəritəsi: CAPA-dan əvvəl/sonra nəzarət riski/effektivliyi.
Təkrarlanan aşkarlamalar: sistem problemlərinin göstəricisi.

15) Etik tələblər və müstəqillik

Maraq toqquşmaları: auditorlar əvvəlki əməliyyat fəaliyyətlərini 12 aya ≤ audit etmirlər; münaqişələrin bəyannaməsi.
Məlumatlara giriş: yalnız «minimal zəruri» prinsipi ilə; şəxsi PII kopyalamaq qadağası.
Rabitə: neytral ifadələr, «ittiham» tonun olmaması; təfsir əvvəl faktlar.

16) Çek vərəqləri

Auditin başlanması

  • Hədəflər/meyarlar/sərhədlər müəyyən edilmişdir.
  • Artefaktlar tələb olunur və alınır, formatlar/şərtlər razılaşdırılır.
  • Müstəqillik təsdiqləndi, heç bir münaqişə yoxdur.
  • Test və nümunə proqramı təsdiq edilmişdir.

Sahə mərhələsi

  • walkthrough və key-roles ilə müsahibə.
  • Dizayn və əməliyyat effektivliyi testləri.
  • ID/linklərlə sübut reyestri yaradılıb.
  • Proses sahiblərinə aralıq brif (finalda sürprizsiz).

Hesabat və CAPA

  • Faktlar razılaşdırılır, mübahisəli məqamlar həll edilir.
  • Nəticələr təsnif edilir (S1-S4), risk/təsir qiymətləndirilir.
  • Sahibləri və şərtləri ilə CAPA planı təsdiq edilmişdir.
  • Follow-up tarixləri təqvimə daxil edilmişdir.

17) Artefakt şablonları (sürətli əlavələr)

Request List (PBC): sənədlərin/boşaltmaların/giriş müddətlərinin siyahısı.
Test Sheet: nəzarət → prosedur → nümunə → nəticə → sübut → nəticə.
Finding Card: kod, başlıq, təsvir, risk, təsir, səbəb (root cause), tövsiyə, S-səviyyə, sahibi, müddət.
CAPA Sheet: addım, metrika, təsdiq artefaktları, tarix, yoxlanılır.

18) Tez-tez səhvlər və onlardan necə qaçmaq olar

IA və 2-ci xətt → müstəqillik pozuldu. Qərar: IA-nın birbaşa Komitəyə hesabatı.
Sübutların kifayət qədər izlənilməməsi → nəticələrin zəif qorunması. Həll: vahid reyestr və nömrələmə.
Risk və dəyəri qiymətləndirmək əvəzinə «uyğunsuzluq ovu». Həll: risk-fokus və prioritetləşdirmə.
Resurslar olmadan CAPA həddindən artıq yükləmə → gecikmə. Həll: SMART hədəfləri və WIP limiti.
Hesabatı yoxlayarkən keyfiyyət/təravət məlumatlarına məhəl qoymamaq. Həll: DQ-çek siyahısı.

19) Sürətli başlanğıc (30 gün ərzində tətbiq)

Həftə 1: IA xartiyasını (mandat/hesabatlılıq) təsdiq edin, risk qiymətləndirməsi aparın, illik planın layihəsini tərtib edin.
Həftə 2: Şablonları (PBC, Test/Finding/CAPA sheets) qurun, sübut reyestrini və status dashboard qurun.
Həftə 3:2 pilot «qısa forma» auditini (məsələn, PSP/PCI və RG/DSAR) keçirmək, hesabat vermək, CAPA qeydiyyatdan keçirmək.
Həftə 4: Pilotlar follow-up keçirmək, metodologiyanı düzəltmək, illik planı Komitənin təsdiqinə çıxarmaq, xarici audit/sertifikatlaşdırma cədvəlini razılaşdırmaq.

Əlaqəli bölmələr:
  • Tənzimləyici hesabatlar və məlumat formatları
  • Qanun pozuntuları və hesabat müddətləri barədə bildirişlər
  • Dashboard komplayens və monitorinq
  • Hadisə pleybukları və ssenarilər
  • Böhran idarəetmə və kommunikasiya
  • Biznes Davamlılıq Planı (BCP )/DRP
  • Əməliyyat audit jurnalları
Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.