审计清单和评论

1）任命

• 团队和周期之间的检查的可比性；
• 结果的完整性和可靠性；
• 透明修补程序管理（CAPA）和重新检查。

2）角色和RACI

所有者： 合规之头/内部审核之头-方法，支票版本。(A)

Process Owners（第一行）： 自我评估，工件，CAPA。(R)

Compliance/InfoSec/AML/RG（第二行）： 同行审查，共同审计，规范解释。(R/C)

Internal Audit（第三行）： 独立评论，排名，倒计时。(R)

管理（Exec Sponsor）： 批准CAPA的结论和资源。(A/C)

3）咆哮的类型

1.Self-Assessment （SA）：每月/每季度由流程所有者进行短期检查。
2.Peer-Review （PR）：相邻团队交叉检查（无利益冲突）。
3.管理评论（MR）：每季度一次-对KPI/KRI、趋势和非公开CAPA的审查。
4.内部审核评论（IA）：根据IA计划进行独立审核。
5.外部审核就绪性（EAR）：准备认证/检查（ISO/SOC/PCI/调节器）。

4）通用支票规则

ID: CL- <code >/Version: v <MAJOR. MINOR >/Owner: <role>
Область: <KYC/AML/RG, GDPR/PII, Payments/PCI, Games/Providers, Reporting, Incidents...>
Frequency: M     Q      Ad-hoc
Material: <criteria for High/Medium/Low>
Sampling: <method and size>
Evidence: <list of files/screenshots/logs>
Question List: [X] Yes [] No [] N/A + Comment + Artifact + Severity
Bottom line: Score/Rating/CAPA

• Fully Met (100–90%) / Largely Met (89–75%) / Partially Met (74–50%) / Not Met (<50%).
• Severity不一致：S1 临界/S2 高/S3 中等/S4低。
• 物质性：现金效应（GGR/NGR），客户覆盖/PII，许可/罚款风险，对游戏诚实性的影响。

5）支票目录（带控制点的骨架）

CL-KYC-01 — KYC/KYB

• 验证政策和级别已获得批准并具有相关性。
• KYC 提供商有有效合同/DPA。
• 通过验证遵守SLA（度量D-1）。
• 文件应按照要求保存；访问-RBAC。
• 已记录拒绝/升级；FP的份额正常。
• KYB for Partners：当前对账单/受益人。

证据：KYC状态卸载，DPA注册表，访问日志，25个案例的样本。

CL-AML-02 — AML/CFT

• 更新的AML政策和风险评分方法。
• RER检查/船上和定期制裁。
• SAR/STR按时发送；有录取确认。
• 调查质量：完整性，时间，关闭。
• 监视规则覆盖了velocity/structuring/mools。
• "no tipping-off"测试：SAR没有客户通知。

证据：SAR/STR桉例、制裁检查日志、桉件结桉时间报告。

CL-RG-03-负责任的游戏

• 限制/自我排序名册是同步的（名册/纳兹）。系统）。
• 脆弱性触发因素→ SLA中的联系；通信模式。
• 对干预的有效性进行测量和分析。
• 广告/奖金符合市场限制。
• RG事件和通知监管机构-按时。

证据：自我释放的逻辑，公社。模板、指标。

CL-PCI-04-付款/PCI

• PCI细分和PAN/CHD库存处于最新状态。
• 过境/恢复中的令牌/加密；按键旋转。
• 门槛中的PSP的Auth-rate/decline/latency；后退路线。
• Chargeback流程和处置的证据基础。
• 扫描的ASV漏洞已及时消除。
• 支付区访问日志是完整且不可变的。

证据：网络图、ASV报告、chargebacks桉例、KMS关键策略。

CL-GAMES-05-游戏/诚实提供商

• 合同和技术。规格是相关的；RNG/法案版本在注册表中。
• RTP-drift监测和反应阈值；freeze在程序上是固定的。
• round/session/钱包平衡同步。
• 提供商事件：时间线、固定、玩家补偿。
• 向监管机构提交的诚实/RTP报告-已提交并得到确认。

证据：RTP上载，提供商API的逻辑，freeze-ticket示例。

CL-REP-06-监管报告

• 截止日期日历："准备/发送/接受"状态。
• 数据方案已验证；文件签名/带有哈希。
• Reconciliation：钱包↔ PSP ↔ GL没有差异>X%。
• 接收确认（ID/收据）已保存并与文物相关。
• 符合本地/语言要求。

证据： dashboard截止日期,收据,SQL对账.

CL-INC-07-事件/通知

• S1/S2 SLA的TTS（第一条消息）。
• DPA/监管机构/PSP/CERT通知-在截止日期，并附有确认。
• 工件的完整性：时间线、日志、消息、受影响的列表。
• 复古≤ 7天，CAPA注册并移动。
• 球员补偿是根据政策支付的。

证据：事件日志，状态页面，文物包。

CL-GDPR-08 — GDPR/PII

• 处理注册表（RoPA）是相关的；法律依据是正确的。
• DSAR关闭≤ 30天；逾期已解释。
• DPIA适用于高风险流程。
• 卸载和报告时假名/掩码。
• 与处理程序和SCC的合同有效。

证据：RoPA，DSAR杂志，DPIA，报告中的口罩示例。

CL-ITGC-09-通用IT控制

• 变更管理：公关流程、测试、备考、免责声明。
• 可用性：RBAC/ABAC，定期修订，离岸≤ 24小时。
• 备份/恢复,定期DR测试。
• 审计记录是不可改变的，应遵守。
• 可观察性：SLO/有缺陷的预算，对关键指标的差异。

证据：PR样本，IAM标志，DR测试报告，回避政策。

6）样本和证据技术

大小：专注于操作量和风险（例如,min 25, pps/分层用于大型阵列）。
方法：随机、系统、定向（异常/边缘病例），按峰值周期。
充分性：每个关键输出（日志、截图、卸载、字幕）至少有2-3个独立来源。
可追溯性：每个支票项目都是具有ID和注册表参考的证明。

7）Rubricator收视率咆哮

Effective-控制设计并稳定运行,S1/S2没有不一致之处。
Generally Effective（有改进）-有S3/S4但风险得到控制。
Partially Effective-系统S2；高残留风险。
Ineffective-S1/S2集合；需要立即恢复计划。

8) CAPA и follow-up

对于每个finding：根→操作→所有者→期限→成功指标。
关闭SLA：S1-≤ 30天；S2-≤ 60天；S3-≤ 90天；S4-通过安排。
验证：审核员应用实施证明（屏幕/标志/策略）,将状态更改为"验证"。
升级：逾期S1/S2-每周MR，每季度审计委员会。

9）工作工件（模板）

9.1 Checlist（检查表）

9.2 Finding Card

代码标题事实风险标准/影响原因（root cause） S级推荐。

9.3 CAPA Sheet

Finding →步骤→所有者→期限→度量/阈值→证据→状态→验证日期。

9.4个PBC列表（按客户端提供）

查询→格式→来源→负责任→截止日期→收到（日期）→评论。

10）Dashbord咆哮

Coverage：在此期间所涵盖的过程百分比。
Findings by Severity： S1-S4分布。
CAPA Progress：已完成/正在运行/逾期；关闭时间中位数。
Repeat Findings： 12个月内重播的比例。
时限：遵守SA/PR/MR/IA时间表。
效果趋势：按地区排名的动态。

11）日历和频率

每月：SA通过KYC/Payments/GDPR DSAR，事件/通知。
季刊：AML/RG/Providers/Reporting的公关，适用于所有方向的MR。
Semi-Annual/Annual：高风险地区的IA；EAR在认证/检查之前。

12）快速起步支票卡（每张7点）

KYC （7点）：政策提供商/DPA SLA队列>SLA RBAC故障/上报报告FP。
AML （7点）：RER 列表/SAR制裁时间表调查质量Velocity/structuring No tipping off Caseboard KPI培训。
RG （7点）：注册表/同步联系人SLA有效性广告限制投诉事件向监管机构报告。
PCI （7-point）： 分段密钥/ASV/火山轮换访问日志标记化 Chargebacks Fallback PSP。
游戏（7点）：RTP-drift Freeze程序平衡同步事件提供商版本RNG/广告牌 SLA API诚信报告。
报告（7-point）：电路日历/版本签名/哈希恢复语言/位置收据DQ度量。
Incidents （7-point）： TTS在Retro CAPA Dashbord赔偿文物完整期内的通知。

13）频繁的错误以及如何避免错误

没有证据的支票→所有物品都需要ID工件。
无材料评估→将阈值固定在支票卡中。
SA/PR/IA重复→商定的日历和统一查询注册表（PBC）。
没有可操作性测试的"文档中心主义"→始终采样操作。
没有指标的CAPA →确定可测量的结果（例如，DSAR ≤ 30天≥ 98％）。

14）实施计划（30天）

第一周

1.批准评级方法和量表。
2.创建8个基本支票单（CL-KYC/AML/RG/PCI/GAMES/REP/INC/GDPR）。
3.建立工件注册表和PBC/Finding/CAPA模板。

第二周

4.在2个过程中进行SA飞行员，在1个过程中进行PR。
5.通过评论和CAPA日志自定义行车记录仪。
6.发出"证据和样本"培训。

第3周

7.EAR近距离认证/检查会议。
8.同意本季度MR/IA时间表。
9.固定材料阈值和样本大小。

第四周

10.发布v1。0支票目录和日历卡。

11.复古飞行员，更新支票版本（v1。1).

12.在KPI中包含评论流程所有者。

15）相关部分

内部审计和外部审计

监管报告和数据格式

违规通知和报告时限

Dashboard complians和监控

事件花花公子和剧本

危机管理和沟通