内部审计和外部审计

1）目的和领域

确保对运营和合规流程进行系统、独立和可复制的控制：符合许可证/法律、财务和运营报告的可靠性、风险控制效率（KYC/AML/RG、GDPR/PII 、支付/PCI、游戏诚信、IB、营销/分支机构、提供商）。该部分指定了原则，角色，方法，检查编程，报告格式以及关闭不匹配的顺序。

2）原则和"三道防线"

第一行：流程所有者（运营，付款，游戏提供商，市场/附属公司，支持服务）-管理日到日风险。
第二行：合规/风险/安全/DPO-政策，监视，咨询，执行控制。
第三行：内部审计（IA）-对控制是否充分和有效性的独立评估；向监事会/审计委员会报告。
外部审计（EA）：独立的第三方-财务报表，认证（ISO/SOC/PCI），监管机构检查。

原则：独立性、客观性、可证明性、保密性、关注风险和价值、透明度和可追溯性。

3） IA vs EA划分

4）角色和RACI

内部审计（IA Lead）是策略，独立性，计划/报告。(A)

Internal Auditors-现场检查，工作文件，结论。(R)

Process Owners（第一行）-提供数据/工件,CAPA。(R)

Compliance/InfoSec/AML/RG（第二行）-共同审计，方法论。(C/R)

CFO/Controller-fincontur，GL，对账。(C)

法律/DPO-规范的解释，PII和背书。(C)

审计委员会-批准IA计划,接受报告,控制独立性。(A)

外部审核员/评估员-进行EA；通过NDA访问人工制品。（合同规定的I/R）

5）以风险为导向的规划（年度审核计划）

1.风险登记册：概率×影响（财务/GGR，许可证，声誉，玩家安全）。
2.流程图：付款/PSP，钱包，KYC/AML/KYB，RG，游戏提供商/RTP，市场/附属机构，IB/GDPR，事件/通知，监管报告。
3.优先级表格：High/Medium/Low →周期（平方米/半年/年）。
4.Scope：目标，标准，程序，样本，资源，时间线，依赖性。
5.批准：审计委员会批准年度计划；S1/S2事件允许临时发生。

6）方法： 审计阶段

A. Predaudit（计划）：文件查询，过程理解，控制设计评估，风险评估，测试计划。
B.现场阶段（现场工作）：访谈，步行道，设计/响应性测试，分析程序，文物检查，样本。
C.结论和评级：将事实与标准进行比较；findings分类。
D.报告：草桉→事实协调→结论→向管理/委员会介绍。
E. CAPA和Follow-up：纠正/预防行动计划，执行控制，验证。

7）证据和样本

证据类型：文件（政客，徽章，字幕），物理（截图，配置），口头（访谈），分析（对账，趋势）。
质量：充分性（数量）、适当性（相关性）、有效性（来源）。
样本：随机，系统的，定向（基于风险的），针对异常；规模由风险和总量决定。
可追踪性：每个输出都与测试有关，测试与证明（唯一的ID）有关；"端到端编号"。

8）不一致性分类和评级

批评（S1）：许可证/法律风险/严重经济损失/PII-breach。必须立即采取行动，向委员会/理事会提出报告。
高（S2）：严重的控制缺陷；简短的SLA进行修复。
中度（S3）：有限缺陷；调整计划。
低（S4）：改进/观察（优化）。

审核过程评级：具有有效性/成就/成分效应/成就的效率。

9）工作文件及请愿书

工作论文：程序，检查表，样本，面试协议，证据，计算，结论。
设计标准：索引，版本，所有者，日期，工件超链接，更改控制。
隐私和PII：通过RBAC访问，存储加密，掩盖敏感字段。
保留时间：根据政策（通常为5-7年），如果需要许可证/监管机构，则更长。

10）检查主题（IA目录）

1.付款/PSP/PCI：auth/decline/chargebacks，PAN别名，访问日志，供应商注册表。
2.KYC/AML/KYB：KYC的完整性和准确性，RER/制裁，SAR/STR时限，调查质量，案件管理。
3.负责任的游戏（RG）：限制/自我体验，接触程序，干预效率，广告限制。
4.GDPR/PII/DPO：处理注册，DSAR，隐私事件，处理者合同。
5.游戏/诚实提供商：RTP漂移，回合事件，资产负债表同步，RNG/票据转换。
6.营销/附属机构：遵守创意/目标限制，归属，合同，付款。
7.事件过程：声明前时间（TTS），通知监管机构的及时性，文物的完整性。
8.监管报告：计划，截止日期，DQ，与GL/PSP的对账。
9.IT 控制/IB：可用性，SOD，更改/版本，审计日志，备份，DR/BCP演习。

11） IA报告格式（模板）

执行摘要：范围，目标，排名，关键发现和风险。
背景：程序/制度/管辖权，适用要求的期限。
方法论和局限性（如果有）。
关于优先事项的详细结论：事实→标准→风险→ →建议的影响。
CAPA表：所有者，步骤，时限，成功指标。
附件：样本、图表、证据登记册、词汇表。

12）与外部审计（EA）的互动)

财务报告：GL的准备，对账，PSP/银行/提供商的确认，管理信。
合规性认证/评估：ISO 27001/9001、SOC 2、PCI DSS、行业监管机构检查。
IA角色：评估前（gap分析），查询支持，CAPA加速，避免重复。
透明度：一个文物展示、访问日历、访问规则、NDA。
通讯：定期站立"EA readiness"，入口点是Audit Coordinator。

13） CAPA和执行控制

CAPA计划：具体步骤、指标、所有者、期限、从属系统/命令。
验证：实施证明（屏幕、日志、策略、测试结果）,日期,负责审计师。
升级：S1/S2是委员会的强制性增补；逾期-dashboard的"红色区域"。
更改风险评估：成功进行CAPA后,审查剩余风险和检查频率。

14） Dashbord审计（管理控制）

计划状态：按社区和方向完成的百分比。
Findings产品组合：严重性和延迟。
CAPA progress：已完成/正在运行/逾期,关闭时间中位数。
过程热图：CAPA之前/之后的控制风险/效率。
可重复检测：系统性问题的指标。

15）道德要求和独立性

利益冲突：审计员在12个月≤不审计自己以前的业务活动；声明冲突。
访问数据：仅以"最起码必要"的原则进行；禁止个人复制PII。
通讯：中立的措辞，没有"指责"语气；事实先于解释。

16）支票单

开始审计

• 确定目标/标准/界限。
• 请求并收到文物，商定格式/时间表。
• 重申独立，没有冲突。
• 已批准测试和抽样计划。

现场阶段

• 进行步行和关键滚动采访。
• 设计和运营效率测试。
• 建立了带有ID/链接的证据登记册。
• 过程所有者的中间摘要（决赛中没有惊喜）。

报告和CAPA

• 事实是一致的，有争议的时刻已经解决。
• 对调查结果进行分类（S1-S4），评估风险/影响。
• CAPA计划，包括所有者和时间表。
• follow-up日期已输入日历。

17）工件模板（快速插入）

请求列表（PBC）：带截止日期的文档/卸载/访问列表。
测试表：控制→过程→样本→结果→证明→结论。
Finding Card：代码,标题,说明,风险,影响,原因（root cause）,推荐,S级,所有者,截止日期。
CAPA Sheet：步骤，度量，确认工件，日期，验证。

18）频繁的错误以及如何避免错误

IA和第二线的融合角色→破坏独立性。决定：IA直接向委员会报告。
证据可追溯性不足→结论辩护薄弱。解决方桉：统一登记册和编号。
"寻找不匹配"而不是风险和价值评估。解决方桉：风险焦点和优先级。
没有资源的CAPA过热→延迟。解决方案：SMART目标和WIP限制。
在检查报告时忽略质量/新鲜度数据。解决方桉：DQ支票清单。

19）快速启动（30天实施）

第1周：批准《国际法院章程》（授权/问责制），进行风险评估，起草年度计划草桉。
第2周：启动模板（PBC，测试/Finding/CAPA表格），设置证据注册表和状态仪表板。
第3周：进行2次"短期"试点审计（例如PSP/PCI和RG/DSAR），发布报告并注册CAPA。
第4周：对飞行员进行追查，调整方法，将年度计划提交委员会批准，并商定外部审计/认证的时间表。

• 监管报告和数据格式
• 违规通知和报告时限
• Dashboard complians和监控
• 事件花花公子和剧本
• 危机管理和沟通
• 业务连续性计划（BCP）/DRP
• 运营审计日志