GH GambleHub

Komplayens risk matrisi

1) Təyinat və əhatə

Məqsəd: iGaming-də komplayens risklərinin qiymətləndirilməsi və idarə edilməsini standartlaşdırmaq, lisenziyaların cərimələnmə/geri çağırılma ehtimalını azaltmaq və davamlı əməliyyatları təmin etməkdir.
əhatə: AML/CFT, KYC/KYB, sanksiyalar/RER, ödənişlər və bonus abuzları, Responsible Gaming (RG), məlumatların qorunması/PII, reklam/marketinq, tərəfdaşlar/affiliatlar/provayderlər, tənzimləyici hesabatlar.

2) Şkalalar və baza 5 × 5-matris

Ehtimal (L, 1-5):
  • 1 - çox nadir (≤ 1/il)· 2 - nadir (rüb)· 3 - vaxtaşırı (ay)· 4 - tez-tez (həftə)· 5 - çox tez-tez (günlər)
Təsir (I, 1-5):
  • Maliyyə: 1: <€5k· 2: €5-25k· 3: €25-100k· 4: €100-500k· 5:> €500k
  • Tənzimləyici: 1: fəaliyyət yoxdur· 2: sorğu· 3: göstəriş· 4: yüksək cərimə riski· 5: yüksək dayandırma/geri çağırma riski
  • Əməliyyatlar/nüfuz: 1: minimum·...· 5: kütləvi neqativ/axın

Yekun bal: R = L × I (1-25)

Zonalar və eşiklər:
  • 1-5 Yaşıl - icazə verilir, monitorinq.
  • 6-10 Sarı - azalma planı və sahibi.
  • 11-15 Orange - sürətləndirilmiş CAPA, hər həftə nəzarət.
  • 16-25 Qırmızı - təcili eskalasiya, körpü hadisəsi, lazım olduqda bildirişlər.

SLA eskalasiyalar (nümunə): Sarı - 24 saat· Narıncı - 4 saat· Qırmızı - 15 dəqiqə.

3) Komplayens risk kateqoriyaları (ssenarilər)

1. AML/CFT: smurfing, vasitələrin qarışdırılması, «qatırlar», structuring, bonuslar/cashouts vasitəsilə yuyulması.
2. Sanksiyalar/RER: yurisdiksiya məhdudiyyətlərindən yan keçmək, saxta təsadüflər, vaxtı keçmiş siyahılar.
3. KYC/KYB: sintetiklər, saxta sənədlər, proxy istifadəçiləri, uydurma tərəfdaşlar.
4. Ödənişli Freud/Bonus Abuz: Çarjbeklər, Multi-Akkounting, Təsərrüfat Cihazları, CPA-Freud Affiliates.
5. RG (məsuliyyətli oyun): limitlərin pozulması, zərərli oyun fəaliyyətinin işlənməmiş tetikleyiciləri.
6. Məlumatların qorunması/PII: sızmalar, qanunsuz emal, subyektlərin hüquqlarının pozulması, transsərhəd ötürmələr.
7. Reklam/marketinq: qadağan olunmuş auditoriyaya hədəfləmə, vicdansız promo, yerli qaydalara uyğunsuzluq.
8. Satıcılar/autsors: KYC provayderlərinin, hostinq tərəfdaşlarının, PSP-nin uğursuzluqları; subprosessor zənciri.
9. Tənzimləyici hesabatlar: gecikmələr, natamam hesabatlar, məlumatların uyğunsuzluğu.

4) Komplayens risk matrisi - təqdimat şablonu

KateqoriyaSsenariLIRZonaKRI/KPIEşikSahibiTədbirlərSLA
Sanksiyalar/RERSiyahıların yenilənməsindən sonra hit-rate və FPR artımı3412Orange. Hit-rate %, FPR %> 3% hit-rate və ya FPR> 12%Head of Complianceİkinci dərəcəli provayder, yüksək keyfiyyətli əl nümunəsi, qaydaların tənzimlənməsi4 saat
KYCLiveness sıçrayışı4312Orange. KYC fail %, TATfail%> 15% günKYC LeadEşik kalibrləmə, fallback provayder, əl cases4 saat
AMLAnormal nəticələr (bir kart/bir çox acc.)3515Orange. SAR/STR rate, Velocity> X çıxış/kart/günAML LeadDondurma, EDD, STR, limitlər1 saat
ÖdənişlərBölgə üzrə Chargeback-rate4416Qırmızı. CBR %, NFD %>1. 2%Payments/FRMSərtləşdirilmiş 3DS/AVS, hold, offboard sxemləri15 dəqiqə
RGÖzünü nəzarət limitlərini aşmaq3412Orange.% pozuntular, TTR> + 50% bazayaRG OfficerOyunçu əlaqə, vaxt limitləri/blok, hesabat4 saat
MəlumatlarPII hadisəsi (təsdiqləndi)2510Sarı ./Orange. #PII records, MTTR> 1000 qeydlərDPOEhtiyat, bildirişlər, CAPA24 saat/4 saat
ReklamPromo ilə bağlı tənzimləyicinin şikayəti248Sarı. Şikayətlər/100k baxış> × 2 bazalarıMarketing/LegalKreativin çıxarılması, düzəlişlər, hesabat24 saat

72 saat ərzində bildiriş tələb edən məlumat kateqoriyalarına toxunulursa - dərhal eskalasiya (qırmızı).

5) Metriklər (KRI/KPI) və hədd göstəriciləri

AML/Sanksiyalar/PEP:
  • 1k qeydiyyat Hit-rate sanksiyalar/RER; eşik:> 1. 5% (sarı),> 3% (kontekstə görə narıncı/qırmızı)
  • FPR sanksiyaları/RER; eşik:> 8% (sarı),> 12% (narıncı)
  • SAR/STR per 10k aktiv; Time-to-Review (TTR) alert
KYC/KYB:
  • KYC fail %, Liveness dropout %, avg TAT; həddi: fail%> 12% (sarı),> 15% (narıncı)
  • KYB: aktual benefisiarlar/skanlar olmadan tərəfdaşların faizi; eşik:> 3% (sarı),> 5% (narıncı)
Ödənişlər/pulsuz:
  • Chargeback Rate (CBR); eşik:> 0. 8% (sarı),> 1. 2% (qırmızı)
  • Net Fraud Loss % от GGR; eşik:> 0. 9% (narıncı)
RG:
  • Özünü açma payı; şikayət/1000 oyunçu; RG tetikleyiciləri ilə TTR
Məlumat/PII:
  • Backlog-da kritik zəifliklərin sayı; MTTD/MTTR insident; SLA-da məlumat subyektlərinin sorğuları
Reklam/marketinq:
  • Şikayətlər/100k baxış; moderasiya ilə rədd edilmiş kreativlərin payı; geo/yaş pozuntuları
Satıcılar/hesabat:
  • SLA komplayens provayderləri; tənzimləyici hesabatların gecikməsi; DWH hesabat məlumatları uyğunsuzluqları

6) Nəzarət xəritəsi və onların effektivliyi

Preventiv: sanksiya/RER-skrininq (ödənişlərdən əvvəl), 2FA/WebAuthn, limitlər, device-fingerprinting, geo-məhdudiyyətlər, yaşa görə reklam siyasəti/geo, yeni xüsusiyyətlər üçün DPIA.
Detektiv: real-time antifrod qaydaları, təkrarlanan sanksiyalar provayderi, SIEM/SOAR korrelyasiyaları, RG tetikleyiciləri, PII giriş log auditi.
Düzəlişlər: EDD/EDD +, hold/limitlər, çıxarışların dondurulması, promosyonun müvəqqəti bağlanması, tənzimləyicilərə/banklara bildirişlər, CAPA.

Effektivliyin qiymətləndirilməsi:
  • Coverage% (ssenarilərin əhatə dairəsi), FPR/FNR, qaydalar/modellər üçün Precision/Recall, TTR/MTTR, zonaların sərhədlərini keçən hadisələrin payı.

7) Risk-iştah və qəbul həddi

Risk Appetite Statement: azalma planları olduqda sarı zonada ümumi risk; narıncı/qırmızı - yalnız 30 gün ≤ müvəqqəti kompensasiya nəzarəti və çıxış planı ilə.
Decision Gates: EDD olmadan high-rollers> X nəticələri - qadağandır; qeyri-şəffaf tərəfdaşlar - stop; age-zəmanət olmadan reklam - stop.

8) Eskalasiya və kommunikasiya (playbook)

Tetikləyicilər: R ≥ 16; PII-hadisə; sanksiya işi high-value; CBR> eşik; RG-risk klasterləri.
Kanal: Bridge insidenti (Compliance + Security + Payments + Legal + PR + Ops).
Addımlar: 1) saxlama 2) miqyas təsdiqi 3) məcburi bildirişlər (yurisdiksiya üzrə) 4) CAPA planı 5) 72 saat post-mortem.

RACI:
  • Responsible: Kateqoriya sahibi (AML/KYC/RG/Privacy/Ads/Payments)
  • Accountable: Head of Compliance
  • Consulted: Legal, DPO, Security, SRE, Finance
  • Informed: C-level, Support/VIP, partnyorlar/PSP (lazım olduqda)

9) Risk reyestri - qeyd strukturu

ID· Kateqoriya· Ssenari· Səbəblər/boşluqlar· L· I· R· Zona· KRI/KPI· Eşik/Eskalasiya şərti· Cari/planlaşdırılan nəzarətlər· Sahibi (bizn ./tex.) · Status/SARA· Şərtlər· Yenidən baxılma tarixi

Nümunə:
ID: AML-012Kateqoriya: SanksiyalarScript: cashout əvvəl VIP PEP üst-üstə
L/I: 3 × 4 = 12 (narıncı)Eşik: hit-rate> 3% gün → eskalasiya
Nəzarət: ikinci provayder, əl yoxlama, hold T + 1
CAPA: fuzzy-matching qurmaq, manuel yoxlama qrupu öyrətməkMüddət: 14 gün

10) Domen nümunələri (mini playbook 'i)

A. AML/Sanksiyalar

Şərt: STR və sanksiya hitlərinin anormal artımı.
Hərəkətlər: ikinci dərəcəli provayderi daxil edin; siyahıları dəqiqləşdirmək; aşağı risk üçün həssaslığı azaltmaq/yüksək risk üçün gücləndirmək; klasterlər üzrə EDD keçirmək.

B. KYC/KYB

Şərt: liveness-fail> 15%.
Fəaliyyət: fallback keçid; VIP üçün əl axını; SDK/kamera yoxlama; müvəqqəti limitlər.

C. ödənişlər/abuz bonusu

Şərt: CBR> 1. 2% və ya çox hesablı sıçrayış.
Fəaliyyət: velocity/cihaz işarələri gücləndirmək; 3DS məcburi; bonuslar üçün limitlər; affiliatların post-campain auditi.

D. RG

Şərt: Oyunçular klasterində zərərli fəaliyyətin tetikləyiciləri.
Hərəkətlər: əlaqə/məsləhət, depozitlərin məhdudlaşdırılması, müvəqqəti bloklama, hərəkətlərin sənədləşdirilməsi.

E. data/PII

Şərt: təsdiqlənməmiş sızma.
Fəaliyyət: containment (açarlar/girişlər), forensika, DPIA, bildirişlər (lazım olduqda), məcburi post-mortem.

F. reklam

Şərt: Yetkinlik yaşına çatmayanların promosyonundan şikayət.
Fəaliyyət: ani off, mənbə/hədəf audit, siyasət yeniləmə, lazım olduqda tənzimləyici məlumat.

11) Vendorlar və üçüncü kontur

Onbordinqdən əvvəl: due diligence, sanksiyalar/RER, SOC2/ISO27001, DPIA/DTIA, DPA/SCCs.
Istismarda: SLA monitorinqi, insidentlər, alt prosessorlar, geo lokalizasiyası.
Offboarding: giriş geri çağırılması, məlumatların silinməsi/geri qaytarılması, bağlanma aktı.

12) Proseslərə inteqrasiya

CAB/Change-control: antifrod/komplayens qaydalarındakı dəyişikliklər KRI/FPR/FNR-ə təsir qiymətləndirməsi ilə CAB-dan keçir.
CI/CD: paylaynlarda uyğunluq testləri (policy-as-code); «qatil» qaydaları - yalnız feature bayraqları vasitəsilə.
Hesabat: KRIs gündəlik snapshot; həftəlik risk komitəsi; matris yeniləmə ilə aylıq retro.

13) Matris yetkinlik çek siyahısı

  • L/I şkalaları təsdiq və sənədləşdirilmişdir
  • Kateqoriyalar və ssenarilər ötən ilin hadisələrinin 95% -ni əhatə edir
  • KRIs avtomatlaşdırılmış (daşbordlar, alertlər, SLA reaksiyaları)
  • Sanksiyalar üçün ikinci bir provayder var/KUS və keçid planı
  • RACI başa düşülən, yenilənmiş əlaqə siyahısı və kommunikasiya şablonları
  • CAPA tracker vahid sistemdə və vaxtında bağlanır
  • Rüblük risk appetite və astanaların yenidən baxılması

14) Tətbiqi yol xəritəsi (nümunə)

Həftələr 1-2: risklərin inventarlaşdırılması, şkalaların koordinasiyası, kobud matris, sahiblərin təyinatı.
3-4 həftə: KRI avtomatlaşdırılması, alertlərin inteqrasiyası, RACI/eskalasiya, hesabat şablonları.
Ay 2: ikinci dərəcəli provayderlərin qoşulması, SOAR playbook, komandaların hazırlanması.
Ay 3 +: stress testləri, effektivlik auditi, hədd və siyasət düzəlişləri.

TL; DR

Vahid 5 × 5 matrisi + ölçülə bilən KRIs və aydın eşiklər → proqnozlaşdırıla bilən eskalasiya və sürətli həllər. Nəticə - daha az cərimə və insident, daha yüksək sabitlik və bütün yurisdiksiyalarda tələblərə uyğunluq.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.