GH GambleHub

Daxili nəzarət və audit

1) Təyinat və sahə

Məqsəd: əməliyyat, maliyyə, komplayens və nüfuz risklərini azaltmaqla biznes məqsədlərinə təhlükəsiz və qanuni şəkildə nail olmağı təmin etmək.
əhatə: Bütün domenlərdə prosessual və İT nəzarət: ödənişlər/kassautlar, KYC/AML/sanksiyalar, antifrod, RG, marketinq/məlumat ixracı, DevOps/SRE, DWH/BI, privacy/GDPR, TPRM.

2) Müdafiə prinsipləri və modeli

Üç müdafiə xətti: 1) proses sahibləri (əməliyyat/məhsul), 2) risk/komplayens/təhlükəsizlik (metodologiya, monitorinq), 3) müstəqil daxili audit.
Risk-based: Nəzarət qalıq risk prioritetinə əsaslanır.
Evidence-driven: Hər bir nəzarət ölçülə bilən meyarlara, məlumat mənbələrinə və sübut edilə bilən artefaktlara malikdir.
Automate-first: mümkünsə - əl əvəzinə avtomatik və davamlı nəzarət (CCM).

3) Risk xəritəsi → məqsədlər → nəzarət

1. Risk reyestri: səbəbləri/hadisələri/nəticələrini müəyyən etmək (maliyyə, oyunçular, lisenziyalar).
2. Nəzarət məqsədləri: nəyin qarşısını almaq/aşkar etmək/düzəltmək lazımdır (məsələn, «vəsaitlərin qanunsuz çıxarılması», «PII-yə icazəsiz giriş»).
3. Nəzarət fəaliyyəti: məqsədə çatmaq üçün konkret siyasətlərin/prosedurların/avtomatların seçilməsi.

Nəzarət növləri:
  • Profilaktik: RBAC/ABAC, SoD (4-eyes), limitlər və hesablama, data validasiyaları, WebAuthn, mTLS.
  • Detektiv: SIEM/alertlər, reconciliations, SLA/SLO daşbordları, audit-loqlar (WORM), anomaliyalara nəzarət.
  • Korrektorlar: avtomatik bloklama, relizlərin geri qaytarılması, açarların rotasiyası, əl təhlili və geri qaytarmalar.
  • Kompensasiya: əsas nəzarət mümkün deyilsə - gücləndirici tədbirlər (əlavə monitorinq, ikiqat yoxlama).

4) Nəzarət kataloqu (Control Library)

Hər bir nəzarət üçün qeyd olunur:
  • ID/Adı, məqsədi (objective), risk, növü, tezliyi, sahibi (control owner), icraçı, icra üsulu (əl/avto/guid), sübut mənbələri, KPI/KRI, siyasət/prosedurlar ilə əlaqə, asılı sistemlər.
  • States: Draft → Active → Monitored → Retired. Version və dəyişiklik jurnalı.
Qeydlərin nümunələri (böyütülmüş):
  • 'CTRL-PAY-004' - 4-eyes approve to payments> X (preventiv, gündəlik, Owner: Head of Payments, Evidence: applications/logs, KPI: 100% kapsama).
  • 'CTRL-DWH-012' - vitrinlərdə PII maskalanması (profilaktik, daimi, Owner: Head of Data, Evidence: test sorğuları, KPI: ≥ 95% masked reads).
  • 'CTRL-SEC-021' - admin konsolları üçün MFA (profilaktik; Evidence: IdP hesabatları; KPI: 100% adoption).

5) RACI və sahibləri

AktivlikBusiness OwnerProcess OwnerSecurity/Privacy/AMLData/IT/SREInternal Audit
Nəzarət dizaynıARCCI
IcraIRCRI
Monitorinq/KRICRA/RRI
Test (1-2 xətt)CRA/RRI
Müstəqil auditIIIIA/R
SARA/remediasiyaARRRC

6) Audit və testlərin planlaşdırılması

İllik plan risk yönümlü formalaşır (yüksək qalıq risk, tənzimləyici tələblər, insidentlər, yeni sistemlər).

Yoxlamaların növləri:
  • Design Effectiveness (DE): Riskləri azaltmaq üçün düzgün dizayn edilmiş nəzarət.
  • Operating Effectiveness (OE): sabit və müəyyən tezlikdə işləyir.
  • Thematic/Process Audit: keçid domen yoxlama (məsələn, KYC/AML və ya kassaut).
  • Follow-up/Verification: CAPA-nın bağlanmasının təsdiqi.

Yanaşma: Walkthrough (izləmə), müsahibə, artefakt/log review, analitika, reverformasiya (təkrar icra).

7) Sübut və nümunələr

evidence növləri: loads boşaltma (imza/hash), IdP/SSO hesabatları, təsdiq biletləri və jurnalları, konfiqlər, vaxt lövhələri ilə ekran görüntüləri, vitrinlərdən xls/csv, PAM sessiya qeydləri.
Bütövlük: WORM-nüsxələr, hash zəncirləri/imzalar, 'ts _ utc'.
Nümunə: statistik/mühakimə; ölçüsü nəzarət tezliyi və inam səviyyəsindən asılıdır.
Meyarlar: pass/fail; əl əməliyyatları üçün de minimis eşik icazə verilir.

8) Uyğunsuzluqların qiymətləndirilməsi və təsnifatı

Gradation: Critical/High/Medium/Low.
Meyarlar: təsir (pul/PII/lisenziya), ehtimal, müddət, təkrarlanabilirlik, kompensasiya nəzarət.
Hesabat: tapıntı kartı (risk, təsvir, nümunələr, ilkin səbəb, təsir, tələb olunan hərəkətlər, şərtlər, sahibi), izləmə statusu.

9) CAPA və dəyişikliklərin idarə edilməsi

Corrective and Preventive Actions: əsas səbəblərin aradan qaldırılması (root cause), yalnız simptomlar deyil.
S.M.A.R.T.ölçüləri: konkret, ölçülə bilən, tarixi; məsuliyyət və nəzarət nöqtələri.
Change Advisory Board: yüksək risk dəyişiklikləri CAB keçir; siyasətləri/prosedurları/rolları yeniləmək.
Effektivliyin yoxlanılması: N həftə/ay sonra təkrar audit.

10) Davamlı monitorinq (CCM) və analitika

CCM namizədləri: yüksək tezlikli və formal nəzarət - SoD münaqişələri, JIT emissiyaları, anormal ixracat, MFA coverage, ödəniş limitləri, sanksiya hitləri.
Alətlər: SIEM/UEBA qaydaları, Data/BI dashbordları, sxem/maskalanma validatorları, giriş testləri (policy-as-code).
Siqnallar/alertlər: hədd/davranış; SOAR biletləri; kritik sapmalar zamanı avtomatik bloklar.
Üstünlükləri: aşkarlama sürəti, əl yükünün azaldılması, daha yaxşı sübut olunma.

11) Metriklər (KPI/KRI)

KPI (icra):
  • Kritik proseslərə nəzarət ≥ 95%
  • On-time execution əl nəzarət ≥ 98%
  • CAPA vaxtında closed (High/Critical) ≥ 95%
  • Avtomatlaşdırılmış nəzarətlərin payı ↑ MoM
KRI (risklər):
  • SoD = 0 pozuntuları
  • 'purpose' = 0 olmadan PII-yə giriş
  • Sızma/hadisə xəbərdar ≤ 72 saat - 100%
  • Fail-rate əməliyyat nəzarət <2% (trend azalır)

12) Tezlik və təqvim

Gündəlik/davamlı: CCM, antifrod siqnalları, ödəmə limitləri, maskalanma.
Həftəlik: ödənişlərin/reyestrlərin yoxlanılması, ixraclara nəzarət, alertlərin təhlili.
Aylıq: MFA/SSO hesabatları, giriş reyestri, satıcı monitorinqi, KRI trendləri.
Rüblük: hüquqların yenidən sertifikatlaşdırılması, tematik rəylər, BCP/DR stress testləri.
Hər il: tam audit planı və risk xəritəsinin yenilənməsi.

13) Mövcud siyasətçilərlə inteqrasiya

RBAC/ABAC/Least Privilege, Access Policy və seqmentasiya preventiv nəzarət mənbəyidir.
Parol siyasəti və MFA - idarəçilər/kritik əməliyyatlar üçün məcburi tələblərdir.
Audit jurnalları/log siyasəti - detektiv və sübut nəzarətləri.
TPRM və üçüncü tərəf müqavilələri - xarici nəzarət: SLA, DPA/SCCs, audit hüquqları.

14) Çek vərəqləri

14. 1 Yeni nəzarət dizaynı

  • Hədəf və əlaqəli risk təsvir
  • Müəyyən tip (profilaktik/detektiv/korrekter)
  • Sahibi/icraçısı və tezliyi təyin edildi
  • Verilən məlumat mənbələri və evidence formatı
  • Daxili metriklər (KPI/KRI) və alertlər
  • Siyasətlər/prosedurlar ilə əlaqəli
  • DE/OE test planı müəyyən

14. 2 Auditin aparılması

  • Scope və DE/OE meyarları razılaşdırılır
  • Artefaktlar və Access siyahısı alındı
  • Nümunə razılaşdırılmış və qeydə alınmışdır
  • Nəticələr və tapıntılar təsnif edilmişdir
  • CAPA, şərtlər və sahibləri təsdiq
  • Hesabat buraxıldı və steykholderlərə çatdırıldı

14. 3 Monitorinq və hesabat (aylıq)

  • Bütün kritik nəzarətlər üçün KPI/KRI
  • Uğursuzluqlar/saxta uğursuzluqlar
  • CAPA statusu və gecikmələr
  • Avtomatlaşdırma/SSM təklifləri

15) Tipik səhvlər və onlardan necə qaçmaq olar

Hədəf/metrik olmadan nəzarət: objective və KPI/KRI rəsmiləşdirin.
Sübut olmadan əl nəzarəti: formaları/skriptləri standartlaşdırın və artefaktları WORM-də saxlayın.
İstisnaların artması: son tarix və kompensasiya tədbirləri ilə istisnaların reyestri.
«Kağız üzərində» işləyir - əslində yox: müntəzəm OE testləri və CCM.
Qapalı olmayan CAPA: aylıq risk komitəsində avtomatik eskalasiya və status.

16) Tətbiqi yol xəritəsi

Həftələr 1-2: Risk xəritəsini yeniləyin, nəzarət kataloqunu tərtib edin, sahibləri təyin edin, evidence şablonlarını təsdiq edin.
Həftələr 3-4: KPI/KRI monitorinqini başlat, avtomatlaşdırma (CCM) üçün 5-10 nəzarət seçin, illik audit planını təsdiq edin.
Ay 2: 1-2 tematik audit (yüksək risk) keçirmək, SOAR-alertləri tətbiq etmək, bord hesabatlarını qurmaq.
Ay 3 +: CCM genişləndirmək, rüblük rəylər keçirmək, əl nəzarətlərini azaltmaq, DE/OE əhatə payını və CAPA-nın bağlanış sürətini artırmaq.

TL; DR

Effektiv daxili nəzarət = risk kartı → hədəf → sahibi və sübut ilə aydın fəaliyyət, plus müntəzəm DE/OE testləri, CAPA və CCM avtomatlaşdırma. Bu, risklərin idarə edilməsini ölçülən, audit proqnozlaşdırıla bilən və uyğunluğu sübut edilə bilən edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.