员工对合规性的认识

1）目标及覆盖范围

形成可持续的合规文化，其中每个员工都理解"可能/不可能"，能够识别风险并知道如何行动（升级，帮助渠道）。覆盖范围：所有职能（业务、支付、RG/AML/KYC/KYB、营销/关联公司、游戏行动、数据/工程、CS 、财务、法律/DPO、IB）、承包商和临时工。

2）计划原则

Tone from the top：CEO/Exec的公众支持。
简单性和适用性："明天轮班做什么"。
微型格式：短模块5-10分钟，规律性。
本地化：市场语言，本地案例/规则。
可证明性：通过记录，文物，认证。
连续性："学习→应用→测量→改进"周期。

3）角色和RACI

业主： 合规之头/合规意识领导-策略，内容，日历。(A)

L＆D/培训负责人： LMS，时间表，出勤控制。(R)

过程所有者（KYC/AML/RG/Payments/Marketing/Game Ops/Data/Legal/InfoSec）： 专业知识和桉例。(R)

DPO/法律： 语言正确性，隐私性，本地化。(C)

内部审核： 独立检查完整性/记录。(C)

HR： 讨价还价/离岸讨价还价，通过纪律。(R)

Comms/Brand： 视觉设计,活动.(R)

Exec Sponsor： 公共信息、资源、升级。(I/A)

4）内容框架（意识模块）

1.行为准则和援助渠道（whistleblowing，无报复）。
2.KYC/KYB和弱势球员的保护（每个人的角色）。
3.AML/制裁/PEP（信号，禁令，升级）。
4.RG-负责任的游戏（限制，自我体验，正确的脚本）。
5.GDPR/PII（最小化，DSAR，"不共享多余"）。
6.PCI/付款（泛数据，令牌化，聊天/点播禁令）。
7.营销/会员/广告（年龄过滤器，禁止创意）。
8.事件和通知（报道的时间和内容，第一步）。
9.防篡改/IB卫生（密码，MFA，网络钓鱼模拟）。
10.利益冲突/礼品/道德。

每个模块：5-7张幻灯片+迷你桉例2-3个问题+"明天该怎么做"（每班支票清单）。

5）格式和频率

提前（T+14天）：基本套件（模块1-7），简短测试≥ 85％。
季度活动：专题（GDPR周，AML周……）。
每月微型课程：5-10分钟，1个桉例和3个问题。
Table top/role-play（季度）：跨功能端到端脚本。
网络钓鱼模拟（2-4次/年）：点击后学习。
海报/intranet/机器人："第3步规则"，"无法在字幕中写什么"。
Vendor workshops：KYC/PSP/游戏提供商-每年1-2次。

6）运动和弥赛亚（示例）

GDPR周："不要储存-我们不会丢失"→支票单：不要在邮件中发送PII，屏幕伪装，DSAR ≤ 30天。
AML周："注意结构-保存许可证"→支票清单：velocity/structuring信号在哪里升级。
RG周："负责任地玩，支持球员"→正确的CS回应，在极限边缘的动作顺序。
PCI周："PCI从你开始"→聊天/滴答声中禁止的字段，安全更换。
Ads/Affiliates周："无罚广告"→禁止的创意、年龄过滤器、"有毒"流量的投诉。

7）工具

LMS：课程、测试、证书、覆盖/时间报告。
沟通机器人（Slack/Teams）：每周1-2个问题的量表，提醒。
内联网："1页"主题、FAQ、消息模板。
海报/截图员：简短规则，每个枢纽的QR。
网络钓鱼平台：模拟,个人提示。
"询问合规性"表格：快速响应/升级。

8）绩效指标（KPI/KRI）

覆盖率：拥有最新课程的员工百分比（目标≥ 98％）。
时间完成：按时完成的百分比（目标≥ 95％）。
Recall： 30天后正确答桉的比例（>80%）。
行为变化：减少拖拉事件，正确的CS脚本的比例。
Phishing resilience：CTR ↓，模拟↑报告。
提升质量：升级中工件的完整性（模板、ID、日志）。
Whistleblowing：转变≠零；反应和关闭时间。

9）支票单

9.1在启动程序之前

• 已批准"tone from the top"（来自CEO的信/视频）。
• 年度活动日历；已指定主题的所有者。
• 内容是本地化的；例如市场和功能。
• LMS连接到HRIS（登陆/离岸）。
• 配置了coverage/on time/pass rate报告。
• 海报准备就绪，1页，机器人quiza。

9.2在竞选期间

• 提醒渠道（聊天/邮件/广告牌）。
• 与专家的问答环节（30分钟）。
• 简短的"了解底线"调查（3个问题）。
• 在"现场"收集背景和问题。

9.3竞选后

• 报告：coverage/recall/behavior。
• CAPA按空格（脚本、宏、进程）。
• 常见问题解答更新和1页。

10）脚本（角色扮演）-快速插入

A) CS × RG:

玩家超过了损失限制。

没错： "我们看到你设定的限制已经达到。根据负责任的游戏规则，我们将暂时限制访问以保护您。这是您如何设置限制……"

B) CS × AML (no tipping-off):

验证输出。

正确： "付款通过标准安全检查。我们将尽快通知它"

C) Payments × PCI:

客户在聊天中发送了PAN。

正确： "为安全起见,请勿发送卡号。请使用受保护的付款表格"

D) Marketing × Ads:

合作伙伴为18-提供了积极的创意。

没错： "我们需要年龄过滤器和正确的软盘播放器。否则-拒绝"

E) Data × GDPR:

同事要求完全导出PII"供分析"。

正确的： "需要基础和最小化。我们将根据DPO的要求提供单元/别名"

11）沟通和"语气"

高管的季度视频： "为什么合规是战略的一部分。"

成功故事： "N员工及时注意到风险-避免了罚款。"

徽章/游戏化：quiza分数，本月的"Compliance Champion"。
安全环境：错误被理解为学习而不是惩罚（恶意除外）。

12）文物与修饰

通过协议（LMS），测试结果，证书。
活动材料（幻灯片，录音），问答，海报/1页。
KPI/KRI报告，CAPA计划及其执行状态。
保留期是通过培训/审核策略（通常为5-7年）进行的。

13）内容变更管理

转化（vMAJOR。MINOR.PATCH), changelog.

更新触发器：新规则/事件/审计查找。
过程：选秀→ 法律/DPO咆哮→飞行员→发布→测量。

14）风险与预防

"画廊学习"→添加案例和可观察的行为指标。
内容过剩→微型课程，1页，关键重复。
缺乏本地化→本地示例/语言/支付现实。
热线零电话→记住：这是沉默的风险。促进信任和匿名渠道。

15）快速启动（30天）

第一周

1.指定所有者，批准KPI目标（覆盖≥ 98％，时间≥ 95％）。
2.形成年度竞选和角色日历。
3.准备"tone from the top"（字母/视频）。

第二周

4.部署枢纽（intranet）和LMS；连接HRIS/SSO。
5.收集基础课程（模块1-6）+测试；准备海报/1页。
6.自定义bota quizes和网络钓鱼模拟号1。

第3周

7.2-3支队伍的飞行员（CS，薪水，营销）。
8.收集小费；调整脚本和桉例。
9.每周举办一次微型课程（关于一个问题）。

第四周

10.大规模发射；每天监视/计时。
11.管理层报告：第一批KPI/事件-行为改变。
12.计划v1。1：添加RG/Ads案例和本地化。

• AML培训和员工培训
• 事件花花公子和剧本
• 违规通知和报告时限
• Dashboard complians和监控
• 监管报告和数据格式
• 内部审计和外部审计
• 审计清单和评论
• 许可证续签和检查
• 各区域监管规章的变化